Archivo de la etiqueta: ciberseguridad

“Direito Comercial na Era Digital”, Universidade Lusófona, Porto 22 abril 2026

Posted on por

El 22 de abril, se celebra el coloquio “Direito Comercial na Era Digital”, una jornada académica dedicada al análisis de los principales desafíos que plantea la transformación digital en el ámbito del derecho comercial. El encuentro tiene lugar en la  Universidade Lusófona – Centro Universitário do Porto

Participan como ponentes y moderadores los profesores Marcos Cruz González (Universidad de Salamanca), Pedro Dias Venâncio (Universidade do Minho), César Pires (Instituto Politécnico de Bragança), Fernanda Rebelo (Universidade Portucalense), Carlos Filipe Costa (Dower Law Firm), Elena Pérez Carrillo (Universidad de León), Pedro Pablo Pérez Carbó (Universidad de los Andes), Ana Gonçalves, Mário Lourenço, Ana Isabel Guerra y João Tavares (Universidade Lusófona). La actividad cuenta, además, con la colaboración institucional de la Universidade Lusófona – Centro Universitário Porto, la Faculdade de Direito e de Ciência Política (FDCP), el CEAD – Centro de Estudos Avançados em Direito “Francisco Suárez”, la Fundação para a Ciência e a Tecnologia (FCT) y la firma Dower Law Firm.

El programa aborda cuestiones como la competencia en mercados digitales, los contratos celebrados a distancia, la desmaterialización de títulos de transporte, la responsabilidad de los administradores en entornos digitales y la evolución del derecho industrial en la era tecnológica

Expo. Cidade da Cultura. Santiago de Compostela. 2021–

En mi ponencia,  “O Direito Industrial na era Digital”, examino cómo la ciberseguridad y los sistemas de trazabilidad digital se han convertido en herramientas clave para proteger la propiedad industrial frente a la falsificación y la exfiltración de información estratégica.. Las infraestructuras seguras, los registros electrónicos robustos y los estándares de seguridad  son hoy fundamentales en la tutela efectiva de marcas, diseños, patentes y secretos empresariales en las cadenas de suministro físicas y digitales.

 

  1. En la economía digital, la lucha contra la falsificación ya no se limita al control físico de mercancías en fronteras o almacenes: es un problema de ciberseguridad y de gestión de datos. Las cadenas de suministro son cada vez más digitales, conectadas y distribuidas, y los falsificadores aprovechan esa complejidad para insertar productos ilícitos, manipular información de origen o explotar vulnerabilidades en los sistemas de trazabilidad. Las consecuencias son diversas: se ponen en riesgo la salud y seguridad de los consumidores, pero también el valor económico de las marcas, diseños y demás activos de propiedad industrial.
    • En este contexto, las soluciones tecnológicas de seguridad pasan a funcionar como instrumentos jurídicos indirectos de protección de la propiedad industrial: contribuyen a demostrar autenticidad, a documentar el recorrido de los bienes y a acreditar que la empresa ha actuado con la diligencia exigible frente a la falsificación
    • La trazabilidad digital basada en infraestructuras seguras permite rastrear el bien desde su origen hasta el consumidor final, detectar puntos de desviación en la cadena de suministro, o acreditar la autenticidad frente a falsificaciones que vulneran marcas, diseños o indicaciones geográficas. Esta trazabilidad deja de ser una mera herramienta logística para convertirse en un mecanismo de control jurídico del ciclo de vida del producto.

 

2. Las obligaciones regulatorias recientes en materia de ciberseguridad y servicios digitales refuerzan esta convergencia entre seguridad informática y protección de la propiedad industrial, incrementan el coste y la dificultad de introducir productos falsificados en los canales legítimos de distribución y reducen las asimetrías de información entre empresas, titulares de derechos y consumidores.

  • Así, la  Directiva (UE) 2022/2555 (NIS2) exige a operadores esenciales y entidades importantes una gestión del riesgo que cubra toda la cadena de suministro digital, incluidos proveedores críticos, integridad y disponibilidad de datos, y seguridad de sistemas industriales y logísticos. Ver esta entrada
  • O, el Reglamento (UE) 2022/2065 (Digital Services Act, DSA) impone a plataformas y otros intermediarios obligaciones de trazabilidad de comerciantes, verificación de identidad, retirada de contenidos ilícitos y cooperación con titulares de derechos, lo que se traduce en mejores herramientas para localizar vendedores de falsificados y retirar ofertas que infringen marcas y otros derechos de PI. Ver el tag DSA
    • El DSA introduce la figura de los denominados alertadores fiables (trusted flaggers), con una incidencia relevante en la tutela de los derechos de propiedad industrial en el entorno digital. Estos sujetos, designados por los Coordinadores de Servicios Digitales de los Estados miembros, deben reunir requisitos de especialización, independencia y fiabilidad, actuando en la identificación y notificación de contenidos ilícitos.Entre los actos ilícitos que identifican se incluyen, de manera destacada, aquellos que supongan infracciones de derechos de propiedad industrial, tales como el uso no autorizado de signos distintivos, la comercialización de productos falsificados o la vulneración de derechos de diseño o patente en plataformas en línea.
    • Las plataformas digitales están obligadas a otorgar prioridad al tratamiento de las notificaciones emitidas por estos alertadores cualificados, lo que refuerza la eficacia de los mecanismos de retirada o bloqueo de contenidos ilícitos, en línea con los sistemas de notice and action. 
    • Desde la perspectiva de la protección de la propiedad industrial, esta figura contribuye a una detección más ágil y cualificada de infracciones, especialmente en contextos de comercialización digital a gran escala, donde la difusión de productos que vulneran marcas, diseños o patentes puede producirse de forma rápida y masiva. En consecuencia, los trusted flaggers se integran en un modelo de diligencia debida reforzada y corregulación, que fortalece la tutela de los derechos de propiedad industrial y mejora la eficacia de los mecanismos de reacción frente a infracciones en el entorno digital.

3. Los estándares de ciberseguridad pasan a formar parte de los instrumentos de tutela de activos industriales

Rododendros y azaleas

  • Los estándares como la familia ISO/IEC 27000 y el NIST Cybersecurity Framework— se consolidan como el baseline técnico‑organizativa para proteger documentación de propiedad industrial y secretos empresariales. Concretamente, su la versión de 2022 del NISY Cybersecurity  incorpora el control 5.32 “Intellectual property rights”, que obliga a identificar y cumplir los requisitos legales, reglamentarios, contractuales y estatutarios aplicables a los derechos de propiedad intelectual e industrial.
    • La implantación de un SGSI alineado con ISO/IEC 27001, auditado y documentado, se convierteen prueba de diligencia organizativa en litigios por apropiación indebida de secretos empresariales. No solo muestra que existen controles formales, sino que la protección de activos de PI se integra en la gobernanza corporativa y en la gestión del riesgo.
    • ISO/IEC 27002 complementa este enfoque con un catálogo detallado de controles para clasificación de la información, gestión de identidades, cifrado, seguridad en el ciclo de vida de activos y protección frente a fugas de información; todo ello especialmente relevante para documentación de invenciones, diseños y procesos industriales
    • NIST Cybersecurity Framework 2.0 incorpora, en la función PROTECT, la subcategoría PR.DS‑10, relativa a la protección de la confidencialidad, integridad y disponibilidad de los datos en uso.  cuya aplicación práctica se vincula directamente a la protección de activos de PI, porque código fuente, diseños en desarrollo, expedientes de patente o documentación de I+D son precisamente datos que están en uso y, por tanto, en el momento de máxima exposición. Esta subcategoría se utiliza como ancla para justificar controles reforzados sobre repositorios de PI (código, diseños, know‑how), especialmente durante las fases de edición, revisión y transferencia interna o externa.
    • Lo anterior se completa con referencias a las aportaciones desde ENISA a la seguridad digital de activos de PI como elemento del Derecho Comercial en la Era Digital en la Unión Europea

4. El ordenamiento industrial merece una reinterpretación a la luz de los riesgos digitales

  • La articulación conjunta de la Directiva 2016/943 sobre secretos comerciales y de la Directiva 2004/48/CE sobre enforcement de los derechos de propiedad intelectual conduce, en la práctica, a una juridificación de la ciberseguridad en las empresas titulares.
  • La lógica es muy similar cuando se amplía la mirada a la Directiva y el Reglamento de marcas de la UE, así como a las leyes de patentes nacionales y el CPE.
    • Estos instrumentos reconocen derechos exclusivos sobre signos distintivos e invenciones, pero su eficacia real depende de que el titular sea capaz de identificar, gestionar y probar el uso legítimo de sus marcas y la explotación de sus patentes, así como de localizar y documentar las infracciones. Todo ello presupone sistemas de información seguros, trazables y organizados. Ver el tag marcas
    • Téngase en cuenta los regímenes de licencia obligatoria y de Licencias Justas y no discriminatoria en caso de patentes esenciales o para estándares (PEN)
  • En la práctica, la propiedad industrial digital se ve completada con deberes de los titulares. Es posible que ello lleve una relativización. Es decir, a limitar la preocupación  a supuestos concretos y . A la luz de los costes que la propia protección lleva

TJUE, sentencia de 19 de marzo de 2026, C‑526/24, Brillen Rottler: abuso del derecho de acceso a los propios datos personales (art. 15 RGPD)

Posted on por

Comentario a la Sentencia del Tribunal de Justicia en el asunto C-526/24 Brillen Rottler: Una solicitud de acceso a los propios datos personales puede considerarse abusiva y denegarse si se presenta con el único fin de solicitar posteriormente una indemnización por una supuesta infracción del RGPD

El conflicto se origina cuando TC, residente en Austria, se suscribe en marzo de 2023 al boletín informativo de Brillen Rottler GmbH & Co. KG, óptica familiar establecida en Alemania, facilitando sus datos personales a través del formulario web. Poco después, ejerce ante la empresa su derecho de acceso previsto en el artículo 15 RGPD.

Brillen Rottler deniega la solicitud dentro del plazo de un mes, calificándola de “excesiva” en el sentido del artículo 12.5 RGPD, y el interesado mantiene su petición y añade una reclamación indemnizatoria de 1.000 euros al amparo del artículo 82 RGPD por daño inmaterial. El Amtsgericht Arnsberg plantea varias cuestiones prejudiciales sobre:

  • si incluso una primera solicitud de acceso puede ser “excesiva/abusiva” y, por tanto, denegarse;

  • si cabe indemnización por vulneración del derecho de acceso aunque no exista un tratamiento ilícito de datos como tal;

  • y cómo se configura el daño inmaterial indemnizable.

Cuestiones jurídicas planteadas

Las cuestiones centrales se refieren a la interpretación de los artículos 12.5, 15.1 y 82.1 RGPD:

  • Alcance de la cláusula que permite al responsable negase a actuar cuando las solicitudes sean “manifiestamente infundadas o excesivas” (art. 12.5).

  • Posibilidad de considerar “excesiva” una primera solicitud, pese a que el precepto menciona la repetición como ejemplo típico.

  • Configuración del derecho a indemnización por vulneración del derecho de acceso, incluso si la infracción se concreta en una negativa a tramitar la solicitud.

  • Determinación de si la pérdida de control sobre los datos o la incertidumbre sobre su tratamiento puede constituir daño inmaterial indemnizable.

Estas cuestiones sitúan el caso en la intersección entre la amplitud del derecho de acceso y el principio de prohibición del abuso del derecho en el marco del Derecho de la Unión.

Razonamiento del TJUE sobre el carácter “excesivo/abusivo”

El Tribunal declara que el artículo 12.5 RGPD permite considerar “excesiva” incluso una primera solicitud de acceso, siempre que concurran criterios estrictos, habida cuenta de que se trata de una excepción al derecho de acceso que debe interpretarse de forma restrictiva.

El TJUE fija los siguientes elementos:

  • El carácter repetitivo de las solicitudes es un indicio, pero no un requisito necesario; la “primera” solicitud puede ser excesiva si se acredita abuso.

  • La carga de la prueba recae sobre el responsable del tratamiento, que debe demostrar, a la vista de todas las circunstancias, que la solicitud no se presentó para conocer el tratamiento ni verificar su licitud, sino con intención abusiva, en particular para crear artificialmente las condiciones necesarias para reclamar una indemnización.

  • El Tribunal admite que el patrón de conducta del interesado (suscripciones sucesivas, solicitudes de acceso y reclamaciones indemnizatorias frente a distintos responsables) puede constituir un indicador relevante de ese uso instrumental del derecho.

Con ello, el TJUE no convierte el carácter económico de la pretensión en ilegítimo per se, pero sí exige que el ejercicio del derecho de acceso mantenga un vínculo real con su finalidad propia: permitir al interesado conocer y controlar el tratamiento de sus datos personales.

Derecho a indemnización y daño inmaterial

En relación con el artículo 82.1 RGPD, el Tribunal declara que confiere al interesado un derecho a indemnización por los daños y perjuicios resultantes de una vulneración del derecho de acceso del artículo 15.1, aunque esa vulneración consista en la negativa a dar curso a una solicitud, y no en un tratamiento ilícito de datos en sentido estricto.

El TJUE subraya que:

  • El tenor del artículo 82.1 no limita el derecho a indemnización a daños derivados de un “tratamiento” como tal, de modo que excluir las infracciones de los derechos del capítulo III vaciaría de efecto útil la norma.

  • El daño inmaterial puede incluir la pérdida de control sobre los datos personales o la incertidumbre acerca de si estos han sido objeto de tratamiento.

  • No toda infracción del RGPD genera automáticamente derecho a indemnización: el interesado debe probar tres requisitos acumulativos: infracción del RGPD, existencia de un daño efectivo (material o inmaterial) y nexo de causalidad entre ambos.

  • No procede indemnización cuando la pérdida de control o la incertidumbre se deben precisamente a la conducta del propio interesado, que decide someter sus datos al responsable con el fin de crear artificialmente las condiciones para obtener una compensación.

Corresponde al órgano jurisdiccional nacional apreciar, sobre la base de estos criterios, si en el caso concreto concurren abuso y daño indemnizable.

Relevancia práctica

La sentencia ofrece claridad operativa a responsables del tratamiento y autoridades de control:

  • Legitima la posibilidad de denegar solicitudes de acceso abusivas, incluso si son las primeras, siempre que se motive la decisión y se pueda acreditar el uso instrumental del derecho.

  • Refuerza la idea de que el artículo 12.5 RGPD actúa como “válvula de seguridad” frente a estrategias de litigación sistemática basadas en el mero cumplimiento formal de los requisitos del derecho de acceso.

  • Al mismo tiempo, subraya que el derecho a indemnización del artículo 82 no se vacía: se extiende a la vulneración del derecho de acceso, pero exige una prueba rigurosa del daño y de su causalidad, evitando una automatización de la compensación.

Para la práctica de cumplimiento, la sentencia impone a los responsables la necesidad de documentar los indicios de abuso, revisar patrones de conducta del interesado y articular políticas internas sobre tratamiento de solicitudes sospechosas, sin trivializar el estándar probatorio exigido por el TJUE.

Encaje en la doctrina general del abuso del derecho en la UE

Brillen Rottler se inserta en la jurisprudencia que reconoce el abuso del derecho como principio general del Derecho de la Unión, aplicable transversalmente cuando un derecho conferido por una norma de la UE se ejerce de forma contraria a su objeto y finalidad.

De esa doctrina general, el TJUE retoma la construcción clásica en torno a dos elementos:

  • Elemento objetivo: pese al respeto formal de los requisitos legales, el ejercicio del derecho persigue obtener una ventaja contraria al propósito de la norma, aquí, convertir el derecho de acceso en un mero instrumento para generar litigios indemnizatorios.

  • Elemento subjetivo: existencia de una intención de obtener de modo artificioso esa ventaja, que en este caso puede inferirse de un patrón de suscripciones, solicitudes y reclamaciones repetidas frente a distintos responsables.

La aportación específica de Brillen Rottler consiste en trasladar esta lógica al régimen de los derechos del interesado del RGPD, reafirmando que dichos derechos no son absolutos ni están al margen del principio de buena fe en su ejercicio. La sentencia no recorta el contenido esencial del derecho de acceso, pero sí excluye de su ámbito de protección las conductas estratégicas destinadas a construir artificialmente un escenario indemnizatorio.

En conclusión, el TJUE: admite que una primera solicitud de acceso pueda ser considerada “excesiva” y, por tanto, denegada, cuando se pruebe su carácter abusivo (art. 12.5 y 15 RGPD); reconoce que la vulneración del derecho de acceso puede generar derecho a indemnización (art. 82), incluso sin tratamiento ilícito, pero supedita ese derecho a la acreditación de un daño real y de la ausencia de una auto-creación artificiosa de ese daño; y consolida la integración del principio de abuso del derecho en el ámbito de la protección de datos, configurando el RGPD como un sistema de garantías robustas, pero no disponible para usos meramente instrumentales.

Panorama comparado de los sellos de «confianza regulada» – a modo de esquemas de certificación de ciberseguridad.

Posted on por

Hay tres referencias útiles para comparar con los esquemas europeos de certificación de ciberseguridad: Estados Unidos, China e India. No son idénticas al modelo del Reglamento de Ciberseguridad pero cumplen funciones parecidas de “sello de confianza regulado”.

Estados Unidos: FedRAMP para servicios en la nube

Rododendro

En Estados Unidos, el referente más claro es el Programa Federal de Gestión de Riesgos y Autorizaciones (Federal Risk and Authorization Management Program, FedRAMP). FedRAMP es un programa federal que proporciona un enfoque estandarizado para la evaluación y autorización de seguridad de servicios y productos de computación en la nube utilizados por agencias federales.

  • FedRAMP define un marco único para que los proveedores de servicios en la nube (cloud service providers, CSP) puedan ser evaluados frente a un conjunto de controles de seguridad basados en las publicaciones del Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST), en particular NIST SP 800‑53

  • El objetivo es evitar que cada agencia federal repita evaluaciones desde cero: se crea un modelo de riesgo y una autorización “común” reutilizable por múltiples agencias.

  • Existen distintos niveles (por ejemplo, impacto bajo, moderado o alto), que determinan la intensidad de los controles y el tipo de datos que pueden alojarse en ese servicio.

  • FedRAMP exige supervisión continua y revisiones periódicas, y mantiene un listado de servicios autorizados que las agencias

En la práctica, para muchos proveedores cloud, disponer de autorización FedRAMP se ha convertido en un requisito de acceso al mercado federal. Es un esquema sectorial (Administración federal, servicios en la nube) y no un marco horizontal tan amplio como el de la Unión Europea, pero ilustra bien cómo una combinación de estándares NIST y un programa federal de certificación crea un “sello” obligatorio de facto.

 

China: Esquema de Protección Multi‑nivel (MLPS 2.0) y certificaciones asociadas

En la República Popular China, el núcleo no es un único esquema de certificación, sino el Esquema de Protección Multi‑nivel (Multi‑Level Protection Scheme, MLPS 2.0), desarrollado bajo la Ley de Ciberseguridad china (Cybersecurity Law).

  • Todos los “operadores de redes” deben clasificar sus sistemas de información en niveles del 1 al 5 según su importancia para la seguridad nacional, el orden social y los derechos de los ciudadanos.

  • A partir de cierto nivel (por ejemplo, nivel 2 o superior) se exige registro ante las autoridades; a partir de nivel 3 se requiere evaluación y certificación por instituciones de ciberseguridad cualificadas, con auditorías periódicas.

  • El esquema fija requisitos crecientes de seguridad técnica, gestión interna, monitorización y respuesta a incidentes, alineados con el nivel asignado.

Además, China exige y promueve distintos certificados específicos para productos y servicios:

Camelia blanca

  • Certificación de equipos y productos de red considerados “críticos” o de uso masivo.

  • Requisitos particulares para proveedores de servicios en la nube, como uso de centros de datos ubicados en China, medidas reforzadas de control de perímetro, autenticación, copias de seguridad, etc.

  • Interacción con otras normas, como la Ley de Seguridad de Datos (Data Security Law) y la Ley de Protección de Información Personal (Personal Information Protection Law), que añaden capas de obligaciones.

A diferencia del modelo europeo, el Esquema de Protección Multi‑nivel (MLPS 2.0) está íntimamente ligado al control estatal de infraestructuras y datos: la clasificación y certificación tienen una fuerte dimensión de seguridad nacional y control regulatorio, no solo de “sello de confianza” para el mercado.

India: empanelamiento MeitY para servicios en la nube

En la India, un referente importante es el sistema de empanelamiento del Ministerio de Electrónica y Tecnologías de la Información (Ministry of Electronics and Information Technology, MeitY) para proveedores de servicios en la nube utilizados por organismos públicos.

  • El Ministerio de Electrónica y Tecnologías de la Información (MeitY) define criterios de seguridad, interoperabilidad, portabilidad de datos, acuerdos de nivel de servicio y condiciones contractuales que deben cumplir los proveedores de servicios en la nube que quieran prestar servicios a la Administración y al sector público.

  • Los proveedores son auditados por la Dirección de Certificación de Pruebas y Calidad (Standardisation Testing and Quality Certification, STQC) y, si superan la evaluación, se “empanelan”, es decir, se incluyen en una lista de servicios autorizados para uso gubernamental.

  • Entre los requisitos figuran el alojamiento de datos dentro del territorio de la India, el cumplimiento de estándares internacionales (como ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 20000) y el ajuste a guías de seguridad específicas del Gobierno indio.l

Llegan las camelias

 

De nuevo, se trata de un esquema focalizado en servicios en la nube para el sector público, que funciona como filtro: sin empanelamiento del Ministerio de Electrónica y Tecnologías de la Información (MeitY), un proveedor no puede competir en ciertos contratos o proyectos gubernamentales. No es tan amplio ni formalizado como el marco europeo de Certificación, pero refleja una lógica similar

Esquemas Europeos de Certificación de Ciberseguridad- ENISA_

Posted on por

Los esquemas europeos de certificación de ciberseguridad que impulsa la Agencia de la Unión Europea para la Ciberseguridad (ENISA) son una pieza central del nuevo Derecho de la economía digital en la Unión Europea (UE). No son solo “sellos técnicos”: son instrumentos híbridos, a medio camino entre la normalización técnica y la regulación, que condicionan de forma creciente la contratación, la supervisión sectorial y la responsabilidad de empresas y administraciones públicas.

1. Del mosaico nacional al marco europeo: el Reglamento de Ciberseguridad (Cybersecurity Act)

Mongolfiera

El punto de partida es el Reglamento (UE) 2019/881, conocido como Reglamento de Ciberseguridad (Cybersecurity Act), que hizo de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) una auténtica agencia permanente de ciberseguridad y estableció un marco europeo de certificación de ciberseguridad. Hasta su aprobación, el paisaje europeo era un mosaico de esquemas nacionales, acuerdos como el Acuerdo de Reconocimiento Mutuo Senior Officials Group Information Systems Security (SOG‑IS MRA) y sellos privados difícilmente comparables entre sí. Cada Estado miembro podía exigir o promover sus propios certificados,

El Reglamento de Ciberseguridad (Cybersecurity Act) pretende resolver este problema mediante nuevos procedimientos que permiten que la Comisión Europea, con apoyo técnico de la  ENISA adopte esquemas europeos de certificación de ciberseguridad aplicables a productos, servicios o procesos de tecnologías de la información y la comunicación (TIC). Una vez adoptado un esquema, los certificados emitidos conforme al mismo deben ser reconocidos en todos los Estados miembros, lo que crea un mercado único de certificación y evita duplicidades de pruebas y acreditaciones.

Cada esquema define su ámbito (por ejemplo, productos de tecnologías de la información y la comunicación, servicios de computación en la nube, redes de comunicaciones móviles de quinta generación) y los niveles de aseguramiento (básico, sustancial, alto) con un conjunto de requisitos de seguridad asociados a cada nivel. También determina qué organismos pueden evaluar y certificar (organismos de certificación acreditados, laboratorios) y qué normas de acreditación se aplican (por ejemplo, la norma ISO/IEC  que se designe. El resultado es una arquitectura en la que el legislador europeo fija el marco y los objetivos, y el detalle técnico se construye sobre la base de estándares internacionales y prácticas de evaluación consolidadas.

En principio, la certificación bajo estos esquemas es voluntaria. Sin embargo, el Reglamento prevé que un producto o servicio certificado goce de una presunción de conformidad con los requisitos del esquema, lo que tiene consecuencias muy concretas: puede servir de referencia en licitaciones, ser exigido por reguladores sectoriales o convertirse en estándar de diligencia debida en determinados mercados. De facto, lo que empieza como “voluntario” tiende a convertirse en requisito de mercado o en criterio de supervisión

2. Esquema Europeo de Certificación de Ciberseguridad basado en Common Criteria (EUCC)

Catedral León. Roset
on

El primer esquema adoptado formalmente bajo el Reglamento de Ciberseguridad es el Esquema Europeo de Certificación de Ciberseguridad basado en Common Criteria (EUCC). Su objetivo es unificar a escala europea la certificación de productos de tecnologías de la información y la comunicación que se evaluaban tradicionalmente conforme al estándar internacional Common Criteria (CC), como tarjetas inteligentes, módulos criptográficos, sistemas operativos embebidos o ciertos elementos de infraestructuras de confianza (identidad electrónica, servicios de confianza de firma electrónica).

Antes de este EUCC, estos productos se certificaban en el marco de esquemas nacionales coordinados parcialmente por el Acuerdo de Reconocimiento Mutuo Senior Officials Group Information Systems Security (SOG‑IS MRA), que ahora se ve progresivamente sustituido por un esquema europeo único. El Esquema Europeo de Certificación de Ciberseguridad basado en Common Criteria (EUCC) recoge ese legado, actualiza los requisitos y establece un marco común de evaluación que

  • Define qué categorías de productos pueden certificarse y bajo qué perfiles de protección u objetivos de seguridad.

  • Establece niveles de aseguramiento y requisitos de evaluación asociados a Common Criteria (CC), adaptados al entorno europeo

  • Requiere que los organismos de certificación y los laboratorios estén acreditados conforme a normas armonizadas, garantizando un nivel comparable de calidad en las evaluaciones.

Para juristas y reguladores, EUCC es relevante porque permite a la norma sectorial (por ejemplo, en identidad electrónica, servicios de confianza, sistemas de pago o infraestructuras críticas) remitir a un referente técnico común, en lugar de citar múltiples esquemas nacionales. Además, puede servir de criterio de diligencia: un operador que elige componentes certificados al amparo del EUCC con un nivel de aseguramiento alto podría alegar haber tomado medidas razonables de seguridad; a la inversa, la ausencia de certificación podría ser un indicio de falta de diligencia en determinados contextos. Finalmente, la existencia de un registro europeo de certificados facilita la transparencia y el control para supervisores y contrapartes contractuales.

3. Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube (EUCS)

El Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube (EUCS) es el gran proyecto en materia de certificación de servicios de computación en la nube, todavía en fase de candidatura y consulta pública, pero ya bien definido en sus líneas maestras. Su razón de ser es evidente: hoy los servicios de computación en la nube son infraestructura básica para entidades financieras, aseguradoras, plataformas de negociación, administraciones públicas, sistemas sanitarios, etc., pero los requisitos de seguridad que se les exigen están fragmentados entre normas nacionales, guías de supervisores y esquemas privados.

Museo San Matteo. Pisa

El EUCS aspira a convertirse en el lenguaje común europeo para estos servicios. Define categorías de servicios (infraestructura como servicio, plataforma como servicio, software como servicio) y niveles de aseguramiento (básico, sustancial, alto), con un conjunto de requisitos asociados a cada nivel. Entre esos requisitos se incluyen controles sobre: Gestión de identidades y accesos, autenticación robusta y segregación de funciones; cifrado en tránsito y en reposo, gestión de claves, registros de actividad y monitorización;continuidad de negocio, recuperación ante desastres y gestión de incidentes; seguridad de la cadena de suministro y de la subcontratación (subencargados de tratamiento y otros proveedores).

Desde la óptica jurídica, resulta especialmente relevante cómo el EUCS integra cuestiones que trascienden la técnica pura. Uno de los debates centrales gira en torno a la localización de datos y las transferencias internacionales: lugar de almacenamiento y procesamiento, jurisdicciones aplicables y condiciones de acceso por autoridades de terceros países. Todo ello conecta directamente con el Reglamento general de protección de datos (RGPD), con la Directiva (UE) 2022/2555 sobre medidas para un nivel elevado común de ciberseguridad en la Unión (NIS2) y con normativas sectoriales que condicionan el uso de la nube en sectores críticos.

Si el EUCS se adopta en los términos previstos, es previsible que se convierta en referencia para los requisitos de contratación pública de servicios en la nube (por ejemplo, exigir un nivel “alto” para determinados datos o procesos críticos); expectativas de supervisores financieros, sanitarios o de otros sectores críticos respecto del uso de la nube por sus entidades supervisadas; cláusulas contractuales entre proveedores de servicios en la nube y clientes corporativos en toda la Unión Europea.

4. Esquema Europeo de Certificación de Ciberseguridad para redes 5G

El tercer gran eje es el futuro Esquema Europeo de Certificación de Ciberseguridad para reds 5G, que la Comisión Europea ha encargado a la  ENISA en el marco de la estrategia de seguridad de redes 5G y de la denominada “caja de herramientas 5G” (5G Toolbox). Las redes de comunicaciones móviles de quinta generación (5G) constituyen la base tecnológica de servicios industriales, vehículos conectados, ciudades inteligentes y numerosas aplicaciones de misión crítica.

Este Esquema Europeo de Certificación de Ciberseguridad para redes 5G tiene como finalidad evaluar de forma sistemática la seguridad de equipos, software y arquitecturas de red 5G, incluidas funciones virtualizadas y segmentación de red (network slicing); abordar riesgos derivados de la cadena de suministro, donde intervienen múltiples fabricantes y desarrolladores, algunos potencialmente calificados como proveedores de “alto riesgo”; proporcionar a los Estados miembros y a los operadores de redes públicas un instrumento común para comparar la robustez de diferentes soluciones y proveedores

Este esquema se sitúa en el corazón del debate sobre infraestructuras críticas, soberanía tecnológica y dependencia de terceros países. La certificación al amparo del Esquema Europeo de Certificación de Ciberseguridad para redes 5G no sustituye a decisiones políticas (por ejemplo, restricciones a ciertos proveedores), pero aporta una base técnica más uniforme para justificarlas y para diseñar obligaciones de seguridad reforzadas.

5. Implicaciones jurídicas

Estos esquemas son normas regulatorias “de segundo nivel”. El Reglamento de Ciberseguridad crea un marco general y habilita la adopción de esquemas técnicos que, sin ser leyes formales, tienen efectos normativos muy intensos: introducen presunciones de conformidad, son citados por otras normas y condicionan la práctica contractual.

La existencia o ausencia de certificación bajo esquemas como los mencionados puede influir en la apreciación de la diligencia exigible a fabricantes, proveedores de servicios y usuarios industriales. Un nivel “alto” de aseguramiento no es solo un argumento comercial, sino un elemento que puede entrar en la valoración jurídica ex ante (deber de cuidado) y ex post (juicios de culpa).

Estos esquemas de certificación se entrecruzan con la protección de datos (Reglamento general de protección de datos), con la seguridad de redes y sistemas (Directiva NIS2), con la regulación financiera, sanitaria o de infraestructuras críticas y, cada vez más, con la contratación pública, donde los pliegos comienzan a remitir a niveles concretos de certificación.

Finalmente, estos esquemas ilustran cómo, en el entorno digital, la confianza no se construye solo con normas generales, sino con arquitecturas jurídico‑técnicas complejas, en las que el Derecho, los estándares y la evaluación independiente caminan juntos.

Ciber contaminación. Navegación y espacios de datos. Actualización, unos años después

Posted on por

Sobre este tema escribimos hace 8 años.Aquella entrada (aquí) sigue encajando en la realidad actual. Pero, corresponde actualizarla:

Centros de datos, inteligencia artificial y sostenibilidad: una actualización necesaria

La infraestructura física que sostiene la economía digital —centros de datos, redes de transmisión y sistemas de almacenamiento— se ha convertido en un elemento estructural del desarrollo económico contemporáneo. Sin embargo, buena parte de los análisis divulgativos que circularon entre 2015 y 2018 han quedado obsoletos, tanto en cifras como en el enfoque, a raíz de dos factores convergentes: la expansión acelerada de la computación en la nube y, especialmente, el despliegue masivo de inteligencia artificial intensiva en cálculo.

Nuevas cifras y nuevo contexto energético

Los estudios recientes permiten ofrecer hoy una imagen más precisa.

  • En 2024, el consumo eléctrico global de los centros de datos se situó en torno a 415 TWh, aproximadamente un 1,5 % del consumo mundial de electricidad, con previsiones de crecimiento que apuntan a una cifra cercana a 945 TWh en 2030 si se mantiene el actual ritmo de despliegue, impulsado principalmente por centros optimizados para entrenamiento y operación de modelos de IA (International Energy Agency (IEA), Data Centre Energy Use: Critical Review of Models and Results, 2025). Este aumento no implica necesariamente un crecimiento lineal de las emisiones, pero sí introduce un riesgo sistémico.
  • En ausencia de mejoras sustanciales de eficiencia energética y de una descarbonización efectiva del mix eléctrico, los centros de datos y las redes asociadas podrían representar entre el 1 % y el 3 % de las emisiones energéticas globales a mediados de la próxima década, en escenarios que los acercan, por volumen agregado, a sectores tradicionalmente intensivos como la aviación (Carbon Brief, AI: five charts that put data centre energy use and emissions into context, 2024).
Localización, redes eléctricas y consumo de agua
  • El debate actual ya no se limita a cuánto consumen los centros de datos, sino dónde se localizan y cómo se integran en los sistemas energéticos. Muchos centros de nueva generación superan los 100 MW de potencia instalada, y algunos proyectos de “campus de IA” se diseñan a escalas que obligan a reforzar infraestructuras de transporte y distribución eléctrica, generando tensiones en redes locales y regionales (Data Center Dynamics, IEA: data center energy consumption set to double by 2030, 2024).
  • A ello se añade el consumo de agua asociado a los sistemas de refrigeración de alta densidad de cálculo. La disponibilidad hídrica, junto con el acceso a energía renovable y la menor congestión de red, se ha convertido en un criterio central de localización, con efectos relevantes en la planificación territorial y en las políticas industriales, particularmente en la Unión Europea (European Commission, In focus: Data centres – an energy-hungry challenge, 2025).
De la “huella digital” individual al consumo agregado
  • La literatura divulgativa de hace unos años (como la referenciada en la mencionada  antigua entrada DerMerUle)  tendía a sobredimensionar el impacto climático de gestos individuales —como enviar correos electrónicos o realizar búsquedas— mediante comparaciones llamativas pero técnicamente imprecisas. Los análisis más recientes recomiendan desplazar el foco hacia el consumo agregado de servicios digitales, en particular el streaming de vídeo, el almacenamiento masivo en la nube y, cada vez más, el uso intensivo de IA (European Climate Pact, Going digital: good or bad for the climate?, 2025,).
  • Ello no vacía de contenido la dimensión pedagógica del debate. El almacenamiento ilimitado de datos y la ausencia de políticas de depuración contribuyen a mantener infraestructuras permanentemente activas. Su impacto es marginal a nivel individual, pero no neutro en términos agregados, lo que enlaza las decisiones de uso digital con las estrategias de reducción de la huella de carbono tanto personales como corporativas.
Gobernanza, sostenibilidad y reporting
  • La huella ambiental de los centros de datos se ha incorporado de forma estable a la agenda de la doble transición verde y digital. La Comisión Europea los identifica como infraestructuras intensivas en energía que deben alinearse con los objetivos del Pacto Verde, mediante eficiencia energética, uso creciente de renovables y obligaciones reforzadas de información sobre consumo de energía, agua y emisiones (European Commission, In focus: Data centres – an energy-hungry challenge, 2025).
  • Para las empresas usuarias de servicios en la nube, estas exigencias tienen consecuencias directas: la selección de proveedores, la localización de los centros de datos y la contratación de servicios de computación “verde” forman ya parte de la gestión ESG y de la responsabilidad ambiental corporativa (World Economic Forum, Data centres and energy demand, 2025)
Implicaciones de Derecho Societario  y de Derecho de la competencia
  • Desde una perspectiva de Derecho mercantil, el impacto ambiental de los centros de datos y de la IA deja de ser una cuestión reputacional para integrarse en el núcleo de los deberes de diligencia de los administradores. La planificación tecnológica, la externalización de servicios en la nube y la elección de infraestructuras digitales forman parte hoy de las decisiones estratégicas de la empresa y deben evaluarse a la luz de los riesgos regulatorios, energéticos y de sostenibilidad, especialmente en contextos de reporting no financiero y de diligencia debida en materia ESG.
  • Al mismo tiempo, el fenómeno plantea retos relevantes desde el Derecho de la competencia. La concentración territorial de grandes centros de datos, el acceso preferente a energía barata o renovable y las economías de escala asociadas a la IA pueden reforzar posiciones dominantes, elevar barreras de entrada y condicionar la competencia efectiva en mercados digitales y de servicios en la nube. La sostenibilidad, en este contexto, no es solo un objetivo ambiental, sino también un factor estructural de competencia que exige atención por parte de autoridades regulatorias y de la defensa de la competencia.

 

 

Industria de Defensa. Reglamento Europeo del rearme y de la financiación de tecnologías de doble uso

Posted on por

El Reglamento (UE) 2025/2653 del Parlamento Europeo y del Consejo, de 17 de octubre de 2025 introduce modificaciones en  en varios reglamentos sectoriales de la UE para integrar la política industrial de defensa en el núcleo de los programas de financiación existentes. Se trata de un importante paso para implementar el Plan “ReArmar Europa”.

  • Entre las normas afectadas por esta reforma se encuentran el Reglamento (UE) 2021/694, que establece el programa Europa Digital; el Reglamento (UE) 2021/695, que crea Horizonte Europa; el Reglamento (UE) 2021/697, relativo al Fondo Europeo de Defensa; el Reglamento (UE) 2021/1153, que establece el Mecanismo «Conectar Europa»; y el Reglamento (UE) 2024/795, que pone en marcha la Plataforma de Tecnologías Estratégicas para Europa (STEP).

En el actual contexto caracterizado por el deterioro geopolítico, el incremento del gasto en defensa y las dificultades de acceso a financiación para la industria del sector, la finalidad transversal de estas modificaciones es movilizar tanto inversión pública como privada hacia capacidades militares y tecnologías de doble uso.  Es decir, que la política de defensa europea no dependa exclusivamente de esfuerzos nacionales aislados, sino que se articule de manera coordinada y estratégica en el conjunto de los grandes programas comunitarios.

El núcleo del Reglamento reside en la ampliación de la Plataforma de Tecnologías Estratégicas para Europa, que hasta ahora cubría tres ámbitos estratégicos —transición digital y deep tech, tecnologías limpias y biotecnologías—.  Ahora se se incorpora un cuarto sector específico de “tecnologías de defensa”.

  • Este sector se define por referencia a los productos relacionados con la defensa y a las tecnologías necesarias para su desarrollo, según los criterios establecidos por la Directiva 2009/43/CE sobre transferencias intracomunitarias de productos de defensa.
  • Asi, se permite ahora que los proyectos de defensa puedan beneficiarse del “sello STEP”, de la priorización en la evaluación y de ventajas de cofinanciación, abarcando iniciativas que impliquen capacidades intensivas en datos, infraestructuras avanzadas de computación o “gigafactorías de inteligencia artificial” susceptibles de aplicación militar. Esta ampliación refleja un cambio sustancial en la orientación de la política industrial europea, al vincular la innovación tecnológica avanzada con necesidades estratégicas de defensa en el marco de los programas comunitarios existentes.

Zamora, vista allén del río

De manera complementaria, el Reglamento introduce una excepción significativa en el programa Horizonte Europa. Mientras que el artículo 7, apartado 1, del , todavía vigente, Reglamento (UE) 2021/695 consagra el carácter civil de las actividades financiadas, el nuevo texto permite, con carácter excepcional y estrictamente acotado, que el Acelerador del Consejo Europeo de Innovación apoye innovaciones con posibles aplicaciones de doble uso. Esta medida habilita la financiación mediante instrumentos de capital a pymes, start‑ups y small mid‑caps del sector de la defensa que desarrollen tecnologías consideradas fundamentales para este ámbito, asegurando al mismo tiempo la complementariedad con el Fondo Europeo de Defensa y otros instrumentos financieros de la Unión, como InvestEU.

El Reglamento refuerza asimismo las salvaguardas de seguridad y el control de acceso para los proyectos de doble uso. En determinadas convocatorias, las normas de admisibilidad y selección pueden limitar la participación a entidades establecidas en Estados miembros y, de forma limitada, en algunos países asociados, excluyendo empresas controladas por terceros países no asociados cuando ello sea necesario para proteger los intereses estratégicos y de seguridad de la Unión. La Comisión queda obligada a supervisar el uso de esta “excepción de defensa” dentro de Horizonte Europa, recopilando y comunicando información sobre los proyectos afectados sin generar nuevas cargas administrativas para los beneficiarios, lo que garantiza una gestión controlada y transparente de los recursos públicos destinados a la innovación estratégica.

Además, las modificaciones introducidas en Europa Digital, el Fondo Europeo de Defensa y el Mecanismo «Conectar Europa» completan esta lógica de integración, facilitando que programas originalmente concebidos para la digitalización, la investigación y desarrollo civil o las infraestructuras de transporte y energía puedan apoyar de manera efectiva capacidades críticas con relevancia militar o de doble uso. Entre estas capacidades destacan infraestructuras esenciales para la movilidad de fuerzas, la resiliencia energética y la seguridad de las comunicaciones, que se vuelven estratégicas en el marco del Plan ReArmar Europa.

Este Reglamento (UE) 2025/2653 constituye una pieza central de coordinación y planificación presupuestaria, trasladando la política de defensa desde un enfoque estrictamente nacional hacia una estrategia industrial europea integrada, que articula los grandes instrumentos de financiación de la Unión para responder a desafíos geopolíticos y tecnológicos contemporáneos.

DSA: El TGUE desestima el recurso de Amazon contra la decisión de la Comisión por la que se designó a la plataforma Amazon Store como «plataforma en línea de muy gran tamaño»

Posted on por

El Tribunal General ha dictado sentencia en el asunto T-367/23, Amazon EU contra la Comisión Europea, relativo al Reglamento de Servicios Digitales (DSA). El texto completo de la sentencia de 19.11.2025 se puede consultar aquí.

Como es sabido, el DSA  establece obligaciones específicas para los prestadores de servicios designados como plataformas en línea de muy gran tamaño o motores de búsqueda en línea de muy gran tamaño, cuando superan el umbral de 45 millones de usuarios en la Unión Europea, equivalente aproximadamente al 10 % de la población.

Mediante su recurso basado en el artículo 263 del Tratado de Funcionamiento de la Unión Europea (TFUE), la demandante, Amazon EU Sàrl, sucesora de Amazon Services Europe Sàrl, solicitó la anulación de la Decisión C(2023) 2746 final de la Comisión Europea, de 25 de abril de 2023, por la que se designa a la plataforma Amazon Store como plataforma en línea de muy gran tamaño de conformidad con el artículo 33, apartado 4, del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo («Decisión impugnada»). Véase el recurso aqui

Como es sabido, el recurso de anulación permite impugnar actos de las instituciones de la Unión que sean contrarios al Derecho de la Unión. Si se declara fundado, el acto se anula y la institución debe corregir el vacío jurídico resultante.

La decisión impugnada había sido adoptada por la Comisión en el marco del DSA.

I. Antecedentes.

Amazon Store es una tienda en línea de productos de consumo, operada directamente por la demandante o por terceros vendedores, accesible a través de diversos dominios en la Unión Europea, incluidos www.amazon.fr; www.amazon.de; www.amazon.es; www.amazon.it; www.amazon.nl; www.amazon.pl; www.amazon.se; www.amazon.se.

El 17 de febrero de 2023, conforme al DSA, Amazon EU Sàrl comunicó en sus sitios web que el promedio mensual de destinatarios activos en la Unión Europea superaba los 45 millones de usuarios, equivalente aproximadamente al 10 % de la población europea, cumpliendo así los criterios cuantitativos para ser considerada una plataforma de muy gran tamaño.

  • El 22 de febrero de 2023, la Comisión Europea notificó a Amazon.com, Inc. y a la demandante sus conclusiones preliminares, indicando que la plataforma cumplía los requisitos para su designación como plataforma en línea de muy gran tamaño a efectos del artículo 33, apartado 1, del DSA.
  • Simultáneamente, la Comisión informó al Gran Ducado de Luxemburgo, en aplicación del artículo 33, apartado 4, de su intención de designar a Amazon Store como plataforma de muy gran tamaño, y el 27 de febrero de 2023, Luxemburgo manifestó que no tenía observaciones que formular.
  • Posteriormente, el 15 de marzo de 2023, Amazon presentó observaciones sobre las conclusiones preliminares de la Comisión. Y, por fin, mediante la Decisión impugnada, la Comisión designó formalmente a Amazon Store como plataforma en línea de muy gran tamaño.

II. Pretensiones de las partes

La demandante, junto con la Bundesverband E-Commerce und Versandhandel Deutschland eV (bevh), solicitó al Tribunal General, como medida principal, la anulación total de la Decisión impugnada.

Subsidiariamente, planteó la anulación parcial en la medida en que la decisión impone obligaciones específicas, en particular la obligación de ofrecer al menos una opción de cada sistema de recomendación que no se base en la elaboración de perfiles, conforme al artículo 38 del Reglamento 2022/2065, así como la obligación de recopilar y publicar un repositorio de anuncios de acuerdo con el artículo 39 del mismo Reglamento. Ambas partes solicitaron, además, la condena en costas a la Comisión.

Por su parte, la Comisión Europea, el Parlamento Europeo y el Bureau européen des unions de consommateurs (BEUC) pidieron la desestimación del recurso y la condena de la demandante en costas, incluidas las del procedimiento sobre medidas provisionales. El Consejo de la Unión Europea respaldó la desestimación del recurso.

III. Análisis de la sentencia del Tribunal General

La Comisión Europea había designado a Amazon Store como una de estas plataformas de muy gran tamaño, y Amazon solicitó la anulación de dicha decisión alegando que la disposición del DSA que determina estas plataformas vulnera derechos fundamentales reconocidos en la Carta de Derechos Fundamentales de la Unión Europea, tales como la libertad de empresa, el derecho de propiedad, el principio de igualdad ante la ley, la libertad de expresión e información, y el derecho a la vida privada y a la protección de datos confidenciales.

El Tribunal General desestimó el recurso.

  • En relación con la libertad de empresa, reconoció que las obligaciones derivadas del DSA constituyen una injerencia, al implicar costes significativos, afectar la organización de las actividades y requerir soluciones técnicas complejas. No obstante, esta injerencia está prevista por la ley, no afecta al núcleo esencial de la libertad de empresa y se considera justificada conforme a la Carta, dado que el legislador de la Unión razonablemente concluyó que las plataformas de muy gran tamaño presentan riesgos sistémicos para la sociedad, incluyendo la difusión de contenidos ilícitos y la vulneración de derechos fundamentales, como la protección de los consumidores.
  • En cuanto al derecho de propiedad, el Tribunal señaló que las obligaciones del DSA son principalmente cargas administrativas que no privan a los prestadores de la titularidad de sus plataformas. Incluso si se considerara una injerencia, estaría justificada por los objetivos de prevención de riesgos sistémicos perseguidos por el legislador.
  • Respecto al principio de igualdad, el Tribunal indicó que el legislador disponía de un amplio margen para tratar de manera homogénea a las plataformas de muy gran tamaño, incluidas las de comercio, dado que también pueden generar riesgos sistémicos.
  • Por lo que respecta a la distinción basada en el número de usuarios no resulta arbitraria ni desproporcionada, considerando, según señala el TGUE, las plataformas con más de 45 millones de usuarios pueden exponer a un gran número de personas a contenidos ilícitos.
  • En lo que respecta a la libertad de expresión e información, el TGUE observó que la obligación de ofrecer una opción de recomendación sin elaboración de perfiles puede limitar la forma de presentación de productos; no obstante, esta restricción es justificada, no afecta al contenido esencial de la libertad y persigue un objetivo legítimo de protección de los consumidores.
  • Finalmente, en relación con el derecho a la vida privada y la protección de la información confidencial, el Tribunal reconoció que las obligaciones de transparencia publicitaria y el acceso de investigadores constituyen una injerencia, pero que esta es proporcional, establecida en la ley y justificada por el interés general de prevenir riesgos sistémicos y garantizar un alto nivel de protección de los consumidores. Además, la publicidad del repositorio está delimitada y el acceso de los investigadores se sujeta a estrictas garantías de seguridad y confidencialidad.

Ciberseguridad europea y seguros D&O para riesgos cibernéticos

Posted on por

Los riesgos cibernéticos se han convertido en una prioridad para los consejos de administración y la alta dirección debido al incremento de brechas de datos, ataques de denegación de servicio (DDoS), ransomware y extorsión cibernética. Con la entrada en vigor del Reglamento (UE) 2016/679 (“GDPR”) en mayo de 2018 se intensificó la atención de los gestores de riesgos hacia la gestión de datos y notificaciones de incidentes. Y, a pesar de que la empresa sea consciente de los riesgos, la gestión no puede reducirse a “cumplimiento formal” o “tick‑box”: debe integrarse en la cultura de la organización a todos los niveles

  • Foca en granito.

    En este entorno, la póliza D&O tradicional puede no cubrir ciertos gastos derivados de un incidente de seguridad digital (por ejemplo, la restauración de sistemas, interrupción del negocio, costes reputacionales), de modo que es importante evaluar conjuntamente la póliza D&O y la póliza de responsabilidad cibernética (“cyber liability”).

  • Los responsables de riesgo y los asegurados  deben reflexionar  y analizar sobre cómo abordar la adquisición de seguros: identificar exposiciones, definir límites, comprender exclusiones, evaluar capacidad de respuesta del asegurador y diseñar programas aseguradores adaptados al riesgo cibernético

  • Los directores y altos cargos tienen una responsabilidad activa en la supervisión del riesgo digital. La omisión o la supervisión insuficiente no solo incrementa la exposición de la empresa, sino que también puede derivar en responsabilidad personal de los administradores. Esto refuerza la idea de que la gobernanza corporativa moderna debe integrar explícitamente la gestión de riesgos cibernéticos como elemento de control interno y estrategia empresarial. La exposición personal  de administradores, consejeros y altos cargos puede verse incrementada por la omisión de una adecuada supervisión del riesgo digital

La creciente complejidad del ecosistema digital europeo, reforzada por ENISA, la red CSIRTs, ECSO y ECCG, ha transformado la ciberseguridad en un componente esencial de la responsabilidad de los administradores. En este contexto, los seguros D&O de ciber riesgos son un instrumento complementario para gestionar la exposición legal y financiera derivada de incidentes de seguridad informática, fallos en la gobernanza o incumplimiento de obligaciones normativas europeas.

1. Riesgos cubiertos y vínculo con la gobernanza. Los seguros D&O de ciber riesgos protegen a los administradores frente a reclamaciones por

  • Falta de supervisión adecuada de la seguridad informática, incluyendo la omisión de implementar buenas prácticas recomendadas por ENISA.

  • Respuesta insuficiente ante incidentes coordinados por la red CSIRTs o por alertas de vulnerabilidad críticas en infraestructuras digitales.

  • Incumplimiento de obligaciones de gestión, reporte y certificación, especialmente en los sectores y entidades sometidos a DORA, DNIS2 y otros marcos regulados.

  • Decisiones empresariales que no integren recomendaciones de ECSO sobre innovación segura o gestión de riesgos tecnológicos, con consecuencias financieras o regulatorias.

2. D&O y cumplimiento normativo europeo

Los seguros D&O no reemplazan la diligencia del administrador, sino que la complementan, ofreciendo cobertura frente a riesgos residuales que puedan derivar en responsabilidades civiles o administrativas. La contratación de un seguro D&O para ciber riesgos debe entenderse dentro de un marco de compliance proactivo:

  • Una empresa que implementa medidas recomendadas por ENISA, sigue las alertas de CSIRTs, participa en iniciativas ECSO y certifica sus sistemas según ECCG reduce su exposición a incidentes.

  • En caso de un ciberataque que derive en pérdidas financieras o daño reputacional, el seguro D&O puede cubrir reclamaciones de accionistas, sanciones civiles o defensas legales, siempre que se demuestre que los administradores actuaron con diligencia y siguiendo los estándares europeos.

  • Desde la perspectiva del mercado asegurador, la existencia de certificaciones europeas y la adopción de buenas prácticas se traduce en menores primas, reflejando la menor probabilidad de reclamaciones por negligencia en ciberseguridad.

  • La gestión del riesgo cibernético no puede limitarse a un enfoque “tick‑box” o cumplimiento mínimo. Debe integrarse en la cultura organizativa, involucrando a todos los niveles: desde la alta dirección hasta los empleados que manejan datos sensibles. Esta integración cultural facilita la detección temprana de incidentes y la respuesta coordinada, elementos críticos para limitar daños y preservar la reputación corporativa (Marsh, más abajo).

3. Integración en la estrategia de gobernanza

Para los administradores, la relación entre las estructuras europeas de ciberseguridad y los seguros D&O implica:

  • Evaluar riesgos: identificar qué activos, procesos y sistemas críticos podrían generar responsabilidades en caso de fallo de seguridad.

  • Adoptar medidas preventivas: implementación de estándares y certificaciones europeas, participación en alertas y ejercicios de CSIRTs, seguimiento de recomendaciones de ENISA y ECSO.

  • Documentar decisiones: mantener evidencia de políticas, procedimientos y medidas adoptadas para demostrar diligencia ante reclamaciones potenciales.

  • Contratar cobertura D&O adecuada: asegurar que la póliza cubre riesgos cibernéticos emergentes, incluyendo brechas de datos, ataques de ransomware o fallos en la gestión de proveedores críticos.

4. Medias previas  a contratar el seguro.

Evaluación integral de riesgos.

Antes de contratar un seguro D&O o cibernético, la empresa debe identificar los riesgos críticos a los que están expuestos los administradores, incluyendo fallos en seguridad de la información, brechas de datos, ataques de ransomware y fallos de proveedores.   La evaluación debe integrar la normativa europea de ciberseguridad  y los estándares de certificación aplicables. También se deben analizar otras coberturas contratadas por la empresa, en particular si se cuenta con pólizas de ciber riesgos , por evitar duplicidades o solapamientos de cobertura, pero también para evitar incurrir en situaciones de infra seguro o de falta de cobertura

Selección de coberturas adecuadas

Las pólizas deben cubrir responsabilidades derivadas de decisiones negligentes o incumplimientos regulatorios relacionados con la ciberseguridad. Abundando en lo que se acaba de indicar, es fundamental revisar la interacción entre D&O y seguros cibernéticos y evitar superposiciones o lagunas de cobertura.

Integración con la gobernanza corporativa

Los administradores deben documentar políticas y procedimientos de ciberseguridad, evidenciando cumplimiento con estándares europeos y buenas prácticas. La existencia de certificaciones, adopción de estándares o buenas prácticas reconocidas y la participación en alertas CSIRTs reduce el riesgo de reclamaciones y, por tanto, el coste del seguro.

Gestión del siniestro

A nivel de empresa, conviene establecer protocolos claros de notificación de incidentes, asegurando coordinación entre la empresa, los administradores y la aseguradora. También, definir responsabilidades internas y externas, evitando conflictos entre la gestión del siniestro y la defensa de los administradores.

Formación y actualización continua

Los administradores deben recibir formación sobre ciberriesgos, obligaciones regulatorias y evolución tecnológica. Entre las buenas prácticas destacables está la de realizar simulacros de incidentes y revisiones periódicas de las coberturas de seguro D&O, alineadas con la estrategia de ciberseguridad de la empresa.

Diferencias entre las coberturas de las pólizas de responsabilidad de administradores y directivos (D&O) y las pólizas de responsabilidad cibernética (“cyber liability”) frente a incidentes de ciberseguridad, enfatizando la importancia de un programa de seguros combinado para cubrir riesgos de manera integral (Recomendaciones de  la aseguradora Aon, en el enlace que se facilita más abajo).

Las pólizas D&O protegen principalmente a directivos frente a reclamaciones por actos de gestión, incumplimientos  de los fiduciarios o mala gestión, pero no están diseñadas, en principio, para ciber riesgos. Por ello, por ejemplo, pueden contar con exclusiones de gastos generados por un ciberataque, como notificaciones a afectados o recuperación de sistemas (Aon).

Piedritas de la playa sobre fondo azul

Las pólizas cibernéticas cubren tanto daños “first‑party” (la propia organización: investigación forense, restauración, interrupción del negocio, reputación) como “third‑party” (terceros afectados: demandas, defensa, indemnizaciones) ante incidentes cibernéticos

La activación de cobertura D&O al uso tras un ciberincidente depende de la redacción de la póliza. Es habitual hoy encontrar exclusiones específicas para daños cibernéticos , por lo que tal eventualidad debe ser considerada y negociada antes de contratar .

Se recomienda un programa combinado de D&O y póliza cibernética, con redacción adecuada, para gestionar de manera completa los riesgos cibernéticos (Aon), teniendo en cuenta que:

  • En compañías cotizadas, la cobertura habitual D&O por eventos cibernéticos suele limitarse a reclamaciones de accionistas y no a demandas de clientes o terceros afectados (indicado por Aon).

  • En compañías no cotizadas, la cobertura D&O tiende a ser más amplia, pero los aseguradores están incorporando exclusiones explícitas para riesgos cibernéticos (indicado por Aon).

  • Dado el aumento de incidentes cibernéticos y su complejidad, los consejos de administración y equipos de dirección deben considerar la gestión del riesgo cibernético como una cuestión de gobernanza corporativa, revisando coberturas, documentación y procedimientos de respuesta

Ver También

Aon. “Responding to Cyber Attacks: How Directors and Officers and Cyber Policies Differ.” Aon Insights, 24 Jul. 2024. Disponible en: https://www.aon.com/en/insights/articles/responding-to-cyber-attacks-how-directors-and-officers-and-cyber-policies-differ

Duque, Ruth. “Las pólizas cibernéticas y su implicación para el órgano de Administración” (1 octubre 2024) (https://www.cuatrecasas.com/es/spain/servicios-financieros-seguros/art/seguros-proteccion-administradore)

Marsh. “Understanding cyber Directors & Officers liability risks and buying insurance.” White paper (UK), Marsh, 2018. Disponible en: https://www.marsh.com/content/dam/marsh/Documents/PDF/UK-en/Understanding%20Cyber%20Directors%20&%20Officers%20Liability%20Risks%20and%20Buying%20Insurance.pdf

 

 

A consulta pública: «Directrices conjuntas sobre la interacción entre el Reglamento de Mercados Digitales y el Reglamento General de Protección de Datos»,

Posted on por

La DMA introduce obligaciones ex ante para las grandes plataformas digitales (“gatekeepers”) que prestan servicios esenciales como motores de búsqueda, tiendas de apps, sistemas operativos, mensajería, etc., con el fin de hacer los mercados digitales más contestables y equitativos. Ver anteriores entradas, aquí, también aquí, aquí, para más detalles.

Por su parte, el GDPR está orientado a proteger los derechos fundamentales de las personas físicas en lo relativo al tratamiento de sus datos personales.

Rio Arno, Luminaria, di San Rainieri, 2024

Muchas obligaciones de la DMA (por ejemplo, la combinación de datos de usuarios, la portabilidad, el acceso a datos a terceros, interoperabilidad) implican necesariamente un tratamiento de datos personales al que se aplica el GDPR. También algunas derivan o remiten a definiciones ya existentes en el GDPR.

Ante esta superposición, se detectaron posibles riesgos de solapamiento, inseguridad jurídica o conflicto: por ejemplo, ¿cómo puede un “gatekeeper” cumplir al mismo tiempo con la obligación de datos de la DMA y garantizar los principios del GDPR (licitud, minimización, finalidad, consentimiento, etc.)? Por ello, la Comisión y la EDPB están elaborando directrices que clarifiquen la interacción entre ambas normativas.

El borrador de directrices fue publicado en borrador/con consulta el 9 de octubre de 2025. La consulta pública estará abierta hasta el 4 de diciembre de 2025 para que empresas, asociaciones, usuarios y ciudadanos presenten sus comentarios. A partir de las respuestas, la versión final se prevé adopción en 2026.

Objetivos de las directrices conjuntas

  1. Proveer claridad y seguridad jurídica para los gatekeepers, usuarios empresariales, usuarios finales y autoridades sanitarias/protección de datos.

  2. Facilitar que la aplicación de la DMA sea coherente con el GDPR, de modo que las obligaciones de la DMA no deriven en vulneraciones del GDPR, y que el GDPR no sirva de excusa para eludir obligaciones de la DMA.

  3. Orientar al cumplimiento operativo con  pautas prácticas para, por ejemplo, la validez de consentimiento bajo el GDPR cuando la DMA exige combinación o reutilización de datos de usuarios, cuestiones de portabilidad de datos, acceso de terceros, interoperabilidad de servicios de mensajería, etc.

  4. Promover la cooperación regulatoria entre autoridades de competencia (que supervisan la DMA) y autoridades de protección de datos (que supervisan el GDPR) para evitar interpretaciones divergentes y asegurar un enfoque coherente.

Contenidos principales

Mongolfiera

Las directrices hacen especial hincapié en varias disposiciones de la DMA que implican tratamiento de datos personales, y analizan su compatibilidad o condiciones desde la perspectiva del GDPR. Entre los puntos destacados:

  • La obligación del artículo 5(2) de la DMA (por ejemplo, combinación de datos para publicidad dirigida) o del artículo 6(4) DMA (por ejemplo, medidas para tiendas de apps alternativas). En estos casos, los agentes designados como gatekeepers tendrán que comprobar que los tratamientos de datos cumplen con los requisitos de consentimiento, licitud, transparencia, propósito, etc., conforme al GDPR.

  • Portabilidad de datos (artículo 6(9) DMA) y acceso por usuarios empresariales (artículo 6(10) DMA): las directrices explican cómo esos derechos o obligaciones de datos bajo la DMA deben implementarse respetando las garantías del GDPR, incluyendo la protección de datos de múltiples individuos, la autenticación de usuarios, la internacionalización de transferencias, etc.

  • Provisión de datos de búsqueda u otro tipo de datos anonimizados al amparo del artículo 6(11) de la DMA: las directrices indican que el anonimizado debe cumplir criterios efectivos de anonimización para que no se vulneren derechos, garantizando al mismo tiempo la competencia. El borrador dedica un bloque a cuándo los datos pueden considerarse auténticamente anónimos y, por tanto, fuera del ámbito del GDPR. Señala criterios técnicos y jurídicos de efectividad de la anonimización (evaluación de riesgo de reidentificación, utilización de técnicas robustas, documentación). Marca un umbral alto para considerar datos como anónimos; la mera pseudonimización no bastaría, con el consiguiente impacto directo en proyectos de investigación y en las unidades de datos de las plataforma

  • Interoperabilidad de servicios de mensajería (artículo 7 DMA): se analiza desde el prisma de la minimización, integridad y seguridad de los datos bajo el GDPR. Las directrices analizan la obligación de interoperabilidad técnica y funcional entre servicios de mensajería desde la perspectiva del GDPR: diseño por defecto y privacidad por diseño, limitación de datos transmitidos, consentimiento de usuarios cuando se exija, y medidas para evitar filtración de metadatos sensibles. En consecuencia, los requisitos técnicos de interoperabilidad deben integrarse  con controles de acceso, cifrado y políticas de retención compatibles con el GDPR

  • También se incluye un apartado sobre la “base legal” aplicable cuando la DMA exige compartir datos o permitir acceso, y cómo esto se encaja con el artículo 6 GDPR (licitud del tratamiento) o con otras bases legales (por ejemplo, obligación legal) cuando proceda. Las directrices, en borrador, recuerdan que hay que respetar el régimen de transferencias del GDPR (decisiones de adecuación, cláusulas contractuales, salvaguardas suplementarias) y que el DMA no exonera a los gatekeepers de estas obligaciones. Esto implica que los equipos jurídicos de las plataformas deben mapear flujos de datos y asegurar cláusulas y medidas técnicas para las transferencias competentes.

  • Se propone un marco de cooperación entre autoridades de competencia (aplicación del DMA) y autoridades de protección de datos (aplicación del GDPR) para resolver fricciones, intercambiar información y coordinar enfoques sancionadores o de supervisión. El documento sugiere canales y mecanismos de coordinación.

 

Aprobada una nueva IA Factory en Galicia

Posted on por

La Comisión Europea ha seleccionado a España para albergar una segunda AI Factory en España. Esta vez, en el Centro de Supercomputación de Galicia (CESGA). La nueva instalación, denominada 1HealthAI, estará especializada en el desarrollo de inteligencia artificial aplicada a las ciencias de la vida. Contará con un superordenador específico y una plataforma avanzada de supercomputación, concebida para proyectos experimentales y colaborativos en biotecnología, investigación sanitaria y otras áreas vinculadas a la salud. Se ubicará en las inmediaciones del aeropuerto internacional de Rosalía de Castro.

Expo na Cidade da Cultura (Santiago, 2021)

Esta AI Factory supone una inversión total de 82 millones de euros, de los cuales 24 millones procederán del Ministerio de Ciencia, Innovación y Universidades.

  • Su diseño responde a un doble objetivo: ofrecer servicios gratuitos de apoyo a empresas, startups y centros de investigación,
  • Facilitar el acceso equitativo a herramientas de IA de última generación, reduciendo así la brecha tecnológica entre los distintos agentes del ecosistema innovador.

 

Seguridad, transparencia y responsabilidad de la IA en el marco europeo

La inversión se enmarca en el nuevo ecosistema normativo de la Unión Europea, que exige que los desarrollos de inteligencia artificial se ajusten a criterios de seguridad, transparencia y fiabilidad. Así se busca reforzar la confianza en el desarrollo y uso de la inteligencia artificial en Europa, integrando la innovación tecnológica con la exigencia de cumplimiento y responsabilidad.

  • Antes de comercializar un sistema de IA de alto riesgo en el mercado de la UE, los proveedores deberán someterlo a una evaluación de conformidad o, en su caso, a una autoevaluación que permita demostrar que el sistema cumple los requisitos de una inteligencia artificial de confianza.
    • Entre las obligaciones impuestas figuran la implantación de un sistema de gestión de calidad, el mantenimiento de la documentación técnica y de los registros de actividad, así como la colaboración activa con las autoridades competentes, notificando incumplimientos o riesgos detectados.
    • Los usuarios —o responsables del despliegue, según la terminología del Reglamento— deberán garantizar la supervisión humana, monitorizar los sistemas y conservar los registros de uso, mientras que los importadores y distribuidores deberán asegurar que los productos hayan superado la evaluación de conformidad, mantener la documentación técnica y colaborar igualmente con las autoridades.

En este contexto, las PYMEs adquieren un papel clave tanto como desarrolladoras como usuarias de sistemas de IA. Deberán evaluar si los sistemas que crean o utilizan pueden considerarse de alto riesgo según el Reglamento, ya que esta clasificación conlleva mayores obligaciones en materia de supervisión y control. Asimismo, deberán implantar mecanismos para garantizar un uso seguro y responsable de la tecnología, capacitar a su personal en el uso adecuado de la IA y sensibilizarlo sobre los riesgos y obligaciones legales. Resulta especialmente recomendable que las pequeñas y medianas empresas establezcan un Sistema de Gestión de Cumplimiento Legal en materia de IA, que permita identificar, evaluar y mitigar riesgos regulatorios en todas las áreas relevantes.

  • Para facilitar esta adaptación, el Reglamento incluye medidas específicas de apoyo a las PYMEs, como formación adaptada, canales de comunicación directa y difusión de buenas prácticas. Además, las microempresas quedan exentas de mantener un sistema de gestión de calidad formal, aunque sí deberán gestionar los riesgos asociados a los sistemas que empleen o desarrollen.
  • Ante las dificultades que enfrentan las pequeñas y medianas empresas para cumplir con los requisitos técnicos y regulatorios derivados del nuevo marco de inteligencia artificial,  el Reglamento de IA se acompaña de una estrategia de apoyo específica para las PYMEs, que combina financiación europea con asistencia práctica.
    • Programas como Digital Europe y Horizonte Europa, junto con los Fondos de Cohesión, facilitan recursos económicos y técnicos para la adopción de soluciones de IA. A nivel operativo, los Digital Innovation Hubs (EDIHs) y las AI Factories europeas ofrecen a las PYMEs espacios para experimentar y probar sistemas de IA en entornos controlados, con asesoramiento especializado en cumplimiento normativo, seguridad y buenas prácticas.
    • Además, las Testing and Experimentation Facilities (TEFs) permiten a las empresas evaluar sus prototipos de manera segura antes de su despliegue comercial. Este ecosistema de apoyo integral pretende que las PYMEs puedan desarrollar e integrar soluciones de IA de manera segura y conforme a la ley, sin perder competitividad frente a grandes plataformas tecnológicas, y que accedan a oportunidades de innovación que antes solo estaban al alcance de grandes corporaciones

La creación de la nueva AI Factory 1HealthAI en Galicia debe interpretarse en este marco más amplio en el que  la UE avanza hacia un modelo que combina la inversión en capacidades críticas —como la supercomputación, los centros de datos o la IA aplicada a la salud y la sostenibilidad— con una regulación exigente que garantice el respeto a los derechos fundamentales y la seguridad de los sistemas.

No se trata de oponer innovación y regulación, sino de hacerlas converger: la competitividad digital europea dependerá, precisamente, de la capacidad para integrar la confianza como activo estratégico. En este sentido, las AI Factories no son solo infraestructuras científicas, sino instrumentos de soberanía tecnológica y de cohesión territorial, llamados a reforzar la posición de Europa —y de España— en la nueva economía de la inteligencia artificial.

 

Antecedentes

Actualmente existen 13 AI Factories con sede en 12 países europeos —Alemania, Austria, Bulgaria, Eslovenia, España (en Barcelona), Finlandia, Francia, Grecia, Italia, Luxemburgo, Polonia y Suecia—, a las que se suman ahora seis nuevas fábricas concedidas en toda Europa, entre ellas la de Galicia. La factoría gallega, liderada por el CESGA y coliderada por el CSIC, cuenta con la participación y firme compromiso de socios clave, incluyendo las tres universidades públicas gallegas, varios de sus centros de investigación integrados en la Red CIGUS, el Hub Europeo de Innovación Dixital DATAlife y el centro tecnológico Gradiant, entre otros agentes del sistema gallego de I+D+i. Cabe recordar que el CESGA es una fundación participada al 70% por la Xunta de Galicia y al 30% por el CSIC, con carácter mixto y papel estratégico en la política científica y tecnológica autonómica.

Implantación de IA en las PYME

Posted on por

La inteligencia artificial (IA) ya forma parte del día a día de muchas pymes españolas. Desde chatbots para atención al cliente hasta algoritmos que optimizan inventarios o apoyan decisiones financieras, la IA se ha consolidado como una herramienta estratégica.

Hamburgo. Ayuntamiento. Epc

Con la aplicación de las normas a los modelos de IA del Reglamento Europeo de IA (Reglamento UE 2024/1689) a partir del 2 de agosto de 2026, se activan de forma definitiva obligaciones que afectan directamente al uso y comercialización de estas tecnologías. Este es, por tanto, un momento clave para repasar las principales exigencias que los directivos de pymes deben conocer, no solo para cumplir con la ley, sino también para identificar cómo la IA puede convertirse en una palanca de innovación y crecimiento.

  • 02/02/2025: prohibición de sistemas de riesgo inaceptable.
  • 02/08/2025: aplicación de normas a modelos de IA de propósito general.
  • 02/08/2026: fin del periodo transitorio y aplicación plena del Reglamento.

 

Modelos de IA de propósito general
Son sistemas que no están diseñados para una tarea concreta, sino que pueden realizar de manera competente una amplia variedad de tareas distintas. Ejemplos son los grandes modelos de lenguaje desarrollados por OpenAI (ChatGPT) o Google (Gemini), que pueden aplicarse a chatbots, generación de contenido o análisis de datos.

  • Desde agosto de 2025, los proveedores de estos modelos deben cumplir con requisitos de transparencia y seguridad en cuatro niveles, cada uno con ejemplos y requisitos distintos:
    •  Riesgo inaceptable: sistemas totalmente prohibidos por considerarse una amenaza para la seguridad o los derechos fundamentales. Ejemplos: puntuación social, manipulación subliminal del comportamiento, reconocimiento de emociones en entornos laborales o educativos, identificación biométrica en tiempo real en espacios públicos.
    • Alto riesgo: permitidos, pero sujetos a requisitos estrictos de evaluación, supervisión y seguridad. Incluye, entre otros, sistemas para filtrado de CVs en procesos de selección o algoritmos de evaluación crediticia o scoring financiero.
    • Riesgo limitado: no requieren requisitos técnicos complejos, pero sí transparencia hacia los usuarios. Dentro de esta categoría podríamos encontrar los chatbots y asistentes conversacionales, que deben identificarse claramente como IA, generadores de contenido sintético (deepfakes) que deben ir etiquetados, o sistemas que detectan emociones de clientes en un contexto comercial (con aviso previo).
    • Riesgo mínimo: uso libre sin obligaciones específicas en el Reglamento, aunque siguen aplicando otras leyes generales. Ejemplos: filtros anti-spam, recomendadores de productos en e-commerce, optimización de rutas logísticas o videojuegos con IA.

Un primer reto importante radica en identificar correctamente el nivel de riesgo de cada herramienta, ya que un sistema clasificado como alto riesgo puede implicar costes y procesos que desincentiven su uso.

Implicaciones del Reglamento de IA para las PYMEs

La mayoría de las pequeñas y medianas empresas operarán principalmente como usuarias de sistemas de inteligencia artificial, y el alcance de sus responsabilidades dependerá del nivel de riesgo de las herramientas que empleen.

Bruselas.

Los sistemas clasificados como de alto riesgo concentran la mayor parte de los requisitos técnicos y documentales, pero incluso los sistemas de riesgo limitado o mínimo implican obligaciones esenciales, especialmente en términos de transparencia y uso responsable. Entre ellas destacan la necesidad de utilizar la IA siguiendo las instrucciones del proveedor, garantizar supervisión humana en decisiones críticas —obligatoria en sistemas de alto riesgo y recomendable en el resto—, mantener registros de actividad, verificar la calidad de los datos introducidos y, cuando proceda, informar a empleados y clientes sobre la utilización de IA.

Un aspecto crítico es que modificar un sistema de IA o cambiar su finalidad puede transformar a la pyme de usuaria a proveedora de alto riesgo, con las consiguientes obligaciones legales y costes adicionales. Por ejemplo, una consultora de recursos humanos que adapte un modelo de propósito general, inicialmente de riesgo limitado, para crear un sistema de preselección de candidatos estaría desarrollando un sistema de alto riesgo. Este cambio implica mayores responsabilidades técnicas y jurídicas, y si la empresa no dispone de los recursos necesarios, podría enfrentar sanciones significativas.

El régimen sancionador del Reglamento de IA es riguroso y busca garantizar el uso responsable de la tecnología.

  • Las multas por incumplimiento pueden alcanzar hasta 35 millones de euros o el 7 % de la facturación anual global en casos de prácticas de IA inaceptables, y hasta 15 millones o el 3 % en infracciones relacionadas con sistemas de alto riesgo o con la gestión de modelos de propósito general.
  • Para PYMEs y empresas emergentes, se aplicará la cantidad menor entre el porcentaje de facturación y la cuantía fija. Este sistema, combinado con la complejidad del marco regulatorio, podría retrasar el lanzamiento de soluciones o incluso provocar su retirada del mercado europeo, dejando a algunas pymes en desventaja frente a empresas de otras regiones con regulaciones más flexibles.

Para adaptarse de manera práctica y aprovechar las oportunidades que ofrece la IA, las pymes deben seguir un plan estructurado: en primer lugar, elaborar un inventario detallado de todas las herramientas y sistemas de IA que utilizan, incluyendo aquellos integrados en otros softwares; en segundo lugar, clasificar cada herramienta según su nivel de riesgo —inaceptable, alto, limitado o mínimo—; y finalmente, contactar con los proveedores para confirmar planes de cumplimiento, solicitar documentación y verificar, en su caso, el marcado CE de los sistemas de alto riesgo. A estas acciones se suma la implementación de un programa de formación interna o “alfabetización en IA”, que permitirá al personal identificar riesgos, usar la IA de forma segura y generar valor para la organización. Designar un responsable interno que coordine este proceso y lidere la capacitación es clave para integrar la IA de manera estratégica en la pyme y convertir el cumplimiento normativo en un motor de innovación.

Consciente de las dificultades que enfrentan las PYMEs, la Unión Europea ha desarrollado medidas de apoyo específicas.

  • Programas como Digital Europe y Horizonte Europa, junto con los Fondos de Cohesión, facilitan recursos financieros y técnicos para la adopción de IA. A nivel operativo, los Digital Innovation Hubs (EDIHs)
  • Las AI Factories proporcionan espacios para experimentar y probar sistemas de IA bajo condiciones controladas, con asesoramiento especializado sobre cumplimiento normativo, seguridad y buenas prácticas.
  • Las Testing and Experimentation Facilities (TEFs) permiten evaluar prototipos antes de su despliegue comercial, garantizando un entorno seguro. Este ecosistema integral busca que las pymes desarrollen e integren soluciones de IA de manera conforme a la ley, sin perder competitividad frente a grandes plataformas tecnológicas, y que puedan acceder a oportunidades de innovación que antes solo estaban al alcance de corporaciones de mayor tamaño.

 

DSA y gobernanza digital de la ciberseguridad de la empresa

Posted on por

El DSA es, en esencia, la actualización del viejo modelo de “puertos seguros” de la Directiva de comercio electrónico, con mucha más atención a cómo las plataformas gestionan la información que alojan.

Teverga

1. Antecedentes: Directiva de comercio electrónico y safe harbours

La Directiva 2000/31/CE sobre comercio electrónico creó un sistema de exención de responsabilidad para determinados intermediarios (conduit, caché, hosting). En el caso del alojamiento de datos (art. 14 DCE), el prestador no responde por la información que almacena para sus usuarios si:

  • No tiene conocimiento efectivo de que el contenido es ilícito, ni de hechos que revelen claramente esa ilicitud.

  • Y, cuando obtiene ese conocimiento, actúa con rapidez para retirar el contenido o bloquear el acceso.

El TJUE interpretó que esta exención solo vale para prestadores que actúan de forma “técnica, automática y pasiva”, es decir, que no tienen conocimiento ni control sobre la información: es la famosa distinción entre rol neutral y rol activo. Si el host interviene de forma activa en la optimización, promoción o presentación de contenidos, puede perder el safe harbour porque ya no es un mero intermediario neutral. Este modelo generó inseguridad: muchas plataformas temían que investigar o filtrar contenidos les hiciera perder la exención, lo que desincentivaba medidas proactivas contra contenidos ilícitos (incluyendo productos falsificados).

En paralelo, la Comisión impulsó autorregulación, especialmente frente a falsificados, mediante el Memorandum of Understanding on the sale of counterfeit goods on the internet, un acuerdo voluntario entre grandes plataformas y titulares de derechos para adoptar medidas técnicas y organizativas que previnieran ofertas de falsificados en marketplaces.

2. El salto al Digital Services Act (DSA)

El Reglamento (UE) 2022/2065, Digital Services Act, sustituye a la DCE en materia de responsabilidad de intermediarios y crea un marco general, escalonado, para todos los servicios de intermediación, incluida la plataforma de comercio electrónico.

  • Mantiene el esquema de safe harbours, pero lo reescribe, incorporando la jurisprudencia del TJUE.

  • Regula en capas: obligaciones básicas para todos los intermediarios,                    obligaciones adicionales para hosting providers, reglas específicas para plataformas en línea y, aún más, para plataformas de muy gran tamaño.

En materia de responsabilidad, el art. 6 DSA replica en esencia el modelo del antiguo art. 14 DCE:

  • El hosting sigue exento si no tiene conocimiento efectivo ni es consciente de circunstancias que revelen la ilicitud, y si, al adquirir ese conocimiento, retira o bloquea con prontitud el contenido ilícito.

  • El Reglamento precisa que ese conocimiento debe ser específico, no basta ser consciente en abstracto de que el servicio también se usa para contenidos ilegales.

Al mismo tiempo, el DSA reafirma la prohibición de imponer una obligación general de monitorización o de búsqueda activa de contenidos ilícitos (art. 7, que retoma el art. 15 DCE). Pero introduce la llamada “cláusula del buen samaritano”: la plataforma no pierde automáticamente el safe harbour por realizar, de buena fe y con diligencia, investigaciones o filtrados voluntarios para detectar y retirar contenidos ilícitos. Se corrige así el incentivo a “no mirar” que había creado la interpretación estricta del papel activo.

3. Gestión de la información: conocimiento, notificación y actuación

El DSA convierte la gestión de la información en el eje práctico de la responsabilidad:

  • Obliga a los servicios de alojamiento (incluidas plataformas) a establecer mecanismos de “notice & action” electrónicos, fáciles de usar, que permitan a cualquier persona notificar contenidos ilícitos.

  • Las notificaciones suficientemente precisas y fundamentadas, que permitan a un prestador diligente apreciar sin análisis jurídico complejo la ilicitud, se consideran que confieren conocimiento efectivo (art. 16.3 DSA).

Además, crea la figura de los “alertadores fiables” (trusted flaggers): entidades especializadas, reconocidas por un Estado miembro, cuyas notificaciones deben ser tramitadas con prioridad por las plataformas en línea, sin dilación indebida. Esto afecta directamente a la lucha contra falsificados y otras infracciones de PI, porque asociaciones sectoriales u oficinas de PI pueden actuar como alertadores que alimentan el sistema de gestión de contenidos.

El Reglamento también insiste en que:

  • El host debe justificar de forma clara y motivada sus decisiones de retirada o bloqueo, incluyendo la base jurídica y, en su caso, si se ha utilizado filtrado automatizado.

  • Debe ofrecer sistemas internos de reclamación y, para plataformas, vías de resolución extrajudicial de disputas, con el objetivo de evitar el overblocking (retirada excesiva por miedo a la responsabilidad).

Para las plataformas de muy gran tamaño, la gestión de la información se refuerza todavía más: deben identificar y mitigar “riesgos sistémicos” ligados a la difusión de contenidos ilícitos, lo que implica análisis periódicos, ajustes algorítmicos y medidas de reducción de riesgos (por ejemplo, mejorar la velocidad y calidad del tratamiento de notificaciones).

4. Ciberseguridad y gestión informacional como deber regulatorio

El recorrido DCE → jurisprudencia TJUE → DSA muestra una evolución clara:

  • Del modelo inicial que protegía al intermediario siempre que se mantuviera neutral y reaccionara solo cuando se le notificaba,

  • a un marco en el que la plataforma debe disponer de sistemas internos estructurados de gestión de información ilícita (procedimientos de notificación, evaluación, retirada, registro, revisión), sin que ello le haga perder el puerto seguro.

En la práctica, esto aproxima la lógica de la responsabilidad de plataformas a la de un sistema de ciberseguridad y compliance digital: monitorizar de forma razonable, registrar eventos, responder a incidentes, documentar decisiones y cooperar con autoridades y titulares de derechos se convierte en condición para conservar la exención de responsabilidad y para poder seguir operando en el mercado interior digital de la UE.