Archivo de la categoría: Ciberseguridad en la empresa. Master U en Ciberseguridad

Notas sobre el Reglamento de Mercados Digitales/Digital Markets Act  (DMA), Reglamento (UE) 2022/1925.

Posted on por

La Ley de Mercados Digitales/Digital Markets Act  (DMA), es el nombre con el que se ha dado en llamar al Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo de 14 de septiembre de 2022 sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828.  El DMA fue publicado en el DOUE el 12.10.2022. Entrará en vigor en marzo de 2023.

Valporquero en León

El objetivo del DMA (a cuya propuesta y tramitación prelegislativa habíamos prestado atención aquí) es promover la competencia en los mercados digitales europeos, evitando abusos de poder por parte de los grandes operadores, y facilitando la entrada de nuevos actores. Sin embargo, frente a lo que venía sucediendo en el Derecho de la Libre Competencia de la UE, el DMA impone obligaciones sustantivas ex ante, en lugar de relegar su ejecución a la mera imposición de sanciones ex post.

Los medios digitales en general, y las grandes plataformas en línea en particular, ejercen creciente influencia en el mercado interior.  Y,  las características de los servicios que ofrecen las plataformas digitales , además de resultar utilísimas,  facilitan el abuso de posición en unos mercados con fuerte concentración. Precisamente, las plataformas digitales proporcionan acceso a la red y a multiples servicios. Estas plataformas posibilitan que otros profesionales y empresas puedan ofrecer sus bienes y servicios a los usuarios y consumidores de estos servicio.

Como es sabido, un reducido número de grandes compañías y grupos que prestan servicios básicos plataforma han acumulado gran poder económico y ejercen una gran influencia en el mercado interior europeo. Esta circunstancia venia siendo observada, investigada y sancionada a través del derecho común de la competencia de la UE, y del derecho nacional.  El DMA  se apoya en esa experiencia (y jurisprudencia) para establecer un marco común  legislativo.

  • La Propuesta de DMA había sido presentada por la Comisión Europea al Parlamento Europeo y al Consejo de la Unión Europea el 15 de diciembre de 2020. En la misma fecha se presentó otra propuesta sobre Servicios Digitales (DSA). Ambas forman parte de la Estrategia Digital Europea titulada Shaping Europe’s Digital Future

Antecedentes: Derecho de la competencia  de la UE y mercados digitales.

El marco de derecho positivo escrito de la Unión Europea que se venía aplicando respecto al control de las prácticas contrarias a la libre competencia en los mercados digitales se apoyaba en los ordenamientos europeo y nacional de la competencia. Resultaban de especial importancia los artículos 101 (relativos a acuerdos anticompetitivos y prácticas concertadas que pueden afectar al comercio entre los Estados miembros o reducir la competencia en el mercado común) y 102 (lucha contra las posiciones dominantes con efectos anticompetitivos) , ambos del Tratado de Funcionamiento de la Unión Europea (TFUE). La aprobación del DMA no implica que en adelante las plataformas prestadoras de servicios digitales vayan a quedar excluidas del derecho competencial común. Por el contrario, representa un elemento adicional de regulación especial

Estructura y visión general del DMA.

Este Reglamente consta de cinco capítulos, completados con disposiciones finales

  • El capítulo primero delimita el ámbito de aplicación del Reglamento e incorpora las definiciones esenciales, útiles para una interpretación uniforme. En este capítulo ya se establece que el objetivo del DMA es garantizar “… la equidad y la disputabilidad de los mercados en el sector digital donde haya guardianes de acceso, en beneficio de los usuarios profesionales y los usuarios finales”. Conforme a este capítulo, el DMA se  aplica a los servicios básicos de plataforma prestados u ofrecidos por intermediarios. Algunos de estos intermediarios, reciben la consideración de GATEKEEPERS o «guardianes de acceso» por su participación consolidada como proveedores de servicios,  y porque cumplen ciertos criterios relacionados con el número de usuarios, volúmenes de negocio o capitalización.  Conforme al art 2 DMA, los «guardianes de acceso» son  empresas prestadoras de servicios básicos de plataforma, designadas de conformidad con el artículo 3 DMA.  Por lo que respecta a los «servicios básicos de plataforma», se agrupan en 9 sectores contemplados en el DMA. 

 

  • El  segundo capítulo II se centra en el régimen jurídico exigido a los “guardianes de acceso” ,  categoría que no se adquiere automáticamente, sino que debe ser atribuida por la Comisión Europea. Los GATEKEEPERS o guardianes de acceso son empresas que prestan servicios básicos de plataforma (en alguno en en varios de los 9 sectores indicados). Por su actividad controlan el acceso a los mercados digitales y en virtud de su poder económico ejercen control e influencia sobre la competencia en ellos. El artículo 3.1 define a los guardianes en relación con tres requisitos:
      • i) deben tener una gran influencia en el mercado;
      • ii) deben prestar un servicio básico de plataforma que constituya una puerta de acceso para que los usuarios profesionales lleguen a otros usuarios finales; y
      • iii) deben tener una posición afianzada y duradera.

 

  • El artículo 3.2 DMA establece la presunción de que concurren los requisitos para ser Gatekeeper cuando se superan determinados umbrales económicos, presunción que admite prueba en contra.

 

  • El capítulo III imponer obligaciones de acción y de omisión de los guardianes
    • Estas obligaciones se contienen principalmente en los artículos 5 a 7. Pero también en los artículos 8, 12, 14 (donde se les exige, por ejemplo,  un régimen especial de trasparencia y deberes específicos de comunicación respecto de las concentraciones que deseen realizar). Y, en el artículo 15 (donde el legislador europeo estabece reglas sobre la elaboracion de perfiles de los consumidores).
    • Junto a las obligaciones y prohibiciones,  el DMA contempla la posibilidad de suspender la exigibilidad de las obligaciones impuestas en los artículos 5 a 7. Y reconoce exenciones por razones de salud pública y seguridad pública.

 

  • El capítulo IV se centra en 3 tipos de investigaciones que podrá realizar la Comisión Europea. Por un lado, aquellas necesarias para designar guardianes. Por otro, las investigaciones para valorar si una plataforma incumple sus obligaciones. Y también las investigaciones necesarias para identificar nuevos elementos y prácticas (potencialmente ilícitas) de una plataforma.

 

  • El capítulo V versa sobre las competencias de investigación, ejecución y supervisión de la Comisión.  Permite recurrir a “agentes de verificación”. Establece multas sancionadoras y coercitivas, así como las condiciones o finalidades para determinarlas. Y reconoce derechos procesales a los guardianes de acceso, como el de ser oído y el de acceso al expediente.  También se contempla la cooperación de la Comisión Europea con las autoridades y órganos jurisdiccionales nacionales, así como la creación de un Grupo de Alto Nivel.

 

  • En las Disposiciones Finales del DMA se  establece la competencia del TJUE para revisar las decisiones sancionadoras de la Comisión, así como  para aprobar normas de desarrollo, publicar directrices y adoptar actos delegados. Se anuncia la revisión periódica del propio Reglamento y las disposiciones habituales como la  entrada en vigor y los plazos de aplicación.

Recuérdese que a la luz de los problemas estructurales que presentan ciertos operadores (por su estratégica posición operativa y funcional) y teniendo en cuenta la  jurisprudencia del TJUE (y nacional) se habían ido formulando soluciones específicas, que ahora se incorporan al Reglamento.

Sectores en los que operan las plataformas del DMA  

Los servicio básicos de plataforma ya mencionados se clasifican en estos sectores:

Riotinto

Riotinto

  1. motores de búsqueda en línea;
  2. servicios de redes sociales en línea;
  3. servicios de plataforma de intercambio de vídeos;
  4. servicios de comunicaciones interpersonales independientes de la numeración;
  5. sistemas operativos;
  6. navegadores web;
  7. asistentes virtuales;
  8. servicios de computación en nube;
  9. servicios de publicidad en línea, incluidas las redes de publicidad, las plataformas de intercambio de publicidad y cualquier otro servicio de intermediación publicitaria, prestados por una empresa que preste cualquiera de los servicios básicos de plataforma

 

Calificación de determinados proveedores como Guardianes

Para la calificación y clasificación de los operadores como guardianes, se constatará que cumplen una combinación de condiciones cuantitativas y cualitativas. como ya se ha indicado, la Comisión (que es el supervisor europeo) es competente para llevar a cabo investigaciones de mercado que permitan su clasificación.

  • I El DMA establece la presunción de que estamos ante un Guardian si se cumplen estos criterios cuantitativos (art. 3(2)):
      1. La prestadora de servicio de plataforma principal tiene un volumen de negocios anual en el EEE igual o superior a 500 millones de euros en los últimos tres ejercicios, o tiene una capitalización de mercado media igual o superior a 75.000 millones de euros y presta un servicio de plataforma principal en al menos tres Estados miembros.
      2. Dicha empresa opera un servicio de plataforma principal que sirve de importante puerta de entrada para que los usuarios empresariales lleguen a los usuarios finales.  A tales efectos, se establece la presunción de que los criterios se cumplen cuando el servicio de plataforma principal cuenta con más de 45 millones de usuarios finales activos mensuales establecidos o localizados en la Unión y más de 10.000 usuarios empresariales activos anuales establecidos en la Unión en el último ejercicio.
      3. La misma empresa goza de una posición consolidada y duradera en sus operaciones, o es previsible que goce de tal posición en un futuro próximo. Ello se traduce en el cumplimiento de los umbrales del apartado anterior, en cada uno de los tres últimos ejercicios

La presunción de que se trata de un guardian por superar los mencionados umbrales admite prueba en contra:  si la plataforma demuestra que debido a las condiciones del servicio de plataforma que opera no satisface los requisitos cualitativos del artículo 3(1) , no le será aplicable la condición de Gatekeeper. Pero, a tales efectos no podrá apoyarse en argumentos económicos relacionados con la definición de mercado, ni en criterios de eficiencia; sino únicamente podrá basarse en los señalados criterios cuantitativos, para rebatirlos.

  • II Criterios cualitativos (art 3.1 DMA) . Hacen referencia al impacto significativo en el mercado interior, es decir, que la plataforma sea un punto de acceso importante para usuarios profesionales o empresariales hacia sus clientes finales y que la titular de la plataforma tenga una posición consolidada y duradera en ese mercado. Estos criterios cualitativos toman en cuenta diversas variables, como la capacidad para controlar el acceso o para aprovechar una posición dominante.

Bóveda. Catedral de León

Si bien los criterios cualitativos parecen aludir a plataformas con una amplia trayectoria en la prestación, la designación es también posible para  «guardianes emergentes»,

Marco general de las obligaciones de los Guardianes de acceso
  • Art 5 Obligaciones (incondicionales o directas) de los guardianes de acceso
  • Art 6 Obligaciones de los guardianes de acceso que pueden ser especificadas con mayor detalle en virtud del artículo 8.
  • Art 7 Obligación de los guardianes de acceso en materia de interoperabilidad de los servicios de comunicaciones interpersonales independientes de la numeración
  • Art 8 Cumplimiento de las obligaciones de los guardianes de acceso
  • Art 12 Actualización de las obligaciones de los guardianes de acceso

Obligaciones y prohibiciones. Apoyo en jurisprudencia anterior

  1. El art 5 (2) DMA prohíbe a los Gatekeepers una serie de comportamientos. Entre ellos: tratar, con el fin de prestar servicios de publicidad en línea, los datos personales de los usuarios finales que utilicen servicios de terceros que a su vez hagan uso de servicios básicos de plataforma del guardián . También prohíbe que los guardianes crucen o combinen los datos personales procedentes de los servicios de sus plataformas con los datos recogidos a través de otros servicios de los mismos Guardianes o de un tercero. Asimismo, impide que los usuarios finales se vean obligados a registrarse en otros servicios ofrecidos por los Guardianes, salvo si éstos dan su consentimiento.
    • La combinación de datos personales de diferentes fuentes fue declarada ilícita (en un caso concreto) por la Bundeskartellamt, Oficina Federal de la Competencia de Alemania en 2019, en un caso contra Facebook . Además, este grupo resultó sancionado con 110 millones de euros en mayo de 2017 por la Comisión europea por haber manifestado a la Comisión (a los efectos de obtener autorización para adquirir Whatsapp, en 2014) que no era posible combinar datos procedentes de Facebook y WhatsApp en el momento de la adquisición de WhatsApp. Poco después de haberse autorizado la operación de concentración, la Comisión reconoció que esta práctica venía teniendo lugar . Aunque la Comisión había permitido en 2014 la concentración, aceptando las explicaciones de Facebook Case No COMP/M.7217 – FACEBOOK/ WHATSAPP),  en 2017, a la luz de la evidencia sobre el cruce de datos, impuso sanciones ( aquí )
  2. El Guardian debe permitir a los usuarios empresariales ofrecer los mismos productos o servicios a los usuarios finales a través de servicios de intermediación en línea de terceros. Y,  hacerlo a cambio de precios o en condiciones diferentes de los ofrecidos a través de los servicios de intermediación en línea del Guardián (art 5(3)).
    • La práctica contraria había sido analizada en un asunto relativo a los libros electrónicos de Amazon donde esta plataforma  exigía a sus usuarios comerciales que ofrecieran, al menos el mejor precio o las mejores condiciones que propusieran a cualquier otro competidor, a través de Amazon. También se apoya en previas investigaciones sobre Booking.com y sobre Expedia.
  3. El Guardian deberá permitir que sus usuarios empresariales que realicen ofertas a los usuarios finales y que celebren contratos con ellos, tanto el la plataforma del guardian, como en otra (o en su propia web) (art 5 (4)). También deben permitir a los usuarios finales acceder y utilizar, a través de sus servicios de plataforma principal, a contenidos, suscripciones u otros elementos, tanto si utilizan aplicaciones de esa plataforma , como si lo hacer con aplicaciones de terceros.  (art 5(5))

4.  El Guardián debe abstenerse de impedir o de restringir que sus clientes comerciales formulen reclamaciones o quejas ante cualquier autoridad pública en relación con sus prácticas como Guardian (art 5 (6))

5.  Igualmente ha de abstenerse de exigir que sus usuarios empresariales deban utilizar los servicios de identificación del propio Guardián para ofrecer servicios.

  • Esta prohibición está diseñada para evitar abusos en la recogida de datos.

7.  Los Guardianes de acceso deben evitar la agrupación de sus diferentes servicios básicos de la plataforma

  • Se trata qui de prohibir el bundling respecto del que en 2018, Google había sido multado con 4.300 millones de euros por la Comisión en una Decisión sobre Android. Google obligaba a los usuarios de Android a preinstalar ciertos servicios de Google,  como el buscador  y el navegador Google Chrome. A través de estas prácticas, Google se había asegurado una posición dominante como buscador. La penalización fue confirmada, en su práctica totalidad (125 millones euros) por el Tribunal General (Sentencia del Tribunal General en el asunto T-604/18 | Google y Alphabet/Comisión (Google Android))

8-.Los Guardianes deben facilitar a los anunciantes y a los editores a los que presta servicios,  la información que le soliciten en relación con precios y remuneraciones por cada uno de los servicios prestados de publicidad y edición (art 5 (9)).

Obligaciones y prohibiciones basados en análisis casuísticos.

Reina-Teuta-de-Iliria-circa-235-200-a-C

Tras realizar una evaluación conjunta con el Guardián, (art 6) la Comisión Europea puede especificar individualmente la imposición de obligaciones.

El diálogo con el Guardián tiene que respetar el principio de eficacia y proporcionalidad, tal como se establece en el artículo (7 (5)). Una vez más, la mayoría de estas acciones debidas y prohibidas derivan de asuntos investigados y sancionados por el derecho de la competencia:

  1. Abstenerse de utilizar, en competencia con sus usuarios empresariales, cualquier dato que no esté disponible públicamente y que se genere a través de las actividades de dichos usuarios empresariales, incluidos los usuarios finales de estos usuarios empresariales, de sus servicios de plataforma principal o proporcionados por dichos usuarios empresariales de sus servicios de plataforma principal o por los usuarios finales de estos usuarios empresariales. La posible prohibición de esta práctica se deriva del caso de Amazon Marketplace que está siendo investigado por la Comisión Europea y en el que la Comisión alega que Amazon infringió las normas antimonopolio al utilizar «datos no públicos» de sus usuarios empresariales para competir con ellos (ver nota de prensa de la Comisión de 10.11.2020) 
  2. Garantizar la posibilidad de que los usuarios finales puedan desinstalar las aplicaciones preinstaladas en sus SPI. Esta obligación se deriva de los casos sobre Microsoft Internet Explorer y Google Android, en los que la Comisión Europea les obligó a permitir a los usuarios finales desinstalar la aplicación preinstalada de los servicios de sus plataformas principales.

    Biblioteca Nacional KSV

  3. Permitir la instalación y el uso efectivo de aplicaciones de software o tiendas de aplicaciones de software de terceros que utilicen los sistemas operativos de ese Guardián o interoperen con ellos, y permitir que se acceda a estas aplicaciones de software o tiendas de aplicaciones de software por medios distintos de los servicios de la plataforma principal de ese Guardián. Esta práctica está siendo investigada en el caso de la App Store de Apple. La Comisión considera que Apple no deja que sus competidores informen a los usuarios de la posibilidad de comprar sus productos en otras plataformas distintas de la App store, a precios potencialmente más baratos
  4. Abstenerse de dar un trato más favorable en la clasificación de los servicios y productos ofrecidos por el propio Guardián o por cualquier tercero perteneciente a la misma empresa o grupo, frente a  los servicios o productos similares de terceros y aplicar condiciones justas y no discriminatorias a dicha clasificación. Esta práctica ya ha sido prohibida en el caso de Google Shopping y actualmente se investiga en el caso de Amazon Buy Box. Principalmente, se refiere a la autopreferenciación de productos propios en detrimento de los competidores en los resultados de búsqueda de un determinado marketplace.
  5. Abstenerse de restringir técnicamente la capacidad de los usuarios finales para suscribirse a diferentes aplicaciones y servicios de software distintos de aquellos a los que se accede mediante el sistema operativo del Guardián. Esta prohibición puede considerarse derivado del conflicto entre Spotify y Apple sobre las restricciones impuestas para utilizar Spotify en los dispositivos de Apple, que tenían el propósito de promover los servicios musicales de Apple. Ver aquí
  6. Permitir a los clientes comerciales y a los proveedores de servicios auxiliares el acceso y la interoperabilidad con el mismo sistema operativo, hardware o características de software que están disponibles o se utilizan en la prestación por parte del Guardián de cualquier servicio auxiliar. Esta disposición se deriva de las prácticas analizadas en el asunto Apple Pay. Al favorecer sus dispositivos y su propio método de pago -Apple Pay- en detrimento de sus competidores. Ver aquí 
  7. Proporcionar a los anunciantes y editores, a petición suya y de forma gratuita, acceso a las herramientas de medición del rendimiento del Guardián y a la información necesaria para que los anunciantes y editores realicen su propia verificación independiente del inventario publicitario. Este artículo ayudaría a los clientes comerciales de las plataformas, especialmente a los anunciantes, a tener acceso a los datos relacionados con los anuncios y publicaciones publicados en las plataformas del Guardián. Facebook y Google son potencialmente los principales destinatarios de este precepto

    Rey Alfonso V de León, el de los buenos fueros

  8. Proporcionar una portabilidad efectiva de los datos generados a través de la actividad de un usuario empresarial o usuario final y, en particular, proporcionará herramientas a los usuarios finales para facilitar el ejercicio de la portabilidad de los datos, en consonancia con el GDPR (Reglamento UE 2016/679), incluso proporcionando un acceso continuo y en tiempo real. La citada disposición tiene un alcance más general y no se construye en torno a casos específicos. Considerada como un complemento del Reglamento RGPD, da más precisión en cuanto al alcance de la portabilidad de los datos, al añadir que el acceso a los datos debe ser «continuo» y «en tiempo real” En términos prácticos, esto garantiza tanto el acceso a los usuarios (incluidos los usuarios empresariales) como los beneficios en términos de portabilidad de datos actualizados generados por la plataforma.
  9. Proporcionar a los usuarios empresariales, o a los terceros autorizados por un usuario empresarial, de forma gratuita, el acceso y la utilización efectivos, de alta calidad, continuos y en tiempo real de los datos agregados o no agregados, que se facilitan o se generan en el contexto de la utilización de los servicios básicos pertinentes de la plataforma por parte de dichos usuarios empresariales y de los usuarios finales que utilizan los productos o servicios proporcionados por dichos usuarios empresariales; en el caso de los datos personales, proporcionar el acceso y el uso solo cuando estén directamente relacionados con el uso efectuado por el usuario final con respecto a los productos o servicios ofrecidos por el usuario empresarial pertinente a través del servicio de la plataforma principal correspondiente, y cuando el usuario final opte por dicho intercambio con un consentimiento en el sentido del Reglamento (UE) 2016/679 del RGPD. Este supuesto se deriva de asuntos analizados en la UE y complementa el RGPD. Garantiza más derechos a las empresas y a los usuarios finales en relación con la interoperabilidad de los datos generados en las plataformas. Esto tiene como objetivo hacer que los datos generados por diferentes plataformas sean compatibles y utilizables por diferentes sistemas.
  10. Proporcionar a cualquier tercero proveedor de motores de búsqueda en línea, a petición suya, el acceso, en condiciones justas, razonables y no discriminatorias, a los datos de clasificación, consulta, clic y visualización en relación con la búsqueda gratuita y de pago generada por los usuarios finales en los motores de búsqueda en línea del guardián, con sujeción a la anonimización de los datos de consulta, clic y visualización que constituyen datos personales. Este artículo está especialmente destinado a garantizar un mayor grado de competencia en el mercado de los motores de búsqueda en línea, proporcionando más derechos a los (nuevos) competidores Da a los proveedores de motores de búsqueda en línea acceso a los datos generados por el Guardián del sector (presumiblemente Google Search en este momento, ya que concentra el 95% de la cuota de mercado en este sector) Este supuesto también está relacionado con el caso de Google Search y  con «la lista negra» de la DMA. Ver aquí
  11. Aplicar condiciones generales de acceso justas y no discriminatorias para los usuarios empresariales a su tienda de aplicaciones de software. Esta disposición se dirige a la tienda de aplicaciones de Guardianes (App Store, Google Play) y tiene como objetivo proteger los derechos de los desarrolladores de aplicaciones y de las empresas-usuarios.

 

Covas, Viveiro (Lu)

Otras obligaciones para los Guardianes

  • Según el art. 3, los Guardianes tienen que notificar a la Comisión cuando cumplan los umbrales para ser considerados Guardianes
  • De acuerdo con el art. 11,los Gatekeepers deben aportar a la Comisión Europea un informe describiendo de forma detallada y transparente las medidas que han puesto en práctica para cumplir las obligaciones de los artículos 5, 6 y 7.
  • Conforme al art. 12, los Guardianes tienen que notificar a la Comisión su intención de realizar futuras fusiones y adquisiciones.
  • Según el art. 13, cuando son designados como Guardianes, la empresa tiene que realizar una auditoría independiente sobre su técnica de elaboración de perfiles de consumidores y presentarla a la Comisión.
  • El art. 14  les obliga a informar sobre sus operaciones de concentración, cuando las partes de tal operación estructural presten servicios básicos de plataforma u otros servicios en el sector digital o permitan la recopilación de datos,  ya sean o no objeto de notificación al amparo del Reglamento europeo de concentraciones.
  • El art. 15 establece que los Guardianes deben hacer llegar a la Comisión Europea, dentro de los 6 meses de su designación como tales,  un informe de auditoría relativo a las técnicas utilizadas para elaborar perfiles de sus clientes, que el guardián de acceso aplique en sus servicios básicos de plataforma.

Competencias de investigación y sancionadoras de la Comisión Europea

El DMA reconoce a la Comisión Europea competencias de regulación, investigación del mercado y sanción.

  • Efectuar investigaciones de mercado para designar a los Guardianes (Art. 15)
  • Llevar a cabo investigaciones de mercado para especificar las obligaciones impuestas a los Guardianes y controlar su cumplimiento (Art. 16)
  • Realizar investigaciones de mercado para identificar nuevos servicios y prácticas que puedan estar sujetos a las obligaciones enumeradas en el Art. 5 y Art. 6 (Art. 17)
  • Llevar a cabo investigaciones de mercado para designar a los Guardianes (Art. 15)
  • La Comisión Europea podrá realizar investigaciones de mercado para examinar si un Guardián de acceso incumple sistemáticamente las obligaciones impuestas por el DMA (art. 18).

Si la Comisión Europea apreciara que un incumplimiento sistemático de las obligaciones contenidas en los artículos 5, 6 o 7, y ha reforzado o extendido la posición del Gatekeeper, está facultada para imponer sanciones estructurales o de conducta proporcionadas para asegurar el cumplimiento del DMA. Las sanciones que podrán imponerse a los Guardianes en caso de incumplimiento o incumplimiento sistemático pueden alcanzar hasta el 10% del volumen de negocios mundial del Guardián

Relación con la aplicación del derecho nacional de la competencia

Merindades burgalesas

Merindades, Burgos

  • El Art. 1(5) DMA establece que los Estados miembros tienen prohibido imponer a los Guardianes otras obligaciones por medio de leyes, reglamentos o acciones administrativas con el fin de garantizar mercados contestables y justos. Quedan exentas de esta prohibición las obligaciones que no estén relacionadas con el hecho de que las empresas correspondientes tengan la condición de Guardián en el sentido del Reglamento DMA.
  • No obstante, debe tenerse en cuenta que el 22 de marzo de 2022, el Tribunal de Justicia de las Unión Europea dictaminó, en los asuntos C-117/20 Bpost y C-151/20 Nordzucker, a favor de la licitud de iniciar el escrutinio antimonopolio de las sociedades, aunque ya hayan sido investigadas en virtud de una normativa sectorial (como sería el DMA), siempre y cuando los dos asuntos «se lleven a cabo de forma suficientemente coordinada en un marco temporal próximo y las sanciones globales impuestas se correspondan con la gravedad de las infracciones cometidas” Esto abre una vía para la investigación y sanción nacional paralela de los Guardianes

Entrada redactada con el apoyo del Proyecto de Investigación Nacional “Los remedios restaurativos en el Derecho de la Competencia: una respuesta a los retos que plantea la economía digital”, con referencia PID2020-116217RB-I00 (convocatoria de Proyectos de I+D+i en el marco del Programa estatal de generación de conocimiento y fortalecimiento científico y tecnológico del sistema de I+D+i. Y con el apoyo del Programa Estatal de I+D+i orientada a los retos de la sociedad”. (Orden CNU/320/2019, de 13 de marzo, se aprobaron las bases reguladoras para la concesión de ayudas públicas del Programa Estatal de Generación de Conocimiento y Fortalecimiento Científico y Tecnológico del Sistema de I+D+i y del Programa Estatal de I+D+i Orientada a los Retos de la Sociedad, en el marco del Plan Estatal de Investigación Científica y Técnica y de Innovación 2017-2020).

 

 

Hacia la regulación del IoT. El Real Decreto-ley (sobre 5G )de 2022- Definiciones iniciales y sujetos obligados

Posted on por

Las redes y servicios 5G, pueden definirse como el conjunto de todos los elementos de la infraestructura de red pertinentes para las tecnologías de las comunicaciones móviles e inalámbricas utilizados en los servicios de conectividad y de valor añadido con características de alto rendimiento, tales como capacidades y velocidades de datos muy elevadas, comunicaciones de baja latencia, fiabilidad ultraelevada o soporte de un elevado número de dispositivos conectados. Pueden incluir elementos de la red preexistentes basados en generaciones anteriores de tecnologías de las comunicaciones móviles e inalámbricas, como 4G o 3G. Se entiende que las redes 5G incluyen todas las partes pertinentes de la red;(Recomendación (UE) 2019/534 de la Comisión, de 26 de marzo de 2019, Ciberseguridad de las redes 5G). Permiten transportar ingentes volúmenes de información y permiten la interacción simultánea entre personas y cosas. Se basan  en complejas arquitecturas de red abierta y desagregada. Y plantean riesgos graves y específicos.

Expo. Cidade da Cultura. Santiago de Compostela. 2021–

Los equipos y programas informáticos del 5G ofrecen prestaciones características como la computación en el borde (edge computing) ; o la virtualización múltiple de redes (network slicing), y utilizan enfoques propios de la informática y de los servicios de computación en nube, distintos del enfoque tradicional de las redes de comunicaciones electrónicas. Operan fundamentalmente mediante sistemas informáticos y de servicios proporcionados por proveedores externos, de los que dependen los proveedores o suministradores de servicios. 

  • La computación en el borde desplaza el procesamiento de datos de la nube a su lugar de origen, reduciendo la latencia: los datos de Internet of Things (IoT) son procesados en la periferia de la red (cloud edge), en la misma fuente que los genera o tan cerca de ella como sea posible
  • La virtualizacion  de redes permite dividir una red física en diferentes subredes virtuales dedicadas, en específico, a un grupo de usuarios o a un servicio concreto.

El 5G plantean retos de seguridad que no puedan abordarse únicamente con las normas sobre seguridad e integridad de las redes de comunicaciones electrónicas (Ley 9/2014, de 9 de mayo, General de Telecomunicaciones), ni con el paquete de Seguridad de Redes y Sistemas de Información (NIS, incorporado entre nosotros con el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información), ni con la normativa de protección de infraestructuras críticas (Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas). De ahí la aprobación del Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación,  lex specialis en el ámbito de las redes móviles de quinta generación o 5G,  esencial en el IoT.

Este Real Decreto-ley se aplica, conforme a su artículo 4 a tres tipos de organizaciones. Todas ellas deberán llevar a cabo un tratamiento integral de la seguridad de las redes, elementos, infraestructuras, recursos, facilidades y servicios de los que sean responsables. Deberán llevar a cabo, mediante un método holístico, un análisis de las vulnerabilidades, amenazas y riesgos que les afecten como agentes económicos y mediante la utilización de las técnicas y medidas que sean adecuadas para lograr su mitigación o eliminación y alcanzar el objetivo final de una explotación y operación seguras de las redes y servicios 5G. Están sometidas a especiales deberes de gestión de riesgos

Expo na Cidade da Cultura (Santiago, 2021)

  • Los operadores 5G. Son personas físicas o jurídicas que instalan, despliegan o explotan redes públicas 5G o prestan servicios 5G disponibles al público a través, total o parcialmente, de las redes 5G, dispongan de red 5G propia o no.
  • Los suministradores 5G. Son fabricantes, representantes autorizados, importadores, distribuidores, prestadores de servicios logísticos o cualquier otra persona física o jurídica sujeta a obligaciones en relación con la fabricación de productos, su comercialización o su puesta en servicio en materia de equipos de telecomunicación, los suministradores de hardware software y los proveedores de servicios auxiliares que intervengan en el funcionamiento u operación de redes 5G o en la prestación de servicios 5G.
    • A su vez, el Gobierno,  previo informe del Consejo de Seguridad Nacional y previa audiencia de los  afectados  podrá calificar que determinados suministradores 5G son de alto riesgo.
  • Los usuarios corporativos 5G que tengan otorgados derechos de uso del dominio público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar servicios 5G para fines profesionales o en autoprestación. Son personas físicas o jurídicas que instalan, despliegan o explotan redes privadas 5G o presta servicios 5G a través, total o parcialmente, de las redes 5G, para fines profesionales o en autoprestación.

La extraordinaria y urgente necesidad de este Real Decreto-ley se justifica en el incremento del riesgo de ciberataques contra redes 5G desplegadas o a punto de ser desplegadas en nuestro país, en la necesidad de fortalecer la ciberseguridad de la tecnología 5G y  la autonomía y soberanía tecnológica de la Unión Europea

 

 

El mercado de datos como supuesto de aplicación de las normas antitrust de la UE. A propósito de un acuerdo en materia de acceso a datos en el sector asegurador

Posted on por

Tras la consiguiente investigación iniciada de oficio por el supervisor europeo de la libre competencia, la Comisión Europea ha llegado a un acuerdo con una asociación irlandesa de compañías de seguros que participaba en el mercado de datos compartidos. 

Antecedentes

Insurance Ireland (II) es una asociación de empresas  que participan en el sector de los seguros en Irlanda. II ofrecía a sus asociados un sistema de intercambio de información llamado Insurance Link. Este sistema incorporaba información útil para detectar y combatir el fraude en el mercado irlandés de los seguros de automóviles. A compartirse la información del Insurance Link entre los asociados de II, el mecanismo planteaba dudas desde la perspectiva antitrust.

Este comportamiento debe analizarse a la luz de lo dispuesto en el Derecho Europeo de la libre competencia. Concretamente, el artículo 101 del TFUE y el artículo 53 del Acuerdo sobre el Espacio Económico Europeo prohíben los acuerdos anticompetitivos y las decisiones de asociaciones de empresas que impidan, restrinjan o distorsionen la competencia en el mercado único de la UE.

Dependiendo de su diseño, los acuerdos de intercambio de datos pueden contribuir al funcionamiento eficaz de los mercados de seguros e incluso propiciar la libre competencia. Por lo tanto, es importante garantizar que estos acuerdos, incluidas sus condiciones de acceso, se ajusten al ordenamiento. La estrategia europea de datos refleja estos principios. En la hoja de ruta para la evaluación de impacto de la revisión de las Directrices sobre la aplicabilidad del artículo 101 del TFUE a los acuerdos de cooperación horizontal, la Comisión anunció recientemente su intención de incluir orientaciones que ayuden a las partes interesadas en la autoevaluación de los acuerdos de puesta en común y uso compartido de datos.

Las investigaciones y procedimientos de la Comisión Europea

  • En julio de 2017, la Comisión realizó inspecciones sin previo aviso en el mercado de los seguros de automóviles en Irlanda. Y, el 14 de mayo de 2019, abrió una investigación formal sobre la conducta de II por una posible infracción del artículo 101 del Tratado de Funcionamiento de la Unión Europea («TFUE»).
  • En junio de 2021, la Comisión emitió un pliego de cargos en el que exponía sus preocupaciones preliminares. Recuérdese que el pliego de cargos representa un paso formal, dentro de los procedimientos de investigación antitrust de la Comisión Europea. En este documento, la Comisión informa a las partes afectadas de las objeciones planteadas contra los comportamientos que hayan realizado. En este caso, el compartir información del Insurance link. Las entidades que reciben el pliego pueden examinar los documentos del expediente de investigación de la Comisión, responder por escrito y solicitar una audiencia para presentar sus comentarios  ante  la Comisión y  las autoridades nacionales de competencia.
  • Recuérdese que el apartado 1 del artículo 9 del Reglamento nº 1/2003 permite a la Comisión finalizar los procedimientos antimonopolio aceptando los compromisos ofrecidos por una asociación. Una decisión de este tipo no llega a una conclusión sobre si se han infringido,  o no, las normas antimonopolio de la UE, sino que se limita a aprobar compromisos de cumplimiento obligatorio para las entidades investigadas obliga legalmente a la asociación a respetar los compromisos (consultar las Directrices sobre la aplicabilidad del artículo 101 del Tratado de Funcionamiento de la Unión Europea a los acuerdos de cooperación horizontal aqui ). En el asunto que nos ocupa, si  II incumpliera los compromisos, la Comisión podría imponer una multa de hasta el 10% del volumen de negocios mundial de la asociación o de la suma del volumen de negocios de sus miembros activos en el mercado de referencia.

Los compromisos de II para hacer frente a la investigación (y la posición de la Comisión Europea al recibir estos compromisos)

  • Para responder a las investigaciones de la Comisión, II ofreció algunos compromisos
  • Entre el 4 de marzo y el 4 de abril de 2022, la Comisión sometió estos compromisos a una prueba de mercado y consultó a los terceros interesados para comprobar si eliminaban los problemas de competencia. La prueba de mercado hizo necesario que II modificase sus compromisos iniciales, para especificar el perfil y el papel del encargado de facilitar acceso a terceros, a los datos de la asociación II, entre otros.
  • La Comisión consideró que los compromisos finales  garantizarán el acceso de los participantes en el mercado a la plataforma Insurance Link, y decidió hacerlos jurídicamente vinculantes para esta asociación:
    • Hacer que el acceso al sistema de intercambio de información Insurance Link sea independiente de la afiliación a II.
    • Cambiar los criterios de acceso a Insurance Link y hacerlos justos, objetivos, transparentes y no discriminatorios y aplicarlos de manera uniforme a todos los solicitantes, tanto de Irlanda como de otros Estados miembros.
    • Establecer un nuevo procedimiento de solicitud de Insurance Link con un calendario definido que será gestionado por un funcionario de solicitudes operacionalmente independiente, con un nivel suficiente de antigüedad y con experiencia en el sector de los seguros adquirida a título profesional. Los solicitantes a los que se les deniegue el acceso podrán recurrir al Comité de Supervisión, un órgano de apelación independiente. Establecer un modelo de tarifas basado en el coste y el uso y garantizar que se cobrará una tarifa justa, transparente y no discriminatoria a los usuarios de Insurance Link.
    • Garantizar que los criterios para ser miembro de la asociación II sean justos, objetivos, transparentes y no discriminatorios.
    • Los compromisos finales estarán en vigor durante 10 años. Bajo la supervisión de la Comisión, un administrador se encargará de vigilar la aplicación y el cumplimiento de los compromisos.

Más información, incluido el texto completo de la Decisión de la Comisión del artículo 9 y la versión completa de los compromisos está disponible en el sitio web de competencia de la Comisión, en el registro público , con el número de asunto AT.40511.

Entrada redactada con el apoyo de los siguientes Proyectos:

  • Proyecto de investigación “Sostenibilidad, digitalización e innovación: nuevos retos en el Derecho del Seguro”, de (ref.: PID2020-117169GB-I00), financiado por FEDER/Ministerio de Ciencia e Innovación – Agencia Estatal de Investigación

Hacia el Reglamento (UE) de Mercados Digitales (Digital Markets Act/DMA)

Posted on por

El 16 de junio de 2022, el Consejo remitía una carta al Parlamento EU en relación con las enmiendas y sugerencias vertidas por éste en relación con la Propuesta de Reglamento de Mercados Digitales. Recordemos los antecedentes de este importante paquete positivo de la UE, actualmente en fase de tramitación prelegislativa:

El 15 de diciembre de 2020, la Comisión Europea hizo pública su propuesta de Reglamento del Parlamento Europeo y del Consejo sobre mercados disputables y equitativos en el sector digital (Ley de Mercados Digitales) (DMA).  La propuesta establece reglas preventivas para que los mercados caracterizados por la presencia de grandes plataformas con importantes efectos de red («guardianes de acceso»), operen correctamente desde una perspectiva de mercado. Ello,  en modo complementario con la Comunicación de la Comisión «Configurar el futuro digital de Europa» en la que el ejecutivo de la UE advertía de que pueden ser necesarias intervenciones legislativas adicionales para garantizar la disputabilidad, la equidad, la innovación y la posibilidad de entrar en el mercado, así como la defensa de otros intereses generales de distinto orden.

  • Uno de los conceptos importantes de esta propuesta es el de los «guardianes de acceso» , las grandes plataformas dado que algunas de ellas actúan como puertas de acceso o guardianes de acceso entre los usuarios profesionales y los usuarios finales. Por ello, gozan de una posición afianzada en el mercado. A menudo generan auténticos conglomerados en torno a sus servicios, lo que fortalece su posición.
  • El término «plataforma en línea» se utiliza en la Propuesta para describir una serie de servicios disponibles en internet, entre los que figuran: mercados en línea; motores de búsqueda; redes sociales, creadores de sitios web en línea; tiendas de aplicaciones,; sistemas de pago.
  • Define obligaciones  y responsabilidades de los prestadores de servicios, especialmente las plataformas en línea delimitadas en el amplio sentido indicado. Incluye obligaciones  de diligencia a determinados servicios intermediarios, así como procedimientos de gestión y de notificación en relación con los contenidos ilícitos. .

La propuesta de Reglamento es complementaria de la legislación sectorial existente, como la Directiva 2010/13/CE,  modificada por la Directiva (UE) 2018/1808, sobre los prestadores de plataformas de intercambio de vídeos (Directiva de servicios de comunicación audiovisual) en lo que respecta a contenidos audiovisuales y comunicación comercial audiovisual. No obstante, la Propuesta será aplicable a esos prestadores en la medida en que la Directiva de servicios de comunicación audiovisual u otros actos jurídicos de la UE no contengan disposiciones aplicables específicas. También se complementa con el Reglamento (UE) 2019/1150, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea, aplicable como lex specialis. Además, las disposiciones de la  propuesta serán complementarias al acervo de protección del consumidor en particular en lo relativo a la Directiva (UE) 2019/2161, por la que se modifica la Directiva 93/13/CEE del Consejo, y las Directivas 98/6/CE, 2005/29/CE y 2011/83/UE, que establecen normas concretas para aumentar la transparencia en algunas de las funciones ofrecidas por determinados servicios de la sociedad de la información. Todo ello, sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679 (el Reglamento General de Protección de Datos) y otras normas de la Unión sobre la protección de los datos personales y la privacidad de las comunicaciones.

Finalmente, cabe destacar que los conceptos de prestador de servicios de la sociedad de la  información y de de responsabilidad de prestadores de servicios de sociedad de la información que subyacen a esta propuesta están basados en la jurisprudencia del TJUE, y en especial en:

Más:

Trasferencia internacional de datos. Nuevas Cláusulas estándar (CTT) de la Comisión Europea

Posted on por

Las  CCT  son cláusulas estandarizadas de protección de datos que han sido aprobadas por la Comisión Europea. Su inclusión en los acuerdos internacionales de transferencia de datos permite a los responsables y a los encargados del tratamiento cumplir con sus obligaciones en virtud del RGPD.

La Comisión Europea adoptó dos conjuntos de CCT el 4 de junio de 2022:

Se acompañan ambos de una serie de preguntas y respuestas, que la Comisión Europea pone a disposición con «fines informativos generales únicamente», pero, no obstante, para «proporcionar orientación práctica sobre el uso de las CCE y ayudar a las partes interesadas en sus esfuerzos de cumplimiento en virtud del RGPD

Dado que el llamado Escudo de Privacidad EE.UU.-UE fue invalidado por la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de 2020, ECLI:EU:C:2020:559,  «Schrems II».  , las CCT han sido el principal mecanismo para transferir datos de la UE a los EE.UU., en cumplimiento del RGPD . Las directrices anteriores de las autoridades europeas explicaban que las transferencias en el marco de las CCT son aceptables siempre que los datos personales que se transfieren estén sujetos a protecciones «esencialmente equivalentes» a las que tendrían en la UE. Para lograr protecciones «esencialmente equivalentes», el Supervisor Europeo de Protección de Datos indica que las partes que transfieren datos que pueden necesitar adoptar salvaguardias adicionales, como la codificación de los datos antes de la transferencia

Para trasferir datos fuera de la UE,  las nuevas CCT crean la obligación, principalmente para el exportador de datos, de llevar a cabo una «evaluación del impacto de la transferencia»  que implica evaluar el marco jurídico de protección de datos de la jurisdicción de destino que regirán los datos que se recibirán del controlador en la UE. Al realizar este análisis, se deben considerar las circunstancias específicas de las transferencias contempladas, incluyendo la categoría y el formato de los datos, el tipo de destinatario, el sector económico en el que se produce la transferencia y la longitud de la cadena de tratamiento. Las orientaciones que acompañan ambas Decisiones aclaran los tipos de información que deben tenerse en cuenta al realizar una evaluación del impacto de la transferencia. En concreto, las orientaciones señalan que las empresas pueden tener en cuenta

  1. información cierta sobre la aplicación de la legislación nacional del país de destino en la práctica, incluida la jurisprudencia y los informes de organismos de supervisión independientes,
  2. la existencia o ausencia de solicitudes de las autoridades públicas del país de destino para acceder a los datos en el sector correspondiente y, en determinadas condiciones,
  3. la experiencia práctica documentada del exportador y/o importador de datos. Cuando haya una evaluación negativa del impacto de la transferencia, las partes sólo podrán transferir datos basándose en las CCT «si establecen salvaguardias «suplementarias» adicionales (por ejemplo, medidas técnicas para garantizar la seguridad de los datos, como el cifrado de extremo a extremo) que aborden la situación y garanticen así el cumplimiento» de las CCT.

PERSPECTIVAS

Aunque el panorama de las transferencias internacionales de datos puede cambiar significativamente en los próximos meses a partir del reciente anuncio de que EE.UU. y la UE han alcanzado un «acuerdo de principio» sobre un nuevo marco de transferencia bilateral, no puede obviarse que NOYB, la organización de Schrems, ya ha redactado una carta abierta en la que se opone al acuerdo de principio y anima a «los negociadores de ambos lados del Atlántico a avanzar en las tan necesarias reformas de la legislación estadounidense». Además, Schrems «está dispuesto a impugnar cualquier decisión final de adecuación que no proporcione la necesaria seguridad jurídica». Por lo tanto, es probable que los CCT sigan siendo un mecanismo importante para efectuar transferencias de datos de la UE a los Estados Unidos que cumplan con el Reglamento (UE) General de Protección de Datos

MAS

El TGUE sanciona el abuso de posición dominante de Google en el mercado de buscadores

Posted on por

Sentencia del Tribunal General de la UE T-612/2017, El  10.11.2021, el TGUE confirma la sanción impuesta a Google por la Comisión Europea en el asunto de infracción del art 102 TFUE (abuso de posición dominante) en relación con sus servicios de comparación de compras

 

Resumen

Los motores de búsqueda general, como el de Google Search, son infraestructuras cuya razón de ser y principal interés radica en su capacidad para identificar resultados de fuentes externas (de terceros) y para mostrarlas. En este asunto dirimido por el Tribunal General de la UE (TGUE), se debate (y confirma una sanción previa) sobre el comportamiento del motor de Google en relación con el servicio de comparación de compras. La posición de dominio del gigante tecnológico no constituye , por si misma, un supuesto sancionable. Pero, el abuso de tal posición si lo es, conforme al Derecho de la UE.

Antecedentes

Perbes-

Google puso en marcha un servicio de comparación de compras en 2002,  en un tiempo en el que también lo ofrecieron otros motores de búsqueda como Alta Vista, Yahoo, AskJeeves o America On Line (AOL) ya que hasta ese momento, los procesos utilizados por los motores de búsqueda no devolvían necesariamente los resultados más relevantes, cuando se les interrogaba específicamente por compras o por noticias. De este modo, Google comenzó a ofrecer resultados de comparación de compras, primero en Estados Unidos y dos años más tarde fue introduciendo el servicio, progresivamente, en varios países europeos.

  • Los resultados que obtenía el motor de google a tales efectos no procedían de la aplicación de sus algoritmos ordinarios de búsqueda general a la información presentada en los sitios web – que se extrae en primer lugar mediante un proceso conocido como «crawling» por el que Google explora el contenido de la web con el fin de indexarlo, luego se selecciona para añadirlo al «índice web» de Google y, por último, se clasifica por relevancia para mostrarlo en respuesta a la consulta usuario de Internet-. Aquí, lo que mostraba la pantalla era el resultado de la aplicación de algoritmos específicos a la información contenida en una base de datos alimentada por los propios vendedores, denominada «índice de productos». Estos resultados se ofrecían primero a través de una página de búsqueda especializada, llamada Froogle, que estaba separada de la página de búsqueda general del motor de búsqueda, y luego, a partir de 2003 en Estados Unidos y de 2005 en algunos países de Europa, también estaban disponibles en la página de búsqueda general del motor de búsqueda. En este último caso, los resultados de los productos se agrupaban en las páginas de resultados generales en lo que se denominaba Product OneBox por debajo o en paralelo a los anuncios que aparecían en la parte superior o en el lateral de la página y por encima de los resultados de la búsqueda general.
  • Si los internautas utilizaban la página de búsqueda general para introducir su consulta en relación con un producto, las respuestas devueltas por el motor de búsqueda incluían tanto las de la búsqueda especializada como las de la búsqueda general. Cuando los internautas hacían clic en el enlace del resultado de una Product OneBox, eran conducidos directamente a la página correspondiente del sitio web del vendedor que ofrecía el producto buscado, donde podían comprarlo. Además, un enlace especial en el Product OneBox dirigía a los usuarios a una página de resultados de Froogle con una selección más amplia de resultados de productos especializados. Sin embargo, Google explica que los resultados de Froogle nunca aparecieron en los resultados de la búsqueda general, mientras que los resultados de otros motores de búsqueda especializados en la comparación de compras sí lo hicieron.
  • A partir de 2007, cambió la forma en que desarrollaba los resultados de los productos, abandonó el nombre de Froogle en favor de Product Search para sus páginas de búsqueda y de resultados especializados en la comparación de compras. En cuanto a los resultados de productos mostrados desde la página de búsqueda general en las páginas de resultados generales, Google enriqueció el contenido de la Product OneBox añadiendo imágenes. También diversificó los posibles resultados de la acción de hacer clic en un enlace de resultado mostrado: dependiendo de las circunstancias, los internautas eran llevados, como ya ocurría antes, directamente a la página correspondiente del sitio web del vendedor del producto buscado, donde se podía comprar el producto, o eran dirigidos a la página de resultados especializada de Búsqueda de Productos para ver más ofertas del mismo producto. Con el tiempo, el Product Onebox pasó a llamarse Product Universal  en diferentes países y su presentación se hizo más atractivo

Costa galega no outono

Tras las investigaciones realizadas y mediante decisión de 27 de junio de 2017, la Comisión Europea declaró que Google había abusado de su posición dominante en el mercado de los servicios de búsqueda general en línea, en 13 países del Espacio Económico Europeo. Concretamente, la conducta infractora consistía en haber favorecido a su propio servicio de comparación de productos, posicionándolo delante de sus competidores. En efecto, la Comisión Europea constató que los resultados de las búsquedas de productos realizadas
a través del motor de búsqueda de Google se posicionaban y mostraban de forma más llamativa cuando procedían del propio servicio de comparación de compras de Google que cuando procedían de servicios de comparación de compras de la competencia. Además, estos últimos aparecían en una presentación más simple (mostrados en forma de enlaces azules), eran desechados por los algoritmos, o situados en peores puestos  con mayor probabilidad que los resultados de Google. En consecuencia, la Comisión impuso a Google una sanción pecuniaria de 2.424.495.000 euros, de los cuales 523.518.000 euros se imponían solidariamente con Alphabet, su sociedad matriz

Google y Alphabet interpusieron un recurso contra la Decisión de la Comisión, ante el Tribunal General Tribunal General de la Unión Europea. Y, éste órgano jurisdiccional, mediante sentencia de 10.11.2021, desestimó el recurso.

El caso ante el Tribunal General de la UE

Por una parte, el Tribunal General considera que Google violó el Derecho de la Libre Competencia  al favorecer su propio servicio de comparación de compras en sus páginas de resultados generales, mediante una representación mas atractiva y completa; y mediante un posicionamiento más favorable, al tiempo que, a través de los algoritmos de clasificación utilizados se relegan los resultados de los servicios de comparación. En su conclusión, el TGUE tiene en cuenta una serie de circunstancias concurrentes en el asunto , comenzando por la importancia del tráfico que genera el motor de búsqueda de Google para los los servicios de comparación de compras;  continuando por el comportamiento de los usuarios de estos motores, que suelen concentrarse en los primeros resultados; y además la gran proporción de tráfico efectivamente desviado en un servicio de búsqueda que no puede ser reemplazado fácilmente. Estos hechos y circunstancias, y no la mera posición de dominio que , como es sabido, no basta para fundamentar una decisión de infracción de competencia, son los que subyacen en la sanción conformada por le TGUE.

El TGUE señala que las características de la página de resultados de comparación coinciden con las de un servicio esencial, desde la perspectiva de la competencia, en la medida en que actualmente no existe un sustituto que permita intercambiarla de forma económicamente viable.  En cuanto al comportamiento infractor de la operadora se debe, en esencia, al trato discriminatorio que confiere con sus servicios. Así, aunque los resultados de los servicios de comparación de compras competidores fueran más relevantes, no recibían el mismo trato de posicionamiento ni de visualización que los resultados del servicio de compras comparativas de Google. E, incluso aunque Google permitió, a partir de cierto momento, a los servicios de comparación de compras de la competencia mejorar la calidad de la de sus resultados apareciendo en sus «cajas», esta mejora se realizó a cambio de una remuneración es decir, a cambio de un cambio de modelo de negocio de los competidores, que dejaban de ser competidores directos de Google para convertirse en sus clientes.

Catedral de León by M.A. Díaz

También recuerda el TGUE que existe un existe abuso de posición dominante cuando la empresa dominante, mediante el recurso a métodos diferentes de los que rigen la competencia normal, obstaculiza el mantenimiento del grado de competencia en el mercado o el crecimiento de dicha competencia,  o simplemente mediante comportamientos susceptibles de restringir la competencia. Y, concretamente en este asunto, los efectos reales de la conducta en cuestión sobre el tráfico de los servicios de comparación de compras
de las páginas de resultados generales de Google, la Comisión disponía de una base suficiente para averiguar que ese tráfico representaba una parte importante de su tráfico total y  no podía ser efectivamente sustituida por otras fuentes de tráfico, como la publicidad (AdWords) o las aplicaciones móviles,  de modo que el resultado potencial era la desaparición de los servicios de comparación de precios, limitando además la innovación y las opciones para los consumidores, rasgos que en conjunto son característicos de los efectos de las infracciones de derecho de la competencia.

 

El Delegado de Protección y de Datos y el Responsable de Seguridad de la información  ¿figuras compatibles?

Posted on por

El Delegado de Protección de Datos en el marco del REPD y la LOPDGDD

El Delegado de Protección de Datos es una figura, ya corporativa (aunque cabe su externalización) a la que corresponden funciones fundamentales de información, asesoramiento y supervisión de las políticas, estrategias y actividades relativas a la protección de datos en las organizaciones.

 Sus funciones están especificadas en el artículo 39 del Reglamento Europeo de Protección de datos ( RGPD) y en los arts 34 y siguientes de la Ley Orgánica 3/2018 (LOPDGDD). Y, con más detalle en España en el documento de Directrices para los delegados de protección de datos, emitido por la Agencia Española de Protección de Datos.

El análisis de las funciones del delegado de protección de datos debe de partir necesariamente del contenido de lo dispuesto en el artículo 39 del RGPD. Y decimos, que “debe de partir” por cuanto que este precepto regula las funciones que, como mínimo tendrá atribuidas:

    • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
    • Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
    • Cooperar con la autoridad de control.
    • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Además debe ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35RGPD. Y,  conforme al apartado 4 del artículo 36 de la LOPDGDD, cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos, lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento

En concordancia con el RGPD, en España el artículo 36 de la LOPDGDD, especifica  que este DPD actuará como interlocutor del responsable o encargado del tratamiento ante la AEPD y las autoridades autonómicas de protección de datos, y podrá inspeccionar los procedimientos y emitir recomendaciones en el ámbito de sus competencias. Tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo, el responsable o el encargado del tratamiento, oponer a este acceso la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de la LOPDGDD.

 

Debe subrayarse que el DPD está obligado a mantener el secreto, la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros. Y, desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento. Además, el artículo 37 de la LOPDGDD establece la función del DPD en relación con las reclamaciones presentadas por afectados.  En efecto, recuérdese que en el ámbito de la protección de datos, el afectado podrá, con carácter previo a la presentación de una reclamación, dirigirse al DPD de la entidad contra la que se reclame, que comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación. Cuando el afectado presente una reclamación directamente ante la AEPD o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al DPD a fin de que este responda en el plazo de un mes. En caso de que el DPD no comunique la respuesta dada a la reclamación, la autoridad competente continuará el procedimiento.

La amplitud de funciones que abarcan todo lo relativo a la política de datos, su diseño, puesta en práctica y consecuencias se acompaña de la prohibición por parte del RGPD de que se le impongan sanciones derivads del desempeño de tales funciones como DPD. Y, debe tenerse en cuenta que cuando hablamos de sanciones no sólo nos referimos a sanciones directas, pues se le podría sancionar de manera indirecta , igualmente prohibidas, y que pueden consistir desde en no tenerle en cuenta a efectos de promoción profesional, denegarle prestaciones que otros empleados sí reciben, etc.  No sólo están prohibidas las sanciones pues la simple amenaza de penalizar al DPD por motivos relacionados con el desarrollo de sus actividades está prohibida. Únicamente podrá ser sancionado e incluso destituido legítimamente por motivos distintos del desempeño de tales  funciones.

El lugar del DPD dentro de la entidad responsable de datos.

Tal y como establece el artículo 38 del RGPD, el desempeño por parte del DPD de las funciones mencionadas en el Art. 39 será respaldado por el responsable y el por encargado del tratamiento, quienes deberán de facilitarle los recursos necesarios para el desempeño de dichas funciones, incluyendo el acceso a los datos personales y a las operaciones de tratamiento;  y para mantener sus conocimientos especializados. En especial vamos a detenernos en algunas cuestiones que, quizás no han sido objeto de suficiente atención:

  • Por una parte, que conforme al RGPD, la alta dirección deberá prestar apoyo activo a la labor del DPD; garantizar que el DPD cuenta con tiempo suficiente para cumplir sus funciones, así como con medios para mantenerse formado; y que se debe facilitar la puesta a disposición del DPD de apoyo desde los departamentos corporativos que gestionen recursos financieros, infraestructura, recursos y personal.
  • Por otra parte, en que desde la entidad debe hacerse saber a la plantilla, por medio de los canales oficiales de comunicación interna, la designación y funciones del DPD.
  • Además, que el DPD cuenta con un auténtico derecho, o incluso deber de formación continua.
  • También, que en función del tamaño y de la estructura de la organización, puede ser necesario establecer un equipo de DPD (el Delegado y su personal), o en caso de estar externalizado, un equipo organizado bajo la responsabilidad de un contacto principal designado para el cliente, el responsable de datos o entidad a la que sirve el DPD.

El DPD en relación con las decisiones corporativas

Es destacable que el Delegado de Protección de Datos, o su equipo, deben ser partícipes, desde el principio y desde el diseño de los mecanismos y sistemas de datos del responsable, de todas las cuestiones relativas a la protección de datos. También en relación con las evaluaciones de impacto de la política de datos de la entidad responsable, el RGPD menciona que éste tendrá que recabar el asesoramiento del Delegado de Protección de Datos al redactar sus memorias de evaluación. Y que, el DPD actuará como interlocutor dentro de la empresa en todo lo relativo a la tutela de datos y que por ello deberá formar parte de todos los grupos de trabajo y proyectos referidos al ejercicio del tratamiento de datos dentro de la organización. Por ello, tanto el responsable como el encargado del tratamiento, debe garantizar que el DPD participa, de forma adecuada y en tiempo oportuno, en todas las cuestiones relativas a la protección de datos personales.

En muchas organizaciones ocurrirá que buena parte de las actividades  y decisiones corporativas tendrán impacto directo o indirecto en la política de datos, por ello, tal y como indica el GT29, Grupo de Trabajo compuesto por expertos independientes del Supervisor Europeo de Datos, la organización deberá garantizar que:

    • Se invite al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios.
    • Esté presente cuando se adoptan decisiones con implicaciones para la protección de datos, habiendo previamente recibido toda la información pertinente con el fin de que pueda prestar un asesoramiento adecuado.
    • La opinión del DPD se tenga siempre debidamente en cuenta. En caso de desacuerdo, el mencionado Grupo de Trabajo recomienda, como buena práctica, documentar los motivos por los que no se sigue el consejo del DPD.
    • Se consulte al DPD con prontitud una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.

En todo caso, el hecho de que el  DPD pueda formar parte de la entidad (y no ser externalizado si así se decide en el seno de la entidad responsable de datos) no debe de entenderse en el sentido de que resulta posible que exista una relación de dependencia. Antes al contrario, como señala el considerando Art. 97 RGPD, los DPD, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. Y, en este sentido, el apartado 3º del artículo 38;RGPD deja claro que “el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.” Es decir, tal y como añade el Considerando 97, el DPD, sea o no empleado del responsable, debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. En todo caso, el DPD estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones como tal Delegado. Y,  ha de desempeñar sus funciones de manera independiente y con autonomía. No se le puede instruir sobre como abordar un asunto. Tampoco se podrá influir para que mantenga una u otra postura respecto a la normativa de protección de datos y su aplicación. Esta autonomía del DPD afecta exclusivamente al ámbito de sus propias funciones como DPD que son descritas en el artículo 39 del RGPD.

¿Puede el DPD desempeñar otras funciones? .¿Podría, más concretamente ser Responsable de Seguridad (RS)?

En principio parece que si, que el DPP puede desempeñar otras funciones y cometidos. Ahora bien, en este caso el responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses (GT29) .
Debe aclararse, de modo previo, que no existe una figura general de RS . Si existe, sin embargo en el marco del Esquema Nacional de seguridad (ENS), una figura obligatoria en ciertas entidades, y cuya determinación puede tener un papel orientativo en otras. En este sentido, remitimos a lo analizado sobre esta figura de RS del ENS, en la entrada titulada Responsable de seguridad de la Información en el Esquema Nacional de Seguridad Electrónica (para la administración pública y ) para algunas empresas privadas que contratan con la administración. Y también con la Guía o Código de gestión de información personal  ISO/IEC 29151:2017 Information technology – Security techniques – Code of practice for personally identifiable information protection

En relación con la independencia. El artículo 38.3 RGPD determina que el responsable y el encargado del tratamiento garantizarán que el DPD no reciba instrucciones respecto a sus funciones para poderlas desarrollar con independencia. En cuanto al RS, al poder desempeñar funciones encomendadas por el responsable y el encargado del tratamiento, no goza del mismo grado de independencia protegida. Esta circunstancia casa bien con sus respectivas funciones:

En relación con las funciones de cooperación y asesoría al responsable. El DPD informa y asesora al responsable del tratamiento y coopera con la autoridad de control con independencia del resto de figuras implicadas en la seguridad de la información, y garantiza los derechos de las personas en materia de protección de datos.

    • Más en particular, y en el plano de los conflictos de intereses el GT29 o Grupo de Trabajo sobre Protección de Datos del Artículo 29 del RGPD, en sus concluiones  adoptadas el 5 de abril de 2017 señala para el DPD:  3.5. Conflicto de intereses. “No obstante, requiere que la organización garantice que «dichas funciones y cometidos no den lugar a conflicto de intereses». La ausencia de conflicto de intereses está estrechamente ligada al requisito de actuar de manera independiente. Aunque los DPD puedan tener otras funciones, solamente podrán confiárseles otras tareas y cometidos si estas no dan lugar a conflictos de intereses”

En relación con la seguridad de la información y el análisis de riesgos. El RS debe velar por garantizar la seguridad de la información de la  organización en su conjunto incluyendo las . El DPD se centra en el análisis de riesgos sobre los derechos y libertades de las personas, el  RS realiza análisis de riesgos en relación con las tecnologías de la información y las comunicaciones.

En cuanto a su posición jerárquica en el seno de una misma entidad. El DPD supervisa la labor que realiza el RS en sus tres vertientes: información, servicio y seguridad, funciones que veíamos en relación al ENS

Ponferrada. Castillo de templarios

Conclusión y recomendación:

Únicamente, y seguramente sólo en teoría,  cabría la posibilidad de centralizar ambas figuras  en una sola persona si se separan claramente las funciones que desempeña y se evitan conflictos de intereses. Precisamente es en el ámbito de los conflictos donde resulta difícil lograr la independencia que se exige al DPD. En términos prácticos la coincidencia de ambas figuras y funciones en una misma persona ni es fácil ni es recomendable.

Cuestión distinta es, en particular para las grandes organizaciones, la propuesta que desarrollamos en otro lugar para la creación de una red corporativa de seguridad que integre y sirva de cauce de comunicación entre ambos, con las debidas cautelas en términos de funciones y conflictos de intereses.

 

Ciberseguridad, orientaciones para empresas cotizadas. Antecedentes, a la espera de la reforma normativa en Estados Unidos

Posted on por

La gestión de la seguridad cibernética  se percibe, cada vez más, como parte integrante de las medidas de buen gobierno exigidas a las empresas.

Venimos dando cuenta en este Blog, y en algunos otros foros, de la creciente relevancia de los riesgos cibernéticos en el diseño, valoración y en su caso, sanciones (ver esta entrada), en materia de gobierno corporativo. Los asuntos que aquí se presentan brevemente son objeto de atención en modo más amplio en el contexto del Congreso Latinoamericano INTELIGENCIA ARTIFICIAL Y ECONOMÍA DIGITAL: desafíos jurídicos y económicos  (13 al 15 octubre 2021) y  en una publicación ya en imprenta de la que se dará cuenta.

Guías, orientaciones y previsiones normativas del Regulador de Valores de EEUU en relación con la ciberseguridad 
Regulación prevista

Conforme a la Agenda Regulatoria de primavera de 2021 de la SEC,  el Supervisor de Valores de EEUU está en vías de formular nuevas reglas que afectarán de lleno a las obligaciones de gobierno corporativo de las empresas y en concreto, a la divulgación de riesgos de seguridad cibernética. Se prevé que las mencionadas propuestas vean formalmente la luz en octubre de 2021. Estos trabajos toman base en las Orientaciones sobre Ciberseguridad  de la SEC (febrero 2018) en las que ya se vinculaba el cumplimiento de distintas obligaciones de transparencia sobre riesgos de ciberseguridad con el buen gobierno. Incluso antes,  en 2011 la División de Finanzas Corporativas de la SEC había publicado una Guía preliminarsobre estas cuestiones.

La Agenda ReEgFlez mencionada,  ya apunta a octubre de 2021 como la fecha límite para la emisión de una propuesta. (Vea esta publicación de PubCo  de 14.06.2021). En el actual entorno en el que se conoce la abundancia y dureza de  ataques cibernéticos y la posibilidad de infección por ransomware,  es más que posible que la SEC pueda proponer enmiendas a sus Rules  de transparencia para mejorar las divulgaciones de los emisores con respecto a la gobernanza del riesgo de ciberseguridad.

 

Sanabria

Antecedentes. La Guía de la SEC de 2018 sobre divulgación de informaciones relativas a la seguridad cibernética

Con anterioridad, la  Guía de la SEC de 2018  sobre divulgación de seguridad cibernética abordó las obligaciones de divulgación al amparo del ordenamiento vigente, que incluía procedimientos, políticas y estrategias para el control de la seguridad, entendida en un sentido amplio, prohibiciones de aprovechar información privilegiada, o de difundir datos selectivamente, entre otros.

  • La Guía mencionada señala que los incidentes de ciberseguridad pueden ser el resultado de eventos no intencionales, pero también de ataques deliberados, y que pueden ser realizados por personas con información privilegiada, o por terceros.
  • Con respecto a las políticas, controles y procedimientos de ciberseguridad, la SEC alentó en 2018 a las empresas a adoptar y evaluar periódicamente el cumplimiento de políticas y procedimientos integrales relacionados con la ciberseguridad, en particular con los controles y procedimientos de divulgación. Además, instaba a las empresas a evaluar si sus controles y procedimientos de divulgación eran suficientemente precisos y adecuados como para localizar información sobre los riesgos e incidentes de ciberseguridad, y también para difundir el conocimiento de esos riesgos entre la alta jerarquía corporativa para permitir que la alta dirección adopte decisiones.
    • Conforme a la Guía mencionada (de 2018), los controles y procedimientos corporativos deben permitir a las empresas identificar los riesgos e incidentes de ciberseguridad, evaluar y analizar su impacto en el negocio de una empresa, evaluar la importancia asociada con dichos riesgos e incidentes, proporcionar comunicaciones abiertas entre expertos técnicos y asesores de divulgación. Deben ser adecuadas para realizar divulgaciones oportunas sobre dichos riesgos e incidentes.
    • Los controles también deben permitir que la información se comunique al personal correspondiente, para facilitar el cumplimiento de las políticas de uso de información privilegiada.
  • Por otro lado, y ya de lleno en consideraciones propias del Gobierno Corporativo clásico (y de las obligaciones de transparencia relacionadas), dado que las notificaciones que los principales ejecutivos, el CEO y el CFO están obligados a emitir  en sus informes periódicos al supervisor  abordan la efectividad de los controles corporativos, la SEC adelantaba en su Guía de 2018 que estas certificaciones deberían tener en cuenta la idoneidad de los controles y procedimientos para identificar los riesgos e incidentes de ciberseguridad.
  • Con respecto a la divulgación, la Guía de 2018 ya señalaba que incluso en ausencia de exigencias de divulgación especificadas normativamente en relación con los riesgos e incidentes de ciberseguridad:
      • La obligación de divulgar tales riesgos se entendería implícita -dependiendo de las circunstancias particulares de cada entidad- en el conjunto de obligaciones de transparencia (declaraciones ante la SEC, informes periódicos, informes anuales, etc.).
      • Conforme a la Regla 10b-5  (y disposiciones similares) las entidades sometidas a la supervisión de la SEC están obligadas a valorar si sus divulgaciones proporcionan todos los hechos materiales, y en ese sentido, incluir en ellas las cuestiones relativas a ciberseguridad que deban considerarse «materiales» para evitar que el conjunto de la declaración resulte engañosa. En ese sentido, el Supervisor estadounidense alentó a las empresas a utilizar el Formulario 8-K para informar al supervisor y al mercado también sobre los costos y otras consecuencias de los incidentes materiales de ciberseguridad.
        • En relación con esta Guía y con los futuros desarrollo que se produzcan en torno a la obligación de comunicar riesgos e incidentes cibernéticos, debemos llamar la atención sobre la dificultad de determinar si la divulgación sobre los riesgos e incidentes de ciberseguridad es necesaria. En este sentido, el Supervisor de mercados estadounidense recordaba que las empresas generalmente sopesan, entre otras cosas, la materialidad potencial de cualquier riesgo identificado. Pues bien, en el caso de incidentes cibernético, la valoración de si resultan «materiales» debe realizarse a la luz de la importancia de la información comprometida, propiamente dicha,  y también del impacto (actual o probable) del incidente sobre las operaciones de la empresa. Y, este ejercicio, que se realiza ya en otros ámbitos que son susceptibles de generar riesgos y que ya son objeto de comunicación al Supervisor, ha de contemplarse también en el ámbito de los riesgos cibernéticos.
              • La SEC señaló que el  caso Basic v. Levinson,  en el que se articuló la teoría jurisprudencial de «fraude al mercado» y que sirve de pauta  sobre la probabilidad de que se deriven  daños relevantes, sigue siendo una parte relevante del análisis. Debe recordarse que en esta importante sentencia federal se revisaron los estándares de materiality, tomando en cuenta otra decisión previa (especialmente la de TSC Industries, Inc. v. Northway, Inc., que señala que en relación con la transparencia exigida a las empresas supervisadas «un hecho es material si existe una probabilidad sustancial de que un accionista «razonable» lo consideraría importante a la hora de decidir su voto» ,  pauta que se viene utilizando como referencia para el cumplimiento y la supervisión de las obligaciones de transparencia derivadas del artículo  § 10(b) de la Securities Exchange Act y la Rule 10b-5 de la SEC.
              • La SEC también advirtió que la importancia relativa de los riesgos o incidentes de seguridad cibernética depende de su naturaleza, alcance y magnitud potencial, particularmente en lo que respecta a cualquier información comprometida para la actividad de la entidad o para sus operaciones. En ese sentido, la SEC subrayó que la información comprometida «podría incluir información de identificación personal, secretos comerciales u otra información comercial confidencial, cuya materialidad puede depender de la naturaleza del negocio, así como del alcance de la información comprometida». Y, que la materialidad “también depende del rango de daño o daños que los incidentes sean susceptibles de causar», y que abarcan desde daños reputacionales, daños financieros, hasta otros derivados de las relaciones con los clientes y proveedores  y con el incremento en la posibilidad de litigios, investigaciones o de que la empresa vaya a quedar sometida a investigaciones (o sanciones) por parte de las autoridades.

Como ya es conocido en otros ámbitos, la SEC advirtió a las empresas que «eviten la divulgación genérica» (ahora relacionada con la ciberseguridad) y les instó a que proporcionen información específica que sea útil para los inversores.

Aunque se espera que las empresas «revelen los riesgos e incidentes de ciberseguridad que son importantes para los inversores, incluidas las consecuencias financieras, legales o de reputación concomitantes», la SEC dejó en claro que no se espera que proporcionen detalles o información técnica específica sobre posibles vulnerabilidades del sistema que puedan comprometer la seguridad del emisor.

Para obtener más información sobre la guía de la SEC, consulten esta publicación de PubCo  (18 febrero 2018) y esta  alerta de Cooley .

 

Comunicaciones con el sector financiero sobre la necesidad de mayor transparencia de riesgos cibernéticos

Ox

A fines de 2018, según lo  informado  el 13.11.2018 por el  WSJ , el entonces Chief accountant  de la  Securities and Exchange Commission’s Corporation Finance Division, , Kyle Moffatt, en su intervención en la importantísima conferencia sectorial, FEI, «Current Financial Reporting Issues Conference», instó a las empresas a alinear sus prácticas de divulgación con la guía de divulgación de ciberseguridad de la SEC, citando en particular la necesidad de abordar un debate de calado sobre riesgos de supervisión, el papel de  la junta, los controles y los procedimientos internos de divulgación de datos e informaciones y las  políticas de uso de información privilegiada en el contexto de la ciberseguridad. Además, advirtió que “la clave más importante es asegurarse de que existan procedimientos para asegurarse de que la información se brinde a todos los niveles de la gestión empresarial,  para que todos estén al tanto de lo que sucedió y para que los problemas se pueden abordar. ‘”(Consulte esta publicación de PubCo  de 14 noviembre 2014).

Estas declaraciones son, no sólo sintomáticas, sino que reflejan en buena medida la posición del sector.

 

 

 

Gobierno corporativo y ciberseguridad. Sanciones  de la SEC por faltas de gestión y de transparencia de riesgos de ciberseguridad en  EEUU

Posted on por

La División de Sanciones (enforcement) de la SEC está dotada de competencias para supervisar el cumplimiento de los deberes de transparencia de los emisores sometidos a su control. Al amparo de esa competencia, el supervisor estadounidense  de valores y mercados viene abordando, recientemente, medidas de control sobre la ciberseguridad en las empresas y la transparencia en relación con los riesgos derivados de fallos en los mecanismos de seguridad, o consecuencia de ataques.

En algunos casos, la intervención pública vinculada a fallas en la seguridad cibernética de determinadas entidades se ha traducido en  la imposición de sanciones por faltar, los emisores, a la obligación de revelar los riesgos a los que se ven sometidos en el sentido de (no) incluir entre ellos los relacionados con su seguridad cibernética. En este sentido, el supervisor utiliza el concepto de «fallos en el control de riesgos» o el de «no revelar riesgos» para fundamentar jurídicamente su intervención.

A modo de ejemplo veamos el asunto «FAFC» decidido en 2021 donde se identifican un conjunto de malas prácticas internas y externas en  First American Financial Corporation, que se salda con una sanción de $487,616:

  • El 15 de junio de 2021, la SEC anunciaba una sanción  de $487,616  contra First American Financial Corporation (FAFC). El montante de esta multa se calculó teniendo en cuenta que la sancionada se avino a cesar en las conductas que dieron lugar a la infracción, y por lo tanto se adoptó una cease and desist order. De no haber mediado tal actitud el montante hubiera sido más elevado
    • Como antecedentes de hecho,  el 24 de mayo de 2014 un periodista había comunicado a la FAFC que había verificado un fallo en la aplicación llamada «EAGLEPRO» que esa entidad utilizaba para compartir imágenes de documentos. El problema afectaba a 800 millones de imágenes de documentos digitalizados entre 2003 y 2014. Se daba la circunstancia de que algunas de las imágenes afectadas incluían datos personales sensibles, tales como números de la seguridad social, informaciones financieras y otros datos personales de sus respectivos titulares. El mismo día en que recibió la mencionada comunicación, la FAFC hizo público un comunicado de prensa alertando sobre la situación. Y, tan sólo 4 días después, es decir el día 28 de mayo, presentó a la SEC el formulario previsto para notificar riesgos, el llamado «FORM-8-K» que dio lugar a una investigación por parte del supervisor.
      • En el curso de sus investigaciones, la SEC averiguó que  el conjunto de problemas que se habían identificado, hechos públicos y notificados se debían a malas prácticas internas que recaen en el núcleo de la gobernanza corporativa.
        • Por una parte, si bien los fallos de seguridad eran conocidos en las instancias técnicas de la FAFC, la alta dirección de FAFC no había sido informada sobre algunas cuestiones fundamentales relativas al alcance y gravedad del problema. Por tanto, no fue posible incluir a tiempo tales fallos y riesgos en las notificaciones periódicas exigidas para cumplir plenamente con sus deberes de transparencia, y también por ello la notificación a la SEC del 28 de mayo de 2018 la comunicación reglamentaria mediante el FORM-8-K había sido tardía.
        • Por otra parte, como los altos ejecutivos y el consejo de de FAFC desconocían que la vulnerabilidad en cuestión había sido localizada tiempo atrás por parte del personal especializado en seguridad, no se había procedido a su corrección. Ello daba lugar a la prolongación y agravamiento de sus efectos.
        • Además, el Supervisor averiguó que se habían producido incumplimientos en los procedimientos de calidad aprobados en el plano interno por la FAFC.
          • En efecto, las imágenes de documentos incluidos en el repositorio de la compañía que contenían información personal no pública debían haber estado etiquetadas mediante procesos automatizados que asignarían una leyenda de seguridad, de modo que sólo  podrían transmitirse a través de paquetes seguros que requerían la verificación de la contraseña por parte del destinatario de la información empaquetada. Pero en realidad, el proceso de etiquetado se realizó manualmente y, según pudo observarse en un análisis interno de 2018, decenas de millones de imágenes de documentos se clasificaron erróneamente.
          • Por otra parte,  un fallo técnico en 2014 había permitido a los usuarios alterar los dígitos en una URL para ver otras imágenes de documentos a las que no deberían haber tenido acceso.
          • También, ciertas imágenes transmitidas a través de paquetes no seguros se almacenaron en motores de búsqueda disponibles públicamente.

La imposición de sanciones derivadas de incidentes cibernéticos abre la cuestión de la base jurídica de las mismas. Pues bien, el supervisor de valores norteamericano se basó  en este asunto en una normativa clásica en la regulación de las obligaciones de transparencia sobre riesgos de las entidades cotizadas: las Rule 13a-15(a) que exigen que las entidades obligadas a emitir información al mercado “mantengan controles y procedimientos de divulgación diseñados para garantizar que la información que debe divulgar un emisor en los informes que presenta en cumplimiento de la SEA de 1934 y otras leyes se registra, procesa, resume e informa dentro de los períodos de tiempo especificados en las reglas y formularios de la SEC «. Es decir, la sanción se apoyó jurídicamente en el ordenamiento sectorial de valores sin necesidad de contar con disposiciones normativas específicamente relacionadas con la ciberseguridad.

Palencia. San Antonio

Con anterioridad, en el año 2018 Yahoo!., Inc.  fue sancionada en otro expediente de la SEC que le obligó a satisfacer  $ 35 millones. La SEC resolvió  que Yahoo! Inc. había actuado engañosamente frente a sus inversores al no revelar que había sido objeto de una de las violaciones de datos más graves del mundo, en la que los piratas informáticos sustrajeron datos personales relacionados con cientos de millones de cuentas de usuario.

  • En este caso, también el supervisor acusó a la tecnológica de no haber establecido controles de seguridad de información adecuados, y de haber incurrido en malas prácticas en la divulgación de información y notificación a la autoridad de mercados sobre los riesgos que le afectaban como empresa y que tenían impacto en el mercado y en sus inversores. También se le acusó de que sus controles de transparencia fueron defectuosos.
  • Fundamentando su resolución sancionadora, la SEC  consideró probado que, a fines de 2014, Yahoo había conocido una violación cibernética masiva por parte de piratas informáticos asociados con la Federación de Rusia,  valorando que afectó a más de 500 millones de cuentas de usuario (robos de datos, accesos no autorizados, sustracción de cientos de millones de datos de sus clientes, entre ellos nombres de usuario, fechas de nacimiento y números de teléfono).
  • La Resolución de la SEC en este caso estableció que  «La alta gerencia y el personal competente no evaluaron adecuadamente el alcance, el impacto comercial o las implicaciones legales de la infracción, incluido cómo y dónde debería haberse comunicado en las difusiones públicas de Yahoo o si el hecho de la infracción se podría traducir en publicidad engañosa … Además, los equipos legales y de alta gerencia de Yahoo no compartieron información sobre la violación con los auditores de Yahoo o abogados externos para evaluar las obligaciones de divulgación de la compañía… Yahoo no mantuvo controles y procedimientos de divulgación diseñados para garantizar que los informes del equipo de seguridad de la información de Yahoo que plantean incidentes reales de robo de datos de usuario o el riesgo significativo de robo de datos de usuario, recibiesen la debida atención… 
  • Añadió el supervisor que cuando dos años más tarde, ya en septiembre de 2016, la compañía emitió un comunicado de prensa en el que revelaba la violación de datos, comunicado que adjuntó como anexo a un Formulario 8-K dirigido a la SEC en aquel momento, la cotización y valor en bolsa de Yahoo descendió en casi  $ 1.3 mil millones en un día, lo que dejaba claro el grave impacto de la noticia (ocultada  durante dos años) sobre los inversores. Más sobre este asunto aquí 

Los anteriores asuntos permiten establecer que, sin perjuicio de que se está avanzando en Estados Unidos en desarrollos regulatorios específicos en el ámbito de la ciberseguridad, la práctica supervisora ya ha decantado la aplicación al ámbito tecnológico y de ciberseguridad de los controles de transparencia respecto de fallos en la ciberseguridad.

 

Más sobre estas cuestiones:

 

Sanción de 225 M€ a WhatsApp por violación del Reglamento General de Protección de Datos. Irlanda /UE/SEPD

Posted on por

La Comisión de Protección de Datos de Irlanda (Ireland’s Data Protection Commission) (IDPC) impuso recientemente una sanción de 225 millones de euros a WhatsApp Ireland Ltd (“WhatsApp”)  por  falta de transparencia en  sus prácticas de tratamiento de datos de usuarios, que no cumplirían las exigencias de los artículos 12-14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD).

 

Las investigaciones iniciales

Lariño

El IDPC había iniciado formalmente sus investigaciones sobre WhatsApp el 10 de diciembre de 2018, tras recibir quejas respecto a las actividades de tratamiento de datos de WhatsApp, así cómo una solicitud de asistencia mutua de la Autoridad Federal de Protección de Datos de Alemania (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) a efectos  del cumplimiento del RGPD por parte de WhatsApp. Con todo, formalmente el expediente se abrió «a iniciativa propia» por parte del IDPC. La investigación del supervisor irlandés se centró en averiguar si WhatsApp había cumplido con sus obligaciones de transparencia conforme al RGPD,  particularmente en lo que respecta al  tratamiento de datos personales de los usuarios de la aplicación de mensajería (e incluso de titulares no usuarios ya que WhatsApp permite cargar números de no usuarios, si el usuario actualiza sus contactos); y a su intercambio con otras entidades del Grupo Facebook (recuérdese que Facebook adquirió WhatsApp en 2014). Como  consecuencia de esta investigación del IDPC, este organismo hizo público un borrador de decisión sancionadora que notificó a las Autoridades Supervisoras Competentes (CSAs) de la UE conforme a lo que exige el artículo del 60RGPD.

En su propuesta de sanción, el IDPC había identificado infracciones de los artículos 12-14 del RGPD por parte  WhatsApp, con respecto a los usuarios y a no usuarios, determinando que WhatsApp no les había proporcionado información suficientemente clara, transparente o adecuada sobre sus actividades de tratamiento. Fundamentalmente, el IDPC consideró que WhatsApp no había identificado con suficiente detalle la base jurídica para cada actividad de tratamiento, como lo requiere el Artículo 13 (1) (c) del RGPD. Y,  con respecto a las transferencias de datos personales a jurisdicciones fuera del EEE, determinó que la declaración de WhatsApp de que las transferencias «pueden» basarse en determinaciones de adecuación era insuficiente para cumplir con el Artículo 13 (1) (f) del RGPD. En este último aspecto, según la propuesta de resolución sancionadora WhatsApp debería haber identificado con concreción si existía o no una decisión de adecuación para respaldar la transferencia de categorías específicas de datos, y  determinó que la declaración de WhatsApp de que las transferencias «pueden» basarse en determinaciones de adecuación era insuficiente para cumplir con el artículo 13 (1) (f) del RGPD: WhatsApp debería haber identificado si existía o no una decisión de adecuación para respaldar la transferencia de categorías específicas de datos y no limitarse a una afirmación vaga.

Previamente a la notificación a otras CSAs, en diciembre de 2020, el IDPC había propuesto una multa de (30-50 millones €). Pero, fue objetada por ocho de las CSAs que recibieron la notificación, el asunto alcanzó al Supervisor Europeo de Protección de Datos, y la sanción finalmente impuesta  por el IDPC es de 225 millones €.

La intervención del Supervisor Europeo de Protección de Datos (SEPD)

Debido a la naturaleza transfronteriza de las actividades de tratamiento y trasferencia de datos de WhatsApp, el proyecto de decisión de la IDPC fue revisado por otras autoridades de supervisión relevantes, conforme al mecanismo de cooperación y coherencia del Capítulo VII del RGPD. Y , las objeciones formuladas  se remitieron al  Supervisor Europeo de Protección de Datos («SEPD»), de acuerdo con el procedimiento de resolución de disputas establecido en el artículo 65 (1) (a) del RGPD. Este último organismo ha adoptado una posición más estricta que el IDPC

El SEPD se opuso a la propuesta del IDPC. Frente a la opinión inicial de éste, que consideraba que WhatsApp había cumplido el ordenamiento sobre tratamiento de datos ( Artículo 13 (1) (d) del RGPD), el SEPD recordó, por el contrario, que el operador de mensajería instantánea debería haber identificado el interés específico para cada actividad de tratamiento relevante, para así garantizar que los interesados puedan ejercer los derechos que les asisten en virtud del RGPD. El SEPD también señaló que el efecto acumulativo de los incumplimientos por parte de WhatsApp tenía como consecuencia la violación del principio de transparencia contemplado en el Artículo 5 (1) (a) del RGPD, debido «a la “gravedad , la reiteración y el impacto de las infracciones». Y, en virtud de ello consideró que se había producido un incumplimiento adicional a lo establecido por la IDPC.

Por otra parte y con respecto a la cuantía de la multa inicialmente propuesta por la IDPC, la SEPD determinó que debería haberse tenido en cuenta  la facturación consolidada de Facebook Inc., matriz de WhatsApp. Además, si bien el IDPC había propuesto un compromiso único y conjunto a Facebook y WhatsApp en su proyecto de decisión, el SEPD recordó que según la jurisprudencia del TJUE ( Akzo Nobel and Others v Commission, (C-97/08 P, jsentencia de 10 septiembre 2009), cuando una empresa matriz y su filial conforman una unidad, a efectos de categorizar la infracción (aunque haya sido directamente cometida por la filial), debe tenerse en cuenta el volumen de negocios total de las empresas que componen la unidad, pues es éste el que determina la capacidad financiera de lo que , a estos efectos, se considera una empresa unitaria. El SEPD también consideró que el volumen de negocios consolidado era relevante para el cálculo de la multa en sí, no solo para garantizar que la multa no excediera los límites establecidos en el artículo 83 (4) – (6) del RGPD (lo que si respetaba lo propuesto por el IDPC), sino para que las sanciones sean  efectivas, proporcionadas y tengan efecto disuasorio.

Además, el SEPD aclaró que cuando se hayan cometido múltiples infracciones en el contexto de una misma o varias actividades de tratamiento vinculadas, todas esas infracciones deben tenerse en cuenta en el cálculo de la multa correspondiente a los efectos del artículo 83, apartado 3, del RGPD. Con el límite de que la sanción total no debe exceder la cantidad especificada para la infracción más grave.

Finalmente, el SEPD sostuvo que WhatsApp debe cumplir con sus actividades de tratamiento en un plazo de tres meses, a diferencia del período de tiempo original de seis meses propuesto por el IDPC, dada la importancia primordial del cumplimiento del principio de transparencia consagrado en el  RGPD. WhatsApp también debe actualizar sus avisos de privacidad para usuarios y no usuarios para incluir la información requerida en virtud de los artículos 13 y 14 del RGPD, incluso para aclarar cómo estos pueden  presentar una queja ante una autoridad supervisora con respecto a las actividades de tratamiento de WhatsApp.

La Decisión vinculante del SEPD y la Resolución sancionadora del IDPC

El 28 de julio de 2021, el SEPD adoptó una Decisión vinculante que fue notificada al IDPC. La Decisión del SEPD contenía instrucciones exigiendo al IDPC que procediese a una nueva valoración y que incrementase la sanción. Consecuencia de todo lo anterior, la multa efectivamente impuesta por el IDPC a WhatsApp Ireland Ltd y anunciada el 2 de septiembre de 2021 asciende a 225 millones € .

Junto con la sanción, el supervisor irlandés ha advertido a WhattsApp sobre la importancia de  reformar sus mecanismos de tratamiento de texto.

Aunque en su resolución, la IDPC concede a WhatsApp un plazo de 6 meses para adaptarse al RGPD, WhatsApp ha manifestado su intención de recurrir judicialmente

OCDE. Informe sobre Inteligencia Artificial y Machine Learning

Posted on por
Lariño

Lariño

La OCDE aborda en este informe los fenómenos de Machine Learning – ML-, Big Data o Inteligencia Artificial -IA-,  con sus aplicaciones en el ámbito financiero.

El entorno tecnológico digitalizado se une, principalmente en los planos de la captación y análisis de información y de la adopción automatizada o semi automatizada de decisiones de ejecución, para poner en marcha prácticas que en muchos casos ya eran conocidas, pero cuyas consecuencias se intensifican.

Así, por ejemplo el spoofing , práctica ilícita de manipulación del mercado que consiste en hacer ofertas de compra o de venta de valores o materias primas con la intención de cancelar las ofertas antes de la ejecución de la operación ya era posible antes del comercio algorítmico, pero alcanzó mayor notoriedad con el HST (High Speed Trading).  O, con las técnicas de IA y de ML que se aplican en la gestión de activos y en la actividad de compra en los mercados, o para casar activos con órdenes, o para identificar señales y relaciones subyacentes en los grandes datos: No dejan de reproducir operaciones que ya eran conocidas antes, pero que ahora se realizan a velocidad muy superior y con retroalimentación automatizada que permite extraer conclusiones más precisas y en tiempos muy inferiores sin intervención humana. En conjunto este Informe ofrece perspectivas muy útiles sobre las tecnologías digitalizadas en todo el sistema financiero y en el de valores y mercados.

Fortaleza digital en el sector financiero y protección de datos. A propósito del dictamen del Supervisor Europeo de Protección de Datos

Posted on por

Se comenta en esta entrada  un reciente dictamen del Supervisor Europeo de Protección de Datos sobre la Propuesta DORA, con las objeciones formuladas por este supervisor especialmente en el ámbito de la gobernanza interna de datos en las instituciones financieras, de las notificaciones de incidentes a las autoridades y de la trasferencia internacional de datos

El 24 de septiembre de 2020, la Comisión Europea adoptó una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014, que ya ha sido objeto de comentarios en este blog (aquí). Como es sabido, esta Propuesta DORA forma parte de un paquete de medidas que incluye también una Propuesta de Reglamento relativo a los mercados de criptoactivos (el «Reglamento MiCA»), una propuesta sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado  y una Propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros. Actualmente, la Propuesta DORA está siendo objeto de análisis y debate en el Consejo

Y, en este contexto, el Supervisor Europeo evacuó recientemente un Dictamen preceptivo en el procedimiento prelegislativo correspondiente.,

By M.A. Díaz

  • En el texto del Dictamen, el SEPD recuerda que cualquier operación de tratamiento de datos, en el contexto de las actividades de las entidades financieras a las que se dirige la Propuesta DORA  debe tener como referente   los requisitos de protección de datos conforme al RGPD y en particular su artículo 6, como condición básica para asegurar la salvaguardia de los derechos individuales.
    • Con carácter general, ello implica que las entidades financieras deberían incorporar a su marco de resiliencia operativa digital mecanismos específicos y sólidos de gobernanza de protección de datos. Ello incluiría sistemas para la determinación de las funciones y las responsabilidades del responsable y del encargado del tratamiento de datos, así como de las actividades de tratamiento que tendrán lugar.
    • Más en particular, considera el SEPD que el sector financiero debe adoptar códigos de conducta conformes al art 40 RGPD en los que se diseñen y delimiten las funciones relativas al tratamiento de datos, así como los procesos de tratamiento justo y transparente
  • Dado que en el ámbito de las entidades financieras tienen lugar procesos de almacenamiento de datos, incluidos datos relativos a multas y sanciones, el SEPD recuerda que el principio de limitación del almacenamiento requiere que los datos personales se conserven solo durante el tiempo necesario para los fines para los que se hayan recogido. Por ello, y más concretamente,  recomienda a las entidades financieras que adopten medidas para garantizar que la información sobre las multas administrativas se elimine de su sitio web una vez transcurridos cinco años, o antes si ya no es necesaria. Y, de modo relacionado, en relación con la publicación de multas administrativas,  recomienda incluir entre los criterios que deba valorar la autoridad competente, los riesgos para la protección de los datos personales de las personas físicas.

 

  • En cuanto a la notificación de incidentes graves, el SEPD formula la sugerencia de incluir a las autoridades de protección de datos entre las que directamente reciban estas notificaciones. Así, el SEPD señala que, en su entender, la redacción del considerando 42 de la Propuesta sería incompatible con el artículo 33 del RGPD. Por ello, recomienda eliminar la referencia a las autoridades de protección de datos del considerando 42 de la Propuesta que las sitúa como receptoras indirectas de las notificaciones, y modificar el artículo 17 para incluir una  obligación de notificación  directa de vulneraciones de la seguridad de los datos a las autoridades de materia de protección de datos.
      • Este considerando 42, en la redacción inicial de la Comisión Europea establece que: «Las consecuencias importantes de los ciberataques se amplifican cuando se producen en el sector financiero, un ámbito que corre mucho más riesgo de ser blanco de propagadores malintencionados que persiguen obtener beneficios financieros directamente en la fuente. Para mitigar tales riesgos y evitar que los sistemas de TIC pierdan integridad o dejen de estar disponibles, y que se vulneren datos confidenciales o que las infraestructuras físicas de TIC sufran daños, debe mejorarse significativamente la notificación de incidentes graves relacionados con las TIC por parte de las entidades financieras. La notificación de incidentes relacionados con las TIC debe armonizarse para todas las entidades financieras exigiéndoles que informen únicamente a sus autoridades competentes. Aunque todas las entidades financieras estarían sujetas a esta notificación, no todas ellas deberían verse afectadas de la misma manera, ya que los umbrales de importancia relativa y los plazos pertinentes deben calibrarse para reflejar únicamente los incidentes graves relacionados con las TIC. La notificación directa permitiría a los supervisores financieros acceder a información sobre incidentes relacionados con las TIC. No obstante, los supervisores financieros deben transmitir esta información a las autoridades públicas no financieras (autoridades competentes en materia de SRI, autoridades nacionales de protección de datos y autoridades policiales o judiciales en caso de incidentes de carácter delictivo). La información sobre incidentes relacionados con las TIC debe canalizarse mutuamente: los supervisores financieros deben proporcionar a la entidad financiera todas las observaciones u orientaciones necesarias, mientras que las AES deben compartir datos anonimizados sobre amenazas y vulnerabilidades relacionadas con un determinado suceso para contribuir a una defensa colectiva más amplia». Pues bien, frente a esta redacción, el art 33 del RGPD establece la obligación del responsable de tratamiento de notificar a la autoridad de control de datos, en caso de violación de la seguridad de los datos personales, sin dilación indebida y, de ser posible, a
        72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Añade el art 33 RGPD que si la notificación a la autoridad de control no se efectuase en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos del retraso.
      • Por lo que respecta al art 17 de DORA en su redacción inicial, alude a la notificación directa de incidentes, sin contemplar entre las autoridades receptoras de las notificaciones a las de protección de datos, circunstancia que el SEPD sugiere subsanar
  • En relación con las transferencias internacionales a proveedores terceros de servicios de TIC establecidos en un tercer país, el SEPD recuerda que toda transferencia internacional de datos personales debe cumplir con los requisitos del capítulo V del RGPD con arreglo a su interpretación en la jurisprudencia del TJUE, incluida la sentencia en Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (C-311/18), también conocido simplemente como Schrems II. El TJUE declaró es esa sentencia  la invalidez de la decisión de adecuación relativa al Privacy Shield (escudo de Privacidad) mientras que legitimó las transferencias al amparo de las cláusulas contractuales tipo (Standard Contractual Clauses) aprobadas  por la Comisión Europea. Las consideraciones del fallo  impactan en las transferencias de datos desde los Estados miembros de la Unión Europea a países fuera del bloque comunitario, incluyendo aquellos en América y, especialmente, a los que no han obtenido una decisión de adecuación.
    • Como es sabido, la Unión Europea ha adoptado un sistema de regulación horizontal a través del cual se aprobaron normas generales comprehensivas en materia de protección de datos personales que alcanzan a todas las actividades e industrias. Tal fue el caso de la anterior Directiva 95/46 y su sucesor el RGPD. Estas normas presentan restricciones a las transferencias internacionales de datos a países que no cuenten con normativa considerada adecuada. Por el volumen de relaciones comerciales con  Estados Unidos de América  resultó necesario tener en cuenta que en este país se carece de una norma general en materia de protección de datos personales, aunque existen  regulaciones sectoriales que tratan esta materia y normas de algunos estados que han legislado en materia de privacidad, como es el caso de California. La ausencia de una norma federal ha sido el disparador para que ambos bloques tuvieran que negociar arreglos que permitieran la transmisión de datos. El primero de ellos dio lugar a los principios reconocidos como Safe Harbor o Puerto Seguro, adoptados por el Departamento de Comercio de los Estados Unidos,  un sistema de autorregulación al cual las empresas en ese país podían adherir, comprometiéndose a respetar ciertas reglas establecidos en su texto. La Comisión Europea declaró adecuado este sistema en el año 2000, mediante su (hoy derogada) Decisión de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América
    • Sin embargo, pronto se vio que el mecanismo de Puerto Seguro planteaba incongruencias que fueron sancionadas por el TJUE en la relevante sentencia Schrems II.
      • Concretamente,  el Sr Schrems inició una reclamación contra Facebook Irlanda por considerar que la plataforma social violaba los derechos de intimidad y protección de datos personales de los usuarios. Se basaba el reclamante en que los datos eran transferidos desde Irlanda a servidores localizados en Estados Unidos, en donde eran procesados y utilizados por Facebook Inc. Y, sucedía que en Estados Unidos, los datos podían están sujetos a un control estatal por parte de las agencias de investigación gubernamentales, práctica que podía afectar los derechos de los titulares de datos europeos. En efecto, Facebook Ireland explicó que una gran parte de los datos personales se transfería a Facebook Inc., basándose en cláusulas tipo de protección de datos.
      • Schrems cuestionó la compatibilidad del ordenamiento europeo de datos con el Derecho estadounidense que obligaba a la matriz, Facebook Inc., a poner los datos personales recibidos de sus filiales europeas (en este caso de la irlandesa), a disposición de las autoridades estadounidenses, como la National Security Agency (NSA) y la Federal Bureau of Investigation (FBI) . Y, que esos datos eran utilizados en programas de vigilancia de las autoridades estadounidenses, en modo incompatible con las normas europeas. Por ello, consideró que  el ordenamiento europeo no amparaba la transferencia de esos datos a los Estados Unidos y solicitó al regulador de Irlanda que prohibiese o suspendiese la transferencia de sus datos personales a Facebook Inc.
      • La autoridad irlandesa de protección de datos inició un procedimiento ante el Tribunal Superior de Irlanda y éste elevó una cuestión prejudicial al Tribunal de Justicia Europeo sobre la interpretación de las disposiciones que validan las transferencias internacionales al amparo de las cláusulas contractuales tipo y el  Safe Harbor.
      • El  TJUE validó las transferencias internacionales al amparo de las cláusulas contractuales tipo, pero, declaró inválido al Safe Harbor. Es decir, consideró que las cláusulas contractuales tipo son una alternativa válida para legitimar la transferencia a países que no posean legislación adecuada. Sin embargo, en su interpretación estableció que estas cláusulas obligan a las partes a  un control activo de la normativa del país de destino, para garantizar que los compromisos asumidos en el contrato no se vean frustrados por las regulaciones del ordenamiento de destino, imposibilitando su cumplimiento. En cambio, sentenció que el Safe Harbor no proporciona una adecuada protección y, por lo tanto, no puede ser entendido como un instrumento que avale la transferencia internacional desde la Unión Europea a los Estados Unidos.
      • La declaración de invalidez del Safe Harbor se basó en dos cuestiones principales. Por una parte que las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización por las autoridades estadounidense de los datos transferidos (principalmente en el marco de investigaciones por las fuerzas de seguridad estatales) no responden a las exigencias en situaciones equivalentes requeridas en el Derecho de la Unión Europea. Además, subrayó el TJUE, en lo que se refiere a la tutela judicial, que los ciudadanos europeos no tienen acceso a los mismos recursos de los que disponen los nacionales estadounidenses contra el tratamiento de datos personales por parte de las autoridades de aquel país. Es por ello que el TJUE resuelve declarar la invalidez del Safe Harbor como recurso para las transferencias internacionales.El TJUE declaró inválidas las transferencias internacionales a los Estados Unidos con base en el Safe Harbor. Esta anulación derivó en  un nuevo mecanismo para legitimar las transferencias internacionales de datos que concluyeron en la aprobación del Privacy Shield consensuado por el Departamento de Comercio de los Estados Unidos y las autoridades europeas que  dotaba a los ciudadanos europeos de mayores resortes para resguardar sus derechos. En el año 2016 la Comisión Europea declaró válidas las transmisiones de datos  certificadas bajo el régimen del Privacy Shield (Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.)
      • El Privacy Shield se basa en un sistema de autocertificación por el que las entidades estadounidenses se comprometen a cumplir  principios de protección de la vida privada —a saber, los principios marco del Escudo de la privacidad UE-EE. UU., incluidos los principios complementarios  establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.. Se aplica tanto a los responsables como a los encargados del tratamiento. Y los encargados deben estar obligados contractualmente a actuar únicamente siguiendo instrucciones del responsable del tratamiento de la UE y asistirle a responder a las personas físicas que ejerzan sus derechos en caso de transferencia internacional de datos.
      • Frente al mecanismo de puerto seguro, el Privacy Shield obliga a las entidades  responsables de la trasferencia internacional de dato a EEUU a  establecer mecanismos de recurso a los particulares afectados por potenciales incumplimientos de modo que los interesados de la UE puedan presentar reclamaciones en relación con el incumplimiento por parte de entidades autocertificadas de EE. UU. Y, a que se resuelvan estas reclamaciones, mediante una resolución que conceda un recurso efectivo

Primavera, by M.A. Díaz

  • Finalmente, el SEPD recomienda modificar el artículo 23, apartado 2, de la Propuesta relativo a pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC basadas en pruebas de penetración guiadas por amenazas, para asegurar que no se puedan realizar pruebas, desarrollo de productos o investigaciones de los sistemas de TIC en sistemas de producción activos que contengan datos personales de clientes.

 

 

El contenido del Dictamen responde a las competencias que el SEPD tiene atribuidas. Las entidades financieras que quedarán sometidas a DORA en caso de aprobarse, estarán sujetas también al RGPD. Y desde esa perspectiva el Dictamen comentado podría resultar redundante. Sin embargo, no deja de constituir una referencia y una llamada de atención sobre el doble sometimiento, caso de que finalmente las consideraciones contenidas en él no resultasen incorporadas en la Directiva Digital Resilience.