I ENCUENTRO DE ACAD脡MICOS SOBRE LA CIBERSEGURIDAD Y EL DERECHO- LE脫N

A caballo entre el Derecho P煤blico y el Derecho Privado, de la mano del Instituto Nacional de Ciberseguridad, el INCIBE cuyo Director General abre las sesiones,聽 se celebra el I Encuentro de acad茅micos sobre la ciberseguridad y el Derecho.

 

 

Las Jornadas desarrollan un magnifico programa, que se recoge en las im谩genes de esta entrada, y pueden seguirse por YouTube, canal INCIBE. La sesi贸n del jueves 4 aqu铆. La del viernes 5, aqu铆

Durante dos d铆as se abordar谩n temas de actualidad- y de calado- ahondando en el an谩lisis en forma de cuatro coloquios. Cada uno de ellos gira en torno a las correspondientes mesas de juristas expertos en los retos de las tecnolog铆as disruptivas que est谩n marcando nuestro presente y apuntan al futuro; a saber:

PRESENTACI脫N: Dr. F茅lix A Barro, Director General de Incibe. Dra. Adriana Su谩rez Coronas, C谩tedra de Ciberseguridad de Universidad de Le贸n,聽 Dra. Mercedes Fuertes, Catedr谩tica de Derecho Administrativo, Universidad de Le贸n.

I. Derechos y deberes fundamentales para garantizar la ciberseguridad: Dra. Tamara 脕lvarez, Profesora de Derecho Constitucional, Universidad de Le贸n. Dr. Jos茅 Luis Pi帽ar, Catedr谩tico Derecho Administrativo, CEU. Dra. Dolors Canals, Titular Derecho Administrativo Universitat Girona.

II. Normativa europea, las dificultades de armonizaci贸n. Dra. Mercedes Fuertes, Catedr谩tica de Derecho Administrativo Universidad de Le贸n. Dr. Pablo Garc铆a Mex铆a. Letrado de las Cortes Generales. Dra. Eva Men茅ndez, Catedr谩tica Derecho Administrativo Universidad de Oviedo

III, Obligaciones de las empresas, seguridad en las relaciones financieras. Dr. Germ谩n Bercovit, Catedr谩tico Derecho Civil, Universidad de Le贸n. Dra. Elena F P茅rez-Carrillo, Profesora Derecho Mercantil, Universidad de Le贸n, Dr. Alberto Tapia, Catedr谩tico Derecho Mercantil, Universidad Complutense de Madrid

IV. Ciberseguridad en el sector p煤blico. Dra. Isabel Gonz谩lez, Catedr谩tica Derecho Administrativo Universidad de M谩laga. Dr. Jos茅 Manuel Chaves. Magistrado TSJ Asturias. Dr. Antonio Segura Serrano. Catedr谩tico de Derecho Internacional. Universidad de Granada.

Director General Incibe, Dr. F茅lix Barro

Desde la Universidad de Le贸n, la impulsora de este importante encuentro es la Profesora Mercedes Fuertes L贸pez, Catedr谩tica de Derecho Administrativo y reputad铆sima experta, admirada y querida desde el 脕rea de Derecho Mercantil de Le贸n.聽 Confiamos en que 茅ste sea la primera de muchas iniciativas que sirvan para poner en com煤n, por parte de la comunidad jur铆dico cient铆fica de Le贸n, los retos del nuevo entorno digital super-ub铆cuo.

 

Esquemas EU de certificaci贸n de ciberseguridad (una vez ya publicado el primer EECC)

Pelargonium hortorum (geranio rojo)

Con el desarrollo de la certificaci贸n de ciberseguridad a escala de la UE se pretende armonizar el reconocimiento del nivel de ciberseguridad de las soluciones TIC en toda la Uni贸n.

Los sistemas de certificaci贸n de la UE son desarrollados por ENISA dentro del marco definido en el Reglamento sobre Ciberseguridad (Reglamento 881 /2019), mediante los procedimientos y sistemas de trabajo de esta Agencia聽 y teniendo en cuenta los sistemas y normas existentes de los que se nutren los esquemas.

Son esquemas europeos de ciberseguridad que se ir谩n aprobando son -en principio- voluntarios. Su seguimiento potencia el Mercado 脷nico Digital de la UE. Sirven para demostrar el cumplimiento de sus requisitos. En algunos casos, a trav茅s de normas de derecho positivo escrito, pueden llegar a ser聽 obligatorios.聽En particular, alguna legislaci贸n ya alude a los esquemas europeos de certificaci贸n de ENISA:

la Directiva para un alto nivel de ciberseguridad en toda la Uni贸n (NIS2), en especial en lo relativo a entidades que gestionan infraestructuras cr铆ticas,
– la propuesta de Reglamento relativo a la identificaci贸n electr贸nica y los servicios de confianza para las transacciones electr贸nicas en el mercado interior (Reglamento eIDAS) con el Reglamento Wallet/elDAS2
– la propuesta de Reglamento de Ciberresiliencia (CRA), que a帽ade la ciberseguridad a los criterios para obtener el marcado CE en la fabricaci贸n de determinados productos,
– la propuesta de sobre Inteligencia Artificial.

 

Definici贸n de Esquema europeo de certificaci贸n de la ciberseguridad de la UE: 聽es un conjunto completo de reglas, requisitos t茅cnicos de ciberseguridad, normas y procedimientos de evaluaci贸n, definidos a nivel de la UE y aplicables a la certificaci贸n de productos, servicios o procesos espec铆ficos de TIC.

  • Cada certificado de ciberseguridad de la UE acredita que un producto, proceso o servicio de TIC ha superado una evaluaci贸n de conformidad con dicho r茅gimen y que cumple los requisitos y normas de ciberseguridad especificados.
  • La certificaci贸n la realiza un organismo de evaluaci贸n de la conformidad (OEC/CAB), que puede auditar y/o probar y/o certificar. Todos los certificados ser谩n publicados por ENISA en un sitio web espec铆fico.
  • Dependiendo del riesgo de ciberseguridad asociado al uso previsto de la soluci贸n TIC que se va a certificar, se puede elegir un nivel de ciberseguridad diferente que el solicitante define. Cada esquema indica si la certificaci贸n tiene un nivel de garant铆a 芦b谩sico禄, 芦sustancial禄 o 芦alto禄

Los primeros EEC::

Rododendro
  • EUCC. El Esquema Europeo de Certificaci贸n de Ciberseguridad sobre Criterios Comunes, el primer esquema, se dirige a las TIC, tales como productos y componentes de hardware y software. El 31 de enero de 2024, la Comisi贸n Europea aprob贸 el acto de ejecuci贸n por el que se pone en marcha el sistema de certificaci贸n. ENISA est谩 publicando los documentos de referencia que respaldan el sistema y que se enumeran en su Anexo 1.

A continuaci贸n:

  • EUCS El Esquema Europeo de Certificaci贸n de Servicios en la Nube聽 se encuentra en tr谩mite de an谩lisis por parte del ECCG.
  • EU5G El Esquema Europeo de Certificaci贸n de Ciberseguridad para 5G se desarrolla en dos fases. Durante una primera fase que finaliz贸 en oto帽o de 2022, ENISA, los expertos reunidos en un grupo de trabajo ad hoc con la Comisi贸n de la UE y los Estados miembros analizaron las evaluaciones industriales existentes y los esquemas de certificaci贸n y sus actualizaciones necesarias para cumplir con la Ley de Ciberseguridad. La segunda fase se abre con una consulta p煤blica
  • 驴Inteligencia Artificial? Con vistas a la adopci贸n del proyecto de Reglamento de la UE sobre Inteligencia Artificial, ENISA est谩 evaluando si la IA podr铆a ser objeto de certificaci贸n en materia de ciberseguridad y de qu茅 manera, as铆 como el modo en que podr铆an reutilizarse los esquemas en curso de elaboraci贸n. Este trabajo es preparatorio, ya que ENISA no ha recibido una solicitud para desarrollar un esquema de certificaci贸n por parte de la Comisi贸n Europea

 

Arquitectura en la elaboraci贸n y utilizaci贸n de los EEC

Hortensia atl谩ntica
Hortensia atl谩ntica
  • Comisi贸n Europea La iniciativa de elaborar un EECC es de la Comisi贸n Europea que lo plantea a ENISA. ENISA, una vez que tiene una propuesta, la remite a la Comisi贸n quien la adopta a trav茅s de legislaci贸n administrativa, Reglamentos de Ejecuci贸n
  • ENISA. La elaboraci贸n corresponde a ENISA que act煤a como coordinadora y anfitriona de grupos de trabajo
  • Partes interesadas y p煤blico general Al desarrollar los esquemas de ciberseguridad de la UE, ENISA trabaja con una amplia variedad de partes interesadas en la ciberseguridad. Por ejemplo, las partes interesadas pueden formar parte del 芦grupo de trabajo ad hoc禄 de expertos que apoya a la ENISA en el desarrollo de un determinado esquema. Asimismo, es posible invitar a las partes interesadas a participar en proyectos piloto o 芦pruebas de concepto禄 para poner a prueba algunos o m谩s elementos de un r茅gimen de la UE (por ejemplo, viabilidad, posibles procedimientos o procesos o m茅todos de evaluaci贸n) antes de su aplicaci贸n. Por otro lado, cuando un esquema se encuentra en una fase avanzada de desarrollo, tambi茅n puede haber consultas p煤blicas, por ejemplo sobre proyectos de reg铆menes. Una vez implantado, el sistema debe actualizarse y adaptarse a los cambios que se produzcan en el entorno de la ciberseguridad. Los procesos, procedimientos y m茅todos de evaluaci贸n deben mantenerse, evaluarse y revisarse聽 y en estos procesos tambi茅n participan las partes interesadas por invitaci贸n de ENISA.
  • Entrada en vigor: Para ser efectivo, un proyecto de esquema elaborado por ENISSA a petici贸n de la Comisi贸n debe ser aprobado por un acto legislativo de la UE , 芦acto de ejecuci贸n禄 y en 茅l se establece un periodo para que los Estados miembros preparen el funcionamiento del sistema antes de expedir los certificados.
  • Organismos de Evaluaci贸n de la Conformidad (OEC/CAB) .Los OEC/CAB que estar谩n acreditados para emitir certificados o realizar actividades de evaluaci贸n (ensayos, auditor铆as) para estos esquemas.. Los sistemas de certificaci贸n de ciberseguridad crean un mercado europeo para organismos de evaluaci贸n de la conformidad (OEC/CAB ) que podr谩n ofrecer sus servicios de certificaci贸n as铆 como herramientas y servicios de evaluaci贸n relacionados en toda la UE. Estos OEC/CAB trabajar en los esquemas de certificaci贸n de la UE de dos formas distintas: como evaluadores (mediante auditor铆as/ensayos) y/o como certificadores. Deben cumplir una serie de requisitos antes de poder realizar tales actividades:
    Para poder evaluar y certificar de acuerdo con los reg铆menes de certificaci贸n de la UE, los OEC deber谩n estar acreditados por su organismo nacional de acreditaci贸n.
    Una vez acreditados para un esquema europeo de certificaci贸n de la ciberseguridad, la Autoridad Nacional de Certificaci贸n de la Ciberseguridad (ANC) deber谩 notificar su acreditaci贸n a la Comisi贸n.
    Si un OEC quiere ser elegible para certificar una soluci贸n TIC bajo el nivel de garant铆a 芦alto禄, puede necesitar cumplir requisitos adicionales. El procedimiento para cumplir estos requisitos lo realiza la ANC y se denomina 芦autorizaci贸n禄. Esta 芦autorizaci贸n禄 tambi茅n debe notificarse a la Comisi贸n.
  • Usuarios de los certificados Los certificados de ciberseguridad de la UE se conceden a productos y servicios TIC certificados con arreglo a los reg铆menes de certificaci贸n de ciberseguridad de la UE. Demuestran que las soluciones probadas son resistentes a determinados niveles de seguridad y establecen procesos de reparaci贸n teniendo en cuenta los 煤ltimos avances del estado de la t茅cnica. Como est谩n reconocidos en toda la UE permiten a los proveedores de productos y servicios mostrar la conformidad de su soluci贸n con un esquema espec铆fico, nivel de garant铆a, 谩mbito de aplicaci贸n y, potencialmente, extensi贸n o perfiles de seguridad. Los usuarios de soluciones TIC pueden considerar los certificados de ciberseguridad como una demostraci贸n de que una soluci贸n espec铆fica cumple los requisitos de seguridad definidos.
  • Autoridades Nacionales de Certificaci贸n en Ciberseguridad ( ANC). Como exige la Directiva sobre Ciberseguridad, cada Estado miembro ha designado una ACNC que se responsabilizar谩 de supervisar, acreditar y controlar la certificaci贸n de ciberseguridad de la UE a nivel nacional y de intercambiarla a nivel de la UE. Cada Estado miembro puede optar por expedir certificaciones de conformidad de ciberseguridad de la UE. Las Autoridades Nacionales de Certificaci贸n en Ciberseguridad (芦ANC禄) supervisan y controlan el cumplimiento del r茅gimen de los certificados expedidos por las OEC en su Estado miembro.
  • Sistemas nacionales. Cada sistema de certificaci贸n de ciberseguridad de la UE prev茅 un periodo de transici贸n tras el cual los sistemas nacionales pertinentes dejan de tener efecto.
    En otras palabras, los certificados expedidos en virtud de estos reg铆menes dejan de ser v谩lidos. Para garantizar una aplicaci贸n sin problemas, la transici贸n de los reg铆menes existentes a los reg铆menes de la UE se lleva a cabo en estrecha colaboraci贸n con todas las partes interesadas; por ejemplo, se elaborar谩n orientaciones para los organismos de certificaci贸n de ciberseguridad que operan con reg铆menes nacionales. Por lo tanto, los OEC no deben interrumpir sus actividades relacionadas con los reg铆menes existentes.
  • Duraci贸n.聽Los certificados son v谩lidos durante un tiempo limitado que puede ampliarse mediante una nueva evaluaci贸n de la soluci贸n.
  • Certificaci贸n la certificaci贸n es voluntaria, a menos que la normativa de la UE o de los Estados miembros especifique lo contrario.

 

Ciber resiliencia de productos . Propuesta (UE) de reforma del r茅gimen de responsabilidad del fabricante (Y marcado CE de ciberseguridad)

La Comisi贸n present贸 una propuesta de nueva Ley de Ciberresiliencia聽 o Reglamento Propuesta de Reglamento relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020 (COM(2022) 454 final). 聽Introduce requisitos obligatorios de ciberseguridad para los productos con elementos digitales, a lo largo de todo su ciclo de vida. Sobre aquella propuesta hab铆amos comentado aqu铆.

La propuesta se basa en el nuevo marco legislativo de la UE en materia de productos y establece por un lado, normas para la comercializaci贸n de productos con elementos digitales para garantizar su ciberseguridad; por otro requisitos esenciales para el dise帽o, el desarrollo y la producci贸n de productos con elementos digitales, y obligaciones para los operadores econ贸micos en relaci贸n con estos productos; tambi茅n requisitos esenciales para los procesos de gesti贸n de la vulnerabilidad establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y obligaciones para los operadores econ贸micos en relaci贸n con estos procesos, incluyendo obligaciones de los fabricantes de informar de las vulnerabilidades e incidentes explotados activamente. Adem谩s, establece normas sobre vigilancia del mercado y aplicaci贸n de la legislaci贸n. En conjunto, esta propuesta llamada 芦Ley de Ciber resiiencia禄聽 refuerza las normas de ciberseguridad para garantizar productos de hardware y software m谩s seguros.

 

Gladiolo

Debe recordarse que los productos de hardware y software son cada vez m谩s objeto de ciberataques con 茅xito. Ello implica un coste anual mundial estimado de 5,5 billones de euros para 2021.聽Estos productos adolecen de dos grandes problemas, un bajo nivel de ciberseguridad con vulnerabilidades generalizadas y suministro insuficiente e incoherente de actualizaciones de seguridad para abordarlas; y una comprensi贸n y un acceso a la informaci贸n insuficientes por parte de los usuarios (les impide elegir productos con propiedades de ciberseguridad adecuadas o utilizarlos de forma segura).

Hoy,聽 la聽 mayor铆a de los productos de hardware y software no est谩n cubiertos la legislaci贸n de la UE sobre ciberseguridad. En particular, el actual marco jur铆dico de la UE no aborda la ciberseguridad de los programas inform谩ticos no integrados, aun cuando son objeto de ciberataques a menudo.

La propuesta tiene dos objetivos principales, en relaci贸n con los productos.

  • crear las condiciones para el desarrollo de productos seguros con elementos digitales, garantizando que los productos de hardware y software se comercialicen con menos vulnerabilidades y velando por que los fabricantes se tomen en serio la seguridad a lo largo de todo el ciclo de vida del producto; y
  • crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad a la hora de seleccionar y utilizar productos con elementos digitales.

Y cuatro objetivos espec铆ficos:

  1. que los fabricantes mejoren la seguridad de los productos con elementos digitales desde la fase de dise帽o y desarrollo y a lo largo de todo el ciclo de vida;
  2. garantizar un marco coherente de ciberseguridad que facilite el cumplimiento de la normativa a los fabricantes de hardware y software
  3. aumentar la transparencia de las propiedades de seguridad de los productos con elementos digitales, y
  4. fomentar que las empresas y los consumidores utilicen los productos con elementos digitales de forma segura.

Documentaci贸n t茅cnica (art 23 de la propuesta)

La documentaci贸n t茅cnica debe elaborarse antes de que el producto con elementos digitales se introduzca en el mercado y, en su caso, se mantendr谩 permanentemente actualizada durante la vida 煤til prevista del producto o durante cinco a帽os a partir de la introducci贸n del producto con elementos digitales en el mercado, si este per铆odo fuese m谩s breve

Marcado CE 芦Conformit茅 Europ茅enne (pre谩mbulo 32 y art 21 de la propuesta)

El marcado CE indica la conformidad de un producto, es el resultado visible de todo un proceso que comprende la evaluaci贸n de la conformidad en sentido amplio. Los principios generales por los que se rige el marcado CE se establecen en el Reglamento (CE) n.潞 765/2008 Ahora, con esta propuesta de ciber resiliencia se establecen disposiciones relativas a la colocaci贸n del marcado CE en productos con elementos digitales, siendo el marcado CE聽 el 煤nico marcado que garantice que los productos con elementos digitales cumplen con los requisitos T茅ngase en cuenta que cuando existe reserva de Marcado CE, esta menci贸n es obligatoria. Conforme a la propuesta, los productos con elementos digitales deben llevar el marcado CE para acreditar su conformidad con el presente Reglamento y as铆 poder circular libremente por el mercado interno.

  • El marcado CE, tal como se define en el art铆culo聽3, punto聽32, estar谩 sujeto a los principios generales establecidos en el art铆culo聽30 del Reglamento (CE) n.潞 765/2008.:聽芦marcado CE禄: un marcado con el que un fabricante indica que un producto con elementos digitales y los procesos establecidos por el fabricante son conformes con los requisitos esenciales establecidos en el anexo I y otras normas de la Uni贸n aplicables que armonicen las condiciones para la comercializaci贸n de productos (las 芦normas de armonizaci贸n de la Uni贸n禄) y prevean su colocaci贸n禄
  • Se siguen las reglas de colocaci贸n, tama帽o etc del art 22

En relaci贸n con este marcado la Comisi贸n estar谩 facultada para adoptar actos de ejecuci贸n con el fin de especificar el formato o los elementos de los informes obligatorios y la nomenclatura de materiales de los programas inform谩ticos, especificar los esquemas europeos de certificaci贸n de la ciberseguridad que puedan utilizarse para demostrar la conformidad con los requisitos esenciales o partes de estos establecidos en el presente Reglamento, adoptar especificaciones comunes, establecer especificaciones t茅cnicas para la colocaci贸n del marcado CE y adoptar medidas correctoras o restrictivas a escala de la Uni贸n en circunstancias excepcionales que justifiquen una intervenci贸n inmediata destinada a preservar el buen funcionamiento del mercado interior.

Tareas encomendadas a ENISA

  • Recibir notificaciones de los fabricantes relativas a las vulnerabilidades presentes en los productos con elementos digitales y sobre los incidentes que repercutan en la seguridad de dichos productos.
  • Transmitir estas notificaciones a los equipos de respuesta a incidentes de seguridad inform谩tica (CSIRT) pertinentes o, seg煤n corresponda, a los puntos de contacto 煤nicos de los Estados miembros designados de conformidad con DNIS2, as铆 como informar a las autoridades de vigilancia del mercado pertinentes sobre la vulnerabilidad notificada.
  • elaborar un informe t茅cnico bienal sobre las tendencias emergentes en relaci贸n con los riesgos de ciberseguridad en productos con elementos digitales y presentarlo al Grupo de Cooperaci贸n
  • apoyar el proceso de ejecuci贸n del presente Reglamento. En particular, debe ser capaz de proponer actividades conjuntas que las autoridades de vigilancia del mercado deber谩n llevar a cabo sobre la base de determinadas indicaciones o informaci贸n sobre el posible incumplimiento del presente Reglamento por parte de productos con elementos digitales en varios Estados miembros, o de identificar categor铆as de productos para las que deban organizarse acciones de control simult谩neas coordinadas.
  • En circunstancias excepcionales que requieran una intervenci贸n inmediata, la ENISA, a petici贸n de la Comisi贸n, debe poder llevar a cabo evaluaciones relativas a productos espec铆ficos con elementos digitales que presenten un riesgo de ciberseguridad significativo.

Evaluaci贸n de conformidad (arts. 25 ss. de la Propuesta)

  • Recu茅rdese que la conformidad de un producto se efect煤a antes de su comercializaci贸n. Consiste en demostrar que se cumplen todos los requisitos legislativos. Incluye pruebas, inspecci贸n y certificaci贸n.
  • El procedimiento para cada producto se especifica en la legislaci贸n de producto aplicable.
  • En general, la legislaci贸n de productos describe los procedimientos de evaluaci贸n de la conformidad para cada producto. Cada fabricante puede elegir entre diferentes procedimientos de evaluaci贸n de la conformidad disponibles para sus productos, en su caso. La evaluaci贸n la realizar铆a el fabricante salvo cuando a legislaci贸n requiere la intervenci贸n de un organismo de evaluaci贸n de conformidad. Como parte de la evaluaci贸n de la conformidad, el fabricante o el representante autorizado debe redactar una declaraci贸n de conformidad (DoC). La declaraci贸n debe contener toda la informaci贸n para identificar:
        • Producto
        • Legislaci贸n aplicable a ese producto
        • Fabricante o el representante autorizado
        • Organismo notificado si procede
        • Una referencia a normas armonizadas u otros documentos normativos, cuando proceda
  • En relaci贸n con esta Propuesta, los Estados miembros notificar谩n a la Comisi贸n y a los dem谩s Estados miembros los organismos de evaluaci贸n de la conformidad autorizados a realizar evaluaciones de la conformidad con arreglo al presente Reglamento.
Azaleas

A prop贸sito de los organismos notificados聽 los organismos de evaluaci贸n de conformidad (art 29 ss de la Propuesta). Y repaso al sistema de acreditaci贸n

  • Con car谩cter general organismo notificado es una organizaci贸n designada por un pa铆s de la UE para evaluar la conformidad de determinados productos antes de su comercializaci贸n. Estos organismos llevan a cabo tareas relacionadas con los procedimientos de evaluaci贸n de la conformidad establecidos en la legislaci贸n aplicable a petici贸n de terceros como los fabricantes. La Comisi贸n Europea publica una lista de dichos organismos notificados. En Espa帽a, los Organismos Notificados deben contar con la aprobaci贸n previa de ENAC (Entidad Nacional de Acreditaci贸n). Conforme al Reglamento 聽(CE) n.o 765/2008 la ENAC es ,en Espa帽a, el organismo de acreditaci贸n: 聽el 煤nico organismo de un Estado miembro con potestad p煤blica para llevar a cabo acreditaciones. Estas acreditaciones son tambi茅n definidas en el mismo Reglamento: declaraci贸n por un organismo nacional de acreditaci贸n de que un organismo de evaluaci贸n de la conformidad cumple los requisitos fijados con arreglo a normas armonizadas y, cuando proceda, otros requisitos adicionales, incluidos los establecidos en los esquemas sectoriales pertinentes, para ejercer actividades espec铆ficas de evaluaci贸n de la conformidad

Rasgos de estos ONEC:

    • Imparcialidad: su personal tiene competencia t茅cnica libre de incentivos econ贸micos que tienten su criterio
    • Confidencialidad:聽garantizan el secreto profesional y tienen seguro de responsabilidad civil
    • Independencia: tienen personalidad jur铆dica propia e independiente de la organizaci贸n evaluada. En este sentido, ni los directivos ni el personal podr谩n dise帽ar, instalar, proveer, fabricar, mantener鈥ada que pueda entrar en conflicto con su independencia, en especial los servicios de consultor铆a. Los organismos notificados de certificaci贸n, son conforme al R (CE) 765/2008 organizaciones que desempe帽an actividades de evaluaci贸n de la conformidad, que incluyen calibraci贸n, ensayo, certificaci贸n e inspecci贸n. Algunas de las caracter铆sticas de los organismos notificados de evaluaci贸n son:
  • En la Propuesta se establecen requisitos espec铆ficos para los organismos notificados, como su sometimiento a las reglas de notificaci贸n (art 29, apartados 2 a 12).
  • .Los organismos de evaluaci贸n de la conformidad se establecer谩n con arreglo al Derecho nacional y tendr谩n personalidad jur铆dica. Y, ser谩n terceros organismos independientes de la organizaci贸n o el producto que eval煤en. Pueden pertenecer a una asociaci贸n comercial o una federaci贸n profesional que represente a las empresas que participan en el dise帽o, el desarrollo, la producci贸n, el suministro, el montaje, el uso o el mantenimiento de los productos con elementos digitales que eval煤en, a condici贸n de que se demuestre su independencia y la ausencia de conflictos de inter茅s.
    • El organismo de evaluaci贸n de la conformidad, sus directivos de alto rango y el personal responsable de la realizaci贸n de las tareas de evaluaci贸n de la conformidad no ser谩n el dise帽ador, el desarrollador, el fabricante, el proveedor, el instalador, el comprador, el due帽o, el usuario o el encargado del mantenimiento de los productos con elementos digitales que deben evaluarse, ni el representante autorizado de ninguno de ellos. Ello no ser谩 贸bice para que usen los productos evaluados que sean necesarios para el funcionamiento del organismo de evaluaci贸n de la conformidad, ni para que usen dichos productos con fines personales. Tampoco聽 intervendr谩n directamente en el dise帽o, el desarrollo, la producci贸n, la comercializaci贸n, la instalaci贸n, el uso ni el mantenimiento de estos productos, ni representar谩n a las partes que participen en estas actividades. No realizar谩n ninguna actividad que pueda entrar en conflicto con su independencia de criterio o su integridad en relaci贸n con las actividades de evaluaci贸n de la conformidad para las que hayan sido notificados. Ello se aplicar谩, en particular, a los servicios de consultor铆a.
    • Los organismos de evaluaci贸n de la conformidad se asegurar谩n de que las actividades de sus filiales o subcontratistas no afecten a la confidencialidad, objetividad o imparcialidad de sus actividades de evaluaci贸n de la conformidad.
    • Los organismos de evaluaci贸n de la conformidad y su personal llevar谩n a cabo las actividades de evaluaci贸n de la conformidad con el m谩ximo nivel de integridad profesional y con la competencia t茅cnica exigida para el campo espec铆fico, y estar谩n libres de cualquier presi贸n o incentivo, especialmente de 铆ndole financiera, que pudieran influir en su apreciaci贸n o en el resultado de sus actividades de evaluaci贸n de la conformidad, en particular por parte de personas o grupos de personas que tengan alg煤n inter茅s en los resultados de estas actividades.
    • El organismo de evaluaci贸n de la conformidad ser谩 capaz de realizar todas las tareas de evaluaci贸n de la conformidad especificadas en el anexo VI y para las que haya sido notificado, independientemente de si realiza las tareas el propio organismo o si se realizan en su nombre y bajo su responsabilidad.

En todo momento, para cada procedimiento de evaluaci贸n de la conformidad y para cada tipo o categor铆a de productos con elementos digitales para los que ha sido notificado, el organismo de evaluaci贸n de la conformidad dispondr谩:

            1. de personal con conocimientos t茅cnicos y experiencia suficiente y adecuada para realizar las tareas de evaluaci贸n de la conformidad;
            2. de las descripciones de los procedimientos con arreglo a los cuales se efect煤a la evaluaci贸n de la conformidad, garantizando la transparencia y la posibilidad de reproducci贸n de estos procedimientos; dispondr谩 tambi茅n de las pol铆ticas y procedimientos adecuados que permitan distinguir entre las tareas efectuadas como organismo notificado y cualquier otra actividad;
            3. de procedimientos para desempe帽ar sus actividades teniendo debidamente en cuenta el tama帽o de las empresas, el sector en que operan, su estructura, el grado de complejidad de la tecnolog铆a del producto y el car谩cter masivo o en serie del proceso de producci贸n.
            4. dispondr谩 de los medios necesarios para realizar adecuadamente las tareas t茅cnicas y administrativas relacionadas con las actividades de evaluaci贸n de la conformidad y tendr谩 acceso a todo el equipo o las instalaciones que necesite. El personal encargado de llevar a cabo las tareas de evaluaci贸n de la conformidad dispondr谩 de:
                  1. una buena formaci贸n t茅cnica y profesional para realizar todas las actividades de evaluaci贸n de la conformidad para las que el organismo de evaluaci贸n de la conformidad haya sido notificado;
                  2. un conocimiento satisfactorio de los requisitos de las evaluaciones que efect煤e y la autoridad necesaria para efectuarlas
                  3. un conocimiento y una comprensi贸n adecuados de los requisitos esenciales, de las normas armonizadas aplicables y de las disposiciones pertinentes de las normas de armonizaci贸n de la Uni贸n aplicables, as铆 como de las normas de aplicaci贸n correspondientes;
                  4. capacidad necesaria para elaborar certificados, documentos e informes que demuestren que se han efectuado las evaluaciones.

Se garantizar谩 la imparcialidad de los organismos de evaluaci贸n de la conformidad, de sus directivos de alto rango y del personal de evaluaci贸n.

      • La remuneraci贸n de los directivos de alto rango y del personal de evaluaci贸n de los organismos de evaluaci贸n de la conformidad no depender谩 del n煤mero de evaluaciones realizadas ni de los resultados de dichas evaluaciones.

Garant铆as frente a responsabilidad

  • El organismo de evaluaci贸n de la conformidad suscribir谩 un seguro de responsabilidad, salvo que el Estado asuma la responsabilidad con arreglo al Derecho interno, o que el propio Estado miembro sea directamente responsable de la evaluaci贸n de la conformidad.

Secreto

    • El personal del organismo de evaluaci贸n de la conformidad deber谩 observar el secreto profesional acerca de toda la informaci贸n recabada en el ejercicio de sus tareas, con arreglo al anexo聽VI o a cualquier disposici贸n de Derecho interno por la que se aplique, salvo con respecto a las autoridades de vigilancia del mercado del Estado miembro en que realice sus actividades. Se proteger谩n los derechos de propiedad. El organismo de evaluaci贸n de la conformidad contar谩 con procedimientos documentados que garanticen el cumplimiento del presente apartado.

 

 

Zarzas y lila

Otras cuestiones

    • Los organismos de evaluaci贸n de la conformidad participar谩n en las actividades pertinentes de normalizaci贸n y las actividades del grupo de coordinaci贸n de los organismos notificados establecido con arreglo al art铆culo聽40, o se asegurar谩n de que su personal de evaluaci贸n est茅 informado al respecto, y aplicar谩n a modo de directrices generales las decisiones y los documentos administrativos que resulten de las labores del grupo.
    • Los organismos de evaluaci贸n de la conformidad funcionar谩n con arreglo a un conjunto de condiciones coherentes, justas y razonables que tengan particularmente en cuenta los intereses de las pymes en relaci贸n con las tasas.

Presunci贸n de conformidad/ subcontrataciones y filiales de los organismos notificados

  • Art铆culo 30.-聽Presunci贸n de conformidad de los organismos notificados.聽Si un organismo de evaluaci贸n de la conformidad demuestra su conformidad con los criterios establecidos en las normas armonizadas pertinentes, o partes de ellas, cuyas referencias se hayan publicado en el聽Diario Oficial de la Uni贸n Europea, se presumir谩 que cumple los requisitos establecidos en el art铆culo聽29 en la medida en que las normas armonizadas aplicables cubran estos requisitos.

 

  • Art铆culo 31. Subcontrataciones y filiales de los organismos notificados: 1.Cuando un organismo notificado subcontrate tareas espec铆ficas relacionadas con la evaluaci贸n de la conformidad o recurra a una filial, se asegurar谩 de que el subcontratista o la filial cumplen los requisitos establecidos en el art铆culo 29 e informar谩 a la autoridad notificante en consecuencia. 2.El organismo notificado asumir谩 la plena responsabilidad de las tareas realizadas por los subcontratistas o las filiales, con independencia de d贸nde est茅n establecidos. 3.Las actividades solo podr谩n subcontratarse o delegarse en una filial previo consentimiento del fabricante. 4.Los organismos notificados mantendr谩n a disposici贸n de la autoridad notificante los documentos pertinentes sobre la evaluaci贸n de las cualificaciones del subcontratista o de la filial, as铆 como sobre el trabajo que estos realicen con arreglo al presente Reglamento.

Certificaciones de Ciberseguridad en la UE

El Reglamento (UE) 2019/881聽del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Uni贸n Europea para la Ciberseguridad) y a la certificaci贸n de la ciberseguridad de las tecnolog铆as de la informaci贸n y la comunicaci贸n y por el que se deroga el Reglamento (UE) n.o 526/2013 establece un nuevo marco para la certificaci贸n聽 de sistemas de ciberseguridad en la UE. Este Reglamento se conoce tambi茅n como Reglamento de Ciberseguridad

 

Destacan estas definiciones:

  • 芦esquema europeo de certificaci贸n de la ciberseguridad禄: conjunto completo, de disposiciones, requisitos t茅cnicos, normas y procedimientos establecidos a escala de la Uni贸n y que se aplican a la certificaci贸n o evaluaci贸n de la conformidad de los productos, servicios y procesos de TIC espec铆ficos.
    • Su objeto es garantizar que los productos, servicios y procesos de TIC certificados con arreglo a un esquema cumplan los requisitos especificados con objeto de proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados o las funciones conexas de estos productos, servicios y procesos a lo largo de su ciclo de vida, o los servicios ofrecidos por ellos o accesibles a trav茅s de ellos.
    • Conforme al art铆culo 48 del Reglamento de Ciberseguridad, (Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo),聽 podr谩 solicitarse a ENISA que prepare una propuesta de esquema o que revise un esquema europeo de certificaci贸n de la ciberseguridad existente, dentro del programa de trabajo evolutivo de la Uni贸n o excepcionalmente fuera de ese programa con lo que el mismo ser谩 actualizado en consecuencia.
  • 芦certificado europeo de ciberseguridad禄: documento expedido por el organismo pertinente que certifica que determinado, producto, servicio o proceso de TIC ha sido evaluado para verificar que cumple los requisitos espec铆ficos de seguridad establecidos en un esquema europeo de certificaci贸n de la ciberseguridad
  • 芦esquema nacional de certificaci贸n de la ciberseguridad禄: conjunto completo de disposiciones, requisitos t茅cnicos, normas y procedimientos desarrollados y adoptados por una autoridad p煤blica nacional, y que se aplican a la certificaci贸n o a la evaluaci贸n de la conformidad de los productos, servicios y procesos de TIC incluidos en el 谩mbito de aplicaci贸n de dicho esquema espec铆fico;

 

Se relacionan con otras disposiciones

  • 芦acreditaci贸n禄: declaraci贸n por un organismo nacional de acreditaci贸n de que un organismo de evaluaci贸n de la conformidad cumple los requisitos fijados con arreglo a normas armonizadas y, cuando proceda, otros requisitos adicionales, incluidos los establecidos en los esquemas sectoriales pertinentes, para ejercer actividades espec铆ficas de evaluaci贸n de la conformidad . -ello, conforme al聽art铆culo 2, punto 10, del Reglamento (CE) n.o 765/2008:
  • 芦organismo nacional de acreditaci贸n: el 煤nico organismo de un Estado miembro con potestad p煤blica para llevar a cabo acreditaciones; conforme al art铆culo 2, punto 11, del Reglamento (CE) n.o 765/2008. Conforme a la STJUE en Garaciolo (C-142/20) este organismo debe estar situado necesariamente en el territorio del Estado en cuesti贸n
  • 芦evaluaci贸n de la conformidad禄: proceso por el que se demuestra si se cumplen los requisitos espec铆ficos relativos a un producto, un proceso, un servicio, un sistema, una persona o un organismo, seg煤n se define en el art铆culo 2, punto 12, del Reglamento (CE) n.o765/2008;
  • 芦organismo de evaluaci贸n de la conformidad禄: organismo que desempe帽a actividades de evaluaci贸n de la conformidad, que incluyen calibraci贸n, ensayo, certificaci贸n e inspecci贸n, tal como se se帽ala en el en el art铆culo 2, punto 13, del Reglamento (CE) n.o聽765/2008;
  • 芦norma禄: una norma seg煤n se define en el art铆culo 2, punto 1, del Reglamento (UE) n.o聽1025/2012;
  • 芦especificaci贸n t茅cnica禄: un documento que prescribe los requisitos t茅cnicos que debe cumplir un producto, servicio o proceso de TIC, o procedimientos de evaluaci贸n de la conformidad relativos a los mismos. Las especificaciones t茅cnicas que deben utilizarse en un esquema europeo de certificaci贸n de la ciberseguridad deben respetar los requisitos establecidos en el anexo II del Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo. No obstante, podr铆an considerarse necesarias algunas variaciones con respecto a estos requisitos en casos debidamente justificados en los que dichas especificaciones t茅cnicas vayan a utilizarse en un esquema europeo de certificaci贸n de la ciberseguridad de nivel de garant铆a 芦elevado禄. Los motivos que justifican tales variaciones deben hacerse p煤blico

Recu茅rdese que conforme al Reglamento (UE) no 1025/2012, art铆culo 10 (6): Cuando una norma armonizada cumpla los requisitos que est谩 previsto que regule, establecidos en la correspondiente legislaci贸n de armonizaci贸n de la Uni贸n, la Comisi贸n publicar谩 sin demora una referencia a dicha norma armonizada en el Diario Oficial de la Uni贸n Europea o por otros medios, con arreglo a las condiciones establecidas en el correspondiente acto de la legislaci贸n de armonizaci贸n de la Uni贸n.聽

 

 

STJUE: El fabricante de veh铆culos no puede supeditar el acceso de los talleres independientes al DAB a condiciones (extra legales).

El art铆culo 61, apartado 1, del Reglamento 2018/858 impone a los fabricantes de autom贸viles la obligaci贸n de conceder a los agentes independientes el acceso a la informaci贸n contemplada en esa disposici贸n. Tal informaci贸n debe presentarse en un formato que pueda ser objeto de un tratamiento electr贸nico.聽 El acceso se contempla aqu铆 como un requisito imprescindible para el mercado interior europeo de los talleres de reparaci贸n de veh铆culos a motor, hasta el punto de que ni siquiera las alegaciones relativas a la ciberseguridad del autom贸vil constituyen una base jur铆dica suficiente para la excepcionalidad

Arija-Burgos- Ebro

En el asunto subyacente a la sentencia 聽del TJUE en el asunto C-296/22 que resuelve un procedimiento prejudicial. el fabricante de autom贸viles restring铆a el acceso al sistema de Diagnostico a Bordo (DAB) de ciertos agentes independientes.聽 FCA Italy SpA, fabricante impon铆a requisitos de acceso a la informaci贸n contemplada en el art铆culo 61, apartado 1, del Reglamento 2018/858, distintos de los previstos en ese Reglamento, y m谩s gravosos para los talleres de reparaci贸n de veh铆culos, independientes de la red de concesionarios de FCA. Entre esos requisitos, obligaba a utilizar una conexi贸n de la herramienta de diagn贸stico (DAB) a trav茅s de un servidor de Internet designado por el fabricante,聽 previo registro de los agentes independientes ante ese fabricante: tales requisitos han sido declarados incompatibles con el Derecho de la UE

  • El TJUE ha clarificado que la obligaci贸n de permitir el acceso tiene un alcance m谩s amplio que el de conceder la mera lectura (v茅ase tambi茅n en este sentido de amplitud STJUE Gesamtverband Autoteile-Handel, C鈥527/18, en sus apartados 26 y 34). La facilidad de acceso est谩 relacionada con la libre competencia en el mercado de los talleres de reparaci贸n de autom贸viles en la Uni贸n Europea.
  • Subraya que los fabricantes de autom贸viles deben facilitar a los agentes independientes un acceso sin restricciones, normalizado y no discriminatorio a la informaci贸n relativa al sistema DAB, en el sentido del art铆culo 3, punto 49, de Reglamento 2018/858, al equipo de diagn贸stico y de otra clase, a las herramientas y a la informaci贸n sobre la reparaci贸n y el mantenimiento de los veh铆culos, en el sentido de dicho art铆culo 3, punto 48.
  • A帽ade que la informaci贸n debe presentarse de una manera f谩cilmente accesible en forma de conjuntos de datos de lectura mecanizada y susceptibles de tratamiento electr贸nico

Por otro lado, el TJUE recuerda (apartado 26) que al interpretar el Derecho de la UE, junto con su tenor literal debe tenerse en cuenta el contexto en el que se inscribe y los objetivos perseguidos por la normativa de la que forma parte. En este sentido, remite a lo ya establecido en la sentencia de 9 de junio de 2022, Imperial Tobacco Bulgaria, C鈥55/21, apartado 44 y jurisprudencia citada en esta resoluci贸n ). Y a帽ade que la elaboraci贸n y 聽g茅nesis de las disposiciones y preceptos de derecho positivo pueden ofrecer elementos pertinentes para la interpretaci贸n (como tambi茅n se deduce del apartado 47 de la STJUE de 10 de diciembre de 2018, Wightman y otros, C鈥621/18,), por lo que en este asunto concreto, ser铆a evidente que las medidas de seguridad (y ciberseguridad)聽 del fabricante 芦no deben comprometer las obligaciones de tales fabricantes de veh铆culos de proporcionar acceso a informaci贸n exhaustiva de diagn贸stico y datos del veh铆culo para fines de reparaci贸n y mantenimiento de veh铆culos Y adem谩s, que el alegado Reglamento 155 de UN, conforme a su punto 1.3, debe entenderse sin perjuicio de la legislaci贸n regional o nacional que rige el acceso de partes autorizadas al veh铆culo, sus datos, funciones y recursos, as铆 como las condiciones de dicho acceso

Falla聽el TJUE que el art铆culo 61, apartados 1 y 4, del Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, sobre la homologaci贸n y la vigilancia del mercado de los veh铆culos de motor y sus remolques y de los sistemas, los componentes y las unidades t茅cnicas independientes destinados a dichos veh铆culos, debe interpretarse en el sentido de聽que se opone a que un fabricante de autom贸viles supedite el acceso de los agentes independientes a informaci贸n sobre la reparaci贸n y el mantenimiento de los veh铆culos, as铆 como a la informaci贸n del sistema de diagn贸stico a bordo, incluido el acceso a esa informaci贸n para escritura, a requisitos distintos de los establecidos en el referido Reglamento.

Dominio. eu, primer nivel- Informe peri贸dico y anotaciones sobre su funcionamiento

Acaba de publicarte un informe peri贸dico de la Comisi贸n sobre el 聽ejercicio del poder para adoptar actos delegados en virtud del Reglamento (UE) 2019/517 del Parlamento Europeo y del Consejo sobre la aplicaci贸n y el funcionamiento del nombre de dominio de primer nivel 芦.eu禄. Recu茅rdese que el dominio .eu es聽 representa聽un nombre de dominio de nivel superior con c贸digo de pa铆s (ccTLD) para la Uni贸n Europea (UE).

El 19 de marzo de 2019, el Parlamento Europeo y el Consejo adoptaron el Reglamento (UE) 2019/517 sobre la aplicaci贸n y el funcionamiento del nombre de dominio de primer nivel 芦.eu禄 . Este Reglamento 芦basado en Principios禄聽 se concibi贸 para mejorar el potencial del dominio, dotarle de flexibilidad y adaptabilidad al mercado de nombres de dominio y facult贸 a la Comisi贸n Europea para que durante 5 a帽os adoptase actos delegados y de ejecuci贸n para establecer criterios y procedimientos en la selecci贸n del Registro de nombres de dominio de primer nivel 芦.eu禄 y para su funcionamiento conforme a criterios de apertura, transparencia y no discriminaci贸n. (Ver aqu铆 resumen sobre este Reglamento)

La Comisi贸n adopt贸 as铆 el Reglamento Delegado (UE) 2020/1083 de la Comisi贸n, de 14 de mayo de 2020, por el que se completa el Reglamento (UE) 2019/517 del Parlamento Europeo y del Consejo mediante el establecimiento de los criterios de admisibilidad y de selecci贸n, as铆 como del procedimiento de designaci贸n del Registro del nombre de dominio de primer nivel 芦.eu禄. En este Reglamento Delegado se contemplan los criterios de admisibilidad y selecci贸n, as铆 como el procedimiento de designaci贸n del Registro para la organizaci贸n, administraci贸n y gesti贸n del dominio de primer nivel 芦.eu禄. Para elaborar este acto delegado, la Comisi贸n consult贸 a expertos de los Estados miembros en el 谩mbito de la gobernanza de internet en el marco del Grupo de Alto Nivel sobre la Gobernanza de Internet (HLIG) que act煤a como plataforma a trav茅s de la cual la Comisi贸n y los Estados miembros intercambian informaci贸n y armonizan sus posiciones. La Comisi贸n tambi茅n se invit贸 a representantes del Parlamento Europeo y del Consejo a participar en las reuniones del HLIG en las que se debati贸 la propuesta de Reglamento Delegado

  • El Reglamento Delegado (UE) 2020/1083 de la Comisi贸n establece criterios de admisibilidad para que el Registro sea una organizaci贸n sin 谩nimo de lucro, constituida de conformidad con la legislaci贸n de un Estado miembro, con domicilio social, administraci贸n central y centro de actividad principal en la UE; y para que la infraestructura que le permita desempe帽ar las funciones esenciales del Registro tambi茅n est茅 situada en la Uni贸n.
  • El Reglamento Delegado (UE) 2020/1083 de la Comisi贸n establece聽 los criterios de selecci贸n y su peso respectivo en la puntuaci贸n total de evaluaci贸n de los candidatos.
    • El criterio de 芦calidad del servicio禄聽 exige que los candidatos persigan la excelencia operativa y garanticen un servicio de alta calidad a precios competitivos.
    • El criterio 芦recursos humanos y t茅cnicos禄聽 exige que los candidatos garanticen que sus recursos son suficientes para desempe帽ar las funciones necesarias para organizar, administrar y gestionar del dominio de primer nivel 芦.eu禄 y que los servicios prestados garantizan una alta calidad, transparencia, seguridad, estabilidad, previsibilidad, fiabilidad, accesibilidad, eficiencia, no discriminaci贸n, condiciones de competencia justas y protecci贸n de los consumidores.
    • El criterio 芦capacidad financiera y cumplimiento禄聽 exige que los solicitantes demuestren la seguridad y estabilidad financieras adecuadas para cumplir las tareas del Registro.
    • Los criterios establecidos en el Reglamento Delegado (UE) 2020/1083 basan el desarrollo del procedimiento de selecci贸n del nuevo Registro. Y as铆 la Comisi贸n adopt贸 la Decisi贸n de Ejecuci贸n (UE) 2021/1878, de 25 de octubre de 2021, sobre la designaci贸n del Registro del dominio de primer nivel 芦.eu禄, y firm贸 posteriormente el contrato de concesi贸n de servicios para la administraci贸n y la gesti贸n de dicho dominio con el Registro Europeo de Nombres de Dominio de Internet (EURid) por un per铆odo de cinco a帽os.
M谩s

Nuevo Reglamento General de Seguridad de los Productos en la UE

El 23 de mayo de 2023, la UE public贸 el nuevo Reglamento general de seguridad de los productos (RGSP).聽Este Reglamento entr贸 en vigor el 12 de junio de 2023 y establece un periodo transitorio de 18 meses de adaptaci贸n para los Estados miembros de la UE y entidades que deban cumplirlo. Su plena aplicaci贸n comenzar谩 el 13 de diciembre de 2024.

No establece obligaciones contractuales de derecho privado relativas a la seguridad. 脡stas deber谩n buscarse en la futura Directiva聽 de productos defectuosos. (Propuesta de Directiva sobre responsabilidad por los da帽os causados por productos defectuosos, publicada el 28.09.2022). Sin embargo, al imponer el RGSP que聽 s贸lo se pueden comercializar en la UE los productos que puedan calificarse como seguros viene a imponer impl铆citamente un est谩ndar de seguridad. Adem谩s, este Reglamento plantea nuevos requisitos relacionados con la notificaci贸n de efectos adversos, las evaluaciones de riesgos previos a la comercializaci贸n, las retiradas de circulaci贸n de productos como consecuencia de fallos en la seguridad; as铆 como otros relacionados con el etiquetado y con la documentaci贸n de los productos. El RDSP聽 incluye expresamente disposiciones que permiten entablar acciones colectivas

Camelia
SEGURIDAD DE PRODUCTOS COMERCIALIZADOS EN LA UE

 

  • El art 5 define el principio universal de que s贸lo se pueden introducir o comercializar聽 en la UE productos que sean seguros. A continuaci贸n, y a lo聽 largo del texto articulado, este principio va tomando forma y adoptando manifestaciones concretas. Destacadamente establece presunciones de seguridad, en el sentido de que la conformidad con las normas de certificaci贸n聽 publicadas en el DOUE en relaci贸n con determinados riesgos (conforme al art 10, apartado 7, Reglamento 1025/2012); y la conformidad con normas nacionales de similar alcance tienen como efecto activar tal presunci贸n.
  • Los fabricantes deber谩n informar 芦sin demora禄 de los 芦accidentes causados por un producto禄 si 茅ste est谩 relacionado聽 o implicado en un incidente con resultado de muerte o 芦efectos adversos graves para la salud y la seguridad禄.
    • Los productos s贸lo pueden ser introducidos en el mercado de la UE cuando exista un operador econ贸mico establecido en la Uni贸n que sea responsable de las tareas establecidas en el art铆culo 4, apartado 3, del Reglamento (UE) 2019/1020 respecto de dicho producto.

 

 

  • La Comisi贸n podr谩 introducir requisitos de trazabilidad para determinados productos o categor铆as o grupos de productos que pueden presentar un riesgo grave para la salud y la seguridad de los consumidores, habida cuenta de los accidentes registrados en el portal Safety Business Gateway, las estad铆sticas de Safety Gate, los resultados de las actividades conjuntas en materia de seguridad de los productos y otros indicadores o pruebas pertinentes, y despu茅s de consultar a la Red de Seguridad de los Consumidores y a los grupos de expertos y partes interesadas pertinentes (Art 18.1)
  • Si la Comisi贸n tuviera conocimiento de un producto o de una categor铆a o grupo espec铆fico de productos que presente un riesgo grave para la salud y la seguridad de los consumidores, podr谩 adoptar, por iniciativa propia o a petici贸n de los Estados miembros y mediante actos de ejecuci贸n, medidas adecuadas adaptadas a la gravedad y a la urgencia de la situaci贸n en los t茅rminos del art 28.
RECUPERACI脫N DESPU脡S DE UN SINIESTRO

El Reglamento crea la categor铆a del operador de recuperaci贸n o聽 芦responsable禄 de la recuperaci贸n. Este responsable es quien elabora y comunica a los consumidores el restablecimiento o聽 aviso de recuperaci贸n. En el aviso de recuperaci贸n se ofrecen soluciones entre las que el consumidor puede elegir (art 37 ). El operador de recuperaci贸n puede ser distinto del que haya emitido una 芦advertencia de seguridad禄.

    • Opciones para el consumidor:
      • El operador econ贸mico debe ofrecer al consumidor la elecci贸n entre al menos dos de estas soluciones: a) la reparaci贸n del producto sujeto a recuperaci贸n; b) la sustituci贸n del producto sujeto a recuperaci贸n por un producto seguro del mismo tipo y de, al menos, igual valor y calidad, o c) el reembolso adecuado del valor del producto sujeto a recuperaci贸n, siempre que el importe del reembolso sea al menos igual al precio abonado por el consumidor. S贸lo excepcionalmente, el operador econ贸mico podr谩 ofrecer al consumidor una 煤nica soluci贸n cuando otras soluciones no sean posibles o cuando acarreen costes desproporcionados para el operador responsable, en comparaci贸n con la soluci贸n ofrecida,聽 y considerando todas las circunstancias concurrentes
    • Las opciones que se deben ofrecer no obstan para la aplicaci贸n de la Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales; y de la Directiva ; y de la Directiva (UE) 2019/771 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de compraventa de bienes, por la que se modifican el Reglamento (CE) n.掳 2017/2394 y la Directiva 2009/22/CE y se deroga la Directiva 1999/44/CE
    • Alertas y web con incidentes. Conforme a los arts 25 y ss la Comisi贸n mantendr谩 en funcionamiento un sistema de alertas r谩pidas con la denominaci贸n de Safety Gate.
      • Tambi茅n, y conforme al art 34, un Portal Safety Gate que permitir谩 al p煤blico en general consultar, gratuitamente y sin restricciones, la informaci贸n esencial sobre productos inseguros (informaci贸n seleccionada y notificada de conformidad con el art铆culo 26).
      • Adicionalmente, la Comisi贸n mantendr谩 un Portal Safety Business Gateway en el que los operadores econ贸micos y los prestadores de mercados en l铆nea puedan proporcionar de manera sencilla a las autoridades de vigilancia del mercado y a los consumidores determinada informaci贸n (art 27)
MERCADOS EN L脥NEA

Los prestadores de mercados en l铆nea tambi茅n deben cooperar en las recuperaciones de productos y la notificaci贸n de accidentes. El art铆culo 22 del Reglamento impone obligaciones espec铆ficas a los operadores de mercados en l铆nea:聽 una obligaci贸n amplia de notificar 芦accidentes causados por un producto… que provoquen un riesgo grave o un da帽o real para la salud o la seguridad de un consumidor禄. Por otro lado: los prestadores de mercados en l铆nea designar谩n un punto 煤nico de contacto que permita la comunicaci贸n directa, por medios electr贸nicos, con las autoridades de vigilancia del mercado de los Estados miembros en relaci贸n con cuestiones de seguridad de los productos

COMUNICACIONES RELATIVAS A PRODUCTOS DEFECTUOSOS EN SUPUESTOS ESPECIALES

los operadores econ贸micos y los prestadores de mercados en l铆nea deben garantizar que incluyen la posibilidad de ponerse directamente en contacto con los consumidores en caso de recuperaci贸n o advertencia de seguridad que les afecte, en los programas de fidelizaci贸n y los sistemas de registro de productos existentes, a trav茅s de los cuales se pide a los clientes que, tras haber adquirido un producto, comuniquen voluntariamente al fabricante determinada informaci贸n, como su nombre, informaci贸n de contacto, el modelo del producto o el n煤mero de serie.

SOBRE LA APLICACI脫N DE ESTE REGLAMENTO
  • Pese a la aplicaci贸n general de 茅ste Reglamento, 茅sta se entender谩 sin perjuicio de las disposiciones establecidas por el Derecho de la UE en materia de protecci贸n de los consumidores, y del principio de cautela.
  • Se aplica a los productos (nuevos, usados, reparados, reacondicionados)聽 que se introduzcan en el mercado o que se comercialicen en la UE, en la medida en que no existan disposiciones espec铆ficas con la misma finalidad en el Derecho de la UE. Es decir, es derecho general subsidiario que se aplica en toda la UE cuando no existan disposiciones espec铆ficas que regulen la seguridad de los productos. En el caso de que determinados productos est茅n sujetos a requisitos espec铆ficos de seguridad impuestos por el Derecho de la UE, el reglamento se aplicar谩 煤nicamente a los aspectos, riesgos o categor铆as de riesgo que no est茅n cubiertos por esos requisitos. Pero, por lo que respecta a los productos que ya est茅n sujetos a requisitos espec铆ficos impuestos por otra legislaci贸n de armonizaci贸n de la UE:
      • no se les aplica el cap铆tulo II (Requisitos de seguridad) en cuanto a los riesgos o categor铆as de riesgo cubiertos por legislaci贸n de armonizaci贸n de la UE;
      • no se les aplican el cap铆tulo III (Obligaciones de los operadores econ贸micos), secci贸n 1 (Obligaciones de los fabricantes), los cap铆tulos (Vigilancia del mercado y ejecuci贸n) y VII (Funci贸n de la Comisi贸n y coordinaci贸n de la garant铆a del cumplimiento), ni los cap铆tulos IX a XI (Cooperaci贸n internacional, Disposiciones financieras y Disposiciones finales).

聽 聽 聽Tampoco se aplica a:

Hugo’s pool
      • medicamentos de uso humano o veterinario;
      • alimentos;
      • piensos;
      • plantas y animales vivos, organismos modificados gen茅ticamente y microorganismos modificados gen茅ticamente en utilizaci贸n confinada, as铆 como productos procedentes de vegetales y animales directamente relacionados con su futura reproducci贸n;
      • subproductos animales y productos derivados;
      • productos fitosanitarios;
      • equipos en los que los consumidores montan o en los que viajan, cuando dichos equipos sean manejados directamente por un prestador de servicios en el contexto de un servicio de transporte prestado a los consumidores, y no por los propios consumidores;
      • aeronaves;
      • antig眉edades.

 

 

 

VER un comentario inicial (y parcial) del Profesor 脕ngel Carrasco Perera

Propuesta EU de Reglamento de Resiliencia Digital (productos con elementos digitales)

Los productos de hardware y software son a menudo objeto de ciberataques que causan da帽os. Si el coste anual directo a nivel mundial es muy elevado,聽 hay que unirle adem谩s los costes para los usuarios y la sociedad. Un bajo nivel de ciberseguridad implica que las vulnerabilidades est茅n generalizadas, que las actualizaciones de seguridad sean dispuestas en modo incoherente e insuficiente, que los usuarios tengan dificultades graves para comprender y para diferenciar los productos con propiedades de ciberseguridad adecuadas, as铆 como para utilizarlos de forma segura.

Sobre este trasfondo, la propuesta de la Comisi贸n Europea de un Reglamento sobre Ciberresiliencia (CRA) tiene por objeto proteger a los consumidores y las empresas que compran o utilizan productos o programas inform谩ticos con un componente digital. El Reglamento de Resiliencia de Productos con elementos digitales (CRA) o Propuesta de Reglamento relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020聽propuesto en septiembre de 2022 hab铆a sido anunciado en la Estrategia de Ciberseguridad de la UE 2020, y es un complemento de NIS2 . Se aplicar谩 a todos los productos conectados directa o indirectamente a otro dispositivo o red, salvo exclusiones espec铆ficas como el software de c贸digo abierto o los servicios que ya est谩n cubiertos por normas existentes, como es el caso de los dispositivos m茅dicos, la aviaci贸n, los autom贸viles y servicios SaaS (en la nube), a menos que estos sirvan para la elaboraci贸n de productos con elementos digitales.

Primaveras en primavera

 

ANTECEDENTES聽

Los聽 abundantes ciberataques y ciber-incidentes que se van conociendo ponen en evidencia el inadecuado nivel de ciberseguridad inherente a muchos productos, o las insuficientes actualizaciones de seguridad de tales productos y programas inform谩ticos. Tambi茅n denotan la dificultad de los consumidores y las empresas para determinar qu茅 productos son ciberseguros, o para configurarlos de forma que se garantice su ciberseguridad.

Aunque el ordenamiento de la UE ya se aplica a determinados productos con elementos digitales, la mayor铆a del hardware y software no est谩n cubiertos actualmente por legislaci贸n de la UE que aborde su ciberseguridad. En particular, el actual marco jur铆dico de la UE no aborda la ciberseguridad de los programas inform谩ticos no integrados, aun cuando muchos ataques se dirigen cada a sus vulnerabilidades y dan lugar a importantes costes sociales y econ贸micos.El Reglamento de Resiliencia de Productos con elementos digitales (CRA) propuesto en septiembre de 2022 hab铆a sido anunciado en la Estrategia de Ciberseguridad de la UE 2020, y es un complemento de NIS2 .

PROPUESTA DE REGLAMENTO DE RESILIENCIA (DE PRODUCTOS)

La propuesta introduce un marcado CE sobre ciberseguridad que ha de colocarse en todos los productos cubiertos y establece requisitos obligatorios de ciberseguridad para los fabricantes de productos:聽 Ampl铆a la protecci贸n a lo largo de todo el ciclo de vida del producto. Incorpora normas armonizadas para comercializar productos o programas inform谩ticos con un componente digital con requisitos de ciberseguridad para la planificaci贸n, el dise帽o, el desarrollo y el mantenimiento de tales productos. Impone obligaciones que deber谩n cumplirse en cada etapa de la cadena de valor y una obligaci贸n de diligencia durante todo el ciclo de vida de tales productos.聽La CRA persigue cuatro objetivos:

  1. garantizar que los fabricantes mejoren la seguridad de los productos que tienen elementos digitales en la fase de dise帽o y desarrollo y a lo largo de todo su ciclo de vida. As铆, el fabricante es apto para comercializar sus productos si pone a disposici贸n la lista de los diversos componentes de聽software de sus productos, emite r谩pidamente soluciones gratuitas en caso de nuevas vulnerabilidades, publica y detalla las vulnerabilidades que detecta y resuelve y verifica peri贸dicamente la 芦solidez禄 de los productos que comercializa. Estas y otras actividades聽 deben llevarse a cabo durante toda la vida de un producto, o al menos durante cinco a帽os a partir de su introducci贸n en el mercado.;
  2. garantizar un marco coherente de normas de ciberseguridad, facilitando su cumplimiento por parte de los fabricantes de hardware聽y聽software;
  3. mejorar la transparencia de las caracter铆sticas de seguridad de los productos con elementos digitales;
  4. permitir que las empresa y los consumidores utilicen estos productos de manera segura.

Se destacan aqu铆 algunas definiciones extra铆das de la Propuesta (art铆culo 3), y otros conceptos importantes:

  • Producto con elementos digitales. 芦cualquier producto consistente en programas inform谩ticos o equipos inform谩ticos y sus soluciones de tratamiento de datos a distancia, incluidos los componentes de programas inform谩ticos o equipos inform谩ticos que se introduzcan en el mercado por separado禄. N贸tese la que definici贸n de 芦productos con elementos digitales禄 es muy amplia e incluye cualquier producto de聽software聽o聽hardware, as铆 como cualquier聽software聽o聽hardware聽no incorporado al producto pero introducido en el mercado por separado.
  • Operador econ贸mico: el fabricante, el representante autorizado, el importador, el distribuidor o cualquier otra persona f铆sica o jur铆dica sujeta a las obligaciones establecidas en el presente Reglamento禄
  • Marcado CE. Un marcado con el que un fabricante indica que un producto con elementos digitales y los procesos establecidos por el fabricante son conformes con los requisitos esenciales establecidos en el anexo I (del Reglamento) y otras normas de la Uni贸n aplicables que armonicen las condiciones para la comercializaci贸n de productos y prevean su colocaci贸n
  • Norma armonizada, conforme a la definici贸n del art铆culo 2, punto 1, letra c), del Reglamento (UE) n.潞 1025/2012;
  • Organismo de evaluaci贸n de la conformidad, seg煤n se define en el art铆culo 2, punto 13, del Reglamento (UE) n.潞 765/2008;

  • La definici贸n de 芦productos con elementos digitales禄 es muy amplia e incluye cualquier producto de software聽o聽hardware, as铆 como cualquier聽software聽o聽hardware聽no incorporado al producto pero introducido en el mercado por separado.
  • Se considera que un producto es 芦seguro禄 si est谩 dise帽ado y fabricado de manera que tenga un nivel de seguridad adecuado a los riesgos cibern茅ticos que conlleva su uso, no presenta vulnerabilidades conocidas en el momento de su venta, tiene una configuraci贸n segura por defecto, est谩 protegido de conexiones il铆citas, protege los datos que recopila y si esta recopilaci贸n se limita a aquellos datos que sean necesarios para su funcionamiento

Conforme al CRA, la seguridad de los productos y software 芦normales禄 – sobre el 90% de los que circulan en el mercado- se puede confiar en una autoevaluaci贸n del fabricante, como ya ocurre con otros tipos de certificaci贸n del marcado CE. En relaci贸n con 茅stos productos, el fabricante podr谩 comercializarlos si realiza una autoevaluaci贸n, que tambi茅n ser谩 preceptiva cuando se modifica el producto.聽 El 10 % restante de los productos聽 se divide los de la clase I, menos peligrosos; y los de la clase II, m谩s peligrosos (芦productos cr铆ticos con elementos digitales禄). Para los productos de la clase 1 las autocertificaciones b谩sicas solo son admisibles si el fabricante ha seguido normas espec铆ficas de mercado y especificaciones de seguridad o certificaciones de ciberseguridad ya previstas por la UE. En caso contrario, necesita obtener la certificaci贸n del producto por parte de un organismo de certificaci贸n acreditado. La certificaci贸n externa es obligatoria para los productos de la clase II

Algunos productos afectados por el CRA est谩n tambi茅n sometidos al futuro Reglamento IA, que tambi茅n clasifica a los productos conforme a su riesgo. Para evitar solapamientos y dudas, la CRA establece que -por regla general- los productos con elementos digitales clasificados tambi茅n como 芦sistemas de IA de alto riesgo禄 con arreglo al Reglamento IA lo ser谩n tambi茅n para CRA, tendr谩n que cumplir el procedimiento de evaluaci贸n de conformidad establecido en el Reglamento IA,聽 y en el caso de los 芦productos digitales cr铆ticos禄 se les aplicar谩n tambi茅n las normas de evaluaci贸n de la conformidad de CRA.Las sanciones por incumplimiento de CRA 鈥攅n funci贸n de la gravedad de la infracci贸n鈥 pueden llegar a ascender a 15 millones EUR o al 2,5 % del volumen de negocios del ejercicio fiscal anterior.

Mi帽o- Perbes. A Coru帽a

M谩s:

 

 

 

Aproximaci贸n a la responsabilidad civil (objetiva y subjetiva) y a la seguridad de la Inteligencia Artificial en la UE

Para adaptar el ordenamiento de la UE a los retos de la Inteligencia Artificial, IA, se han propuesto , por un lado, modificaciones o adaptaciones en el r茅gimen聽 de la responsabilidad del productor por productos defectuosos (Propuesta de revisi贸n de la Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximaci贸n de las disposiciones legales, reglamentarias y administrativas de los Estados Miembros en materia de responsabilidad por los da帽os causados por productos defectuosos (鈥Propuesta RRPD鈥) . Por otro, la armonizaci贸n espec铆fica con una Propuesta de Directiva del Parlamento y del Consejo relativa a la adaptaci贸n de las normas sobre responsabilidad civil extracontractual a las normas sobre inteligencia artificial ( 芦Propuesta DIA禄) . Ambas iniciativas forman un paquete, y pese a que est谩n relacionadas, regulan diferentes tipos de responsabilidad.

  • La Propuesta RRPD cubre la responsabilidad objetiva del productor por productos defectuosos, lo que da lugar a una indemnizaci贸n por determinados tipos de da帽os.
  • La Propuesta DIA se ocupa de responsabilidad por culpa y su indemnizaci贸n.
  • Adicionalmente, la Propuesta de Reglamento sobre IA incorpora exigencias de calidad y seguridad en los sistemas

A continuaci贸n se ofrece una聽 primera aproximaci贸n introductoria a las normas que se est谩n gestando

ACTUALIZACI脫N DE LA DIRECTIVA DE RESPONSABILIDAD POR PRODUCTOS DEFECTUOSOS

 

Parterre

En la Propuesta RRDP se adaptan las normas de responsabilidad a los productos en la era digital.聽Se establece que toda la gama de productos defectuosos est谩 cubierta por las normas revisadas, incluyendo聽el聽software, sistemas de IA o servicios digitales. Es decir, en caso de que un sistema de IA integrado en un producto (por ejemplo, robots, drones, o sistemas dom茅sticos inteligentes) presente alg煤n defecto, los perjudicados tambi茅n podr谩n presentar una reclamaci贸n. Las nuevas normas permiten a los particulares reclamar una indemnizaci贸n por los da帽os causados por un producto defectuoso, incluidas las lesiones corporales, los da帽os materiales o la p茅rdida de datos.

  • Se aplicar谩 a la econom铆a circular, a las empresas que modifiquen sustancialmente los productos, cuando estos causen da帽os a una persona, a menos que demuestren que el defecto se refiere a una parte no modificada del producto.
  • Exige a los fabricantes comunicar las pruebas que pueda necesitar el demandante para llevar a cabo a los tribunales y reduce la carga de prueba en casos complejos (i.e. casos relacionados con productos farmac茅uticos o de IA). Tambi茅n suprime el umbral inferior y el l铆mite m谩ximo, de forma que el perjudicado pueda quedar totalmente indemnizado por los da帽os sufridos.
  • Los perjudicados podr谩n pedir la indemnizaci贸n al representante del fabricante de un tercer pa铆s.聽 Concretamente, y en virtud del Reglamento sobre vigilancia del mercado y de la pr贸xima revisi贸n del Reglamento relativo a la seguridad general de los productos, los fabricantes no europeos designar谩n un responsable en la UE,聽 al que se podr谩 exigir la indemnizaci贸n. (La Propuesta se comenta aqu铆)
RESPONSABILIDAD POR CULPA EN LAS OPERACIONES CON IA

 

Sanabria

La Propuesta DIA establece normas que deben incorporarse a los sistemas nacionales de responsabilidad por culpa de los Estados miembros con el fin de distribuir la carga de la prueba entre la persona potencialmente perjudicada que reclama cualquier tipo de da帽o cubierto por la legislaci贸n nacional ( por ejemplo, la vida, la salud, la propiedad y la intimidad) y los fabricantes de IA:

  • La Comisi贸n Europea obliga a los demandados a revelar los elementos de prueba en determinadas circunstancias. En particular, la Comisi贸n reconoce a los demandantes el derecho a solicitar la divulgaci贸n de pruebas tanto antes de los litigios como en el curso de los mismos. Y establece que el incumplimiento de una orden de aportar informaci贸n permitir谩, en los t茅rminos de la Propuesta DIA, presumir que no se actu贸 con suficiente diligencia, y da lugar a una inversi贸n de la carga de la prueba.聽
  • Se introduce una presunci贸n iuris tantum de causalidad para los supuestos en los que el perjudicado demuestre el incumplimiento de una obligaci贸n, cuando sea razonablemente probable que exista un nexo causal con el rendimiento de la IA
  • La Propuesta DIA tambi茅n prev茅 normas aplicables a la conservaci贸n y divulgaci贸n de pruebas en casos relacionados con sistemas de IA de alto riesgo (seg煤n se definen en la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas sobre inteligencia artificial, Propuesta de Reglamento IA -RIA_).

 

FUTURO REGLAMENTO DE SEGURIDAD EN LA IA

 

London’s Eye

En cuanto al 聽RIA , que no se centra en聽 RC, tiene聽 por objeto prevenir da帽os y perjuicios en el sentido de que establece requisitos de seguridad de los sistemas de IA .

  • En el cap铆tulo 1 del t铆tulo III聽 RIA se establecen las normas de clasificaci贸n y se definen las dos categor铆as principales de sistemas de IA de alto riesgo: Por un lado los sistemas de IA dise帽ados para utilizarse como componentes de seguridad de productos sujetos a una evaluaci贸n de la conformidad ex ante realizada por terceros; y por otro, los otros sistemas de IA independientes con implicaciones relacionadas principalmente con los derechos fundamentales (relacionados en el anexo III, a modo de lista abierta de ciertos sistemas de IA cuyos riesgos ya se han materializado o es probable que lo hagan pr贸ximamente. Este listado podr谩 ser ampliado y adaptado en los t茅rminos que establece el RIA.
  • En el t铆tulo II se establecen IA prohibidas. Se聽 distingue entre los usos de la IA que generan聽 riesgos inaceptables;聽 riesgos altos, y riesgos bajos o m铆nimos. La lista de pr谩cticas prohibidas聽 abarca todos los sistemas de IA cuyo uso se considera inaceptable por ser contrario a los valores de la Uni贸n. Engloban aquellas pr谩cticas que tienen un gran potencial para manipular a las personas mediante t茅cnicas subliminales que trasciendan su consciencia o que aprovechan las vulnerabilidades de grupos vulnerables concretos para alterar de manera sustancial su comportamiento de un modo que es probable que les provoque perjuicios f铆sicos o psicol贸gicos a ellos o a otras personas.聽 La propuesta proh铆be tambi茅n que las autoridades p煤blicas realicen calificaciones sociales basadas en IA con fines generales. Y se proh铆be -con alguna excepci贸n- el uso de sistemas de identificaci贸n biom茅trica remota 芦en tiempo real禄 en espacios de acceso p煤blico .
  • El聽t铆tulo聽III聽contiene normas espec铆ficas para aquellos sistemas de IA que acarrean un alto riesgo para la salud y la seguridad o los derechos fundamentales de las personas f铆sicas.
  • El聽t铆tulo聽IV聽se centra en determinados sistemas de IA para tener en cuenta los riesgos espec铆ficos de manipulaci贸n que conllevan.
  • En el t铆tulo VIII se definen las obligaciones de seguimiento y presentaci贸n de informaci贸n de los proveedores de sistemas de IA en su seguimiento posterior a la comercializaci贸n y en la comunicaci贸n e investigaci贸n de incidentes y defectos de funcionamiento relacionados con la IA.
  • El聽t铆tulo聽IX聽crea un marco para la elaboraci贸n de c贸digos de conducta, cuyo objetivo es fomentar que los proveedores de sistemas de IA que no son de alto riesgo cumplan de manera voluntaria los requisitos que son obligatorios para los sistemas de IA de alto riesgo

 

M谩s. Blog Prof Alberto Tapia. 11.05. 2023

Datos personales y geolocalizaci贸n. Acuerdos (judicializados) alcanzados por varios Estados de EEUU con Google

La transparencia sobre la forma en que las grandes sociedades tecnol贸gicas como Google rastrean, comparten y utilizan los datos personales de sus usuarios es de vital importancia y no s贸lo en la Uni贸n Europea. Cada vez es m谩s evidente que en jurisdicciones como Estados Unidos se le confiere tambi茅n relevancia singular, que se plantean acciones desde el propio sector p煤blico estatal. Aqu铆 se da noticia de unos acuerdos que se han alcanzado con la tecnol贸gica en relaci贸n con los datos personales relativos a la localizaci贸n de los ciudadanos y empresas.

Los consumidores deben poder comprender c贸mo se utilizar谩n sus datos de localizaci贸n antes de tomar la decisi贸n consciente de utilizar servicios y productos. Sobre este sucinto razonamiento se presentaron demandas por parte de los fiscales contra Google. Algunas de las reclamaciones est谩n concluyendo mediante acuerdos.

No Eume- Ponte do Eume
  • As铆, un grupo de 5 fiscales generales de otros tantos Estados de EEUU alcanzaron acuerdo con Google el 30 marzo 2023. La noticia puede ampliarse aqu铆. En virtud de estos acuerdos, la tecnol贸gica se compromet铆a a pagar 9 millones de d贸lares por enga帽ar a los consumidores sobre sus pr谩cticas de seguimiento de localizaci贸n. De este modo se resolvieron las acusaciones contra Google por violar las leyes estatales de protecci贸n al consumidor al enga帽ar a los consumidores sobre sus pr谩cticas de seguimiento de ubicaci贸n desde al menos 2014. En concreto, Google caus贸 confusi贸n a los usuarios sobre dos configuraciones que controlan la recopilaci贸n de datos de la ubicaci贸n de los usuarios – 芦Historial de ubicaciones禄 y 芦Actividad web y de aplicaciones禄. Tambi茅n resultaba enga帽osa la medida en que los consumidores que utilizan productos y servicios de Google pod铆an limitar el seguimiento de localizaci贸n ajustando la configuraci贸n de su cuenta y dispositivo.
  • El acuerdo alcanzado obliga a Google a ser m谩s transparente con los consumidores acerca de sus pr谩cticas, lo que incluye mostrar informaci贸n adicional a los usuarios cada vez que activen o desactiven un ajuste de la cuenta relacionado con la localizaci贸n; garantizar que la informaci贸n sobre el seguimiento de la ubicaci贸n est茅 visible (es decir, que no est茅 oculta); proporcionar a los usuarios informaci贸n detallada sobre los tipos de datos de localizaci贸n que Google recopila y c贸mo se utilizan. A tales efectos la tecnol贸gica deber谩 habilitar una p谩gina web mejorada de 芦Tecnolog铆as de localizaci贸n禄. Tambi茅n tendr谩 que ofrecer a los usuarios la posibilidad de inhabilitar una configuraci贸n de cuenta relacionada con la ubicaci贸n y eliminar la informaci贸n de ubicaci贸n almacenada por dicha configuraci贸n sin necesidad de navegar por p谩ginas web independientes. Adem谩s, deber谩 eliminar autom谩ticamente la informaci贸n de localizaci贸n recopilada una vez transcurridos 30 d铆as. El acuerdo tambi茅n limita el uso y la conservaci贸n por parte de Google de determinados tipos de informaci贸n de localizaci贸n y exige que los controles de las cuentas de Google sean m谩s f谩ciles de usar.

Otros acuerdos anteriores y similares

 

Geolocalizaci贸n y protecci贸n de datos

Como es sabido, los datos de ubicaci贸n, pueden servir para inferir y conocer diversa informaci贸n personal que puede ser utilizada con distintos objetivos, entre otros con motivo de establecer perfiles publicitarios

En EEUU se han ido conociendo reclamaciones frente a grandes compa帽铆as de servicios digitales, con base en pr谩cticas de geolocalizaci贸n irrespetuosas con el ordenamiento.

Invierno. By M.A. D铆az
  • En noviembre 2022, un grupo de 40 Attorney General聽 (fiscales generales) de Minesota en EEUU聽 lleg贸 a un acuerdo con Google LLC, a ra铆z de una sobre la presunta violaci贸n por parte de la compa帽铆a de las correspondientes normativas estatales de protecci贸n del consumidor, en el sentido de inducir a error a los consumidores sobre el registro de sus movimientos o geolocalizaci贸n. Poco antes, se hab铆a alcanzado un acuerdo similar en Arizona. Seg煤n ha trascendido, Google habr铆a trasmitido聽 la err贸nea impresi贸n de que cuando los usuarios desactivaban los servicios de seguimiento de localizaci贸n la compa帽铆a dejar铆a de recopilar datos de geolocalizaci贸n sobre ellos. En realidad, Google segu铆a acumulando estos datos y luego los ofrec铆a a terceros que los utilizaban con fines publicitarios. En el acuerdo de Minesota, Google debe abonar 391,5 millones de d贸lares, as铆 como facilitar a los usuarios informaci贸n adicional al activar o desactivar un determinado ajuste relacionado con la localizaci贸n; y tiene que asegurar que la obtenci贸n de informaci贸n clave sobre el seguimiento de la localizaci贸n sea 芦insoslayable禄 para los usuarios , as铆 como proporcionar informaci贸n detallada sobre los tipos de datos de localizaci贸n que recopila y utiliza. M谩s aqu铆
  • En la UE, dado que los sistemas de geolocalizaci贸n capturan, almacenan y analizan la informaci贸n geogr谩fica referenciada de la persona (es decir, un tratamiento de datos personales), resulta de aplicaci贸n el art. 4 RGPD con lo que es necesario determinar el fin admisible de este tratamiento y tener en cuenta todos los requisitos del derecho positivo, entre ellos la legitimaci贸n. Cuando el dispositivo sea propiedad de una persona f铆sica ser谩 necesario obtener el consentimiento del interesado (art. 6.1.a RGPD). Cuando el sistema de geolocalizaci贸n se instale en un dispositivo responsabilidad de una empresa, se podr谩 legitimar por inter茅s leg铆timo del responsable (art. 6.1.f RGPD) basado en el art. 20.3 ET y el art. 90 LOPDGDD. Recu茅rdese que el art. 20.3 del Estatuto de los Trabajadores permite聽芦adoptar las medidas que estime m谩s oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales禄. Estas medidas, deber谩n, siempre, respetar el derecho al honor, a la intimidad personal y familiar y a la propia imagen reconocido en el art. 18 de la Constituci贸n Espa帽ola, en coherencia adem谩s con el deber de informar al trabajador (arts 13 y 14 RGPD). Y, el deber de respetar la finalidad, o prohibici贸n del uso de los datos obtenidos para finalidades distintas de las declaradas en la adopci贸n de la medida. La noci贸n de 鈥渇ines鈥 del art. 5.1.c RGPD, relativo al principio de minimizaci贸n, excluye todo intento de aprovecharse de los datos de car谩cter personal recogidos para obtener nuevos datos personales o para un uso divergente de la finalidad originaria para la que fueron recabados. De igual manera se expresa el art. 6 LOPDGDD, correspondiente al consentimiento del interesado para diversas finalidades. Adem谩s, los datos de localizaci贸n se deben conservar exclusivamente durante el tiempo oportuno en funci贸n de la finalidad que justifique su tratamiento. sin olvidar que el acceso a los datos de localizaci贸n deber谩 restringirse a aquellas personas que, en el ejercicio de sus obligaciones, puedan consultarlas de forma leg铆tima en funci贸n de sus finalidades. Por consiguiente, los empresarios deber谩n adoptar todas las cautelas necesarias para que tales datos se mantengan seguros e impedir el acceso no autorizado a ellos, especialmente mediante la introducci贸n de medidas de verificaci贸n e identificaci贸n.

 

Adem谩s de todo esto, hay que tener en cuenta que los responsables del tratamiento que utilicen sistemas de geolocalizaci贸n estar谩n sujetos a obligaciones del GDPR:

  1. El registro de actividades de tratamiento. Cada responsable del tratamiento y, en su caso, su representante, habr谩n de llevar un registro de las actividades de tratamiento que efect煤en bajo su responsabilidad (art. 30 RGPD).
  2. El an谩lisis de riesgos聽con el fin de establecer las concretas medidas de seguridad y control para garantizar los derechos y libertades de las personas. (art.32 RGPD).
  3. Medidas de seguridad.聽En este documento se van a recoger las medidas t茅cnicas y organizativas de seguridad que garanticen la protecci贸n de los datos personales, y que demuestren la adecuaci贸n con el GDPR, teniendo en consideraci贸n los derechos e intereses leg铆timos de las personas f铆sicas propietarias de los datos personales y de cualquier otra persona afectada.
  4. La evaluaci贸n de impacto聽(DPIA) en el caso el tratamiento se realice a gran escala e implique la observaci贸n, monitorizaci贸n, supervisi贸n, geolocalizaci贸n o control del interesado de forma sistem谩tica y exhaustiva, incluida la recogida de datos y metadatos a trav茅s de redes, aplicaciones o en zonas de acceso p煤blico (art. 35.4 RGPD).

聽Ver tambi茅n聽

En Espa帽a, en enero de 2023, Audiencia Nacional anul贸 una decisi贸n de la AEPD en la que sostuvo que la empresa Virgin telco hab铆a actuado conforme a la ley al denegar a sus clientes el acceso a sus datos de geolocalizaci贸n. El asunto hab铆a sido planteado por una ONG especializada: NOYB.

  • Noyb, cuyas siglas proceden de la expresi贸n inglesa聽None of your business (No es asunto tuyo), es una iniciativa del activista Sr Schrems (conocido por sus litigios en relaci贸n con los acuerdos de trasmisi贸n de datos a EEUU). La ONG especializada en protecci贸n de datos recurri贸 una decisi贸n de la AEPD. NOYB sosten铆a que la聽informaci贸n sobre geolocalizaci贸n es un dato personal y debe facilitarse al amparo del derecho de datos personales.

Un cliente de Virgin telco en Espa帽a solicit贸 acceder a sus datos de geolocalizaci贸n. Le fueron聽denegados por lo que reclam贸 ante la AEPD. La agencia dio la raz贸n a la empresa por lo que Noyb recurri贸 esa decisi贸n en junio de 2022, defendiendo que ya que los proveedores de telecomunicaciones en Espa帽a est谩n obligados a almacenar datos de geolocalizaci贸n de sus clientes, en virtud del principio de tutela de datos personales, tales proveedores deben facilitar esa informaci贸n a los usuarios en caso de ser solicitada. Este planteamiento era distinto al inicial de la AEPD que consideraba que el acceso estaba garantizado s贸lo para las autoridades en el marco de investigaciones penales. La Audiencia Nacional anul贸 la decisi贸n inicial de la AEPD. Ver aqu铆聽 la web de esta ONG

TJUE- De nuevo sobre el despido del DPD. Y compatibilidades del cargo

Springtime

El 9 de febrero de 2023, el Tribunal de Justicia de la Uni贸n Europea (芦TJUE禄) dict贸 sentencia en el asunto X-FAB Dresden (C-453/21).En esta decisi贸n, el TJUE aclar贸 los criterios para evaluar si existe un conflicto de intereses entre la funci贸n de Delegado de Protecci贸n de Datos (芦DPD/DPO禄) y otras tareas o funciones asignadas al mismo DPD/DPO.

  • Los DPD/DPO se encargan de informar y asesorar a los responsables y encargados del tratamiento de datos, supervisar el cumplimiento de la legislaci贸n sobre protecci贸n de datos y las pol铆ticas adoptadas en cada organizaci贸n, y actuar como punto de contacto con las autoridades de control.
  • Para desempe帽ar eficazmente estas tareas debe operar con independencia. A tales efectos, el art铆culo 38, apartado 3, del RGPD establece espec铆ficamente que el DPD/DPO no puede recibir instrucciones sobre el ejercicio de sus funciones y debe responder directamente al m谩s alto nivel directivo (recu茅rdese que el mismo art铆culo proh铆be despedir o sancionar al DPD/DPO por el ejercicio de sus funciones).

En esta sentencia, el TJUE hizo hincapi茅 en que las organizaciones deben asegurarse de que no se encomienden al DPD/DPO tareas o funciones que puedan obstaculizar o dificultar la ejecuci贸n de sus obligaciones como DPD/DPO. En particular, recuerda que el DPD/DPO no es competente (ni puede en funci贸n de otro cargo que compatibilice) determinar los objetivos y m茅todos del tratamiento de datos personales.

Ahora bien, a 聽efectos de establecer la compatibilidad o incompatibilidad con otras funciones, es necesario realizar una evaluaci贸n casu铆stica, para determinar si existe un conflicto de intereses. En esta evaluaci贸n se deben tener en cuenta todas las circunstancias relevantes que concurran. En particular, debe considerarse la estructura organizativa del responsable o del encargado del tratamiento, as铆 como las pol铆ticas del responsable o del encargado del tratamiento y el ordenamiento aplicable. Con respecto a este 煤ltimo aspecto, se plante贸 la cuesti贸n de si esta prohibici贸n se opone a una legislaci贸n nacional que permite a un responsable o encargado del tratamiento despedir a un DPD/DPO que sea miembro del personal 煤nicamente cuando exista una causa justificada, aunque el despido no est茅 relacionado con el ejercicio de las tareas del DPD/DPO. 聽Para llegar a esta conclusi贸n, el Tribunal reiter贸 que los conceptos de 芦destituir禄 y 芦sancionar禄 deben interpretarse con arreglo al lenguaje corriente (v茅ase tambi茅n la sentencia de 22 de junio de 2022, C-534/20) comentada en este blog). Ello significa que un DPD/DPO debe estar protegido contra 芦cualquier decisi贸n que ponga fin a sus funciones, por la que se le coloque en una situaci贸n de desventaja o que constituya una sanci贸n禄. El Tribunal confirm贸 que una medida de despido por parte de un empleador puede constituir una decisi贸n de este tipo.

El Tribunal tambi茅n reiter贸 que la prohibici贸n de despedir o sancionar a un DPD/DPO se aplica independientemente de la naturaleza de la relaci贸n con el DPD/DPO (es decir, independientemente de si el DPD/DPO es un empleado o no). Pero al mismo tiempo s贸lo cuando los motivos subyacentes a la decisi贸n se refieren al desempe帽o de sus funciones. El Tribunal consider贸 que cada Estado miembro es libre de establecer disposiciones espec铆ficas m谩s protectoras frente a los despidos de DPD/DPO, en la medida en que dichas disposiciones sean compatibles con el Derecho de la UE y el RGPD y en la medida en que esa mayor protecci贸n no menoscabe la consecuci贸n de los objetivos del RGPD. Tal menoscabo podr铆a producirse, por ejemplo, cuando la legislaci贸n nacional impidiera el despido de un DPD/DPO que ya no posea las cualidades profesionales requeridas, que no cumpla sus funciones de conformidad con el RGPD o que se vea afectado por un conflicto de intereses.

  • En cuanto al conflicto de intereses, el TJUE se帽ala que el art铆culo 38, apartado 6, del RGPD permite confiar a los DPD/DPO otras tareas y obligaciones (es decir, distintas de las que le impone el art铆culo 39 del RGPD), pero impone la obligaci贸n de garantizar que dichas tareas y obligaciones no den lugar a un conflicto de intereses.
  • Sobre las circunstancias podr铆an suponer tal conflicto de intereses, el Tribunal respondi贸 de forma bastante general que no se pueden encomendar al DPD/DPO tareas u obligaciones que puedan 芦menoscabar la ejecuci贸n de las funciones desempe帽adas por el DPD/DPO禄. M谩s concretamente, el Tribunal confirm贸 que se producir铆a un conflicto de intereses siempre que se encomendara a un DPD/DPO tareas que implicaran la determinaci贸n de los objetivos y m茅todos de tratamiento de datos personales por su parte. Evidentemente, la determinaci贸n de objetivos o m茅todos de tratamiento de datos chocar铆a con el requisito de poder revisar de forma independiente dichos objetivos y m茅todos. La evaluaci贸n de si existe un conflicto de intereses debe realizarse caso por caso a la luz de todas las circunstancias pertinentes (incluida la estructura organizativa y las normas y pol铆ticas aplicables).

Fallo:

1)聽聽聽聽聽聽El art铆culo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protecci贸n de datos que forme parte de su plantilla por causa grave, aun cuando la destituci贸n no est茅 relacionada con el desempe帽o de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecuci贸n de los objetivos de ese Reglamento.

2)聽聽聽聽聽El art铆culo 38, apartado 6, del RGPdebe interpretarse en el sentido de que puede existir un 芦conflicto de intereses禄, en el sentido de esta disposici贸n, cuando se encomienden a un delegado de protecci贸n de datos otras funciones o cometidos que llevar铆an a este a determinar los fines y los medios del tratamiento de datos personales en el seno del responsable del tratamiento o de su encargado, lo que incumbe determinar en cada caso al juez nacional sobre la base de todas las circunstancias pertinentes, en particular de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales pol铆ticas de estos 煤ltimos.

M谩s: