STJUE, elaboraci贸n de perfiles crediticios y decisiones apoyadas en actos o hechos automatizados

La聽Sentencia del Tribunal de Justicia (Sala Primera) de 7 de diciembre de 2023, OQ contra Land Hessen (asunto C-634/21) resulta de especial inter茅s para la protecci贸n de datos en las decisiones apoyadas en la automatizaci贸n. Esta STJUE responde a una Petici贸n de decisi贸n prejudicial planteada por el Verwaltungsgericht Wiesbaden, y resultar谩 influyente en relaci贸n con los retos de la digitalizaci贸n y de la IA.

Los hechos subyacentes giran en torno a la influencia de las decisiones de una agencia de rating聽que elabora perfiles crediticios de consumidores. Concretamente,聽 SCHUFA era una empresa dedicada a facilitar informaci贸n sobre la solvencia (scoring) de los consumidores. Para realizar sus an谩lisis se apoyaba en procedimientos matem谩ticos y estad铆sticos, mediante los que clasificaba a las personas f铆sicas en atenci贸n a su comportamiento pasado e infer铆a la probabilidad de comportamientos futuros similares (generaci贸n de valor de probabilidad) .

Entre los clientes de SCHUFA se encontraban entidades financieras del sector de cr茅dito a consumidores.

En el asunto analizado, una persona f铆sica cuya solicitud de pr茅stamo fue negada por uno de los clientes de SCHUFA (sobre la base del scoring proporcionado por 茅sta) ejerci贸 su derecho de acceso a datos ante esta evaluadora de calidad crediticia. Pero SCHUFA le facilit贸 s贸lo informaci贸n gen茅rica y se neg贸 a divulgar los distintos datos que ten铆a del afectado, as铆 como la ponderaci贸n de estos que hab铆a realizado en forma de valores de probabilidad. La negativa de SCHUFA se apoyaba en que quien hab铆a denegado el cr茅dito eran sus clientes, y no la propia entidad (y al amparo de la legislaci贸n alemana s贸lo se regula el 芦uso禄 del valor de probabilidad, pero no su generaci贸n).

El tribunal alem谩n pregunt贸 si la actividad de SCHUFA deb铆a entenderse sometida al art 22 RGPD,聽 dado que no era ella la que adoptaba la 芦decisi贸n automatizada禄, sino que s贸lo genera el valor de probabilidad. Y esta pregunta se vert铆a para conocer si SCHUFA estaba o no obligada a dar acceso al afectado

Roset贸n Sur. Pulchra Leonina

En esta sentencia el TJUE record贸 que聽 el art 22 RGPD protege a las personas contra los riesgos espec铆ficos que afecten a sus intereses y derechos leg铆timos, en particular el derecho a no ser discriminados. Establece lo que es una 芦decisi贸n individual禄 sometida al art 22, que debe entenderse en sentido amplio. Y aclara que cuando el valor de probabilidad es generado por una agencia de informaci贸n comercial / crediticia. Y cuando as铆 es comunicado a un banco o entidad que concede cr茅ditos, y desempe帽a un papel determinante en la concesi贸n de un cr茅dito, la generaci贸n propiamente dicha de ese valor de probabilidad聽 es una decisi贸n que produce 芦efectos jur铆dicos禄 en un interesado o que聽 le afecta significativamente de modo similar

    • Conforme al TJUE las garant铆as del RGPD abarcan actos, hechos o datos que sustentan las decisiones automatizadas, como los perfiles o ponderaciones automatizadas que han estado en la base de la decisi贸n finalmente adoptada. Por ello, a pesar de que formalmente la decisi贸n se adopte por otra entidad o haya pasado por un proceso de aparente decisi贸n humana, si el componente automatizado es determinante, no puede considerarse como excluido de las garant铆as exigidas en el RGPD.
    • El concepto de 芦decisi贸n禄 聽no est谩 restringido a聽 los actos que producen efectos jur铆dicos directos en un interesado, sino que abarca tambi茅n hechos que cuya influencia en la decisi贸n que finalmente se adopta es relevante. Un ejemplo de esa influencia es la que se dilucidaba en esta sentencia, es decir, la denegaci贸n de una solicitud de cr茅dito en l铆nea (por estar apoyada en un tratamiento automatizado de datos de solvencia)
    • El concepto amplio de 芦decisi贸n禄 incluye la elaboraci贸n de perfiles cuyo valor de probabilidad produce 芦efectos jur铆dicos禄 sobre la decisi贸n final (aqu铆 la concesi贸n o no concesi贸n de un cr茅dito) cuando esa decisi贸n final se base de un modo determinante en ese valor de probabilidad.聽 Lo que es m谩s, la 聽generaci贸n del valor de probabilidad no es 煤nicamente un acto preparatorio; sino que es un acto de tratamiento de datos al que el interesado tiene derecho de acceso.

Por tanto, y teniendo en cuenta que el聽 RGPD establece el derecho de las personas a no ser objeto de una decisi贸n basada 煤nicamente en un tratamiento automatizado, la聽 generaci贸n de un valor de probabilidad聽 o rating (en este caso en relaci贸n con el cr茅dito de las personas f铆sicas) queda comprendido en el 谩mbito de aplicaci贸n del RGPD .聽 Ello implica que est谩 prohibida la adopci贸n de decisiones crediticias apoyadas 煤nicamente en el tratamiento automatizado.聽 La prohibici贸n alcanza a los tratamientos automatizados efectuados por terceros, cuando influyen determinantemente en la decisi贸n final.聽 Aunque, quedan excluidas de la prohibici贸n las decisiones amparadas en alguna de las excepciones previstas en la norma, que se cumplan los requisitos espec铆ficos establecidos en el RGPD.

La cuesti贸n prejudicial giraba tambi茅n sobre el margen de regulaci贸n nacional sobre el art铆culo 22, por la posible actuaci贸n excesiva del legislador alem谩n, al someter la generaci贸n de valor de probabilidad a requisitos de licitud m谩s estrictos que el RGPD. Y es que, conforme al art铆culo 22, el Derecho nacional puede autorizar decisiones automatizadas y, para ello, establecer medidas adecuadas. Y debe legitimar en casos particulares el tratamiento de categor铆as especiales de datos del art铆culo 9.

G贸tico
      • La STJUE recuerda que el legislador nacional 芦debe establecer medidas adecuadas禄 en el 谩mbito del art 22 pero adem谩s queda vinculado por los art铆culos 5 (principios) y 6 (legitimaci贸n).
      • En cambio, trat谩ndose de una norma europea de m谩ximos, los Estados no est谩n facultados para establecer normas complementarias ni pueden apartarse de las exigencias que resultan de la jurisprudencia.
      • En este caso concreto, es el juez nacional es quien debe comprobar que la regulaci贸n nacional es acorde con las exigencias del Reglamento

 

M谩s:

 

Actualizando – a prop贸sito de la ciberseguridad en mercados de valores. EEUU

Con motivo de una intervenci贸n , estos d铆as, en el I Encuentro INCIBE de Acad茅micos聽 en materia de Ciberseguridad y Derecho, se retoma y actualiza una antigua entrada de agosto de 2017

Dec铆amos que en EEUU la Regulation Systems Compliance and Integrity , RSCI un reglamento que hab铆a sido aprobado por la Securities and Exchange Commission, SEC, en 2014. El objetivo principal del RSCI es lograr un funcionamiento seguro de los sistemas tecnol贸gicos de los 聽芦participantes clave del mercado禄. La RSCI fue objeto de atenci贸n medi谩tica y constituy贸 una respuesta a los incidentes y fallos en la seguridad y funcionamiento de sistemas inform谩ticos que hab铆an sido comunicados, o que se hab铆an hecho evidentes. De modo muy particular responde a los que condujeron al llamado flash 芦crash禄 de 6 de mayo de 2010.聽

La SEC ya -antes de 2015- contaba con una l铆nea de pol铆tica estrat茅gica de seguridad basada en principios voluntarios (Pol铆tica de Revisi贸n de la Automatizaci贸n, ARP) , que inclu铆a inspecciones de vigilancia tecnol贸gica. Adem谩s, la Government Accountability Office hab铆a recomendado introducir normas obligatorias, as铆 como mayores controles y supervisi贸n de los sistemas inform谩ticos con incidencia en la actividad de los mercados. La RSCI avanza en esa l铆nea:

    • Los sistemas de cumplimiento y de integridad a los que refiere a RSCI consisten en mecanismos inform谩ticos y procedimientos pautados que se utilizan en procesos digitales desarrollados en los centros de negociaci贸n y en su entorno. Se despliegan sobre la negociaci贸n, la liquidaci贸n, el enrutamiento de ordenes, los datos operativos y de supervisi贸n de mercado, entre otros.
    • La RSCI impone que las entidades aprueben pol铆ticas y pongan en marcha procedimientos escritos para proteger su capacidad operativa (incluyendo pruebas regulares para identificar fallos y amenazas). Deben garantizar que cuentan con 芦niveles de capacidad, integridad, resiliencia, disponibilidad y seguridad adecuados para mantener su capacidad operativa, y para interactuar en mercados ordenados鈥. Se les impone, adem谩s, estrictas obligaciones de notificaci贸n al supervisor de mercados (SEC), y de difusi贸n de informaci贸n entre sus propios administradores y altos ejecutivos, y entre 聽los miembros o partes que se relacionen con la entidad, adem谩s de deberes de registro de los incidentes y de las medidas de cumplimento.
    • El vigente Reglamento exige a las entidades sujetas, entre otras cosas: disponer de pol铆ticas y procedimientos exhaustivos dise帽ados razonablemente para garantizar que sus sistemas tengan los niveles de capacidad, integridad, resistencia, disponibilidad y seguridad adecuados para mantener la capacidad operativa y promover el mantenimiento de unos mercados justos y ordenados; adoptar las medidas correctivas apropiadas en respuesta a los problemas de los sistemas; proporcionar notificaciones e informes a la Comisi贸n dise帽ados para facilitar la supervisi贸n de la tecnolog铆a del mercado de valores; difundir informaci贸n sobre los problemas de los sistemas a las partes afectadas; realizar una revisi贸n anual de las pol铆ticas y procedimientos de las entidades sujetas. Estas entidades tambi茅n tendr谩n que realizar pruebas coordinadas de continuidad de la actividad y pruebas de recuperaci贸n en caso de cat谩strofe (BC/DR), sobre ambas tendr谩n que crear, mantener y conservar registros.
    • En relaci贸n con los marcos tecnol贸gicos, como no exist铆an referencias tecnol贸gicas totalmente fiables se presume que son seguras las disposiciones que se vayan aprobando para el sector financiero por el gobierno de los Estados Unidos u otra 芦organizaci贸n ampliamente reconocida鈥
Paraninfo Gord贸n Ord谩s. Universidad de Le贸n

Actualmente el RSCI entrado en un proceso de reforma: En 2023 la SEC propuso modificaciones al RSCI de la Securities Exchange Act de 1934 (芦Exchange Act禄),聽 cuyo resumen puede consultarse aqu铆

Las modificaciones propuestas ampliar铆an la definici贸n de 芦entidad sujeta禄 para incluir una gama m谩s amplia de participantes en las infraestructura del mercado de valores de Estados Unidos, y actualizar铆an ciertas disposiciones del RSCI para tener en cuenta la evoluci贸n del panorama tecnol贸gico de los mercados:

      • La ampliaci贸n propuesta a帽adir铆a las siguientes entidades: los depositarios de datos de permutas financieras basadas en valores (芦SBSDR禄, por sus siglas en ingl茅s) registrados; los intermediarios registrados que superen un umbral de activos o de actividad de operaciones; y las agencias de compensaci贸n adicionales exentas de registro. Los agentes de bolsa registrados ante la Comisi贸n en virtud de la Secci贸n 15(b) que superen un umbral de activos totales o un umbral de actividad de transacci贸n en acciones NMS, opciones cotizadas en bolsa, valores del Tesoro de EE.UU. o valores de la Agencia; y – Todas las agencias de compensaci贸n exentas de registro.
      • Adem谩s, las actualizaciones propuestas modificar铆an las disposiciones del Reglamento en relaci贸n con : (i) la clasificaci贸n de sistemas y la gesti贸n del ciclo de vida; (ii) la gesti贸n de terceros/proveedores; (iii) la ciberseguridad; (iv) la revisi贸n de la SCI; (v) el papel de las normas industriales actuales; y (vi) el mantenimiento de registros y asuntos relacionados.聽 Sin olvidar que la Comisi贸n ha solicitado comentarios al p煤blico sobre si otras entidades, como los intermediarios que utilizan sistemas electr贸nicos o automatizados para la negociaci贸n de valores de deuda corporativa o valores municipales, deben estar sujetos al Reglamento.
      • Otras obligaciones que se imponen , de aprobarse la propuesta de reforma, obligan a especificar que las pol铆ticas y procedimientos requeridos de una entidad sujeta incluyen: o bien un programa de inventario, clasificaci贸n y gesti贸n del ciclo de vida de los sistemas SCI y los sistemas SCI indirectos; o bien un programa para gestionar y supervisar a terceros proveedores, incluidos los proveedores de servicios en la nube, que proporcionen o soporten sistemas SCI o SCI indirectos. Tambi茅n, como se indic贸 antes, que cuenten con Planes de resistencia y recuperaci贸n (BC/DR) y que 茅stos prevean la respuesta para supuestos en los que la indisponibilidad de cualquier proveedor externo sin el cual habr铆a un impacto material en los sistemas SCI cr铆ticos; o un programa para evitar el acceso no autorizado a los sistemas SCI y a la informaci贸n en ellos contenida.

Entradas relacionadas:

 

Ciberseguridad en mercados de valores (III) Guia IOSCO de resiliencia cibern茅tica de infraestructuras mercados. Y, otras gu铆as y propuestas

Ciberseguridad, orientaciones para empresas cotizadas. Antecedentes, a la espera de la reforma normativa en Estados Unidos

Ciberseguridad en mercados de valores (I). Cooperaci贸n internacional y flexibilidad

Ciberseguridad en mercados de valores (II). Informe Consejo IOSCO 2016

 

Subasta de datos personales con fines publicitarios: El Tribunal de Justicia aclara las normas sobre subasta en l铆nea instant谩nea y automatizada de perfiles de usuarios para la compraventa de espacios publicitarios en Internet conforme al Reglamento (UE) 2016/679

Las cuestiones fundamentales que trata de despejar el Tribunal de Justicia en esta Sentencia son, fundamentalmente, las siguientes:

    • 驴Conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protecci贸n de las personas f铆sicas en lo que respecta al tratamiento de datos personales y a la libre circulaci贸n de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protecci贸n de datos) (en adelante 芦RGPD禄) constituye un dato personal una cadena de letras y caracteres que capta, de manera estructurada y legible mec谩nicamente, las preferencias de un usuario de Internet relativas al consentimiento de dicho usuario en lo que respecta al tratamiento de sus datos personales? y
    • 驴Qui茅n es 鈥渞esponsable鈥 o 鈥渃orresponsable del tratamiento?

En efecto, a estos extremos se refiere el Tribunal de Justicia en la Sentencia del de 7 de marzo de 2024 en el asunto C-604/22 (IAB Europe), con motivo de una petici贸n de decisi贸n prejudicial planteada conforme al art铆culo 267 TFUE, por el hof van beroep te Brussel (Tribunal de Apelaci贸n de Bruselas, B茅lgica).

Jara en el Bierzo (Le贸n). By M.A. D铆az
Jara en el Bierzo (Le贸n). By M.A. D铆az

Esta petici贸n de decisi贸n prejudicial tiene por objeto la interpretaci贸n de los arts 4, puntos 1 y 7, y 24, apartado 1, del RGPD, y en consonancia con los arts. 7 y 8 de la Carta de los Derechos Fundamentales de la Uni贸n Europea.

Esta petici贸n se present贸 en el contexto de un litigio entre IAB Europe y la Gegevensbeschermingsautoriteit (Autoridad de Protecci贸n de Datos, B茅lgica; en adelante, 芦APD禄) en relaci贸n con una resoluci贸n de la Sala de Controversias de la APD adoptada contra IAB Europe por la presunta infracci贸n de varias disposiciones del RGPD.

IAB Europe es una asociaci贸n sin 谩nimo de lucro, establecida en B茅lgica, que representa a las empresas del sector de la publicidad y del marketing digitales a nivel europeo. Son miembros de IAB Europe tanto empresas pertenecientes al sector publicitario (as铆 editores, empresas de comercio electr贸nico y de marketing e intermediarios) como asociaciones nacionales, entre ellas las IAB (Interactive Advertising Bureau) nacionales, entre cuyos miembros figuran empresas de dicho sector. Y precisamente entre los miembros de IAB Europe se incluyen empresas que generan ingresos importantes mediante la venta de espacios publicitarios en sitios de Internet o en aplicaciones.

IAB Europe ha elaborado el Transparency & Consent Framework (Marco de Transparencia y Consentimiento; en adelante, 芦TCF禄), que es un marco de normas compuesto por directrices, instrucciones, especificaciones t茅cnicas, protocolos y obligaciones contractuales que permiten tanto al proveedor de un sitio de Internet o de una aplicaci贸n como a los intermediarios de datos o incluso a las plataformas publicitarias tratar legalmente los datos personales de un usuario de un sitio de Internet o de una aplicaci贸n.

Idh煤n. 驴Primavera ya? By M.A. D铆az

El TCF pretende fundamentalmente favorecer el cumplimiento del RGPD cuando esos operadores recurren al protocolo Open RTB, uno de los m谩s utilizados para el Real Time Bidding, que es un sistema de subasta en l铆nea instant谩nea y automatizada de perfiles de usuarios para la compraventa de espacios publicitarios en Internet. A la vista de determinadas pr谩cticas realizadas por miembros de IAB Europe en el marco de este sistema de intercambio masivo de datos personales relativos a perfiles de usuarios, IAB Europe present贸 el TCF como una soluci贸n para adaptar el sistema de subastas al RGPD. Y ello teniendo en consideraci贸n que t茅cnicamente cuando un usuario consulta un sitio de Internet o una aplicaci贸n que contiene un espacio publicitario, las empresas de tecnolog铆a publicitaria, y en concreto los intermediarios de datos y las plataformas publicitarias, que representan a miles de anunciantes, pueden pujar en tiempo real, sin ser vistos, por la obtenci贸n de ese espacio publicitario a trav茅s de un sistema de subastas automatizado que utiliza algoritmos, con un objetivo claro: difundir en ese espacio publicidad dirigida adaptada espec铆ficamente al perfil de tal usuario.

Eso s铆, antes de mostrar esa publicidad dirigida, habr谩 de obtenerse el consentimiento del usuario, de forma que cuando 茅ste consulta un sitio de Internet o una aplicaci贸n por primera vez, una plataforma de gesti贸n del consentimiento llamada 芦Consent Management Platform禄 (en adelante, 芦CMP禄) aparece en una ventana emergente en la cual el usuario, puede o bien dar su consentimiento al proveedor del sitio de Internet o de la aplicaci贸n para la recogida y el tratamiento de sus datos personales (localizaci贸n del usuario, edad, historial de b煤squedas y sus compras recientes) con fines previamente definidos -como la comercializaci贸n o publicidad- o para el intercambio de esos datos con determinados proveedores, o bien oponerse a diferentes tipos de tratamiento de datos o al intercambio de dichos datos.

De esta manera, el TCF constituye un marco para un tratamiento de datos personales a gran escala y facilita el registro de las preferencias de los usuarios a trav茅s de la CMP. Posteriormente, estas preferencias se codifican y almacenan en una cadena compuesta por una combinaci贸n de letras y caracteres, designada por IAB Europe con el nombre de Transparency and Consent String(en adelante, 芦TC String禄), que se comparte con intermediarios de datos personales y plataformas publicitarias que participan en el protocolo OpenRTB, para que estos conozcan en qu茅 ha consentido el usuario o a qu茅 se ha opuesto. La CMP coloca tambi茅n una cookie (euconsent-v2) en el dispositivo del usuario. Cuando se combinan, la TC String y la cookie euconsent-v2 pueden vincularse a la direcci贸n IP de ese usuario.

As铆 las cosas, el TCF tiene protagonismo en el funcionamiento del protocolo OpenRTB, pues permite transcribir las preferencias del usuario para su comunicaci贸n a potenciales vendedores y alcanzar diferentes objetivos de tratamiento, particularmente, ofrecer publicidad a medida. El TCF se dirige, principalmente a garantizar a los intermediarios de datos personales y a las plataformas publicitarias el cumplimiento del RGPD a trav茅s de la TC String.

Enumerada las circunstancias que sit煤an estos temas, cabe rese帽ar que las cuestiones prejudiciales a que se debe esta Sentencia del Tribuna de Justicia 聽responden, b谩sicamente, a una serie de hechos que han venido produci茅ndose desde 2019, en relaci贸n con estos temas, que van a describirse a continuaci贸n.

  • La APD ha recibido varias denuncias contra IAB Europe, respecto a la conformidad del TCF con el RGPD, originarias no s贸lo de B茅lgica sino tambi茅n de terceros pa铆ses. Examinadas estas denuncias, la APD, como autoridad de control principal, en el sentido del art. 56, apartado 1, del RGPD, activ贸 el mecanismo de cooperaci贸n y coherencia, derivado de los arts. 60 a 63 de dicho Reglamento, a fin de llegar a una decisi贸n com煤n aprobada conjuntamente por las veintiuna autoridades de control nacionales que participan en este mecanismo. Pues bien, la Sala de Controversias de la APD, por resoluci贸n de 2 de febrero de 2022, declar贸 que IAB Europe actuaba como responsable del tratamiento de los datos personales en relaci贸n con el registro del consentimiento, de las objeciones y de las preferencias de los usuarios individuales a trav茅s de una TC String, la cual, seg煤n la Sala de Controversias de la APD, est谩 asociada a un usuario identificable. Adem谩s, en esa resoluci贸n, la Sala de Controversias de la APD orden贸 a IAB Europe, conforme al art. 100.1, punto 9.潞, de la Ley APD, que adecuara a las disposiciones del RGPD el tratamiento de datos personales efectuado en el marco del TCF y le impuso varias medidas correctoras y una multa administrativa.
  • IAB Europe interpuso recurso contra dicha resoluci贸n ante el hof van beroep te Brussel(Tribunal de Apelaci贸n de Bruselas, B茅lgica). IAB Europe solicita a dicho 贸rgano jurisdiccional que anule la resoluci贸n de 2 de febrero de 2022, oponi茅ndose a que se considere que actu贸 como responsable del tratamiento y, manteniendo adem谩s que, al declarar que la TC String es un dato personal, en el sentido del art铆culo 4.1 del RGPD, dicha resoluci贸n no est谩 suficientemente matizada ni motivada y que es err贸nea. Destaca asimismo IAB Europe que s贸lo los dem谩s participantes en el TCF podr铆an combinar la TC String con una direcci贸n IP para transformarla en un dato personal, que la TC String no es espec铆fica de un usuario y que ella no tiene la posibilidad de acceder a los datos tratados en este contexto por sus miembros. En esta l铆nea de razonamiento argumenta la APD lo siguiente: que las TC Strings constituyen datos personales en la medida en que las CMP pueden vincular las TC Strings a las direcciones IP; que, adem谩s, los participantes en el TCF tambi茅n pueden identificar a los usuarios sobre la base de otros datos; que IAB Europe tiene acceso a la informaci贸n requerida para ello y que esta identificaci贸n del usuario es precisamente la finalidad de la TC String, encaminada a facilitar la venta de la publicidad dirigida. Aparte de esto, la APD manifiesta que el hecho de que IAB Europe deba ser considerada responsable del tratamiento en el sentido del RGPD se desprende de su funci贸n determinante en el tratamiento de las TC Strings. Y junto a ello la APD aduce que esta organizaci贸n determina, respectivamente, los fines y los medios del tratamiento, el modo en que se generan, modifican y leen las TC Strings, de qu茅 forma y d贸nde se almacenan las cookiesnecesarias, qui茅n recibe los datos personales y sobre la base de qu茅 criterios pueden establecerse los plazos de conservaci贸n de las TC String.
  • El 贸rgano jurisdiccional hof van beroep te Brussel (Tribunal de Apelaci贸n de Bruselas) alberga dudas sobre si una TC String, combinada o no con una direcci贸n IP, constituye un dato personal y, de ser as铆, si IAB Europe debe ser calificada de responsable del tratamiento de los datos personales en el marco del TCF, en particular en relaci贸n con el tratamiento de la TC String.Y ello porque entiende dicho 贸rgano jurisdiccional que aunque la resoluci贸n de 2 de febrero de 2022 refleja la posici贸n com煤n adoptada conjuntamente por las diferentes autoridades de control nacionales implicadas en el caso de autos, el Tribunal de Justicia a煤n no ha tenido ocasi贸n de pronunciarse sobre esta nueva tecnolog铆a intrusiva que constituye la TC String.
  • En este contexto, el Tribunal de Apelaci贸n de Bruselas decidi贸 suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

    Primavera ya, Idh煤n. By M.A. D铆az

芦1) a) 驴Debe interpretarse el art铆culo 4, punto 1, del [RGPD], en relaci贸n con los art铆culos 7 y 8 de la [Carta], en el sentido de que una cadena de caracteres que recoge las preferencias de un usuario de Internet en relaci贸n con el tratamiento de sus datos personales de forma estructurada y legible mec谩nicamente constituye un dato personal en el sentido de la citada disposici贸n en relaci贸n con (1) una organizaci贸n sectorial que pone a disposici贸n de sus miembros un est谩ndar por el que les prescribe las modalidades pr谩cticas y t茅cnicas conforme a las que debe generarse, almacenarse o difundirse tal cadena de caracteres, y (2) las partes que han aplicado dicho est谩ndar en sus sitios web o en sus aplicaciones y, de este modo, tienen acceso a dicha cadena de caracteres?

        1. b) 驴Tiene alguna relevancia a este respecto el hecho de que la aplicaci贸n del est谩ndar implique que esta cadena de caracteres est茅 disponible junto a una direcci贸n IP?
        2. c) 驴Ser铆a distinta la respuesta a las [letras a) y b) de la primera cuesti贸n] si esta organizaci贸n sectorial normativa no tuviera ella misma acceso legal a los datos personales tratados por sus miembros en el marco de dicho est谩ndar?

2) a) 驴Deben interpretarse los art铆culos 4, punto 7, y 24, apartado 1, del [RGPD], en relaci贸n con los art铆culos 7 y 8 de la [Carta], en el sentido de que una organizaci贸n sectorial normativa debe ser calificada de responsable del tratamiento cuando ofrece a sus miembros un est谩ndar para la gesti贸n del consentimiento que, adem谩s de un marco t茅cnico vinculante, comprende disposiciones en las que se establece con detalle el modo en que deben almacenarse y difundirse estos datos de consentimiento que constituyen datos personales?

        1. b) 驴Ser铆a distinta la respuesta a la [letra a) de la segunda cuesti贸n prejudicial] si esta organizaci贸n sectorial no tuviera ella misma acceso legal a los datos personales que son tratados por sus miembros en el marco de este est谩ndar?
        2. c) Si se califica (o si debe calificarse) a la organizaci贸n sectorial normativa de responsable o de corresponsable del tratamiento respecto a las preferencias de los usuarios de Internet, 驴se extiende esta responsabilidad o corresponsabilidad de la organizaci贸n sectorial normativa autom谩ticamente a los tratamientos ulteriores por terceros para los que se obtienen las preferencias de los usuarios de Internet, como la publicidad en l铆nea dirigida, realizada por editores y vendedores?禄
聽 聽El Tribunal de Justicia en su sentencia responde a estas cuestiones prejudiciales:
    • confirmando, en primer lugar, que la TC String contiene informacio虂n relativa a un usuario identificable, por lo que constituye un dato personal en el sentido del RGPD. Y ello porque, cuando la informacio虂n contenida en una TC String se asocia con un identificador, como, en particular, la direccio虂n IP del dispositivo del usuario, puede permitir crear un perfil de dicho usuario e identificarlo.
    • En segundo lugar, manifiesta que IAB Europe debe ser considerada 芦corresponsable del tratamiento禄, en el sentido del RGPD. En este sentido, indica que, sin perjuicio de las comprobaciones que competen al tribunal belga, parece que IAB Europe influye en las operaciones de tratamiento de datos, en el momento del registro de las preferencias en materia de consentimiento de los usuarios en una TC String, y determina, junto con sus miembros, tanto los fines de esas operaciones como los medios que esta虂n en el origen de las mismas. As铆 las cosas, mantiene que, al margen de la eventual responsabilidad civil derivada del Derecho nacional, IAB Europe no puede ser considerada responsable, en el sentido del RGPD, de las operaciones de tratamiento de datos que acontezcan despue虂s de que se registren en una TC String las preferencias en materia de consentimiento de los usuarios, salvo que pueda acreditarse que dicha asociacio虂n ha influido en la determinacio虂n de los fines de los tratamientos ulteriores y de las modalidades de su ejercicio.

En efecto, as铆 se pronuncia el Tribunal de Justicia, cuando declara literalmente:

芦1) El art铆culo 4, punto 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protecci贸n de las personas f铆sicas en lo que respecta al tratamiento de datos personales y a la libre circulaci贸n de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protecci贸n de datos), debe interpretarse en el sentido de que una cadena compuesta por una combinaci贸n de letras y caracteres, como la TC String (Transparency and Consent String), que contiene las preferencias de un usuario de Internet o de una aplicaci贸n relativas al consentimiento de dicho usuario en el tratamiento de datos personales que le conciernen por proveedores de sitios de Internet o de aplicaciones, as铆 como por intermediarios de tales datos y por plataformas publicitarias, constituye un dato personal, en el sentido de esta disposici贸n, en la medida en que, cuando puede asociarse, por medios razonables, a un identificador, como en particular la direcci贸n IP del dispositivo de dicho usuario, permite identificar al interesado. En tales circunstancias, el hecho de que, sin una contribuci贸n externa, una organizaci贸n sectorial que posee esta cadena no pueda acceder a los datos tratados por sus miembros en el marco de las normas que ella ha establecido ni combinar dicha cadena con otros elementos no impide que la mencionada cadena constituya un dato personal en el sentido de la referida disposici贸n.

2) Los art铆culos 4, punto 7, y 26, apartado 1, del Reglamento 2016/679聽deben interpretarse en el sentido de聽que,

      • por una parte, una organizaci贸n sectorial, en la medida en que propone a sus miembros un marco normativo que ella ha establecido en materia de consentimiento en el tratamiento de datos personales, que contiene no solo normas t茅cnicas vinculantes, sino tambi茅n normas que precisan de manera detallada las modalidades de almacenamiento y de difusi贸n de los datos personales referentes a dicho consentimiento, debe calificarse de 芦corresponsable del tratamiento禄, en el sentido de estas disposiciones, si, habida cuenta de las circunstancias particulares del caso concreto, influye, atendiendo a sus propios objetivos, en el tratamiento de los datos personales en cuesti贸n y determina, as铆, junto con sus miembros, los fines y medios de dicho tratamiento. El hecho de que la propia organizaci贸n sectorial no tenga acceso directo a los datos personales tratados por sus miembros en el marco de dichas normas no obsta a que pueda tener la condici贸n de corresponsable del tratamiento en el sentido de dichas disposiciones;
      • por otra parte, la corresponsabilidad de dicha organizaci贸n sectorial no se extiende autom谩ticamente a los tratamientos ulteriores de datos personales efectuados por terceros 鈥攃omo los proveedores de sitios de Internet o de aplicaciones鈥 en lo que respecta a las preferencias de los usuarios a efectos de la publicidad dirigida en l铆nea禄.

Como puede apreciarse, esta Sentencia posee una relevancia nada desde帽able respecto a la clarificaci贸n de los temas planteados, particularmente la interpretaci贸n del concepto de datos personales y la responsabilidad que, conforme al RGPD, pueda acarrear el tratamiento de dichos datos, especialmente, a efectos publicitarios.

El texto 铆ntegro de la sentencia puede verse aqu铆.

STJUE. Control de contenidos subidos a plataformas, derechos de autor y libertad de expresi贸n

A prop贸sito de la reciente Sentencia del Tribunal de Justicia de la Uni贸n Europea (Gran Sala) de 26 de abril de 2022, Polonia contra Parlamento y Consejo (C-401/19), que tiene por objeto un recurso de anulaci贸n interpuesto, con arreglo al art铆culo 263聽TFUE, el 24 de mayo de聽2019,

El texto completo de la Sentencia puede consultarse aqu铆

La Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo, de 17 de abril de 2019 sobre derechos de autor y derechos afines en el Mercado 脷nico Digital, que modifica las Directivas 96/9/CE y 2001/29/CE estableci贸 un mecanismo espec铆fico de responsabilidad con respecto a los proveedores de servicios de intercambio de contenidos en l铆nea (芦proveedores禄).

Concretamente, el art铆culo 17 de dicha Directiva establece el principio de que los proveedores son directamente responsables cuando los usuarios de sus servicios carguen, il铆citamente, obras y otros materiales protegidos. No obstante, pueden eximirse de esta responsabilidad si realizan determinadas actuaciones. Entre ellas, y conforme a lo dispuesto en el art铆culo 2 de la Directiva, deben supervisar activamente los contenidos cargados por los usuarios, con el fin de impedir la puesta en l铆nea de materiales protegidos respecto de los que, los titulares de derechos no consienten en la puesta a disposici贸n.

El TJUE, en esta sentencia, se pronunci贸 por primera vez sobre la interpretaci贸n de la Directiva 2019/790. Y, desestim贸 el recurso de anulaci贸n que hab铆a interpuesto Polonia. El TJUE establece que la obligaci贸n impuesta por la Directiva a los proveedores consistente fundamentalmente en realizar una revisi贸n autom谩tica previa de los contenidos subidos por los usuarios, est谩 acompa帽ada de las garant铆as adecuadas para asegurar el respeto del derecho a la libertad de expresi贸n e informaci贸n de dichos usuarios.

El TJUE a帽adi贸 que la Directiva asienta un marco de equilibrio entre el derecho a la libre expresi贸n e informaci贸n y el derecho a la propiedad intelectual.

Barbanz贸ns
Barbanz贸ns

EL RECURSO DE NULIDAD. La Rep煤blica de Polonia hab铆a interpuesto un recurso solicitando,聽 la anulaci贸n de las letras b) y c) in fine, del art铆culo 17, apartado 4, de la Directiva 2019/790 y, con car谩cter subsidiario, la anulaci贸n de dicho art铆culo en su en su totalidad.

Alegaba la demandante que el precepto cuestionado obliga a los prestadores a realizar -mediante herramientas inform谩ticas de filtrado autom谩tico- un control preventivo de todos los contenidos que sus usuarios deseen cargar.聽 Consideraba Polonia que la Directiva no establece salvaguardias que garanticen el respeto del derecho a la libertad de expresi贸n y de informaci贸n, garantizado en el art铆culo 11 de la Carta.

M谩s concretamente, la naci贸n recurrente consideraba que la obligaci贸n impuesta a los prestadores de hacer los 芦mayores esfuerzos禄 para garantizar dos resultados concretos establecidos en el precepto cuestionado, implicar铆a la implantaci贸n de controles preventivos autom谩ticos de filtrado de contenidos subidos por los usuarios. Estos controles ser铆an, conforme a la interpretaci贸n sostenida por Polonia, contrarios a la libertad de expresi贸n. Y, no respetar铆an la exigencia de proporcionalidad y de necesidad de los l铆mites que puedan imponerse sobre los Derechos reconocidos en la Carta y en otros Instrumentos Internacionales para la tutela de Derechos fundamentales.

Las obligaciones de resultados a las que nos hemos referido, y cuyo incumplimiento generar铆a responsabilidad de los proveedores son estos:

  • Por una parte, la indisponibilidad de obras y otras prestaciones espec铆ficas respecto de las cuales los titulares de derechos les hayan facilitado la informaci贸n pertinente y necesaria (conforme al art铆culo 17, apartado 4, letra b), de la Directiva (UE) 2019/790).
  • Por otra parte, evitar que las obras y otras prestaciones notificadas, respecto a las cuales los titulares de derechos han presentado una notificaci贸n suficientemente justificada se carguen en el futuro (conforme al art铆culo 17, apartado 4, letra c), in fine, de la Directiva (UE) 2019/790)

 

ADMISIBILIDAD DEL RECURSO. En relaci贸n con la admisibilidad del recurso, el TJUE declar贸 que las letras b) y c), in fine del art铆culo 17, apartado 4, de la Directiva 2019/790 no son disociables del resto del art铆culo 17.

De esta manera, el TJUE interpret贸 que el art铆culo 17 de la Directiva 2019/790 establece un nuevo r茅gimen general de los proveedores. Y que las distintas disposiciones de este precepto conforman un conjunto equilibrado de derecho positivo para ordenar los derechos e intereses de los prestadores, de los de los usuarios de sus servicios y los de los titulares de derechos. Por ello, la anulaci贸n parcial alterar铆a el contenido del art铆culo 17.聽 En consecuencia, el TJUE declar贸 inadmisible -exclusivamente- la pretensi贸n de anulaci贸n de la letra b) y de la letra c).

 

FONDO DEL ASUNTO. En cuanto al fondo del asunto, el Tribunal de Justicia examin贸 el 煤nico motivo, admitido, del recurso: la alegaci贸n de limitaci贸n del ejercicio del derecho a la libertad de expresi贸n e informaci贸n, derivada del r茅gimen de responsabilidad introducido por el art铆culo 17 de la Directiva 2019/790.

Como punto de partida de su an谩lisis, el TJUE reconoci贸 que el intercambio de informaci贸n en Internet a trav茅s de plataformas de intercambio de contenidos en l铆nea est谩 comprendido en el 谩mbito de aplicaci贸n del art铆culo 10 del Convenio para la Protecci贸n de los Derechos Humanos y de las Libertades Fundamentales (Convenio) y en el art铆culo 11 de la Carta Europea de Derechos (Carta). Observ贸 adem谩s, que para evitar la responsabilidad de los proveedores derivada de situaciones en las que los usuarios suben a las plataformas contenidos il铆citos o sin autorizaci贸n de los titulares de derechos sobre tales contenidos, los proveedores deben demostrar que cumplen todas las condiciones de exenci贸n de responsabilidad, establecidas en el art铆culo 17, apartado 4, letras a), b) y c), de la Directiva 2019/790.

Las condiciones de exenci贸n de responsabilidad de proveedores son: que han hecho todo lo posible para obtener dicha autorizaci贸n [letra a)]; 聽que han actuado con celeridad para poner fin, en sus plataformas, a las infracciones espec铆ficas de los derechos de autor despu茅s de que se hayan producido, tras recibir una notificaci贸n suficientemente justificada de los titulares de derechos [letra c)]; y que 聽han hecho todo lo posible, tras recibir dicha notificaci贸n o cuando dichos titulares de derechos les hayan proporcionado la informaci贸n pertinente y necesaria antes de que se produzca una infracci贸n de los derechos de autor 鈥渄e acuerdo con los altos est谩ndares de diligencia profesional del sector禄 para evitar que se produzcan o repitan dichas infracciones se produzcan o vuelvan a producirse [letras b) y c)].

El cumplimiento de las exigencias de exoneraci贸n exige, de facto, que los proveedores realicen una revisi贸n previa de los contenidos que los usuarios desean subir a sus plataformas. Pero, a帽ade el TJUE de conformidad con el precepto analizado, siempre que hayan recibido de los titulares de los derechos la informaci贸n o los avisos previstos en las letras b) y c) del art铆culo 17, apartado 4, de la Directiva 2019/790.

Al realizar las revisiones exoneratorias, ciertamente los proveedores utilizar谩n herramientas de reconocimiento y filtrado autom谩tico. Tales instrumentos podr铆an ser susceptibles de restringir la difusi贸n de contenidos en l铆nea y, por tanto, constituir una limitaci贸n del derecho a la libertad de expresi贸n e informaci贸n garantizado en el art铆culo 11 de la Carta. Adem谩s, esta limitaci贸n ser铆a consecuencia directa del r茅gimen espec铆fico de responsabilidad establecido por el legislador europeo. No obstante, 聽correspond铆a al TJUE analizar tambi茅n si la limitaci贸n controvertida estar铆a justificada a la luz del art铆culo 52, apartado 1, de la de la Carta. Y, en este sentido el TJUE manifiesta con bastante rotundidad:

Lari帽o. A Coru帽a
  • Que se trata de una limitaci贸n de un Derecho Fundamental que tiene base legal. Ello es as铆 dado que resulta de las obligaciones impuestas a los prestadores de los citados servicios por una disposici贸n de derecho positivo de la UE (las letras b) y c), in fine, del art铆culo 17, apartado 4, de la Directiva 2019/790). Pero adem谩s, que tal limitaci贸n respeta la esencia del derecho a la libertad de expresi贸n e informaci贸n de los usuarios de Internet.
  • En el marco del control de la proporcionalidad, el TJUE considera que esta limitaci贸n responde a la necesidad de proteger la propiedad intelectual garantizada en el art铆culo 17, apartado 2, de la Carta. Y, es necesaria para satisfacer dicha tutela. De este modo, las obligaciones impuestas a los proveedores no restringen de forma desproporcionada el derecho a la libertad de expresi贸n e informaci贸n de los usuarios.
  • Adem谩s considera el TJUE que el legislador de la UE estableci贸 un l铆mite claro y preciso a las medidas que pueden adoptarse en relaci贸n con las verificaciones de contenidos. El legislador excluy贸, en particular, las medidas que filtran y bloquean los contenidos l铆citos a la hora de cargarlos.
  • Por otra parte conforme a esta STJUE, la Directiva 2019/790 exige a los Estados miembros que garanticen que los usuarios est茅n autorizados a cargar y poner a disposici贸n contenidos generados por ellos mismos con los fines espec铆ficos de fines de cita, cr铆tica, rese帽a, caricatura, parodia o pastiche. Y, que los proveedores informen a sus usuarios de que pueden utilizar obras y otras materias protegidas en virtud de las excepciones o limitaciones a los derechos de autor y derechos afines previstas en la legislaci贸n de la UE.(Art铆culo 17(7) y (9) de la Directiva 2019/790.
  • Los聽proveedores s贸lo pueden incurrir en responsabilidad cuando los titulares de derechos afectados les faciliten la informaci贸n pertinente y necesaria en relaci贸n con el contenido en cuesti贸n. Por tanto, el art铆culo 17 de dicha Directiva no conlleva ninguna obligaci贸n de control general: no se puede exigir a los prestadores que impidan la carga y la puesta a disposici贸n del p煤blico de contenidos. Para que estos contenidos sean considerados ilegales deber谩n ser objeto de una evaluaci贸n independiente (Art铆culo 17 (8) de la Directiva 2019/790). En este sentido, la disponibilidad de contenidos no autorizados s贸lo puede evitarse previa notificaci贸n de los titulares de los derechos.
  • A帽ade el TJUE que la Directiva 2019/790 introduce varias garant铆as procesales, en particular la posibilidad de que los usuarios presenten una reclamaci贸n cuando consideren que el acceso a los contenidos cargados ha sido inhabilitado err贸neamente, as铆 como el acceso a mecanismos de reparaci贸n extrajudicial y a recursos judiciales eficaces. (Apartados 1潞 y 2潞 del art铆culo 17(9) de la Directiva 2019/790)
  • Finalmente, se subraya en esta STJUE que dicha Directiva exige a la Comisi贸n Europea que organice di谩logos con las partes interesadas para debatir las mejores pr谩cticas de cooperaci贸n entre los proveedores y los titulares de derechos, y tambi茅n que publique orientaciones sobre la aplicaci贸n de ese r茅gimen (art铆culo 17(10) de la Directiva 2019/790)

En consecuencia, el Tribunal de Justicia concluy贸 que la obligaci贸n de los proveedores de revisar, antes de su difusi贸n al p煤blico, los contenidos que los usuarios desean subir a sus plataformas, resultante del el r茅gimen espec铆fico de responsabilidad establecido en el art铆culo 17, apartado 4, de la Directiva 2019/790, ha sido acompa帽ada por las salvaguardias adecuadas por parte del legislador de la UE con el fin de garantizar el respeto del derecho a la libertad de expresi贸n e informaci贸n de los usuarios, y un justo equilibrio entre ese derecho, por un lado, y el derecho a la propiedad intelectual, por otro. Corresponde a los Estados miembros, al transponer el art铆culo 17 de dicha Directiva, velar por una interpretaci贸n de esta disposici贸n que permita un justo equilibrio entre los distintos derechos fundamentales protegidos por la Carta. Adem谩s, en relaci贸n con las medidas de transposici贸n las autoridades y los 贸rganos jurisdiccionales de los Estados miembros no s贸lo deben interpretar su Derecho nacional de forma coherente con dicho art铆culo 17, sino tambi茅n asegurarse de que su interpretaci贸n no entre en conflicto con derechos fundamentales o con otros principios generales del Derecho de la UE, como el principio de proporcionalidad.

Sanci贸n de 225 M鈧 a WhatsApp por violaci贸n del Reglamento General de Protecci贸n de Datos. Irlanda /UE/SEPD

La Comisi贸n de Protecci贸n de Datos de Irlanda (Ireland鈥檚 Data Protection Commission) (IDPC) impuso recientemente una sanci贸n de 225 millones de euros a WhatsApp Ireland Ltd (鈥淲hatsApp鈥)聽聽por聽 falta de transparencia en 聽sus pr谩cticas de tratamiento de datos de usuarios, que no cumplir铆an las exigencias de los art铆culos 12-14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protecci贸n de las personas f铆sicas en lo que respecta al tratamiento de datos personales y a la libre circulaci贸n de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protecci贸n de datos, RGPD).

 

Las investigaciones iniciales
Lari帽o

El IDPC hab铆a iniciado formalmente sus investigaciones sobre WhatsApp el 10 de diciembre de 2018, tras recibir quejas respecto a las actividades de tratamiento de datos de WhatsApp, as铆 c贸mo una solicitud de asistencia mutua de la Autoridad Federal de Protecci贸n de Datos de Alemania (Bundesbeauftragter f眉r den Datenschutz und die Informationsfreiheit) a efectos聽 del cumplimiento del RGPD por parte de WhatsApp. Con todo, formalmente el expediente se abri贸 芦a iniciativa propia禄 por parte del IDPC. La investigaci贸n del supervisor irland茅s se centr贸 en averiguar si WhatsApp hab铆a cumplido con sus obligaciones de transparencia conforme al RGPD,聽 particularmente en lo que respecta al聽 tratamiento de datos personales de los usuarios de la aplicaci贸n de mensajer铆a (e incluso de titulares no usuarios ya que WhatsApp permite cargar n煤meros de no usuarios, si el usuario actualiza sus contactos); y a su intercambio con otras entidades del Grupo Facebook (recu茅rdese que Facebook adquiri贸 WhatsApp en 2014). Como聽 consecuencia de esta investigaci贸n del IDPC, este organismo hizo p煤blico un borrador de decisi贸n sancionadora que notific贸 a las Autoridades Supervisoras Competentes (CSAs) de la UE conforme a lo que exige el art铆culo del 60RGPD.

En su propuesta de sanci贸n, el IDPC hab铆a identificado infracciones de los art铆culos 12-14 del RGPD por parte聽 WhatsApp, con respecto a los usuarios y a no usuarios, determinando que WhatsApp no les hab铆a proporcionado informaci贸n suficientemente clara, transparente o adecuada sobre sus actividades de tratamiento. Fundamentalmente, el IDPC consider贸 que WhatsApp no hab铆a identificado con suficiente detalle la base jur铆dica para cada actividad de tratamiento, como lo requiere el Art铆culo 13 (1) (c) del RGPD. Y,聽 con respecto a las transferencias de datos personales a jurisdicciones fuera del EEE, determin贸 que la declaraci贸n de WhatsApp de que las transferencias 芦pueden禄 basarse en determinaciones de adecuaci贸n era insuficiente para cumplir con el Art铆culo 13 (1) (f) del RGPD. En este 煤ltimo aspecto, seg煤n la propuesta de resoluci贸n sancionadora WhatsApp deber铆a haber identificado con concreci贸n si exist铆a o no una decisi贸n de adecuaci贸n para respaldar la transferencia de categor铆as espec铆ficas de datos, y 聽determin贸 que la declaraci贸n de WhatsApp de que las transferencias 芦pueden禄 basarse en determinaciones de adecuaci贸n era insuficiente para cumplir con el art铆culo 13 (1) (f) del RGPD: WhatsApp deber铆a haber identificado si exist铆a o no una decisi贸n de adecuaci贸n para respaldar la transferencia de categor铆as espec铆ficas de datos y no limitarse a una afirmaci贸n vaga.

Previamente a la notificaci贸n a otras CSAs, en diciembre de 2020, el IDPC hab铆a propuesto una multa de (30-50 millones 鈧). Pero, fue objetada por ocho de las CSAs que recibieron la notificaci贸n, el asunto alcanz贸 al Supervisor Europeo de Protecci贸n de Datos, y la sanci贸n finalmente impuesta聽 por el IDPC es de 225 millones 鈧.

La intervenci贸n del Supervisor Europeo de Protecci贸n de Datos (SEPD)

Debido a la naturaleza transfronteriza de las actividades de tratamiento y trasferencia de datos de WhatsApp, el proyecto de decisi贸n de la IDPC fue revisado por otras autoridades de supervisi贸n relevantes, conforme al mecanismo de cooperaci贸n y coherencia del Cap铆tulo VII del RGPD. Y , las objeciones formuladas聽 se remitieron al聽 Supervisor Europeo de Protecci贸n de Datos (芦SEPD禄), de acuerdo con el procedimiento de resoluci贸n de disputas establecido en el art铆culo 65 (1) (a) del RGPD. Este 煤ltimo organismo ha adoptado una posici贸n m谩s estricta que el IDPC

El SEPD se opuso a la propuesta del IDPC. Frente a la opini贸n inicial de 茅ste, que consideraba que WhatsApp hab铆a cumplido el ordenamiento sobre tratamiento de datos ( Art铆culo 13 (1) (d) del RGPD), el SEPD record贸, por el contrario, que el operador de mensajer铆a instant谩nea deber铆a haber identificado el inter茅s espec铆fico para cada actividad de tratamiento relevante, para as铆 garantizar que los interesados puedan ejercer los derechos que les asisten en virtud del RGPD. El SEPD tambi茅n se帽al贸 que el efecto acumulativo de los incumplimientos por parte de WhatsApp ten铆a como consecuencia la violaci贸n del principio de transparencia contemplado en el Art铆culo 5 (1) (a) del RGPD, debido 芦a la 鈥済ravedad , la reiteraci贸n y el impacto de las infracciones禄. Y, en virtud de ello consider贸 que se hab铆a producido un incumplimiento adicional a lo establecido por la IDPC.

Por otra parte y con respecto a la cuant铆a de la multa inicialmente propuesta por la IDPC, la SEPD determin贸 que deber铆a haberse tenido en cuenta 聽la facturaci贸n consolidada de Facebook Inc., matriz de WhatsApp. Adem谩s, si bien el IDPC hab铆a propuesto un compromiso 煤nico y conjunto a Facebook y WhatsApp en su proyecto de decisi贸n, el SEPD record贸 que seg煤n la jurisprudencia del TJUE ( Akzo Nobel and Others v Commission, (C-97/08 P, jsentencia de 10 septiembre 2009), cuando una empresa matriz y su filial conforman una unidad, a efectos de categorizar la infracci贸n (aunque haya sido directamente cometida por la filial), debe tenerse en cuenta el volumen de negocios total de las empresas que componen la unidad, pues es 茅ste el que determina la capacidad financiera de lo que , a estos efectos, se considera una empresa unitaria. El SEPD tambi茅n consider贸 que el volumen de negocios consolidado era relevante para el c谩lculo de la multa en s铆, no solo para garantizar que la multa no excediera los l铆mites establecidos en el art铆culo 83 (4) – (6) del RGPD (lo que si respetaba lo propuesto por el IDPC), sino para que las sanciones sean 聽efectivas, proporcionadas y tengan efecto disuasorio.

Adem谩s, el SEPD aclar贸 que cuando se hayan cometido m煤ltiples infracciones en el contexto de una misma o varias actividades de tratamiento vinculadas, todas esas infracciones deben tenerse en cuenta en el c谩lculo de la multa correspondiente a los efectos del art铆culo 83, apartado 3, del RGPD. Con el l铆mite de que la sanci贸n total no debe exceder la cantidad especificada para la infracci贸n m谩s grave.

Finalmente, el SEPD sostuvo que WhatsApp debe cumplir con sus actividades de tratamiento en un plazo de tres meses, a diferencia del per铆odo de tiempo original de seis meses propuesto por el IDPC, dada la importancia primordial del cumplimiento del principio de transparencia consagrado en el聽 RGPD. WhatsApp tambi茅n debe actualizar sus avisos de privacidad para usuarios y no usuarios para incluir la informaci贸n requerida en virtud de los art铆culos 13 y 14 del RGPD, incluso para aclarar c贸mo estos pueden聽 presentar una queja ante una autoridad supervisora con respecto a las actividades de tratamiento de WhatsApp.

La Decisi贸n vinculante del SEPD y la Resoluci贸n sancionadora del IDPC

El 28 de julio de 2021, el SEPD adopt贸 una Decisi贸n vinculante que fue notificada al IDPC. La Decisi贸n del SEPD conten铆a instrucciones exigiendo al IDPC que procediese a una nueva valoraci贸n y que incrementase la sanci贸n. Consecuencia de todo lo anterior, la multa efectivamente impuesta por el IDPC a WhatsApp Ireland Ltd y anunciada el 2 de septiembre de 2021 asciende a 225 millones 鈧 .

Junto con la sanci贸n, el supervisor irland茅s ha advertido a WhattsApp sobre la importancia de聽 reformar sus mecanismos de tratamiento de texto.

Aunque en su resoluci贸n, la IDPC concede a WhatsApp un plazo de 6 meses para adaptarse al RGPD,聽WhatsApp ha manifestado su intenci贸n de recurrir judicialmente

Software cr铆tico en el sector p煤blico. Orden Ejecutiva sobre Ciberseguridad del Presidente Biden y su desarrollo

Seg煤n lo solicitado en la Orden Ejecutiva de Ciberseguridad (芦EO禄) del 12 de mayo de 2021 publicada por la Administraci贸n de Biden ( aqu铆 ), el National Institute for Standards and Technology, NIST ha publicado su definici贸n de 芦software cr铆tico禄 dentro del plazo de 45 d铆as que establec铆a la OE. Esta definici贸n de 芦software cr铆tico禄 representa un requisito, conforme a la OE, para dotar de seguridad a la cadena de suministro de software, especialmente en lo relativo a los proveedores de servicios para el ejecutivo Federal de Estados Unidos. Eventualmente, se reflejar谩 en un聽 futuro Reglamento Federal de Adquisiciones obligatorio para los proveedores de software. Como es sabido, los documentos sobre seguridad del NIST acaban constituyendo una referencia de definiciones y est谩ndares en todo el mundo, y muy especialmente en el 谩mbito de la ciberseguridad.

Acrobacias 2015
acrobacias2015

La definici贸n de NIST de 芦software cr铆tico禄 como se establece en su documento t茅cnico publicado el 25 de junio de 2021 incluye a cualquier software聽 que influye directamente sobre otro software o sobre componentes de otro software (芦dependencias directas禄 y cuenta con al menos uno de estos atributos:

  • est谩 dise帽ado para ejecutarse con permisos o privilegios o para administrar privilegios;
  • tiene acceso directo o privilegiado a redes o recursos inform谩ticos;
  • est谩 dise帽ado para controlar el acceso a datos o tecnolog铆a operativa;
  • realiza una funci贸n fundamental para los servicios 芦cr铆ticos de confianza禄; o,
  • opera fuera de los l铆mites de confianza normales, con acceso privilegiado.

El documento t茅cnico especifica adem谩s, que聽 esa definici贸n se aplica a software muy variado, como software independiente, software integral para dispositivos o componentes de hardware espec铆ficos, software basado en la nube; y tanto cuando ha sido adquirido por compra como cuando es desarrollado en sistemas de producci贸n y utilizado para fines operativos. Sin embargo,聽 cuando se trata de software utilizado 煤nicamente para investigaci贸n o pruebas , es decir, que no se implementa en sistemas de producci贸n, estar铆a fuera del alcance de esta definici贸n.

By M.A. D铆az

NIST proporciona tambi茅n informaci贸n sobre cuestiones terminol贸gicas de la propia definici贸n. Por ejemplo las 芦Dependencias directas sobre otro software鈥 significa, para un componente o producto dado, 鈥渙tros componentes de software (por ejemplo, bibliotecas, paquetes, m贸dulos) que est谩n directamente integrados y son necesarios para el funcionamiento de la instancia de software en cuesti贸n. No incluye las interfaces y servicios de lo que de otra manera ser铆an productos independientes 芦. En cuanto a 芦Cr铆tico para la confianza禄 significa 芦categor铆as de software utilizadas para funciones de seguridad como control de red, seguridad de punto final y protecci贸n de red禄.

El documento t茅cnico, destinado principalmente a los contratistas con la administraci贸n federal,聽 tambi茅n ofrece un cuadro que explica cada categor铆a de software que considera 芦cr铆tico para la EO禄, as铆 como una lista de preguntas frecuentes (FAQ) y respuestas. Las categor铆as de software enumeradas en la tabla de NIST incluyen los destinados a gesti贸n de identidades, credenciales y acceso (ICAM), los sistemas operativos, hipervisores, entornos de contenedores, los navegadores web, el software de control y protecci贸n de red, supervisi贸n y configuraci贸n de redes, seguimiento y an谩lisis operativos, copias de seguridad, almacenamiento remiro, entre otros.

 

 

Medidas para mejorar la ciberseguridad en las empresas

A medida que se multiplican los ciberataques a empresas, y que los efectos de tales incidentes son m谩s graves, la reflexi贸n relativa a los ciber-incidentes es m谩s intensa. Van surgiendo sugerencias y recomendaciones expertas relativas pr谩cticas corporativas internas y externas (respecto de proveedores, clientes, y otros con quienes interrelacionan en el curso de su actividad)

NYC_by Jara IPM
  • Desde el punto de vista de las relaciones de las empresas con terceros, se han sugerido ya algunas orientaciones聽tendentes a minimizar los riesgos derivados del entorno digital. Entre ellas, la revisi贸n de sus pr谩cticas contractuales para adaptar las definiciones y alcance de las exclusiones de responsabilidad pactadas. Estas pr谩cticas son especialmente relevantes en sectores como el 聽del transporte de viajeros. ; 聽 o en las empresas de transporte y distribuci贸n energ茅tica, por mencionar algunos de los que recientemente han sufrido grandes p茅rdidas, o han visto su actividad totalmente paralizada como consecuencia de ciberataques (sirva de ejemplo el ataque a Colonial Pipeline, y聽 los eventos de 6 de mayo de 2021). Tambi茅n son importantes para la gesti贸n p煤blica de infraestructuras y servicios que, al igual que el sector privado, han sufrido importantes ataques cibern茅ticos (v茅ase los que afectaron a varias ciudades de Texas en 2019).

 

  • Otro conjunto de pr谩cticas recomendadas para la prevenci贸n de riesgos cibern茅ticos consiste聽 en la contrataci贸n, mantenimiento y actualizaci贸n de seguros contra ciberriesgos cuyo alcance y coberturas pueden variar sustancialmente. Pueden cubrir gran variedad de riesgos como la seguridad de elementos f铆sicos susceptibles de recibir da帽os materiales fruto de una intervenci贸n il铆cita en los sistemas digitales de la empresa; da帽os derivados de p茅rdidas de datos (y los relativos a los gastos necesarios para recuperarlos), pasando por la contrataci贸n de expertos que van desde la recuperaci贸n de datos electr贸nicos hasta el an谩lisis experto del ataque, y la defensa en el caso (probable) de que se interpongan litigios contra el asegurado despu茅s de un ciberataque, o que 茅ste decida interponerlos. 聽Hoy, las pr谩cticas comerciales prudentes hacen que la contrataci贸n de seguros contra ciber-riesgos sea fundamental, hasta el punto de que la ausencia de esta cobertura puede, en si misma dar lugar a acusaciones de falta de diligencia por parte de los administradores.

 

NYC_by Jara IPM. One Trade Center Tower
  • Continuando en esta enumeraci贸n, la contrataci贸n de expertos externos especializados en la prevenci贸n y control de los ciberataques se considera una buena pr谩ctica. Los especialistas en ciberseguridad desempe帽an un papel importante para minimizar la exposici贸n, para detectar y supervisar los riesgos as铆 como para establecer protocolos de seguridad de la infraestructura de informaci贸n de una empresa. Como buena pr谩ctica, la contrataci贸n de estos expertos es tambi茅n interesante como defensa en caso de litigio derivado de un ciberataque, en el sentido de que la empresa afectada puede aportar, a su favor, que sus protocolos estaban supervisados por expertos.

 

  • No es menos relevante, que la entidad cuente con profesionales cualificados en su seno como el CISO –Chief Information Security Officer- o el CSO, Chief Security Officer , o el CIO Chief information Officer, figuras que se van introduciendo en la pr谩ctica, en los est谩ndares de seguridad como NIST o ISO, y van penetrando el 谩mbito normativo positivo.聽 En este sentido, recordamos algunas entradas anteriores en este blog,聽 como la relativa al Responsable de Informaci贸n (exigido a las administraciones conforme al Esquema Nacional de Seguridad y tambi茅n a ciertas empresas que contratan con la administraci贸n), que debe ser una figura distinta del Responsable de Seguridad y tambi茅n del Responsable del Servicio en los t茅rminos del Real Decreto 3/2010. O el Responsable de Seguridad de la Informaci贸n en los Operadores de Servicios esenciales, conforme al Real Decreto 41/2021) Como ya anunci谩bamos, estas figuras de altos ejecutivos se van haciendo habituales en la pr谩ctica聽 y han sido reforzadas mediante su inclusi贸n en est谩ndares de ciberseguridad como los NIST e ISO (familia 2700), y en recomendaciones de los CERN nacionales.

 

 

 

Responsable de seguridad de la Informaci贸n en el Esquema Nacional de Seguridad Electr贸nica (para la administraci贸n p煤blica y ) para algunas empresas privadas que contratan con la administraci贸n

Entrada que debe actualizarse conforme al: Nuevo Esquema Nacional de Seguridad

 

Esquema Nacional de Seguridad en el 谩mbito de la administraci贸n electr贸nica ( ENS) est谩 regulado en el Real Decreto 3/2010 de 8 de enero

Hamburgo. Ayuntamiento. Epc

El objeto del ENS es 鈥el establecimiento de los principios y requisitos de una pol铆tica de seguridad en la utilizaci贸n de medios electr贸nicos que permita la adecuada protecci贸n de la informaci贸n鈥澛y persigue聽鈥渇undamentar la confianza en que los sistemas de informaci贸n prestar谩n sus servicios y custodiar谩n la informaci贸n de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la informaci贸n pueda llegar al conocimiento de personas no autorizadas鈥. En principio se aplica聽 s贸lo a las administraciones p煤blicas para 鈥asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservaci贸n de los datos, informaciones y servicios utilizados en medios electr贸nicos que gestionen en el ejercicio de sus competencias鈥. Pero, como veremos,聽 afecta tambi茅n a algunas empresas del sector privado.

Es recomendable que las entidades privadas que manejen datos sensibles, de alto riesgo, implanten este ENS ya que el RGPD, exige aplicar聽 medidas que resultan adecuadas a la tecnolog铆a, tipolog铆a y volumen de datos tratados, tratamientos realizados, etc. de cada organizaci贸n mediante an谩lisis de riesgos previo, evaluaciones de impacto, etc. Pero adem谩s resulta obligatorio en los casos establecidos en la D.A. 1 de la Ley Org谩nica 3/2018 de Protecci贸n de datos personales y garant铆a de derechos digitales, que se reproduce: 1. El Esquema Nacional de Seguridad incluir谩 las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su p茅rdida, alteraci贸n o acceso no autorizado, adaptando los criterios de determinaci贸n del riesgo en el tratamiento de los datos a lo establecido en el art铆culo 32 del Reglamento (UE) 2016/679. 2. Los responsables enumerados en el art铆culo 77.1 de esta ley org谩nica deber谩n aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, as铆 como impulsar un grado de implementaci贸n de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado. En los casos en los que un tercero preste un servicio en r茅gimen de concesi贸n, encomienda de gesti贸n o contrato, las medidas de seguridad se corresponder谩n con las de la Administraci贸n p煤blica de origen y se ajustar谩n al Esquema Nacional de Seguridad.

La聽Ley 11/2007, de 22 de junio, de acceso electr贸nico de los ciudadanos a los Servicios P煤blicos fue la primera en establecer el Esquema Nacional de Seguridad. En 2010聽se aprob贸 el聽Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el 谩mbito de la Administraci贸n Electr贸nica.聽 Posteriormente, la聽Ley 40/2015, de 1 de octubre, de R茅gimen Jur铆dico del Sector P煤blico, recoge el Esquema Nacional de Seguridad en su art铆culo 156 apartado 2 en similares t茅rminos.聽En 2015 se public贸 la modificaci贸n del Esquema Nacional de Seguridad a trav茅s del聽Real Decreto 951/2015, de 23 de octubre, en respuesta a la evoluci贸n del entorno regulatorio, en especial de la Uni贸n Europea, de las tecnolog铆as de la informaci贸n y de la experiencia de la implantaci贸n del Esquema.

Entre las obligaciones m谩s destacables que derivan del ENS est谩 la de clasificar los niveles de riesgo de ciberseguridad en tres grandes categor铆as (bajo, medio, alto) , as铆 como聽 las correspondientes medidas aplicables a cada uno de esos niveles.

Otra obligaci贸n afecta a la gobernanza empresarial, pues conforme al ENS, las entidades afectadas deben nombrar a responsables espec铆ficos. Concretamente, conforme al art 10 del RD 3/2010 (ENS),聽 enlos sistemas de informaci贸n de las entidades sometidas a ese RD, se deben establecer tres figuras de responsabilidad distintas: el responsable de la informaci贸n, el responsable del servicio y el responsable de la seguridad: El responsable de la informaci贸n聽 ser谩 competente para determinar los requisitos de la informaci贸n tratada; el responsable del servicio determinar谩 los requisitos de los servicios prestados; y el responsable de seguridad determinar谩 las decisiones聽 que deban adoptarse para satisfacer los requisitos de seguridad de la informaci贸n y de los servicios.

Pero, adicionalmente, conforme al ENS la responsabilidad de la seguridad de los sistemas de informaci贸n estar谩 diferenciada de la responsabilidad sobre la prestaci贸n de los servicios. A todo esto se une que la pol铆tica de seguridad de la organizaci贸n, documento estrat茅gico con el聽 que deben contar las entidades sometidas al ENS,聽 detallar谩 las atribuciones de cada responsable, los mecanismos de coordinaci贸n y lo de resoluci贸n de conflictos.

Como adelant谩bamos, el ENS聽 tambi茅n resulta aplicable a la empresa privada en algunos casos.

Para entender mejor el contexto,聽 recordemos que 聽la Ley Org谩nica, 3/2018聽de 5 de diciembre, de Protecci贸n de Datos y Garant铆a de los Derechos Digitales (en adelante,聽LOPD-GDD)聽adapta nuestro ordenamiento al Reglamento (UE) 2016/679鈥, RGPD. Y,聽 es aplicable tanto a la administraci贸n como a la empresa privada

  • El RGPD dispone en su art. 5.2 el 鈥principio de la responsabilidad proactiva鈥, que, el responsable del tratamiento debe cumplir y ser capaz de demostrar que los datos personales son tratados de acuerdo con los principios de 鈥licitud, lealtad y transparencia鈥; 鈥渓imitaci贸n de la finalidad鈥; 鈥渕inimizaci贸n de datos鈥; 鈥渆xactitud鈥; 鈥渓imitaci贸n del plazo de conservaci贸n鈥 y de 鈥渋ntegridad y confidencialidad鈥. Precisamente el principio de 鈥integridad y confidencialidad鈥 establece que se ha de garantizar una seguridad adecuada de los datos personales, para protegerlos 鈥contra el tratamiento no autorizado o il铆cito y contra su p茅rdida, destrucci贸n o da帽o accidental
  • El art铆culo 32 del RGPD, establece que聽teniendo en cuenta el estado de la t茅cnica, los costes de aplicaci贸n, y la naturaleza, el alcance, el contexto y los fines del tratamiento, as铆 como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas f铆sicas, el responsable y el encargado del tratamiento聽aplicar谩n medidas t茅cnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Por tanto, las medidas de seguridad para proteger los datos personales no se recogen en una lista taxativa. Con este art铆culo 32, se introduce una suerte de 聽autoevaluaci贸n por el responsable de las medidas de seguridad que son necesarias para proteger los datos personales, ya sean estos objeto de tratamiento directamente por 茅l o, en su caso, por encargados de tratamiento que tratan datos por cuenta suya
Vista de San Sebastian

La LOPD GDD, art 77, estableci贸, adem谩s, unos sistemas y medidas de protecci贸n de datos especiales ara la Administraci贸n P煤blica espa帽ola. Ello se completa con la DA 1陋 LOPD-GDD que establece un marco espec铆fico de seguridad en el sector p煤blico, a trav茅s del ENS, sustituyendo la autoevaluaci贸n del art 5.2 por un r茅gimen espec铆fico para el sector p煤blico: 鈥淢edidas de seguridad en el 谩mbito del sector p煤blico:

  1. El Esquema Nacional de Seguridad incluir谩 las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su p茅rdida, alteraci贸n o acceso no autorizado, adaptando los criterios de determinaci贸n del riesgo en el tratamiento de los datos a lo establecido en el聽art铆culo 32 del Reglamento (UE) 2016/679.
  2. Los responsables enumerados en el art铆culo 77.1 de esta ley org谩nica deber谩n aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, as铆 como impulsar un grado de implementaci贸n de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado
  3. En los casos en los que un tercero preste un servicio en r茅gimen de concesi贸n, encomienda de gesti贸n o contrato, las medidas de seguridad se corresponder谩n con las de la Administraci贸n p煤blica de origen y se ajustar谩n al Esquema Nacional de Seguridad

Por lo tanto, en la distintas entidades de la DA 1 , apartado 3 LOPD-GDD,聽ya sea en calidad de responsable o encargado del tratamiento, han de 聽categorizar聽de acuerdo con el聽Anexo I del ENS (en categor铆a b谩sica, media o alta) los sistemas de informaci贸n utilizados para el tratamiento y 聽de acuerdo con el Anexo II,聽implementar aquellas medidas de seguridad (organizativas, operacionales y de protecci贸n) que sean acordes a la categor铆a otorgada al sistema. Ello para proteger la integridad, confidencialidad y disponibilidad de los datos personales que traten,

Casamento no Pazo

Cualquier entidad聽 privada que preste o quiera prestar servicios a una Administraci贸n P煤blica ha de cumplir tambi茅n con las medidas de seguridad que, en virtud del ENS, sean de aplicaci贸n a dicha administraci贸n de referencia. Y, en efecto, es habitual que las empresas privadas que se presentan a licitaciones del sector p煤blico encuentren reflejados en los pliegos la exigencia inexcusable de que cumplan con el Esquema Nacional de Seguridad y que hayan superado un proceso de certificaci贸n聽por una entidad debidamente acreditada.

驴El papel de responsable de seguridad en estas empresas podr谩 corresponder, es decir, coincidir con el聽 RSI o Chief Information Security Officer (CISO) que deriva del RD聽 43/2021 -dentro del desarrollo del paquete NIS (Network Information and Security) ; al que alud铆amos en entradas anteriores? Conforme al art 7 apartado 5 delReal Decreto 43/2021, 聽as铆 ser铆a, al menos en el caso de las empresas privadas sometidas tanto a NIS como al ENS.聽

El Responsable de Seguridad de la Informaci贸n – RSI/CISO en los operadores de servicios esenciales. RD 43/2021 que desarrolla el RD-l 12/2018 (seguimos con el paquete NIS)

El聽Bolet铆n Oficial del Estado (BOE)聽publica el聽Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el聽Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de informaci贸n. El texto completa la incorporaci贸n del 聽la聽Directiva (UE) 2016/1148聽del Parlamento Europeo y聽 del Consejo relativa a las medidas destinadas a garantizar un elevado nivel com煤n de seguridad de las redes y sistemas de informaci贸n de la Uni贸n Europea, conocida como聽Directiva NIS聽(Security of Network and Insformation Systems)

Cabanas, 2016

Recu茅rdese que a聽 finales del a帽o 2018, la transposici贸n de la citada Directiva NIS se llev贸 al ordenamiento jur铆dico espa帽ol mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de informaci贸n. que聽 regula la seguridad de las redes y sistemas de informaci贸n utilizados para la provisi贸n de los servicios esenciales y los servicios digitales, estableciendo mecanismos que, con una perspectiva integral, permiten mejorar la protecci贸n frente a las amenazas que afectan a las redes y sistemas de informaci贸n, y fija un marco institucional de cooperaci贸n que facilita la coordinaci贸n de las actuaciones realizadas en esta materia tanto a nivel nacional como con los pa铆ses de nuestro entorno, en particular, dentro de la Uni贸n Europea

En esta ocasi贸n, el聽Real Decreto 43/2021, de 26 de enero, que publica el聽BOE, establece como 谩mbito de aplicaci贸n la prestaci贸n de los servicios esenciales dependientes de las redes y sistemas de informaci贸n comprendidos en los sectores estrat茅gicos definidos en el anexo de la聽Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protecci贸n de las infraestructuras cr铆ticas. Pero tambi茅n la prestaci贸n de聽servicios digitales que sean mercados en l铆nea, motores de b煤squeda en l铆nea y servicios de computaci贸n en nube.

En el art铆culo 2.2. RD contempla que est谩 sometidos a este nuevo Real Decreto 芦los operadores de servicios esenciales establecidos en Espa帽a. En coherencia con lo ya expresado respecto de NIS, se entender谩 que un operador de servicios esenciales est谩 establecido en Espa帽a cuando su residencia o domicilio social se encuentren en territorio espa帽ol, siempre que estos coincidan con el lugar en que est茅 efectivamente centralizada la gesti贸n administrativa y la direcci贸n de sus negocios o actividades. As铆 mismo, este real decreto ser谩 de aplicaci贸n a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a trav茅s de un establecimiento permanente situado en Espa帽a.禄聽Tambi茅n 芦los proveedores de servicios digitales que tengan su sede social en Espa帽a聽y que constituya su establecimiento principal en la Uni贸n Europea, as铆 como los que, no estando establecidos en la Uni贸n Europea, designen en Espa帽a a su representante en la Uni贸n para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel com煤n de seguridad de las redes y sistemas de informaci贸n en la Uni贸n.禄

Por contra, este Real Decreto no se aplica, seg煤n establece el art铆culo 2.3, a 芦los operadores de redes y servicios de comunicaciones electr贸nicas y los prestadores de servicios electr贸nicos de confianza que聽no sean designados como operadores cr铆ticos en virtud de la Ley 8/2011, de 28 de abril.禄. Tampoco a 芦los proveedores de servicios digitales cuando se trate de microempresas o peque帽as empresas, de acuerdo con las definiciones recogidas en la Recomendaci贸n 2003/361/CE de la Comisi贸n, de 6 de mayo de 2003, sobre la definici贸n de microempresas, peque帽as y medianas empresas.

Sanabria

Cabe destacar que en dicho Real Decreto:

  1. se establecen los requisitos de seguridad, as铆 como聽las medidas para el cumplimiento de las obligaciones de seguridad,
  2. contempla en el plano normativo al responsable de la seguridad de la informaci贸n o RSI, el CISO, que ve铆amos desarrollado en normas o est谩ndares privados como ISO.
  3. se ocupa de la gesti贸n de incidentes de seguridad
  4. detalla las obligaciones de notificaci贸n聽de los incidentes de los operadores de servicios esenciales: 芦Los operadores de servicios esenciales notificar谩n a la autoridad competente respectiva, a trav茅s del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, consider谩ndose a tal efecto los incidentes con un nivel de impacto cr铆tico, muy alto o alto, seg煤n el detalle que se especifica en el apartado 4 de la Instrucci贸n nacional de notificaci贸n y gesti贸n de ciberincidentes, que se contiene en el anexo de este real decreto. Asimismo, notificar谩n los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de informaci贸n empleados para la prestaci贸n de los servicios esenciales, aun cuando no hayan tenido todav铆a un efecto adverso real sobre aquellos. A estos efectos, se considerar谩n los incidentes con un nivel de peligrosidad cr铆tico, muy alto o alto, seg煤n el detalle que se especifica en el apartado 3 de la citada Instrucci贸n芦, reza el art铆culo 9.1 de este RD.

El RSI o CISO (para OSE)

En relaci贸n con el Responsable de Seguridad de la Informaci贸n, el art铆culo 7聽 del RD 43/2021 insta a que esta figura mantenga 芦una comunicaci贸n real y efectiva con la alta direcci贸n禄. Adem谩s, se帽ala que su posici贸n debe 芦facilitar el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad禄. Esta figura, ya sea una persona, unidad u 贸rgano colegiado, deber谩 contar con medios personales y materiales para desarrollar su funci贸n. Ejercer谩 de punto de contacto y coordinaci贸n t茅cnica con la autoridad competente y el CSIRT de referencia. El art 7 es de aplicaci贸n 煤nicamente a los OSE

Entre las funciones del RSI/CISO est谩 el聽 elaborar las pol铆ticas de seguridad y proponerlas para su aprobaci贸n por la organizaci贸n. Estas pol铆ticas han de incluir las medidas t茅cnicas y organizativas para聽gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de informaci贸n utilizados. Y, para prevenir y reducir al m铆nimo los efectos de los ciberincidentes

Se reproduce a continuaci贸n el art 7 del RD 43/2021:

Art铆culo 7. Responsable de la seguridad de la informaci贸n.

  1. Los operadores de servicios esenciales designar谩n una persona, unidad u 贸rgano colegiado, responsable de la seguridad de la informaci贸n que ejercer谩 las funciones de punto de contacto y coordinaci贸n t茅cnica con la autoridad competente y CSIRT de referencia que le corresponda de conformidad con lo previsto en el apartado tercero. En el supuesto de que el responsable de seguridad de la informaci贸n sea una unidad u 贸rgano colegiado, se deber谩 designar una persona f铆sica representante, as铆 como un sustituto de este que asumir谩 sus funciones en casos de ausencia, vacante o enfermedad. El plazo para llevar a cabo dicha designaci贸n ser谩 de tres meses desde su designaci贸n como operador de servicios esenciales.
  2. Los operadores de servicios esenciales comunicar谩n a la autoridad competente respectiva la designaci贸n del responsable de la seguridad de la informaci贸n dentro del plazo establecido en el apartado anterior, as铆 como los nombramientos y ceses que afecten a la designaci贸n del responsable de la seguridad de la informaci贸n en el plazo de un mes desde que aquellos se produzcan.
  3. El responsable de la seguridad de la informaci贸n actuar谩 como punto de contacto con la autoridad competente en materia de supervisi贸n de los requisitos de seguridad de las redes y sistemas de informaci贸n, y como punto de contacto especializado para la coordinaci贸n de la gesti贸n de los incidentes con el CSIRT de referencia. Se desarrollar谩n bajo su responsabilidad, entre otras, las siguientes funciones:

a) Elaborar y proponer para aprobaci贸n por la organizaci贸n, de conformidad con lo establecido en el art铆culo 6.2 de este real decreto, las pol铆ticas de seguridad, que incluir谩n las medidas t茅cnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de informaci贸n utilizados y para prevenir y reducir al m铆nimo los efectos de los ciberincidentes que afecten a la organizaci贸n y los servicios, de conformidad con lo dispuesto en el art铆culo 6.

b) Supervisar y desarrollar la aplicaci贸n de las pol铆ticas de seguridad, normativas y procedimientos derivados de la organizaci贸n, supervisar su efectividad y llevar a cabo controles peri贸dicos de seguridad.

c) Elaborar el documento de Declaraci贸n de Aplicabilidad de medidas de seguridad considerado en el art铆culo 6.3 p谩rrafo segundo de este real decreto.

d) Actuar como capacitador de buenas pr谩cticas en seguridad de las redes y sistemas de informaci贸n, tanto en aspectos f铆sicos como l贸gicos.

e) Remitir a la autoridad competente, a trav茅s del CSIRT de referencia y sin dilaci贸n indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestaci贸n de los servicios a los que se refiere el art铆culo 19.1 del Real Decreto-ley 12/2018, de 7 de septiembre.

f) Recibir, interpretar y supervisar la aplicaci贸n de las instrucciones y gu铆as emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanaci贸n de las deficiencias observadas.

g) Recopilar, preparar y suministrar informaci贸n o documentaci贸n a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa. El responsable de la seguridad de la informaci贸n, para desarrollar estas funciones, se podr谩 apoyar en servicios prestados por terceros.

4. Los operadores de servicios esenciales garantizar谩n que el responsable de la seguridad de la informaci贸n cumpla con los siguientes requisitos:

a) Contar con personal con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, t茅cnico y jur铆dico, adecuados al desempe帽o de las funciones indicadas en el apartado anterior.

b) Contar con los recursos necesarios para el desarrollo de dichas funciones.

c) Ostentar una posici贸n en la organizaci贸n que facilite el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo una comunicaci贸n real y efectiva con la alta direcci贸n.

d) Mantener la debida independencia respecto de los responsables de las redes y los sistemas de informaci贸n.

5. Siempre que concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulaci贸n, las funciones y responsabilidades encomendadas al responsable de la seguridad de la informaci贸n podr谩n compatibilizarse con las se帽aladas para el Responsable de Seguridad聽 del Esquema Nacional de Seguridad,聽 a lo que dedicamos la siguiente entrada de este blog

Tratamiento de datos personales y discriminaci贸n algor铆tmica en el entorno asegurador. A prop贸sito de un libro reciente

JUNQUEIRA, Thiago, Tratamento dos Dados Pessoais e Discriminac茫o Algor铆tmica nos Seguros, Thomson Reuters /Revista dos Tribunais, S茫o Paulo, 2020.

(Prologado por Anderson Schreiber; presentado por Bruno Miragem)

Present谩bamos recientemente para consultor jur铆dico de Brasil,聽聽este libro recientemente recibido de allende los mares. Su autor Thiago Junqueira es Doctor en Derecho por la Universidad del Estado de Rio de Janeiro,聽 Profesor聽 y Abogado socio, del reconocido bufete Chalfin, Goldberg & Vainboim Advogados.聽 Se reproduce a continuaci贸n, con adaptaciones, esa rese帽a, ahora en el marco del blog DerMerUle

Es estudio de Junqueira parte de la idea del car谩cter innovador del mundo asegurador para el Derecho. Justifica su afirmaci贸n en la frecuencia con la que, en efecto, los contratos de seguros suelen anticipar hitos importantes en el devenir de la evoluci贸n de algunas relaciones jur铆dicas especialmente en Derecho聽 privado. A trav茅s de ejemplos y fundamentos doctrinales cl谩sicos, entre los que resulta paradigm谩tica la tendencia objetivadora de la responsabilidad civil asegurada; Junqueira conduce al lector a otros supuestos actuales como es el de a tutela de los datos personales聽 en el marco de la contrataci贸n de seguros. Si esta cuesti贸n ya ha sido objeto de atenci贸n doctrinal en a帽os recientes, mayor reflexi贸n merece a la luz del tratamiento algor铆tmico automatizado que hoy subyace a los c谩lculos matem谩ticos y actuariales esenciales en la industria aseguradora. Y es que, el car谩cter car谩cter necesario de las informaciones (inputs) que necesita la industria para poder asegurar riesgos, no obsta para que el tratamiento que se realice con tales datos deba valorarse a la luz de los derechos que asisten a los asegurados, y en concreto frente a la prohibici贸n de discriminaci贸n.

Las v铆as sugeridas por Junquira para aminorar los riesgos derivados del tratamiento automatizado en el caso de las aseguradoras聽 reflejan una investigaci贸n l煤cida y un profundo conocimiento tanto del 谩mbito jur铆dico de la protecci贸n de datos, como del de la responsabilidad y del asegurador.

El autor de esta obra se basa en聽 el an谩lisis de figuras e institutos jur铆dicos tradicionales, propios de la teor铆a dogm谩tica m谩s cl谩sica en derecho de seguros continental, brasile帽o y anglosaj贸n. No deja de lado, por tanto, 聽cuestiones relativas al an谩lisis de riesgos, la elaboraci贸n de perfiles, o su relaci贸n con el c谩lculo de las primas. Pero adem谩s, introduce en sus reflexiones las formulaciones te贸ricas m谩s avanzadas sobre la privacidad, protecci贸n de datos personales y discriminaci贸n directa e indirecta. Todo ello, a la luz de la reciente aprobaci贸n en el pa铆s brasile帽o de una nueva Ley General de Protecci贸n de Datos Personales 鈥 LGPD, que introduce entre otras instituciones, una regulaci贸n b谩sica sobre la discriminaci贸n directa. Tambi茅n se contemplan en esta obra formulaciones cient铆ficas que se van asentando en la doctrina como la de la llamada 鈥渏usticia actuarial鈥 o de la intimidad inform谩tica, ahora aplicada a los tratamientos con inteligencia artificial.聽 Y es que el 聽panorama actual relativo a la discriminaci贸n por el tratamiento de datos en los seguros聽 tiene sus ra铆ces聽 en formulaciones doctrinales y jurisprudenciales cl谩sicas nacionales y comparadas, y se proyecta hacia nuevos panoramas

El volumen se divide en tres grandes partes.

  • En el primer cap铆tulo se examina la clasificaci贸n de los riesgos por parte del asegurador en la llamada ciencia actuarial. Tras subrayar la base econ贸mica y social de la clasificaci贸n del riesgo, y su apoyo jur铆dico – normativo, el autor聽 aborda una cuesti贸n nuclear: la dificultad de comprensi贸n de los presupuestos y procesos actuariales para el iusprivatista.聽 Conceptos como el de 芦generalizaci贸n del riesgo禄 o ll de la 芦correlaci贸n禄 , propios de formulaciones actuariales van m谩s all谩 de la causalidad jur铆dica. Tambi茅n aborda la relaci贸n entre los criterios de medici贸n actuarial utilizados por la aseguradora, con el deber de protecci贸n de la intimidad del asegurado y con las聽 prohibiciones de discriminaci贸n. En este sentido, destaca Junqueira聽 como聽 algunos datos personales, de g茅nero o de 茅tnica son objeto de tratamiento con consecuencias discriminatorias directas o indirectas.
  • El segundo cap铆tulo se centra en la dicotom铆a entre la necesidad de prevenir discriminaciones en el tratamiento inteligente de datos, y el requisito de valorar riesgos como base de la eficacia y de la sostenibilidad del negocio asegurador. Y, centrando la cuesti贸n, investiga las posibles estrategias para prevenir la discriminaci贸n racial algor铆tmica en la clasificaci贸n de riesgos. A este respecto, Thiago Junqueira formula una proposici贸n innovadora en el sentido de que la tutela frente a la discriminaci贸n en sus diversas facetas, debe observarse no s贸lo en su perspectiva directa, sino tambi茅n en la indirecta. La discriminaci贸n indirecta es聽 m谩s dif铆cil de combatir pues a menudo se basa en datos de apariencia neutra.
  • En la parte final o tercer cap铆tulo, posiblemente la m谩s innovadora del libro, el Doctor ofrece estrategias preventivas en el tratamiento de datos,聽 en particular en lo relativo a evitar la discriminaci贸n racial聽 susceptible de general聽 discriminaci贸n indirecta. As铆, en lugar de una aproximaci贸n de control en cuanto a los inputs, u informaciones de recogida por parte de los aseguradores, presenta la opci贸n de favorecer un control de outputs, esto es de los servicios y ofertas aseguradoras para evitar tambi茅n la discriminaci贸n indirecta. En efecto, frente a la fairness through blindness conocida en el mundo anglosaj贸n,聽 actualmente se proponen reg铆menes de fairness through awareness (FTA). El FTA implica, o puede hacerlo, la necesidad de conocer datos sensibles por parte de la aseguradora, precisamente para equilibrar los c谩lculos actuariales en su programaci贸n automatizada basada en una justicia desde el dise帽o, design fairness o privacy from design. Son abundantes, pertinentes y muy interesantes las reflexiones doctrinales y jurisprudencia bien tra铆da en este libro. Principalmente casos norteamericanos, de los que se evidencia que, frente a prohibiciones de discriminaci贸n directa que posiblemente puedan abordarse con cierto 茅xito desde la 鈥渃eguera鈥, la combinaci贸n de la automatizaci贸n en las decisiones actuariales con la proyecci贸n de la discriminaci贸n indirecta evidencia la insuficiencia de un tratamiento consistente en la mera eliminaci贸n de datos. Apuntar铆a el autor, o eso creo, a favorecer una suerte de discriminaci贸n positiva en el c谩lculo algor铆tmico una 鈥渄iscriminaci贸n (positiva) por concienciaci贸n. Una discriminaci贸n, pero no tanto en lo relativo a los resultados, o dicho de otro modo, no tanto aplicando una reducci贸n en la prima de seguros cuando el asegurado pertenezca a un grupo racial concreto. Sino, contrarrestando algunos efectos que la inteligencia artificial tiende a asignar, que derivan de cuestiones socio econ贸micas y que en realidad, no tendr铆an impactos significativos sobre el riesgo pero que tienen consecuencias en el encarecimiento de los seguros para los grupos humanos en cuesti贸n. En el fondo, se plantea la necesidad de que el legislador efect煤e controles preventivos, m谩s que a posteriori, para lograr un equilibrio entre nuevas tecnolog铆as automatizadas y tutela de derechos fundamentales. Y, de contar con mecanismos comprensibles聽 que no abandonen del todo el 谩mbito del control humano y por tanto de la responsabilidad. En efecto transparencia y accountability se configuran en esta obra, como pilares en el devenir de una industria aseguradora apoyada en la inteligencia artificial,聽 pero no hasta el punto de abrazar sin filtro las inferencias y deducciones que conllevar铆an consecuencias nocivas en el terreno de los Derechos Humanos, entre ellos los derivados de la discriminaci贸n en el tratamiento automatizado de datos personales.

 

Las 煤ltimas p谩ginas del libro se dedican a exponer en modo claro y sucinto el conjunto de 21 conclusiones a las que llega el Doctor, y a recoger la importante bater铆a bibliogr谩fica y documental nacional y comparada, en la que ha basado su investigaci贸n.

Reiteramos nuestra felicitaci贸n y agradecimiento por el regalo de este importante trabajo, quedamos a espera de las futuras obras del Doctor. Y, sin duda animamos a los interesados en tanto en el mundo asegurador, como en el de la inteligencia artificial desde el derecho privado, a utilizar este trabajo que encontrar谩n de gran utilidad.

ENISA, la (renovada) Agencia Europea de Ciberseguridad

El Reglamento (UE) 2019/881聽del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Uni贸n Europea para la Ciberseguridad) y a la certificaci贸n de la ciberseguridad de las tecnolog铆as de la informaci贸n y la comunicaci贸n y por el que se deroga el Reglamento (UE) n.o聽526/2013 (Reglamento sobre la Ciberseguridad) (DO L 151 de 7.6.2019, pp. 15-69), 聽renueva el mandato de la Agencia Europea de Ciberseguridad, (de forma permanente a partir del 27 . 06. 2019)

 

ENISA est谩 situada en Heraclit贸n, Grecia 聽desde 2004.聽Su misi贸n es contribuir a la pol铆tica cibern茅tica de la UE, mejorar la confiabilidad de los productos, servicios y procesos de TIC fomentando la puesta en marcha de sistemas de certificaci贸n de ciberseguridad. Coopera con los Estados miembros para impulsar la resiliencia de la infraestructura de la Uni贸n, as铆 como para mantener la seguridad digital en la UE.

Las聽tareas de ENISA son, m谩s concretamente:

  • contribuir al desarrollo y a la ejecuci贸n del Derecho de la UE en materia de ciberseguridad;
  • promover la creaci贸n de capacidades, la mejora de la prevenci贸n, la detecci贸n y el an谩lisis de ciberamenazas,聽 as铆 como de la respuesta a las mismas
  • apoyar el desarrollo de聽equipos de respuesta a incidentes de seguridad inform谩tica (CSIRT)聽y a la organizaci贸n de ejercicios de ciberseguridad a escala de la UE;
  • apoyar la cooperaci贸n operativa de la UE, especialmente mediante su聽equipo de respuesta a emergencias inform谩ticas de la UE (CERT-UE), que apoya el el intercambio de conocimientos y de mejores pr谩cticas para el聽 mantenimiento de las redes de la UE y los CSIRT nacionales;
  • apoyar y promover el desarrollo y la ejecuci贸n de certificados de ciberseguridad de la UE para productos, servicios y procesos de TIC, en el marco de un nuevo marco europeo de certificaci贸n de la ciberseguridad;
  • recoger y analizar datos e informaci贸n sobre ciberseguridad, especialmente sobre tecnolog铆as emergentes, ciberamenazas e incidentes;
  • sensibilizar al p煤blico sobre los riesgos relacionados con la ciberseguridad, facilitar buenas pr谩cticas para usuarios individuales y promover la concienciaci贸n y la educaci贸n en general en materia de ciberseguridad;
  • asesorar sobre necesidades y prioridades de investigaci贸n y contribuir a la agenda estrat茅gica de la UE en materia de innovaci贸n e investigaci贸n de ciberseguridad;
  • contribuir a la聽 cooperaci贸n de la UE en el plano internacional.

La聽estructura administrativa y de gesti贸n聽de ENISA est谩 integrada por:

  • un聽Consejo de Administraci贸n聽con 1 representante de cada pa铆s de la UE y 2 miembros designados por la聽Comisi贸n Europea, que establece la direcci贸n general de las actividades de la agencia;
  • un聽Comit茅 Ejecutivo聽de 5 miembros que prepara las decisiones que adoptar谩 el Consejo de Administraci贸n;
  • un聽Director Ejecutivo聽independiente, que da cuenta de su gesti贸n al Consejo de Administraci贸n e informa al聽Parlamento Europeo y al Consejo cuando as铆 se le solicita, es el responsable de gestionar la agencia;
  • un聽Grupo Consultivo de ENISA, compuesto por expertos reconocidos procedentes de la industria de las TIC, proveedores de servicios o redes de comunicaciones electr贸nicas, pymes, consumidores, acad茅micos, y operadores de servicios esenciales, y tambi茅n por representantes de las autoridades competentes recogidas en la Directiva (UE) 2018/1972 por la que se establece el C贸digo Europeo de las Comunicaciones Electr贸nicas, organizaciones de normalizaci贸n y autoridades de supervisi贸n policial y de protecci贸n de datos, que se centra en asuntos de inter茅s para las partes interesadas y los ponen en conocimiento de ENISA;
  • una red de funcionarios de enlace nacionales que consta de representantes de todos los pa铆ses de la UE y que facilita el intercambio de informaci贸n entre estos y ENISA, a la que apoya en la difusi贸n de sus actividades, conclusiones y recomendaciones.
  • el Reglamento 聽configura ahora adem谩s un Grupo de las Partes Interesadas sobre Certificaci贸n de la Ciberseguridad, (GPICC) 聽compuesto por expertos de reconocido prestigio, que se encarga de asesorar a la Comisi贸n en asuntos estrat茅gicos relativos al marco de certificaci贸n de la UE en materia de ciberseguridad y a ENISA, si as铆 lo solicita, sobre asuntos generales y estrat茅gicos relativos a las labores pertinentes de la agencia; y un聽Grupo Europeo de Certificaci贸n de la Ciberseguridad (GECC), compuesto por representantes nacionales, que se encarga de asistir a la Comisi贸n en sus tareas para garantizar la coherencia en la ejecuci贸n y la aplicaci贸n del Reglamento, y a ENISA en lo concerniente a la preparaci贸n de posibles esquemas de certificaci贸n de la ciberseguridad.

ENISA ha firmado acuerdos con los organismos Europeos de Normalizaci贸n (CEN, CENELEC, ETSI) y colaborar谩 con ellos

Ciberseguridad de infrastructuras energ茅ticas. Situaci贸n en los pa铆ses de la UE.

Damos noticia del Informe sectorial sobre聽 ciberseguridad en las infraestructuras de energ铆a y m谩s concretamente de las medidas nacionales que se han ido poniendo en marcha al amparo del聽 articulo 5 de la Directiva 1148/2018 o Directiva NIS en relaci贸n con los OPERADORES DE SERVICIOS ESENCIALES,聽 en energ铆a: Sectorial implementation of the NIS Directive in the Energy sector ( Report -CG Publication 03/2019 ) Oct 2019

 

Cabanas, 2016

Se trata de un documento elaborado por la Autoridad de Energ铆a de Austria, la Comisi贸n Europea y ENISA, en el marco del GRUPO DE COOPERACI脫N NIS. Da repaso a la incorporaci贸n nacional al R茅gimen de Operadores de Servicios Esenciales conforme a NIS, en lo relativo a las entidades p煤blicas o privadas聽 de uno de los tipos que figuran en el anexo II-1 de la Directiva (Operadores de Servicios Esenciales del sector de la energ铆a). En esta primera etapa de aplicaci贸n de NIS, no es cuesti贸n poco relevante la propia identificaci贸n de los sectores a los que debe aplicarse

 

a) Electricidad:

  • Empresas el茅ctricas, tal como se definen en el art铆culo 2,punto 35, de la Directiva 2009/72/CE del Parlamento Europeo y del Consejo. Son empresas que efect煤an la funci贸n de 芦suministro禄 definida en el art铆culo 2, punto 19, de dicha Directiva.
  • Gestores de la red de distribuci贸n, tal como se definen en el art铆culo 2, punto 6, de la Directiva 2009/72/CE.
  • Gestores de la red de transporte, tal como se definen en el art铆culo 2, punto 4, de la Directiva 2009/72/CE.

b) Crudo

  • Operadores de oleoductos de transporte de crudo.
  • Operadores de producci贸n de crudo, instalaciones de refinado y tratamiento, almacenamiento y transporte.

c) Gas

  • Empresas suministradoras, tal como se definen en el art铆culo 2, punto 8, de la Directiva 2009/73/CE del Parlamento Europeo
    y del Consejo
  • Gestores de la red de distribuci贸n, tal como se definen en el art铆culo 2, punto 6, de la Directiva 2009/73/CE.
  • Gestores de la red de transporte, tal como se definen en el art铆culo 2, punto 4, de la Directiva 2009/73/CE.
  • Gestores de almacenamiento, tal como se definen en el art铆culo 2, punto 10, de la Directiva 2009/73/CE.
  • Gestores de la red de GNL, tal como se definen en el art铆culo 2, punto 12, de la Directiva 2009/73/CE.
  • Compa帽铆as de gas natural, tal como se definen en el art铆culo 2, punto 1, de la Directiva 2009/73/CE.
  • Gestores de las instalaciones de refinado y tratamiento de gas natural聽 que re煤na los criterios establecidos en el art铆culo 5, apartado 2;

(recu茅rdese que en los relativo a los OSE la Directiva permite una ampliaci贸n nacional de su consideraci贸n. As铆, en Espa帽a se unen tambi茅n los operadores de servicios esenciales que dependan de las redes de informaci贸n en los sectores contemplados en la Ley 8/2011 de infraestructuras cr铆ticas)

Hamburgo. Ayuntamiento. Epc

El informe incluye informaci贸n sobre los modelos de gobernanza elegidos en cada pa铆s y las mejores pr谩cticas a nivel nacional. Presenta las capacidades de ciberseguridad de las asociaciones, organizaciones y organismos de la UE con un papel en el sector energ茅tico. Adem谩s, proporciona una visi贸n general de los diferentes esquemas de colaboraci贸n p煤blico-privada en los pa铆ses miembros de la UE.聽 De conformidad con la聽Recomendaci贸n de聽la聽Comisi贸n de 3.4.2019 sobre ciberseguridad en el sector energ茅tico , el documento apoya a los Estados miembros a abordar las especificidades del sector energ茅tico en materia de ciberseguridad: requisitos de seguridad en tiempo real, efectos en cascada, estado de la t茅cnica etc. M谩s espec铆ficamente, el informe aporta un interesante 芦mapeo禄 de los contenidos de la Recomendaci贸n de la Comisi贸n en relaci贸n con los est谩ndares internacionales (por ejemplo, ISO) y las buenas pr谩cticas.

Dado que la Recomendaci贸n requiere que los Estados miembros comuniquen informaci贸n sobre su aplicaci贸n a la Comisi贸n, a trav茅s del Grupo de Cooperaci贸n NIS (dentro de los 12 meses de su adopci贸n), este documento ser谩 煤til como modelo o plantilla para los informes.

Junto a este informe del Grupo de Cooperaci贸n NIS cabe mencionar trabajos previos que tambi茅n resultan de importancia como

Relacionado: