I ENCUENTRO DE ACAD脡MICOS SOBRE LA CIBERSEGURIDAD Y EL DERECHO- LE脫N

A caballo entre el Derecho P煤blico y el Derecho Privado, de la mano del Instituto Nacional de Ciberseguridad, el INCIBE cuyo Director General abre las sesiones,聽 se celebra el I Encuentro de acad茅micos sobre la ciberseguridad y el Derecho.

 

 

Las Jornadas desarrollan un magnifico programa, que se recoge en las im谩genes de esta entrada, y pueden seguirse por YouTube, canal INCIBE. La sesi贸n del jueves 4 aqu铆. La del viernes 5, aqu铆

Durante dos d铆as se abordar谩n temas de actualidad- y de calado- ahondando en el an谩lisis en forma de cuatro coloquios. Cada uno de ellos gira en torno a las correspondientes mesas de juristas expertos en los retos de las tecnolog铆as disruptivas que est谩n marcando nuestro presente y apuntan al futuro; a saber:

PRESENTACI脫N: Dr. F茅lix A Barro, Director General de Incibe. Dra. Adriana Su谩rez Coronas, C谩tedra de Ciberseguridad de Universidad de Le贸n,聽 Dra. Mercedes Fuertes, Catedr谩tica de Derecho Administrativo, Universidad de Le贸n.

I. Derechos y deberes fundamentales para garantizar la ciberseguridad: Dra. Tamara 脕lvarez, Profesora de Derecho Constitucional, Universidad de Le贸n. Dr. Jos茅 Luis Pi帽ar, Catedr谩tico Derecho Administrativo, CEU. Dra. Dolors Canals, Titular Derecho Administrativo Universitat Girona.

II. Normativa europea, las dificultades de armonizaci贸n. Dra. Mercedes Fuertes, Catedr谩tica de Derecho Administrativo Universidad de Le贸n. Dr. Pablo Garc铆a Mex铆a. Letrado de las Cortes Generales. Dra. Eva Men茅ndez, Catedr谩tica Derecho Administrativo Universidad de Oviedo

III, Obligaciones de las empresas, seguridad en las relaciones financieras. Dr. Germ谩n Bercovit, Catedr谩tico Derecho Civil, Universidad de Le贸n. Dra. Elena F P茅rez-Carrillo, Profesora Derecho Mercantil, Universidad de Le贸n, Dr. Alberto Tapia, Catedr谩tico Derecho Mercantil, Universidad Complutense de Madrid

IV. Ciberseguridad en el sector p煤blico. Dra. Isabel Gonz谩lez, Catedr谩tica Derecho Administrativo Universidad de M谩laga. Dr. Jos茅 Manuel Chaves. Magistrado TSJ Asturias. Dr. Antonio Segura Serrano. Catedr谩tico de Derecho Internacional. Universidad de Granada.

Director General Incibe, Dr. F茅lix Barro

Desde la Universidad de Le贸n, la impulsora de este importante encuentro es la Profesora Mercedes Fuertes L贸pez, Catedr谩tica de Derecho Administrativo y reputad铆sima experta, admirada y querida desde el 脕rea de Derecho Mercantil de Le贸n.聽 Confiamos en que 茅ste sea la primera de muchas iniciativas que sirvan para poner en com煤n, por parte de la comunidad jur铆dico cient铆fica de Le贸n, los retos del nuevo entorno digital super-ub铆cuo.

 

Subasta de datos personales con fines publicitarios: El Tribunal de Justicia aclara las normas sobre subasta en l铆nea instant谩nea y automatizada de perfiles de usuarios para la compraventa de espacios publicitarios en Internet conforme al Reglamento (UE) 2016/679

Las cuestiones fundamentales que trata de despejar el Tribunal de Justicia en esta Sentencia son, fundamentalmente, las siguientes:

    • 驴Conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protecci贸n de las personas f铆sicas en lo que respecta al tratamiento de datos personales y a la libre circulaci贸n de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protecci贸n de datos) (en adelante 芦RGPD禄) constituye un dato personal una cadena de letras y caracteres que capta, de manera estructurada y legible mec谩nicamente, las preferencias de un usuario de Internet relativas al consentimiento de dicho usuario en lo que respecta al tratamiento de sus datos personales? y
    • 驴Qui茅n es 鈥渞esponsable鈥 o 鈥渃orresponsable del tratamiento?

En efecto, a estos extremos se refiere el Tribunal de Justicia en la Sentencia del de 7 de marzo de 2024 en el asunto C-604/22 (IAB Europe), con motivo de una petici贸n de decisi贸n prejudicial planteada conforme al art铆culo 267 TFUE, por el hof van beroep te Brussel (Tribunal de Apelaci贸n de Bruselas, B茅lgica).

Jara en el Bierzo (Le贸n). By M.A. D铆az
Jara en el Bierzo (Le贸n). By M.A. D铆az

Esta petici贸n de decisi贸n prejudicial tiene por objeto la interpretaci贸n de los arts 4, puntos 1 y 7, y 24, apartado 1, del RGPD, y en consonancia con los arts. 7 y 8 de la Carta de los Derechos Fundamentales de la Uni贸n Europea.

Esta petici贸n se present贸 en el contexto de un litigio entre IAB Europe y la Gegevensbeschermingsautoriteit (Autoridad de Protecci贸n de Datos, B茅lgica; en adelante, 芦APD禄) en relaci贸n con una resoluci贸n de la Sala de Controversias de la APD adoptada contra IAB Europe por la presunta infracci贸n de varias disposiciones del RGPD.

IAB Europe es una asociaci贸n sin 谩nimo de lucro, establecida en B茅lgica, que representa a las empresas del sector de la publicidad y del marketing digitales a nivel europeo. Son miembros de IAB Europe tanto empresas pertenecientes al sector publicitario (as铆 editores, empresas de comercio electr贸nico y de marketing e intermediarios) como asociaciones nacionales, entre ellas las IAB (Interactive Advertising Bureau) nacionales, entre cuyos miembros figuran empresas de dicho sector. Y precisamente entre los miembros de IAB Europe se incluyen empresas que generan ingresos importantes mediante la venta de espacios publicitarios en sitios de Internet o en aplicaciones.

IAB Europe ha elaborado el Transparency & Consent Framework (Marco de Transparencia y Consentimiento; en adelante, 芦TCF禄), que es un marco de normas compuesto por directrices, instrucciones, especificaciones t茅cnicas, protocolos y obligaciones contractuales que permiten tanto al proveedor de un sitio de Internet o de una aplicaci贸n como a los intermediarios de datos o incluso a las plataformas publicitarias tratar legalmente los datos personales de un usuario de un sitio de Internet o de una aplicaci贸n.

Idh煤n. 驴Primavera ya? By M.A. D铆az

El TCF pretende fundamentalmente favorecer el cumplimiento del RGPD cuando esos operadores recurren al protocolo Open RTB, uno de los m谩s utilizados para el Real Time Bidding, que es un sistema de subasta en l铆nea instant谩nea y automatizada de perfiles de usuarios para la compraventa de espacios publicitarios en Internet. A la vista de determinadas pr谩cticas realizadas por miembros de IAB Europe en el marco de este sistema de intercambio masivo de datos personales relativos a perfiles de usuarios, IAB Europe present贸 el TCF como una soluci贸n para adaptar el sistema de subastas al RGPD. Y ello teniendo en consideraci贸n que t茅cnicamente cuando un usuario consulta un sitio de Internet o una aplicaci贸n que contiene un espacio publicitario, las empresas de tecnolog铆a publicitaria, y en concreto los intermediarios de datos y las plataformas publicitarias, que representan a miles de anunciantes, pueden pujar en tiempo real, sin ser vistos, por la obtenci贸n de ese espacio publicitario a trav茅s de un sistema de subastas automatizado que utiliza algoritmos, con un objetivo claro: difundir en ese espacio publicidad dirigida adaptada espec铆ficamente al perfil de tal usuario.

Eso s铆, antes de mostrar esa publicidad dirigida, habr谩 de obtenerse el consentimiento del usuario, de forma que cuando 茅ste consulta un sitio de Internet o una aplicaci贸n por primera vez, una plataforma de gesti贸n del consentimiento llamada 芦Consent Management Platform禄 (en adelante, 芦CMP禄) aparece en una ventana emergente en la cual el usuario, puede o bien dar su consentimiento al proveedor del sitio de Internet o de la aplicaci贸n para la recogida y el tratamiento de sus datos personales (localizaci贸n del usuario, edad, historial de b煤squedas y sus compras recientes) con fines previamente definidos -como la comercializaci贸n o publicidad- o para el intercambio de esos datos con determinados proveedores, o bien oponerse a diferentes tipos de tratamiento de datos o al intercambio de dichos datos.

De esta manera, el TCF constituye un marco para un tratamiento de datos personales a gran escala y facilita el registro de las preferencias de los usuarios a trav茅s de la CMP. Posteriormente, estas preferencias se codifican y almacenan en una cadena compuesta por una combinaci贸n de letras y caracteres, designada por IAB Europe con el nombre de Transparency and Consent String(en adelante, 芦TC String禄), que se comparte con intermediarios de datos personales y plataformas publicitarias que participan en el protocolo OpenRTB, para que estos conozcan en qu茅 ha consentido el usuario o a qu茅 se ha opuesto. La CMP coloca tambi茅n una cookie (euconsent-v2) en el dispositivo del usuario. Cuando se combinan, la TC String y la cookie euconsent-v2 pueden vincularse a la direcci贸n IP de ese usuario.

As铆 las cosas, el TCF tiene protagonismo en el funcionamiento del protocolo OpenRTB, pues permite transcribir las preferencias del usuario para su comunicaci贸n a potenciales vendedores y alcanzar diferentes objetivos de tratamiento, particularmente, ofrecer publicidad a medida. El TCF se dirige, principalmente a garantizar a los intermediarios de datos personales y a las plataformas publicitarias el cumplimiento del RGPD a trav茅s de la TC String.

Enumerada las circunstancias que sit煤an estos temas, cabe rese帽ar que las cuestiones prejudiciales a que se debe esta Sentencia del Tribuna de Justicia 聽responden, b谩sicamente, a una serie de hechos que han venido produci茅ndose desde 2019, en relaci贸n con estos temas, que van a describirse a continuaci贸n.

  • La APD ha recibido varias denuncias contra IAB Europe, respecto a la conformidad del TCF con el RGPD, originarias no s贸lo de B茅lgica sino tambi茅n de terceros pa铆ses. Examinadas estas denuncias, la APD, como autoridad de control principal, en el sentido del art. 56, apartado 1, del RGPD, activ贸 el mecanismo de cooperaci贸n y coherencia, derivado de los arts. 60 a 63 de dicho Reglamento, a fin de llegar a una decisi贸n com煤n aprobada conjuntamente por las veintiuna autoridades de control nacionales que participan en este mecanismo. Pues bien, la Sala de Controversias de la APD, por resoluci贸n de 2 de febrero de 2022, declar贸 que IAB Europe actuaba como responsable del tratamiento de los datos personales en relaci贸n con el registro del consentimiento, de las objeciones y de las preferencias de los usuarios individuales a trav茅s de una TC String, la cual, seg煤n la Sala de Controversias de la APD, est谩 asociada a un usuario identificable. Adem谩s, en esa resoluci贸n, la Sala de Controversias de la APD orden贸 a IAB Europe, conforme al art. 100.1, punto 9.潞, de la Ley APD, que adecuara a las disposiciones del RGPD el tratamiento de datos personales efectuado en el marco del TCF y le impuso varias medidas correctoras y una multa administrativa.
  • IAB Europe interpuso recurso contra dicha resoluci贸n ante el hof van beroep te Brussel(Tribunal de Apelaci贸n de Bruselas, B茅lgica). IAB Europe solicita a dicho 贸rgano jurisdiccional que anule la resoluci贸n de 2 de febrero de 2022, oponi茅ndose a que se considere que actu贸 como responsable del tratamiento y, manteniendo adem谩s que, al declarar que la TC String es un dato personal, en el sentido del art铆culo 4.1 del RGPD, dicha resoluci贸n no est谩 suficientemente matizada ni motivada y que es err贸nea. Destaca asimismo IAB Europe que s贸lo los dem谩s participantes en el TCF podr铆an combinar la TC String con una direcci贸n IP para transformarla en un dato personal, que la TC String no es espec铆fica de un usuario y que ella no tiene la posibilidad de acceder a los datos tratados en este contexto por sus miembros. En esta l铆nea de razonamiento argumenta la APD lo siguiente: que las TC Strings constituyen datos personales en la medida en que las CMP pueden vincular las TC Strings a las direcciones IP; que, adem谩s, los participantes en el TCF tambi茅n pueden identificar a los usuarios sobre la base de otros datos; que IAB Europe tiene acceso a la informaci贸n requerida para ello y que esta identificaci贸n del usuario es precisamente la finalidad de la TC String, encaminada a facilitar la venta de la publicidad dirigida. Aparte de esto, la APD manifiesta que el hecho de que IAB Europe deba ser considerada responsable del tratamiento en el sentido del RGPD se desprende de su funci贸n determinante en el tratamiento de las TC Strings. Y junto a ello la APD aduce que esta organizaci贸n determina, respectivamente, los fines y los medios del tratamiento, el modo en que se generan, modifican y leen las TC Strings, de qu茅 forma y d贸nde se almacenan las cookiesnecesarias, qui茅n recibe los datos personales y sobre la base de qu茅 criterios pueden establecerse los plazos de conservaci贸n de las TC String.
  • El 贸rgano jurisdiccional hof van beroep te Brussel (Tribunal de Apelaci贸n de Bruselas) alberga dudas sobre si una TC String, combinada o no con una direcci贸n IP, constituye un dato personal y, de ser as铆, si IAB Europe debe ser calificada de responsable del tratamiento de los datos personales en el marco del TCF, en particular en relaci贸n con el tratamiento de la TC String.Y ello porque entiende dicho 贸rgano jurisdiccional que aunque la resoluci贸n de 2 de febrero de 2022 refleja la posici贸n com煤n adoptada conjuntamente por las diferentes autoridades de control nacionales implicadas en el caso de autos, el Tribunal de Justicia a煤n no ha tenido ocasi贸n de pronunciarse sobre esta nueva tecnolog铆a intrusiva que constituye la TC String.
  • En este contexto, el Tribunal de Apelaci贸n de Bruselas decidi贸 suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

    Primavera ya, Idh煤n. By M.A. D铆az

芦1) a) 驴Debe interpretarse el art铆culo 4, punto 1, del [RGPD], en relaci贸n con los art铆culos 7 y 8 de la [Carta], en el sentido de que una cadena de caracteres que recoge las preferencias de un usuario de Internet en relaci贸n con el tratamiento de sus datos personales de forma estructurada y legible mec谩nicamente constituye un dato personal en el sentido de la citada disposici贸n en relaci贸n con (1) una organizaci贸n sectorial que pone a disposici贸n de sus miembros un est谩ndar por el que les prescribe las modalidades pr谩cticas y t茅cnicas conforme a las que debe generarse, almacenarse o difundirse tal cadena de caracteres, y (2) las partes que han aplicado dicho est谩ndar en sus sitios web o en sus aplicaciones y, de este modo, tienen acceso a dicha cadena de caracteres?

        1. b) 驴Tiene alguna relevancia a este respecto el hecho de que la aplicaci贸n del est谩ndar implique que esta cadena de caracteres est茅 disponible junto a una direcci贸n IP?
        2. c) 驴Ser铆a distinta la respuesta a las [letras a) y b) de la primera cuesti贸n] si esta organizaci贸n sectorial normativa no tuviera ella misma acceso legal a los datos personales tratados por sus miembros en el marco de dicho est谩ndar?

2) a) 驴Deben interpretarse los art铆culos 4, punto 7, y 24, apartado 1, del [RGPD], en relaci贸n con los art铆culos 7 y 8 de la [Carta], en el sentido de que una organizaci贸n sectorial normativa debe ser calificada de responsable del tratamiento cuando ofrece a sus miembros un est谩ndar para la gesti贸n del consentimiento que, adem谩s de un marco t茅cnico vinculante, comprende disposiciones en las que se establece con detalle el modo en que deben almacenarse y difundirse estos datos de consentimiento que constituyen datos personales?

        1. b) 驴Ser铆a distinta la respuesta a la [letra a) de la segunda cuesti贸n prejudicial] si esta organizaci贸n sectorial no tuviera ella misma acceso legal a los datos personales que son tratados por sus miembros en el marco de este est谩ndar?
        2. c) Si se califica (o si debe calificarse) a la organizaci贸n sectorial normativa de responsable o de corresponsable del tratamiento respecto a las preferencias de los usuarios de Internet, 驴se extiende esta responsabilidad o corresponsabilidad de la organizaci贸n sectorial normativa autom谩ticamente a los tratamientos ulteriores por terceros para los que se obtienen las preferencias de los usuarios de Internet, como la publicidad en l铆nea dirigida, realizada por editores y vendedores?禄
聽 聽El Tribunal de Justicia en su sentencia responde a estas cuestiones prejudiciales:
    • confirmando, en primer lugar, que la TC String contiene informacio虂n relativa a un usuario identificable, por lo que constituye un dato personal en el sentido del RGPD. Y ello porque, cuando la informacio虂n contenida en una TC String se asocia con un identificador, como, en particular, la direccio虂n IP del dispositivo del usuario, puede permitir crear un perfil de dicho usuario e identificarlo.
    • En segundo lugar, manifiesta que IAB Europe debe ser considerada 芦corresponsable del tratamiento禄, en el sentido del RGPD. En este sentido, indica que, sin perjuicio de las comprobaciones que competen al tribunal belga, parece que IAB Europe influye en las operaciones de tratamiento de datos, en el momento del registro de las preferencias en materia de consentimiento de los usuarios en una TC String, y determina, junto con sus miembros, tanto los fines de esas operaciones como los medios que esta虂n en el origen de las mismas. As铆 las cosas, mantiene que, al margen de la eventual responsabilidad civil derivada del Derecho nacional, IAB Europe no puede ser considerada responsable, en el sentido del RGPD, de las operaciones de tratamiento de datos que acontezcan despue虂s de que se registren en una TC String las preferencias en materia de consentimiento de los usuarios, salvo que pueda acreditarse que dicha asociacio虂n ha influido en la determinacio虂n de los fines de los tratamientos ulteriores y de las modalidades de su ejercicio.

En efecto, as铆 se pronuncia el Tribunal de Justicia, cuando declara literalmente:

芦1) El art铆culo 4, punto 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protecci贸n de las personas f铆sicas en lo que respecta al tratamiento de datos personales y a la libre circulaci贸n de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protecci贸n de datos), debe interpretarse en el sentido de que una cadena compuesta por una combinaci贸n de letras y caracteres, como la TC String (Transparency and Consent String), que contiene las preferencias de un usuario de Internet o de una aplicaci贸n relativas al consentimiento de dicho usuario en el tratamiento de datos personales que le conciernen por proveedores de sitios de Internet o de aplicaciones, as铆 como por intermediarios de tales datos y por plataformas publicitarias, constituye un dato personal, en el sentido de esta disposici贸n, en la medida en que, cuando puede asociarse, por medios razonables, a un identificador, como en particular la direcci贸n IP del dispositivo de dicho usuario, permite identificar al interesado. En tales circunstancias, el hecho de que, sin una contribuci贸n externa, una organizaci贸n sectorial que posee esta cadena no pueda acceder a los datos tratados por sus miembros en el marco de las normas que ella ha establecido ni combinar dicha cadena con otros elementos no impide que la mencionada cadena constituya un dato personal en el sentido de la referida disposici贸n.

2) Los art铆culos 4, punto 7, y 26, apartado 1, del Reglamento 2016/679聽deben interpretarse en el sentido de聽que,

      • por una parte, una organizaci贸n sectorial, en la medida en que propone a sus miembros un marco normativo que ella ha establecido en materia de consentimiento en el tratamiento de datos personales, que contiene no solo normas t茅cnicas vinculantes, sino tambi茅n normas que precisan de manera detallada las modalidades de almacenamiento y de difusi贸n de los datos personales referentes a dicho consentimiento, debe calificarse de 芦corresponsable del tratamiento禄, en el sentido de estas disposiciones, si, habida cuenta de las circunstancias particulares del caso concreto, influye, atendiendo a sus propios objetivos, en el tratamiento de los datos personales en cuesti贸n y determina, as铆, junto con sus miembros, los fines y medios de dicho tratamiento. El hecho de que la propia organizaci贸n sectorial no tenga acceso directo a los datos personales tratados por sus miembros en el marco de dichas normas no obsta a que pueda tener la condici贸n de corresponsable del tratamiento en el sentido de dichas disposiciones;
      • por otra parte, la corresponsabilidad de dicha organizaci贸n sectorial no se extiende autom谩ticamente a los tratamientos ulteriores de datos personales efectuados por terceros 鈥攃omo los proveedores de sitios de Internet o de aplicaciones鈥 en lo que respecta a las preferencias de los usuarios a efectos de la publicidad dirigida en l铆nea禄.

Como puede apreciarse, esta Sentencia posee una relevancia nada desde帽able respecto a la clarificaci贸n de los temas planteados, particularmente la interpretaci贸n del concepto de datos personales y la responsabilidad que, conforme al RGPD, pueda acarrear el tratamiento de dichos datos, especialmente, a efectos publicitarios.

El texto 铆ntegro de la sentencia puede verse aqu铆.

Esquemas EU de certificaci贸n de ciberseguridad (una vez ya publicado el primer EECC)

Pelargonium hortorum (geranio rojo)

Con el desarrollo de la certificaci贸n de ciberseguridad a escala de la UE se pretende armonizar el reconocimiento del nivel de ciberseguridad de las soluciones TIC en toda la Uni贸n.

Los sistemas de certificaci贸n de la UE son desarrollados por ENISA dentro del marco definido en el Reglamento sobre Ciberseguridad (Reglamento 881 /2019), mediante los procedimientos y sistemas de trabajo de esta Agencia聽 y teniendo en cuenta los sistemas y normas existentes de los que se nutren los esquemas.

Son esquemas europeos de ciberseguridad que se ir谩n aprobando son -en principio- voluntarios. Su seguimiento potencia el Mercado 脷nico Digital de la UE. Sirven para demostrar el cumplimiento de sus requisitos. En algunos casos, a trav茅s de normas de derecho positivo escrito, pueden llegar a ser聽 obligatorios.聽En particular, alguna legislaci贸n ya alude a los esquemas europeos de certificaci贸n de ENISA:

la Directiva para un alto nivel de ciberseguridad en toda la Uni贸n (NIS2), en especial en lo relativo a entidades que gestionan infraestructuras cr铆ticas,
– la propuesta de Reglamento relativo a la identificaci贸n electr贸nica y los servicios de confianza para las transacciones electr贸nicas en el mercado interior (Reglamento eIDAS) con el Reglamento Wallet/elDAS2
– la propuesta de Reglamento de Ciberresiliencia (CRA), que a帽ade la ciberseguridad a los criterios para obtener el marcado CE en la fabricaci贸n de determinados productos,
– la propuesta de sobre Inteligencia Artificial.

 

Definici贸n de Esquema europeo de certificaci贸n de la ciberseguridad de la UE: 聽es un conjunto completo de reglas, requisitos t茅cnicos de ciberseguridad, normas y procedimientos de evaluaci贸n, definidos a nivel de la UE y aplicables a la certificaci贸n de productos, servicios o procesos espec铆ficos de TIC.

  • Cada certificado de ciberseguridad de la UE acredita que un producto, proceso o servicio de TIC ha superado una evaluaci贸n de conformidad con dicho r茅gimen y que cumple los requisitos y normas de ciberseguridad especificados.
  • La certificaci贸n la realiza un organismo de evaluaci贸n de la conformidad (OEC/CAB), que puede auditar y/o probar y/o certificar. Todos los certificados ser谩n publicados por ENISA en un sitio web espec铆fico.
  • Dependiendo del riesgo de ciberseguridad asociado al uso previsto de la soluci贸n TIC que se va a certificar, se puede elegir un nivel de ciberseguridad diferente que el solicitante define. Cada esquema indica si la certificaci贸n tiene un nivel de garant铆a 芦b谩sico禄, 芦sustancial禄 o 芦alto禄

Los primeros EEC::

Rododendro
  • EUCC. El Esquema Europeo de Certificaci贸n de Ciberseguridad sobre Criterios Comunes, el primer esquema, se dirige a las TIC, tales como productos y componentes de hardware y software. El 31 de enero de 2024, la Comisi贸n Europea aprob贸 el acto de ejecuci贸n por el que se pone en marcha el sistema de certificaci贸n. ENISA est谩 publicando los documentos de referencia que respaldan el sistema y que se enumeran en su Anexo 1.

A continuaci贸n:

  • EUCS El Esquema Europeo de Certificaci贸n de Servicios en la Nube聽 se encuentra en tr谩mite de an谩lisis por parte del ECCG.
  • EU5G El Esquema Europeo de Certificaci贸n de Ciberseguridad para 5G se desarrolla en dos fases. Durante una primera fase que finaliz贸 en oto帽o de 2022, ENISA, los expertos reunidos en un grupo de trabajo ad hoc con la Comisi贸n de la UE y los Estados miembros analizaron las evaluaciones industriales existentes y los esquemas de certificaci贸n y sus actualizaciones necesarias para cumplir con la Ley de Ciberseguridad. La segunda fase se abre con una consulta p煤blica
  • 驴Inteligencia Artificial? Con vistas a la adopci贸n del proyecto de Reglamento de la UE sobre Inteligencia Artificial, ENISA est谩 evaluando si la IA podr铆a ser objeto de certificaci贸n en materia de ciberseguridad y de qu茅 manera, as铆 como el modo en que podr铆an reutilizarse los esquemas en curso de elaboraci贸n. Este trabajo es preparatorio, ya que ENISA no ha recibido una solicitud para desarrollar un esquema de certificaci贸n por parte de la Comisi贸n Europea

 

Arquitectura en la elaboraci贸n y utilizaci贸n de los EEC

Hortensia atl谩ntica
Hortensia atl谩ntica
  • Comisi贸n Europea La iniciativa de elaborar un EECC es de la Comisi贸n Europea que lo plantea a ENISA. ENISA, una vez que tiene una propuesta, la remite a la Comisi贸n quien la adopta a trav茅s de legislaci贸n administrativa, Reglamentos de Ejecuci贸n
  • ENISA. La elaboraci贸n corresponde a ENISA que act煤a como coordinadora y anfitriona de grupos de trabajo
  • Partes interesadas y p煤blico general Al desarrollar los esquemas de ciberseguridad de la UE, ENISA trabaja con una amplia variedad de partes interesadas en la ciberseguridad. Por ejemplo, las partes interesadas pueden formar parte del 芦grupo de trabajo ad hoc禄 de expertos que apoya a la ENISA en el desarrollo de un determinado esquema. Asimismo, es posible invitar a las partes interesadas a participar en proyectos piloto o 芦pruebas de concepto禄 para poner a prueba algunos o m谩s elementos de un r茅gimen de la UE (por ejemplo, viabilidad, posibles procedimientos o procesos o m茅todos de evaluaci贸n) antes de su aplicaci贸n. Por otro lado, cuando un esquema se encuentra en una fase avanzada de desarrollo, tambi茅n puede haber consultas p煤blicas, por ejemplo sobre proyectos de reg铆menes. Una vez implantado, el sistema debe actualizarse y adaptarse a los cambios que se produzcan en el entorno de la ciberseguridad. Los procesos, procedimientos y m茅todos de evaluaci贸n deben mantenerse, evaluarse y revisarse聽 y en estos procesos tambi茅n participan las partes interesadas por invitaci贸n de ENISA.
  • Entrada en vigor: Para ser efectivo, un proyecto de esquema elaborado por ENISSA a petici贸n de la Comisi贸n debe ser aprobado por un acto legislativo de la UE , 芦acto de ejecuci贸n禄 y en 茅l se establece un periodo para que los Estados miembros preparen el funcionamiento del sistema antes de expedir los certificados.
  • Organismos de Evaluaci贸n de la Conformidad (OEC/CAB) .Los OEC/CAB que estar谩n acreditados para emitir certificados o realizar actividades de evaluaci贸n (ensayos, auditor铆as) para estos esquemas.. Los sistemas de certificaci贸n de ciberseguridad crean un mercado europeo para organismos de evaluaci贸n de la conformidad (OEC/CAB ) que podr谩n ofrecer sus servicios de certificaci贸n as铆 como herramientas y servicios de evaluaci贸n relacionados en toda la UE. Estos OEC/CAB trabajar en los esquemas de certificaci贸n de la UE de dos formas distintas: como evaluadores (mediante auditor铆as/ensayos) y/o como certificadores. Deben cumplir una serie de requisitos antes de poder realizar tales actividades:
    Para poder evaluar y certificar de acuerdo con los reg铆menes de certificaci贸n de la UE, los OEC deber谩n estar acreditados por su organismo nacional de acreditaci贸n.
    Una vez acreditados para un esquema europeo de certificaci贸n de la ciberseguridad, la Autoridad Nacional de Certificaci贸n de la Ciberseguridad (ANC) deber谩 notificar su acreditaci贸n a la Comisi贸n.
    Si un OEC quiere ser elegible para certificar una soluci贸n TIC bajo el nivel de garant铆a 芦alto禄, puede necesitar cumplir requisitos adicionales. El procedimiento para cumplir estos requisitos lo realiza la ANC y se denomina 芦autorizaci贸n禄. Esta 芦autorizaci贸n禄 tambi茅n debe notificarse a la Comisi贸n.
  • Usuarios de los certificados Los certificados de ciberseguridad de la UE se conceden a productos y servicios TIC certificados con arreglo a los reg铆menes de certificaci贸n de ciberseguridad de la UE. Demuestran que las soluciones probadas son resistentes a determinados niveles de seguridad y establecen procesos de reparaci贸n teniendo en cuenta los 煤ltimos avances del estado de la t茅cnica. Como est谩n reconocidos en toda la UE permiten a los proveedores de productos y servicios mostrar la conformidad de su soluci贸n con un esquema espec铆fico, nivel de garant铆a, 谩mbito de aplicaci贸n y, potencialmente, extensi贸n o perfiles de seguridad. Los usuarios de soluciones TIC pueden considerar los certificados de ciberseguridad como una demostraci贸n de que una soluci贸n espec铆fica cumple los requisitos de seguridad definidos.
  • Autoridades Nacionales de Certificaci贸n en Ciberseguridad ( ANC). Como exige la Directiva sobre Ciberseguridad, cada Estado miembro ha designado una ACNC que se responsabilizar谩 de supervisar, acreditar y controlar la certificaci贸n de ciberseguridad de la UE a nivel nacional y de intercambiarla a nivel de la UE. Cada Estado miembro puede optar por expedir certificaciones de conformidad de ciberseguridad de la UE. Las Autoridades Nacionales de Certificaci贸n en Ciberseguridad (芦ANC禄) supervisan y controlan el cumplimiento del r茅gimen de los certificados expedidos por las OEC en su Estado miembro.
  • Sistemas nacionales. Cada sistema de certificaci贸n de ciberseguridad de la UE prev茅 un periodo de transici贸n tras el cual los sistemas nacionales pertinentes dejan de tener efecto.
    En otras palabras, los certificados expedidos en virtud de estos reg铆menes dejan de ser v谩lidos. Para garantizar una aplicaci贸n sin problemas, la transici贸n de los reg铆menes existentes a los reg铆menes de la UE se lleva a cabo en estrecha colaboraci贸n con todas las partes interesadas; por ejemplo, se elaborar谩n orientaciones para los organismos de certificaci贸n de ciberseguridad que operan con reg铆menes nacionales. Por lo tanto, los OEC no deben interrumpir sus actividades relacionadas con los reg铆menes existentes.
  • Duraci贸n.聽Los certificados son v谩lidos durante un tiempo limitado que puede ampliarse mediante una nueva evaluaci贸n de la soluci贸n.
  • Certificaci贸n la certificaci贸n es voluntaria, a menos que la normativa de la UE o de los Estados miembros especifique lo contrario.

 

Ciber resiliencia de productos . Propuesta (UE) de reforma del r茅gimen de responsabilidad del fabricante (Y marcado CE de ciberseguridad)

La Comisi贸n present贸 una propuesta de nueva Ley de Ciberresiliencia聽 o Reglamento Propuesta de Reglamento relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020 (COM(2022) 454 final). 聽Introduce requisitos obligatorios de ciberseguridad para los productos con elementos digitales, a lo largo de todo su ciclo de vida. Sobre aquella propuesta hab铆amos comentado aqu铆.

La propuesta se basa en el nuevo marco legislativo de la UE en materia de productos y establece por un lado, normas para la comercializaci贸n de productos con elementos digitales para garantizar su ciberseguridad; por otro requisitos esenciales para el dise帽o, el desarrollo y la producci贸n de productos con elementos digitales, y obligaciones para los operadores econ贸micos en relaci贸n con estos productos; tambi茅n requisitos esenciales para los procesos de gesti贸n de la vulnerabilidad establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y obligaciones para los operadores econ贸micos en relaci贸n con estos procesos, incluyendo obligaciones de los fabricantes de informar de las vulnerabilidades e incidentes explotados activamente. Adem谩s, establece normas sobre vigilancia del mercado y aplicaci贸n de la legislaci贸n. En conjunto, esta propuesta llamada 芦Ley de Ciber resiiencia禄聽 refuerza las normas de ciberseguridad para garantizar productos de hardware y software m谩s seguros.

 

Gladiolo

Debe recordarse que los productos de hardware y software son cada vez m谩s objeto de ciberataques con 茅xito. Ello implica un coste anual mundial estimado de 5,5 billones de euros para 2021.聽Estos productos adolecen de dos grandes problemas, un bajo nivel de ciberseguridad con vulnerabilidades generalizadas y suministro insuficiente e incoherente de actualizaciones de seguridad para abordarlas; y una comprensi贸n y un acceso a la informaci贸n insuficientes por parte de los usuarios (les impide elegir productos con propiedades de ciberseguridad adecuadas o utilizarlos de forma segura).

Hoy,聽 la聽 mayor铆a de los productos de hardware y software no est谩n cubiertos la legislaci贸n de la UE sobre ciberseguridad. En particular, el actual marco jur铆dico de la UE no aborda la ciberseguridad de los programas inform谩ticos no integrados, aun cuando son objeto de ciberataques a menudo.

La propuesta tiene dos objetivos principales, en relaci贸n con los productos.

  • crear las condiciones para el desarrollo de productos seguros con elementos digitales, garantizando que los productos de hardware y software se comercialicen con menos vulnerabilidades y velando por que los fabricantes se tomen en serio la seguridad a lo largo de todo el ciclo de vida del producto; y
  • crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad a la hora de seleccionar y utilizar productos con elementos digitales.

Y cuatro objetivos espec铆ficos:

  1. que los fabricantes mejoren la seguridad de los productos con elementos digitales desde la fase de dise帽o y desarrollo y a lo largo de todo el ciclo de vida;
  2. garantizar un marco coherente de ciberseguridad que facilite el cumplimiento de la normativa a los fabricantes de hardware y software
  3. aumentar la transparencia de las propiedades de seguridad de los productos con elementos digitales, y
  4. fomentar que las empresas y los consumidores utilicen los productos con elementos digitales de forma segura.

Documentaci贸n t茅cnica (art 23 de la propuesta)

La documentaci贸n t茅cnica debe elaborarse antes de que el producto con elementos digitales se introduzca en el mercado y, en su caso, se mantendr谩 permanentemente actualizada durante la vida 煤til prevista del producto o durante cinco a帽os a partir de la introducci贸n del producto con elementos digitales en el mercado, si este per铆odo fuese m谩s breve

Marcado CE 芦Conformit茅 Europ茅enne (pre谩mbulo 32 y art 21 de la propuesta)

El marcado CE indica la conformidad de un producto, es el resultado visible de todo un proceso que comprende la evaluaci贸n de la conformidad en sentido amplio. Los principios generales por los que se rige el marcado CE se establecen en el Reglamento (CE) n.潞 765/2008 Ahora, con esta propuesta de ciber resiliencia se establecen disposiciones relativas a la colocaci贸n del marcado CE en productos con elementos digitales, siendo el marcado CE聽 el 煤nico marcado que garantice que los productos con elementos digitales cumplen con los requisitos T茅ngase en cuenta que cuando existe reserva de Marcado CE, esta menci贸n es obligatoria. Conforme a la propuesta, los productos con elementos digitales deben llevar el marcado CE para acreditar su conformidad con el presente Reglamento y as铆 poder circular libremente por el mercado interno.

  • El marcado CE, tal como se define en el art铆culo聽3, punto聽32, estar谩 sujeto a los principios generales establecidos en el art铆culo聽30 del Reglamento (CE) n.潞 765/2008.:聽芦marcado CE禄: un marcado con el que un fabricante indica que un producto con elementos digitales y los procesos establecidos por el fabricante son conformes con los requisitos esenciales establecidos en el anexo I y otras normas de la Uni贸n aplicables que armonicen las condiciones para la comercializaci贸n de productos (las 芦normas de armonizaci贸n de la Uni贸n禄) y prevean su colocaci贸n禄
  • Se siguen las reglas de colocaci贸n, tama帽o etc del art 22

En relaci贸n con este marcado la Comisi贸n estar谩 facultada para adoptar actos de ejecuci贸n con el fin de especificar el formato o los elementos de los informes obligatorios y la nomenclatura de materiales de los programas inform谩ticos, especificar los esquemas europeos de certificaci贸n de la ciberseguridad que puedan utilizarse para demostrar la conformidad con los requisitos esenciales o partes de estos establecidos en el presente Reglamento, adoptar especificaciones comunes, establecer especificaciones t茅cnicas para la colocaci贸n del marcado CE y adoptar medidas correctoras o restrictivas a escala de la Uni贸n en circunstancias excepcionales que justifiquen una intervenci贸n inmediata destinada a preservar el buen funcionamiento del mercado interior.

Tareas encomendadas a ENISA

  • Recibir notificaciones de los fabricantes relativas a las vulnerabilidades presentes en los productos con elementos digitales y sobre los incidentes que repercutan en la seguridad de dichos productos.
  • Transmitir estas notificaciones a los equipos de respuesta a incidentes de seguridad inform谩tica (CSIRT) pertinentes o, seg煤n corresponda, a los puntos de contacto 煤nicos de los Estados miembros designados de conformidad con DNIS2, as铆 como informar a las autoridades de vigilancia del mercado pertinentes sobre la vulnerabilidad notificada.
  • elaborar un informe t茅cnico bienal sobre las tendencias emergentes en relaci贸n con los riesgos de ciberseguridad en productos con elementos digitales y presentarlo al Grupo de Cooperaci贸n
  • apoyar el proceso de ejecuci贸n del presente Reglamento. En particular, debe ser capaz de proponer actividades conjuntas que las autoridades de vigilancia del mercado deber谩n llevar a cabo sobre la base de determinadas indicaciones o informaci贸n sobre el posible incumplimiento del presente Reglamento por parte de productos con elementos digitales en varios Estados miembros, o de identificar categor铆as de productos para las que deban organizarse acciones de control simult谩neas coordinadas.
  • En circunstancias excepcionales que requieran una intervenci贸n inmediata, la ENISA, a petici贸n de la Comisi贸n, debe poder llevar a cabo evaluaciones relativas a productos espec铆ficos con elementos digitales que presenten un riesgo de ciberseguridad significativo.

Evaluaci贸n de conformidad (arts. 25 ss. de la Propuesta)

  • Recu茅rdese que la conformidad de un producto se efect煤a antes de su comercializaci贸n. Consiste en demostrar que se cumplen todos los requisitos legislativos. Incluye pruebas, inspecci贸n y certificaci贸n.
  • El procedimiento para cada producto se especifica en la legislaci贸n de producto aplicable.
  • En general, la legislaci贸n de productos describe los procedimientos de evaluaci贸n de la conformidad para cada producto. Cada fabricante puede elegir entre diferentes procedimientos de evaluaci贸n de la conformidad disponibles para sus productos, en su caso. La evaluaci贸n la realizar铆a el fabricante salvo cuando a legislaci贸n requiere la intervenci贸n de un organismo de evaluaci贸n de conformidad. Como parte de la evaluaci贸n de la conformidad, el fabricante o el representante autorizado debe redactar una declaraci贸n de conformidad (DoC). La declaraci贸n debe contener toda la informaci贸n para identificar:
        • Producto
        • Legislaci贸n aplicable a ese producto
        • Fabricante o el representante autorizado
        • Organismo notificado si procede
        • Una referencia a normas armonizadas u otros documentos normativos, cuando proceda
  • En relaci贸n con esta Propuesta, los Estados miembros notificar谩n a la Comisi贸n y a los dem谩s Estados miembros los organismos de evaluaci贸n de la conformidad autorizados a realizar evaluaciones de la conformidad con arreglo al presente Reglamento.
Azaleas

A prop贸sito de los organismos notificados聽 los organismos de evaluaci贸n de conformidad (art 29 ss de la Propuesta). Y repaso al sistema de acreditaci贸n

  • Con car谩cter general organismo notificado es una organizaci贸n designada por un pa铆s de la UE para evaluar la conformidad de determinados productos antes de su comercializaci贸n. Estos organismos llevan a cabo tareas relacionadas con los procedimientos de evaluaci贸n de la conformidad establecidos en la legislaci贸n aplicable a petici贸n de terceros como los fabricantes. La Comisi贸n Europea publica una lista de dichos organismos notificados. En Espa帽a, los Organismos Notificados deben contar con la aprobaci贸n previa de ENAC (Entidad Nacional de Acreditaci贸n). Conforme al Reglamento 聽(CE) n.o 765/2008 la ENAC es ,en Espa帽a, el organismo de acreditaci贸n: 聽el 煤nico organismo de un Estado miembro con potestad p煤blica para llevar a cabo acreditaciones. Estas acreditaciones son tambi茅n definidas en el mismo Reglamento: declaraci贸n por un organismo nacional de acreditaci贸n de que un organismo de evaluaci贸n de la conformidad cumple los requisitos fijados con arreglo a normas armonizadas y, cuando proceda, otros requisitos adicionales, incluidos los establecidos en los esquemas sectoriales pertinentes, para ejercer actividades espec铆ficas de evaluaci贸n de la conformidad

Rasgos de estos ONEC:

    • Imparcialidad: su personal tiene competencia t茅cnica libre de incentivos econ贸micos que tienten su criterio
    • Confidencialidad:聽garantizan el secreto profesional y tienen seguro de responsabilidad civil
    • Independencia: tienen personalidad jur铆dica propia e independiente de la organizaci贸n evaluada. En este sentido, ni los directivos ni el personal podr谩n dise帽ar, instalar, proveer, fabricar, mantener鈥ada que pueda entrar en conflicto con su independencia, en especial los servicios de consultor铆a. Los organismos notificados de certificaci贸n, son conforme al R (CE) 765/2008 organizaciones que desempe帽an actividades de evaluaci贸n de la conformidad, que incluyen calibraci贸n, ensayo, certificaci贸n e inspecci贸n. Algunas de las caracter铆sticas de los organismos notificados de evaluaci贸n son:
  • En la Propuesta se establecen requisitos espec铆ficos para los organismos notificados, como su sometimiento a las reglas de notificaci贸n (art 29, apartados 2 a 12).
  • .Los organismos de evaluaci贸n de la conformidad se establecer谩n con arreglo al Derecho nacional y tendr谩n personalidad jur铆dica. Y, ser谩n terceros organismos independientes de la organizaci贸n o el producto que eval煤en. Pueden pertenecer a una asociaci贸n comercial o una federaci贸n profesional que represente a las empresas que participan en el dise帽o, el desarrollo, la producci贸n, el suministro, el montaje, el uso o el mantenimiento de los productos con elementos digitales que eval煤en, a condici贸n de que se demuestre su independencia y la ausencia de conflictos de inter茅s.
    • El organismo de evaluaci贸n de la conformidad, sus directivos de alto rango y el personal responsable de la realizaci贸n de las tareas de evaluaci贸n de la conformidad no ser谩n el dise帽ador, el desarrollador, el fabricante, el proveedor, el instalador, el comprador, el due帽o, el usuario o el encargado del mantenimiento de los productos con elementos digitales que deben evaluarse, ni el representante autorizado de ninguno de ellos. Ello no ser谩 贸bice para que usen los productos evaluados que sean necesarios para el funcionamiento del organismo de evaluaci贸n de la conformidad, ni para que usen dichos productos con fines personales. Tampoco聽 intervendr谩n directamente en el dise帽o, el desarrollo, la producci贸n, la comercializaci贸n, la instalaci贸n, el uso ni el mantenimiento de estos productos, ni representar谩n a las partes que participen en estas actividades. No realizar谩n ninguna actividad que pueda entrar en conflicto con su independencia de criterio o su integridad en relaci贸n con las actividades de evaluaci贸n de la conformidad para las que hayan sido notificados. Ello se aplicar谩, en particular, a los servicios de consultor铆a.
    • Los organismos de evaluaci贸n de la conformidad se asegurar谩n de que las actividades de sus filiales o subcontratistas no afecten a la confidencialidad, objetividad o imparcialidad de sus actividades de evaluaci贸n de la conformidad.
    • Los organismos de evaluaci贸n de la conformidad y su personal llevar谩n a cabo las actividades de evaluaci贸n de la conformidad con el m谩ximo nivel de integridad profesional y con la competencia t茅cnica exigida para el campo espec铆fico, y estar谩n libres de cualquier presi贸n o incentivo, especialmente de 铆ndole financiera, que pudieran influir en su apreciaci贸n o en el resultado de sus actividades de evaluaci贸n de la conformidad, en particular por parte de personas o grupos de personas que tengan alg煤n inter茅s en los resultados de estas actividades.
    • El organismo de evaluaci贸n de la conformidad ser谩 capaz de realizar todas las tareas de evaluaci贸n de la conformidad especificadas en el anexo VI y para las que haya sido notificado, independientemente de si realiza las tareas el propio organismo o si se realizan en su nombre y bajo su responsabilidad.

En todo momento, para cada procedimiento de evaluaci贸n de la conformidad y para cada tipo o categor铆a de productos con elementos digitales para los que ha sido notificado, el organismo de evaluaci贸n de la conformidad dispondr谩:

            1. de personal con conocimientos t茅cnicos y experiencia suficiente y adecuada para realizar las tareas de evaluaci贸n de la conformidad;
            2. de las descripciones de los procedimientos con arreglo a los cuales se efect煤a la evaluaci贸n de la conformidad, garantizando la transparencia y la posibilidad de reproducci贸n de estos procedimientos; dispondr谩 tambi茅n de las pol铆ticas y procedimientos adecuados que permitan distinguir entre las tareas efectuadas como organismo notificado y cualquier otra actividad;
            3. de procedimientos para desempe帽ar sus actividades teniendo debidamente en cuenta el tama帽o de las empresas, el sector en que operan, su estructura, el grado de complejidad de la tecnolog铆a del producto y el car谩cter masivo o en serie del proceso de producci贸n.
            4. dispondr谩 de los medios necesarios para realizar adecuadamente las tareas t茅cnicas y administrativas relacionadas con las actividades de evaluaci贸n de la conformidad y tendr谩 acceso a todo el equipo o las instalaciones que necesite. El personal encargado de llevar a cabo las tareas de evaluaci贸n de la conformidad dispondr谩 de:
                  1. una buena formaci贸n t茅cnica y profesional para realizar todas las actividades de evaluaci贸n de la conformidad para las que el organismo de evaluaci贸n de la conformidad haya sido notificado;
                  2. un conocimiento satisfactorio de los requisitos de las evaluaciones que efect煤e y la autoridad necesaria para efectuarlas
                  3. un conocimiento y una comprensi贸n adecuados de los requisitos esenciales, de las normas armonizadas aplicables y de las disposiciones pertinentes de las normas de armonizaci贸n de la Uni贸n aplicables, as铆 como de las normas de aplicaci贸n correspondientes;
                  4. capacidad necesaria para elaborar certificados, documentos e informes que demuestren que se han efectuado las evaluaciones.

Se garantizar谩 la imparcialidad de los organismos de evaluaci贸n de la conformidad, de sus directivos de alto rango y del personal de evaluaci贸n.

      • La remuneraci贸n de los directivos de alto rango y del personal de evaluaci贸n de los organismos de evaluaci贸n de la conformidad no depender谩 del n煤mero de evaluaciones realizadas ni de los resultados de dichas evaluaciones.

Garant铆as frente a responsabilidad

  • El organismo de evaluaci贸n de la conformidad suscribir谩 un seguro de responsabilidad, salvo que el Estado asuma la responsabilidad con arreglo al Derecho interno, o que el propio Estado miembro sea directamente responsable de la evaluaci贸n de la conformidad.

Secreto

    • El personal del organismo de evaluaci贸n de la conformidad deber谩 observar el secreto profesional acerca de toda la informaci贸n recabada en el ejercicio de sus tareas, con arreglo al anexo聽VI o a cualquier disposici贸n de Derecho interno por la que se aplique, salvo con respecto a las autoridades de vigilancia del mercado del Estado miembro en que realice sus actividades. Se proteger谩n los derechos de propiedad. El organismo de evaluaci贸n de la conformidad contar谩 con procedimientos documentados que garanticen el cumplimiento del presente apartado.

 

 

Zarzas y lila

Otras cuestiones

    • Los organismos de evaluaci贸n de la conformidad participar谩n en las actividades pertinentes de normalizaci贸n y las actividades del grupo de coordinaci贸n de los organismos notificados establecido con arreglo al art铆culo聽40, o se asegurar谩n de que su personal de evaluaci贸n est茅 informado al respecto, y aplicar谩n a modo de directrices generales las decisiones y los documentos administrativos que resulten de las labores del grupo.
    • Los organismos de evaluaci贸n de la conformidad funcionar谩n con arreglo a un conjunto de condiciones coherentes, justas y razonables que tengan particularmente en cuenta los intereses de las pymes en relaci贸n con las tasas.

Presunci贸n de conformidad/ subcontrataciones y filiales de los organismos notificados

  • Art铆culo 30.-聽Presunci贸n de conformidad de los organismos notificados.聽Si un organismo de evaluaci贸n de la conformidad demuestra su conformidad con los criterios establecidos en las normas armonizadas pertinentes, o partes de ellas, cuyas referencias se hayan publicado en el聽Diario Oficial de la Uni贸n Europea, se presumir谩 que cumple los requisitos establecidos en el art铆culo聽29 en la medida en que las normas armonizadas aplicables cubran estos requisitos.

 

  • Art铆culo 31. Subcontrataciones y filiales de los organismos notificados: 1.Cuando un organismo notificado subcontrate tareas espec铆ficas relacionadas con la evaluaci贸n de la conformidad o recurra a una filial, se asegurar谩 de que el subcontratista o la filial cumplen los requisitos establecidos en el art铆culo 29 e informar谩 a la autoridad notificante en consecuencia. 2.El organismo notificado asumir谩 la plena responsabilidad de las tareas realizadas por los subcontratistas o las filiales, con independencia de d贸nde est茅n establecidos. 3.Las actividades solo podr谩n subcontratarse o delegarse en una filial previo consentimiento del fabricante. 4.Los organismos notificados mantendr谩n a disposici贸n de la autoridad notificante los documentos pertinentes sobre la evaluaci贸n de las cualificaciones del subcontratista o de la filial, as铆 como sobre el trabajo que estos realicen con arreglo al presente Reglamento.

Nuevo Reglamento General de Seguridad de los Productos en la UE

El 23 de mayo de 2023, la UE public贸 el nuevo Reglamento general de seguridad de los productos (RGSP).聽Este Reglamento entr贸 en vigor el 12 de junio de 2023 y establece un periodo transitorio de 18 meses de adaptaci贸n para los Estados miembros de la UE y entidades que deban cumplirlo. Su plena aplicaci贸n comenzar谩 el 13 de diciembre de 2024.

No establece obligaciones contractuales de derecho privado relativas a la seguridad. 脡stas deber谩n buscarse en la futura Directiva聽 de productos defectuosos. (Propuesta de Directiva sobre responsabilidad por los da帽os causados por productos defectuosos, publicada el 28.09.2022). Sin embargo, al imponer el RGSP que聽 s贸lo se pueden comercializar en la UE los productos que puedan calificarse como seguros viene a imponer impl铆citamente un est谩ndar de seguridad. Adem谩s, este Reglamento plantea nuevos requisitos relacionados con la notificaci贸n de efectos adversos, las evaluaciones de riesgos previos a la comercializaci贸n, las retiradas de circulaci贸n de productos como consecuencia de fallos en la seguridad; as铆 como otros relacionados con el etiquetado y con la documentaci贸n de los productos. El RDSP聽 incluye expresamente disposiciones que permiten entablar acciones colectivas

Camelia
SEGURIDAD DE PRODUCTOS COMERCIALIZADOS EN LA UE

 

  • El art 5 define el principio universal de que s贸lo se pueden introducir o comercializar聽 en la UE productos que sean seguros. A continuaci贸n, y a lo聽 largo del texto articulado, este principio va tomando forma y adoptando manifestaciones concretas. Destacadamente establece presunciones de seguridad, en el sentido de que la conformidad con las normas de certificaci贸n聽 publicadas en el DOUE en relaci贸n con determinados riesgos (conforme al art 10, apartado 7, Reglamento 1025/2012); y la conformidad con normas nacionales de similar alcance tienen como efecto activar tal presunci贸n.
  • Los fabricantes deber谩n informar 芦sin demora禄 de los 芦accidentes causados por un producto禄 si 茅ste est谩 relacionado聽 o implicado en un incidente con resultado de muerte o 芦efectos adversos graves para la salud y la seguridad禄.
    • Los productos s贸lo pueden ser introducidos en el mercado de la UE cuando exista un operador econ贸mico establecido en la Uni贸n que sea responsable de las tareas establecidas en el art铆culo 4, apartado 3, del Reglamento (UE) 2019/1020 respecto de dicho producto.

 

 

  • La Comisi贸n podr谩 introducir requisitos de trazabilidad para determinados productos o categor铆as o grupos de productos que pueden presentar un riesgo grave para la salud y la seguridad de los consumidores, habida cuenta de los accidentes registrados en el portal Safety Business Gateway, las estad铆sticas de Safety Gate, los resultados de las actividades conjuntas en materia de seguridad de los productos y otros indicadores o pruebas pertinentes, y despu茅s de consultar a la Red de Seguridad de los Consumidores y a los grupos de expertos y partes interesadas pertinentes (Art 18.1)
  • Si la Comisi贸n tuviera conocimiento de un producto o de una categor铆a o grupo espec铆fico de productos que presente un riesgo grave para la salud y la seguridad de los consumidores, podr谩 adoptar, por iniciativa propia o a petici贸n de los Estados miembros y mediante actos de ejecuci贸n, medidas adecuadas adaptadas a la gravedad y a la urgencia de la situaci贸n en los t茅rminos del art 28.
RECUPERACI脫N DESPU脡S DE UN SINIESTRO

El Reglamento crea la categor铆a del operador de recuperaci贸n o聽 芦responsable禄 de la recuperaci贸n. Este responsable es quien elabora y comunica a los consumidores el restablecimiento o聽 aviso de recuperaci贸n. En el aviso de recuperaci贸n se ofrecen soluciones entre las que el consumidor puede elegir (art 37 ). El operador de recuperaci贸n puede ser distinto del que haya emitido una 芦advertencia de seguridad禄.

    • Opciones para el consumidor:
      • El operador econ贸mico debe ofrecer al consumidor la elecci贸n entre al menos dos de estas soluciones: a) la reparaci贸n del producto sujeto a recuperaci贸n; b) la sustituci贸n del producto sujeto a recuperaci贸n por un producto seguro del mismo tipo y de, al menos, igual valor y calidad, o c) el reembolso adecuado del valor del producto sujeto a recuperaci贸n, siempre que el importe del reembolso sea al menos igual al precio abonado por el consumidor. S贸lo excepcionalmente, el operador econ贸mico podr谩 ofrecer al consumidor una 煤nica soluci贸n cuando otras soluciones no sean posibles o cuando acarreen costes desproporcionados para el operador responsable, en comparaci贸n con la soluci贸n ofrecida,聽 y considerando todas las circunstancias concurrentes
    • Las opciones que se deben ofrecer no obstan para la aplicaci贸n de la Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales; y de la Directiva ; y de la Directiva (UE) 2019/771 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de compraventa de bienes, por la que se modifican el Reglamento (CE) n.掳 2017/2394 y la Directiva 2009/22/CE y se deroga la Directiva 1999/44/CE
    • Alertas y web con incidentes. Conforme a los arts 25 y ss la Comisi贸n mantendr谩 en funcionamiento un sistema de alertas r谩pidas con la denominaci贸n de Safety Gate.
      • Tambi茅n, y conforme al art 34, un Portal Safety Gate que permitir谩 al p煤blico en general consultar, gratuitamente y sin restricciones, la informaci贸n esencial sobre productos inseguros (informaci贸n seleccionada y notificada de conformidad con el art铆culo 26).
      • Adicionalmente, la Comisi贸n mantendr谩 un Portal Safety Business Gateway en el que los operadores econ贸micos y los prestadores de mercados en l铆nea puedan proporcionar de manera sencilla a las autoridades de vigilancia del mercado y a los consumidores determinada informaci贸n (art 27)
MERCADOS EN L脥NEA

Los prestadores de mercados en l铆nea tambi茅n deben cooperar en las recuperaciones de productos y la notificaci贸n de accidentes. El art铆culo 22 del Reglamento impone obligaciones espec铆ficas a los operadores de mercados en l铆nea:聽 una obligaci贸n amplia de notificar 芦accidentes causados por un producto… que provoquen un riesgo grave o un da帽o real para la salud o la seguridad de un consumidor禄. Por otro lado: los prestadores de mercados en l铆nea designar谩n un punto 煤nico de contacto que permita la comunicaci贸n directa, por medios electr贸nicos, con las autoridades de vigilancia del mercado de los Estados miembros en relaci贸n con cuestiones de seguridad de los productos

COMUNICACIONES RELATIVAS A PRODUCTOS DEFECTUOSOS EN SUPUESTOS ESPECIALES

los operadores econ贸micos y los prestadores de mercados en l铆nea deben garantizar que incluyen la posibilidad de ponerse directamente en contacto con los consumidores en caso de recuperaci贸n o advertencia de seguridad que les afecte, en los programas de fidelizaci贸n y los sistemas de registro de productos existentes, a trav茅s de los cuales se pide a los clientes que, tras haber adquirido un producto, comuniquen voluntariamente al fabricante determinada informaci贸n, como su nombre, informaci贸n de contacto, el modelo del producto o el n煤mero de serie.

SOBRE LA APLICACI脫N DE ESTE REGLAMENTO
  • Pese a la aplicaci贸n general de 茅ste Reglamento, 茅sta se entender谩 sin perjuicio de las disposiciones establecidas por el Derecho de la UE en materia de protecci贸n de los consumidores, y del principio de cautela.
  • Se aplica a los productos (nuevos, usados, reparados, reacondicionados)聽 que se introduzcan en el mercado o que se comercialicen en la UE, en la medida en que no existan disposiciones espec铆ficas con la misma finalidad en el Derecho de la UE. Es decir, es derecho general subsidiario que se aplica en toda la UE cuando no existan disposiciones espec铆ficas que regulen la seguridad de los productos. En el caso de que determinados productos est茅n sujetos a requisitos espec铆ficos de seguridad impuestos por el Derecho de la UE, el reglamento se aplicar谩 煤nicamente a los aspectos, riesgos o categor铆as de riesgo que no est茅n cubiertos por esos requisitos. Pero, por lo que respecta a los productos que ya est茅n sujetos a requisitos espec铆ficos impuestos por otra legislaci贸n de armonizaci贸n de la UE:
      • no se les aplica el cap铆tulo II (Requisitos de seguridad) en cuanto a los riesgos o categor铆as de riesgo cubiertos por legislaci贸n de armonizaci贸n de la UE;
      • no se les aplican el cap铆tulo III (Obligaciones de los operadores econ贸micos), secci贸n 1 (Obligaciones de los fabricantes), los cap铆tulos (Vigilancia del mercado y ejecuci贸n) y VII (Funci贸n de la Comisi贸n y coordinaci贸n de la garant铆a del cumplimiento), ni los cap铆tulos IX a XI (Cooperaci贸n internacional, Disposiciones financieras y Disposiciones finales).

聽 聽 聽Tampoco se aplica a:

Hugo’s pool
      • medicamentos de uso humano o veterinario;
      • alimentos;
      • piensos;
      • plantas y animales vivos, organismos modificados gen茅ticamente y microorganismos modificados gen茅ticamente en utilizaci贸n confinada, as铆 como productos procedentes de vegetales y animales directamente relacionados con su futura reproducci贸n;
      • subproductos animales y productos derivados;
      • productos fitosanitarios;
      • equipos en los que los consumidores montan o en los que viajan, cuando dichos equipos sean manejados directamente por un prestador de servicios en el contexto de un servicio de transporte prestado a los consumidores, y no por los propios consumidores;
      • aeronaves;
      • antig眉edades.

 

 

 

VER un comentario inicial (y parcial) del Profesor 脕ngel Carrasco Perera

Aproximaci贸n a la responsabilidad civil (objetiva y subjetiva) y a la seguridad de la Inteligencia Artificial en la UE

Para adaptar el ordenamiento de la UE a los retos de la Inteligencia Artificial, IA, se han propuesto , por un lado, modificaciones o adaptaciones en el r茅gimen聽 de la responsabilidad del productor por productos defectuosos (Propuesta de revisi贸n de la Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximaci贸n de las disposiciones legales, reglamentarias y administrativas de los Estados Miembros en materia de responsabilidad por los da帽os causados por productos defectuosos (鈥Propuesta RRPD鈥) . Por otro, la armonizaci贸n espec铆fica con una Propuesta de Directiva del Parlamento y del Consejo relativa a la adaptaci贸n de las normas sobre responsabilidad civil extracontractual a las normas sobre inteligencia artificial ( 芦Propuesta DIA禄) . Ambas iniciativas forman un paquete, y pese a que est谩n relacionadas, regulan diferentes tipos de responsabilidad.

  • La Propuesta RRPD cubre la responsabilidad objetiva del productor por productos defectuosos, lo que da lugar a una indemnizaci贸n por determinados tipos de da帽os.
  • La Propuesta DIA se ocupa de responsabilidad por culpa y su indemnizaci贸n.
  • Adicionalmente, la Propuesta de Reglamento sobre IA incorpora exigencias de calidad y seguridad en los sistemas

A continuaci贸n se ofrece una聽 primera aproximaci贸n introductoria a las normas que se est谩n gestando

ACTUALIZACI脫N DE LA DIRECTIVA DE RESPONSABILIDAD POR PRODUCTOS DEFECTUOSOS

 

Parterre

En la Propuesta RRDP se adaptan las normas de responsabilidad a los productos en la era digital.聽Se establece que toda la gama de productos defectuosos est谩 cubierta por las normas revisadas, incluyendo聽el聽software, sistemas de IA o servicios digitales. Es decir, en caso de que un sistema de IA integrado en un producto (por ejemplo, robots, drones, o sistemas dom茅sticos inteligentes) presente alg煤n defecto, los perjudicados tambi茅n podr谩n presentar una reclamaci贸n. Las nuevas normas permiten a los particulares reclamar una indemnizaci贸n por los da帽os causados por un producto defectuoso, incluidas las lesiones corporales, los da帽os materiales o la p茅rdida de datos.

  • Se aplicar谩 a la econom铆a circular, a las empresas que modifiquen sustancialmente los productos, cuando estos causen da帽os a una persona, a menos que demuestren que el defecto se refiere a una parte no modificada del producto.
  • Exige a los fabricantes comunicar las pruebas que pueda necesitar el demandante para llevar a cabo a los tribunales y reduce la carga de prueba en casos complejos (i.e. casos relacionados con productos farmac茅uticos o de IA). Tambi茅n suprime el umbral inferior y el l铆mite m谩ximo, de forma que el perjudicado pueda quedar totalmente indemnizado por los da帽os sufridos.
  • Los perjudicados podr谩n pedir la indemnizaci贸n al representante del fabricante de un tercer pa铆s.聽 Concretamente, y en virtud del Reglamento sobre vigilancia del mercado y de la pr贸xima revisi贸n del Reglamento relativo a la seguridad general de los productos, los fabricantes no europeos designar谩n un responsable en la UE,聽 al que se podr谩 exigir la indemnizaci贸n. (La Propuesta se comenta aqu铆)
RESPONSABILIDAD POR CULPA EN LAS OPERACIONES CON IA

 

Sanabria

La Propuesta DIA establece normas que deben incorporarse a los sistemas nacionales de responsabilidad por culpa de los Estados miembros con el fin de distribuir la carga de la prueba entre la persona potencialmente perjudicada que reclama cualquier tipo de da帽o cubierto por la legislaci贸n nacional ( por ejemplo, la vida, la salud, la propiedad y la intimidad) y los fabricantes de IA:

  • La Comisi贸n Europea obliga a los demandados a revelar los elementos de prueba en determinadas circunstancias. En particular, la Comisi贸n reconoce a los demandantes el derecho a solicitar la divulgaci贸n de pruebas tanto antes de los litigios como en el curso de los mismos. Y establece que el incumplimiento de una orden de aportar informaci贸n permitir谩, en los t茅rminos de la Propuesta DIA, presumir que no se actu贸 con suficiente diligencia, y da lugar a una inversi贸n de la carga de la prueba.聽
  • Se introduce una presunci贸n iuris tantum de causalidad para los supuestos en los que el perjudicado demuestre el incumplimiento de una obligaci贸n, cuando sea razonablemente probable que exista un nexo causal con el rendimiento de la IA
  • La Propuesta DIA tambi茅n prev茅 normas aplicables a la conservaci贸n y divulgaci贸n de pruebas en casos relacionados con sistemas de IA de alto riesgo (seg煤n se definen en la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas sobre inteligencia artificial, Propuesta de Reglamento IA -RIA_).

 

FUTURO REGLAMENTO DE SEGURIDAD EN LA IA

 

London’s Eye

En cuanto al 聽RIA , que no se centra en聽 RC, tiene聽 por objeto prevenir da帽os y perjuicios en el sentido de que establece requisitos de seguridad de los sistemas de IA .

  • En el cap铆tulo 1 del t铆tulo III聽 RIA se establecen las normas de clasificaci贸n y se definen las dos categor铆as principales de sistemas de IA de alto riesgo: Por un lado los sistemas de IA dise帽ados para utilizarse como componentes de seguridad de productos sujetos a una evaluaci贸n de la conformidad ex ante realizada por terceros; y por otro, los otros sistemas de IA independientes con implicaciones relacionadas principalmente con los derechos fundamentales (relacionados en el anexo III, a modo de lista abierta de ciertos sistemas de IA cuyos riesgos ya se han materializado o es probable que lo hagan pr贸ximamente. Este listado podr谩 ser ampliado y adaptado en los t茅rminos que establece el RIA.
  • En el t铆tulo II se establecen IA prohibidas. Se聽 distingue entre los usos de la IA que generan聽 riesgos inaceptables;聽 riesgos altos, y riesgos bajos o m铆nimos. La lista de pr谩cticas prohibidas聽 abarca todos los sistemas de IA cuyo uso se considera inaceptable por ser contrario a los valores de la Uni贸n. Engloban aquellas pr谩cticas que tienen un gran potencial para manipular a las personas mediante t茅cnicas subliminales que trasciendan su consciencia o que aprovechan las vulnerabilidades de grupos vulnerables concretos para alterar de manera sustancial su comportamiento de un modo que es probable que les provoque perjuicios f铆sicos o psicol贸gicos a ellos o a otras personas.聽 La propuesta proh铆be tambi茅n que las autoridades p煤blicas realicen calificaciones sociales basadas en IA con fines generales. Y se proh铆be -con alguna excepci贸n- el uso de sistemas de identificaci贸n biom茅trica remota 芦en tiempo real禄 en espacios de acceso p煤blico .
  • El聽t铆tulo聽III聽contiene normas espec铆ficas para aquellos sistemas de IA que acarrean un alto riesgo para la salud y la seguridad o los derechos fundamentales de las personas f铆sicas.
  • El聽t铆tulo聽IV聽se centra en determinados sistemas de IA para tener en cuenta los riesgos espec铆ficos de manipulaci贸n que conllevan.
  • En el t铆tulo VIII se definen las obligaciones de seguimiento y presentaci贸n de informaci贸n de los proveedores de sistemas de IA en su seguimiento posterior a la comercializaci贸n y en la comunicaci贸n e investigaci贸n de incidentes y defectos de funcionamiento relacionados con la IA.
  • El聽t铆tulo聽IX聽crea un marco para la elaboraci贸n de c贸digos de conducta, cuyo objetivo es fomentar que los proveedores de sistemas de IA que no son de alto riesgo cumplan de manera voluntaria los requisitos que son obligatorios para los sistemas de IA de alto riesgo

 

M谩s. Blog Prof Alberto Tapia. 11.05. 2023

Geolocalizaci贸n y protecci贸n de datos

Como es sabido, los datos de ubicaci贸n, pueden servir para inferir y conocer diversa informaci贸n personal que puede ser utilizada con distintos objetivos, entre otros con motivo de establecer perfiles publicitarios

En EEUU se han ido conociendo reclamaciones frente a grandes compa帽铆as de servicios digitales, con base en pr谩cticas de geolocalizaci贸n irrespetuosas con el ordenamiento.

Invierno. By M.A. D铆az
  • En noviembre 2022, un grupo de 40 Attorney General聽 (fiscales generales) de Minesota en EEUU聽 lleg贸 a un acuerdo con Google LLC, a ra铆z de una sobre la presunta violaci贸n por parte de la compa帽铆a de las correspondientes normativas estatales de protecci贸n del consumidor, en el sentido de inducir a error a los consumidores sobre el registro de sus movimientos o geolocalizaci贸n. Poco antes, se hab铆a alcanzado un acuerdo similar en Arizona. Seg煤n ha trascendido, Google habr铆a trasmitido聽 la err贸nea impresi贸n de que cuando los usuarios desactivaban los servicios de seguimiento de localizaci贸n la compa帽铆a dejar铆a de recopilar datos de geolocalizaci贸n sobre ellos. En realidad, Google segu铆a acumulando estos datos y luego los ofrec铆a a terceros que los utilizaban con fines publicitarios. En el acuerdo de Minesota, Google debe abonar 391,5 millones de d贸lares, as铆 como facilitar a los usuarios informaci贸n adicional al activar o desactivar un determinado ajuste relacionado con la localizaci贸n; y tiene que asegurar que la obtenci贸n de informaci贸n clave sobre el seguimiento de la localizaci贸n sea 芦insoslayable禄 para los usuarios , as铆 como proporcionar informaci贸n detallada sobre los tipos de datos de localizaci贸n que recopila y utiliza. M谩s aqu铆
  • En la UE, dado que los sistemas de geolocalizaci贸n capturan, almacenan y analizan la informaci贸n geogr谩fica referenciada de la persona (es decir, un tratamiento de datos personales), resulta de aplicaci贸n el art. 4 RGPD con lo que es necesario determinar el fin admisible de este tratamiento y tener en cuenta todos los requisitos del derecho positivo, entre ellos la legitimaci贸n. Cuando el dispositivo sea propiedad de una persona f铆sica ser谩 necesario obtener el consentimiento del interesado (art. 6.1.a RGPD). Cuando el sistema de geolocalizaci贸n se instale en un dispositivo responsabilidad de una empresa, se podr谩 legitimar por inter茅s leg铆timo del responsable (art. 6.1.f RGPD) basado en el art. 20.3 ET y el art. 90 LOPDGDD. Recu茅rdese que el art. 20.3 del Estatuto de los Trabajadores permite聽芦adoptar las medidas que estime m谩s oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales禄. Estas medidas, deber谩n, siempre, respetar el derecho al honor, a la intimidad personal y familiar y a la propia imagen reconocido en el art. 18 de la Constituci贸n Espa帽ola, en coherencia adem谩s con el deber de informar al trabajador (arts 13 y 14 RGPD). Y, el deber de respetar la finalidad, o prohibici贸n del uso de los datos obtenidos para finalidades distintas de las declaradas en la adopci贸n de la medida. La noci贸n de 鈥渇ines鈥 del art. 5.1.c RGPD, relativo al principio de minimizaci贸n, excluye todo intento de aprovecharse de los datos de car谩cter personal recogidos para obtener nuevos datos personales o para un uso divergente de la finalidad originaria para la que fueron recabados. De igual manera se expresa el art. 6 LOPDGDD, correspondiente al consentimiento del interesado para diversas finalidades. Adem谩s, los datos de localizaci贸n se deben conservar exclusivamente durante el tiempo oportuno en funci贸n de la finalidad que justifique su tratamiento. sin olvidar que el acceso a los datos de localizaci贸n deber谩 restringirse a aquellas personas que, en el ejercicio de sus obligaciones, puedan consultarlas de forma leg铆tima en funci贸n de sus finalidades. Por consiguiente, los empresarios deber谩n adoptar todas las cautelas necesarias para que tales datos se mantengan seguros e impedir el acceso no autorizado a ellos, especialmente mediante la introducci贸n de medidas de verificaci贸n e identificaci贸n.

 

Adem谩s de todo esto, hay que tener en cuenta que los responsables del tratamiento que utilicen sistemas de geolocalizaci贸n estar谩n sujetos a obligaciones del GDPR:

  1. El registro de actividades de tratamiento. Cada responsable del tratamiento y, en su caso, su representante, habr谩n de llevar un registro de las actividades de tratamiento que efect煤en bajo su responsabilidad (art. 30 RGPD).
  2. El an谩lisis de riesgos聽con el fin de establecer las concretas medidas de seguridad y control para garantizar los derechos y libertades de las personas. (art.32 RGPD).
  3. Medidas de seguridad.聽En este documento se van a recoger las medidas t茅cnicas y organizativas de seguridad que garanticen la protecci贸n de los datos personales, y que demuestren la adecuaci贸n con el GDPR, teniendo en consideraci贸n los derechos e intereses leg铆timos de las personas f铆sicas propietarias de los datos personales y de cualquier otra persona afectada.
  4. La evaluaci贸n de impacto聽(DPIA) en el caso el tratamiento se realice a gran escala e implique la observaci贸n, monitorizaci贸n, supervisi贸n, geolocalizaci贸n o control del interesado de forma sistem谩tica y exhaustiva, incluida la recogida de datos y metadatos a trav茅s de redes, aplicaciones o en zonas de acceso p煤blico (art. 35.4 RGPD).

聽Ver tambi茅n聽

En Espa帽a, en enero de 2023, Audiencia Nacional anul贸 una decisi贸n de la AEPD en la que sostuvo que la empresa Virgin telco hab铆a actuado conforme a la ley al denegar a sus clientes el acceso a sus datos de geolocalizaci贸n. El asunto hab铆a sido planteado por una ONG especializada: NOYB.

  • Noyb, cuyas siglas proceden de la expresi贸n inglesa聽None of your business (No es asunto tuyo), es una iniciativa del activista Sr Schrems (conocido por sus litigios en relaci贸n con los acuerdos de trasmisi贸n de datos a EEUU). La ONG especializada en protecci贸n de datos recurri贸 una decisi贸n de la AEPD. NOYB sosten铆a que la聽informaci贸n sobre geolocalizaci贸n es un dato personal y debe facilitarse al amparo del derecho de datos personales.

Un cliente de Virgin telco en Espa帽a solicit贸 acceder a sus datos de geolocalizaci贸n. Le fueron聽denegados por lo que reclam贸 ante la AEPD. La agencia dio la raz贸n a la empresa por lo que Noyb recurri贸 esa decisi贸n en junio de 2022, defendiendo que ya que los proveedores de telecomunicaciones en Espa帽a est谩n obligados a almacenar datos de geolocalizaci贸n de sus clientes, en virtud del principio de tutela de datos personales, tales proveedores deben facilitar esa informaci贸n a los usuarios en caso de ser solicitada. Este planteamiento era distinto al inicial de la AEPD que consideraba que el acceso estaba garantizado s贸lo para las autoridades en el marco de investigaciones penales. La Audiencia Nacional anul贸 la decisi贸n inicial de la AEPD. Ver aqu铆聽 la web de esta ONG

TJUE- De nuevo sobre el despido del DPD. Y compatibilidades del cargo

Springtime

El 9 de febrero de 2023, el Tribunal de Justicia de la Uni贸n Europea (芦TJUE禄) dict贸 sentencia en el asunto X-FAB Dresden (C-453/21).En esta decisi贸n, el TJUE aclar贸 los criterios para evaluar si existe un conflicto de intereses entre la funci贸n de Delegado de Protecci贸n de Datos (芦DPD/DPO禄) y otras tareas o funciones asignadas al mismo DPD/DPO.

  • Los DPD/DPO se encargan de informar y asesorar a los responsables y encargados del tratamiento de datos, supervisar el cumplimiento de la legislaci贸n sobre protecci贸n de datos y las pol铆ticas adoptadas en cada organizaci贸n, y actuar como punto de contacto con las autoridades de control.
  • Para desempe帽ar eficazmente estas tareas debe operar con independencia. A tales efectos, el art铆culo 38, apartado 3, del RGPD establece espec铆ficamente que el DPD/DPO no puede recibir instrucciones sobre el ejercicio de sus funciones y debe responder directamente al m谩s alto nivel directivo (recu茅rdese que el mismo art铆culo proh铆be despedir o sancionar al DPD/DPO por el ejercicio de sus funciones).

En esta sentencia, el TJUE hizo hincapi茅 en que las organizaciones deben asegurarse de que no se encomienden al DPD/DPO tareas o funciones que puedan obstaculizar o dificultar la ejecuci贸n de sus obligaciones como DPD/DPO. En particular, recuerda que el DPD/DPO no es competente (ni puede en funci贸n de otro cargo que compatibilice) determinar los objetivos y m茅todos del tratamiento de datos personales.

Ahora bien, a 聽efectos de establecer la compatibilidad o incompatibilidad con otras funciones, es necesario realizar una evaluaci贸n casu铆stica, para determinar si existe un conflicto de intereses. En esta evaluaci贸n se deben tener en cuenta todas las circunstancias relevantes que concurran. En particular, debe considerarse la estructura organizativa del responsable o del encargado del tratamiento, as铆 como las pol铆ticas del responsable o del encargado del tratamiento y el ordenamiento aplicable. Con respecto a este 煤ltimo aspecto, se plante贸 la cuesti贸n de si esta prohibici贸n se opone a una legislaci贸n nacional que permite a un responsable o encargado del tratamiento despedir a un DPD/DPO que sea miembro del personal 煤nicamente cuando exista una causa justificada, aunque el despido no est茅 relacionado con el ejercicio de las tareas del DPD/DPO. 聽Para llegar a esta conclusi贸n, el Tribunal reiter贸 que los conceptos de 芦destituir禄 y 芦sancionar禄 deben interpretarse con arreglo al lenguaje corriente (v茅ase tambi茅n la sentencia de 22 de junio de 2022, C-534/20) comentada en este blog). Ello significa que un DPD/DPO debe estar protegido contra 芦cualquier decisi贸n que ponga fin a sus funciones, por la que se le coloque en una situaci贸n de desventaja o que constituya una sanci贸n禄. El Tribunal confirm贸 que una medida de despido por parte de un empleador puede constituir una decisi贸n de este tipo.

El Tribunal tambi茅n reiter贸 que la prohibici贸n de despedir o sancionar a un DPD/DPO se aplica independientemente de la naturaleza de la relaci贸n con el DPD/DPO (es decir, independientemente de si el DPD/DPO es un empleado o no). Pero al mismo tiempo s贸lo cuando los motivos subyacentes a la decisi贸n se refieren al desempe帽o de sus funciones. El Tribunal consider贸 que cada Estado miembro es libre de establecer disposiciones espec铆ficas m谩s protectoras frente a los despidos de DPD/DPO, en la medida en que dichas disposiciones sean compatibles con el Derecho de la UE y el RGPD y en la medida en que esa mayor protecci贸n no menoscabe la consecuci贸n de los objetivos del RGPD. Tal menoscabo podr铆a producirse, por ejemplo, cuando la legislaci贸n nacional impidiera el despido de un DPD/DPO que ya no posea las cualidades profesionales requeridas, que no cumpla sus funciones de conformidad con el RGPD o que se vea afectado por un conflicto de intereses.

  • En cuanto al conflicto de intereses, el TJUE se帽ala que el art铆culo 38, apartado 6, del RGPD permite confiar a los DPD/DPO otras tareas y obligaciones (es decir, distintas de las que le impone el art铆culo 39 del RGPD), pero impone la obligaci贸n de garantizar que dichas tareas y obligaciones no den lugar a un conflicto de intereses.
  • Sobre las circunstancias podr铆an suponer tal conflicto de intereses, el Tribunal respondi贸 de forma bastante general que no se pueden encomendar al DPD/DPO tareas u obligaciones que puedan 芦menoscabar la ejecuci贸n de las funciones desempe帽adas por el DPD/DPO禄. M谩s concretamente, el Tribunal confirm贸 que se producir铆a un conflicto de intereses siempre que se encomendara a un DPD/DPO tareas que implicaran la determinaci贸n de los objetivos y m茅todos de tratamiento de datos personales por su parte. Evidentemente, la determinaci贸n de objetivos o m茅todos de tratamiento de datos chocar铆a con el requisito de poder revisar de forma independiente dichos objetivos y m茅todos. La evaluaci贸n de si existe un conflicto de intereses debe realizarse caso por caso a la luz de todas las circunstancias pertinentes (incluida la estructura organizativa y las normas y pol铆ticas aplicables).

Fallo:

1)聽聽聽聽聽聽El art铆culo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protecci贸n de datos que forme parte de su plantilla por causa grave, aun cuando la destituci贸n no est茅 relacionada con el desempe帽o de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecuci贸n de los objetivos de ese Reglamento.

2)聽聽聽聽聽El art铆culo 38, apartado 6, del RGPdebe interpretarse en el sentido de que puede existir un 芦conflicto de intereses禄, en el sentido de esta disposici贸n, cuando se encomienden a un delegado de protecci贸n de datos otras funciones o cometidos que llevar铆an a este a determinar los fines y los medios del tratamiento de datos personales en el seno del responsable del tratamiento o de su encargado, lo que incumbe determinar en cada caso al juez nacional sobre la base de todas las circunstancias pertinentes, en particular de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales pol铆ticas de estos 煤ltimos.

M谩s:

 

Sanci贸n belga por conflicto entre DPD y compliance Officer

El 28 de abril de 2020, la Sala de lo Contencioso de la Autoridad de Protecci贸n de Datos belga impuso una multa de 50.000 euros a una sociedad por incumplimiento de los requisitos del Reglamento general de protecci贸n de datos (芦RGPD禄) relativos al nombramiento de un responsable de la protecci贸n de datos (芦DPD禄).

Tras la notificaci贸n de una violaci贸n de datos, la APD belga inici贸 una investigaci贸n sobre las pr谩cticas de protecci贸n de datos y el programa de privacidad de la empresa y su investigaci贸n se centr贸 en tres supuestas infracciones del RGPD,

Canaval_Oma帽a (Le贸n)
  1. el deber de cooperar con la APD;
  2. las obligaciones de rendici贸n de cuentas (evaluaciones de riesgo y violaci贸n de datos); y
  3. los requisitos relacionados con el cargo de DPD de la sociedad.

En su decisi贸n, la Sala de lo Contencioso de la APD belga solo confirm贸 la聽 infracci贸n de los requisitos del DPD del RGPD (art铆culo 38, apartado 6, del RGPD), argumentando que, al nombrar al jefe del departamento de Cumplimiento, Gesti贸n de Riesgos y Auditor铆a a ese DPD, la sociedad hab铆a incumplido su obligaci贸n de garantizar que su DPD est茅 libre de cualquier conflicto de intereses.

En particular, la Sala de lo Contencioso de la APD belga indic贸 en su decisi贸n que:

  • Si el DPO, como Jefe del departamento de Auditor铆a Interna, tiene poder de decisi贸n con respecto al despido de empleados, no es compatible con la funci贸n del DPO.
  • El que los departamentos que dirige la persona que act煤a como DPO de la sociedad cumplan una funci贸n independiente y consultiva en relaci贸n con los dem谩s departamentos de la empresa y, como tales, no tengan poder de decisi贸n con respecto a las actividades de tratamiento de datos de la sociedad, ello no significa necesariamente que las tareas de la persona como Jefe de estos departamentos sean compatibles con sus tareas como DPO de la sociedad.
  • Si en su calidad de responsable de los departamentos de Cumplimiento Normativo, Gesti贸n de Riesgos y Auditor铆a, la persona designada como DPP de la sociedad determina los fines y los medios del tratamiento de datos personales que tiene lugar en el contexto de estos departamentos, es responsable de las actividades de tratamiento de datos y por tanto infringe el RGPD.

En vista de ello, la Sala de lo Contencioso de la APD belga concluye que combinar la funci贸n de jefe de departamento de Cumplimiento Normativo, Gesti贸n de Riesgos y Auditor铆a la de DPO da lugar a un importante conflicto de intereses. En el caso que nos ocupa, la APD belga sostiene que, debido a la combinaci贸n de funciones, existe una falta total de supervisi贸n independiente del DPO en relaci贸n con las actividades de tratamiento de datos que tienen lugar en el contexto de los departamentos de Cumplimiento, Gesti贸n de Riesgos y Auditor铆a. Adem谩s, la APD belga indica que, debido a su doble funci贸n, el DPO puede no ser capaz de ofrecer suficientes garant铆as a los empleados afectados en t茅rminos de confidencialidad y secreto.

En vista de lo anterior, la Sala de lo Contencioso orden贸 modificar la situaci贸n e impuso una multa administrativa de 50.000 euros. (recurrible)

Entrada redactada con el apoyo del Proyecto de Investigaci贸n 芦Retribuci贸n de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa禄, con el n煤mero de referencia: SBPLY/21/180501/000240 concedido por la Consejer铆a de Educaci贸n, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha

 

DIGITAL SERVICES ACT- Reglamento (UE) de Servicios Digitales

El llamado Digital Services Act, DSA, fue publicado en el DOUE el d铆a 27 octubre 2022. Se trata del Reglamento (UE) 2022/2065 del Parlamento europeo y del Consejo de 19聽de聽octubre de聽2022 relativo a un mercado 煤nico de servicios digitales y por el que se modifica la Directiva聽2000/31/CE (Reglamento de Servicios Digitales)

Obrigado

El principal 聽objetivo del DSA es聽 mejorar el control de los contenidos il铆citos en las plataformas y redes sociales. Conforme a su Art 1: 鈥渃ontribuir al correcto funcionamiento del mercado interior de servicios intermediarios estableciendo normas armonizadas para crear un聽entorno en l铆nea seguro, predecible y fiable聽que facilite la innovaci贸n y en el que se protejan efectivamente los derechos fundamentales amparados por la Carta, incluido el principio de protecci贸n de los consumidores鈥.

Se articula en torno a 5 cap铆tulos. Entre ellos destacan por su contenido sustantivo el relativo a la responsabilidad (y a la exenci贸n de responsabilidad) de los intermediarios (cap铆tulo 2), las obligaciones de los intermediarios (cap铆tulo 3) y la supervisi贸n y control por parte de las autoridades nacionales y de la comisi贸n, entre las que se establecer谩n cooperaciones

Valporquero en Le贸n

I Entidades a las que se aplica:

El DSA se aplica a los proveedores de servicios intermediarios con establecimiento o con residencia en la UE, en la medida que ofrezcan servicios en la UE.聽 Es decir, se aplica a entidades que ofrecen servicios de intermediaci贸n a destinatarios o usuarios finales ubicados en la UE (Art 2 DSA), sin perjuicio de la aplicaci贸n de otras normas sectoriales a esos mismos intermediarios, cuando resulte procedente (Art 2-4 DSA)

聽Dentro de los intermediarios que quedan sujetos al DMA distinguimos:

  1. Servicios de intermediaci贸n:聽 Ponen a disposici贸n de los usuarios las infraestructuras de red. Son proveedores de acceso a Internet y entidades de registro de nombres de dominio, entre otros.
  2. Servicios de alojamiento de datos: Almacenan informaci贸n proporcionada por los destinatarios o clientes de su servicio. Incluyen, entre otros, servicios de computaci贸n en nube o de alojamiento web.
  3. Plataformas en l铆nea: Redes sociales, mercados en l铆nea, prestadores de servicios de alojamiento de datos, entre otros.
  4. Motores de b煤squeda
  5. Plataformas en l铆nea de muy gran tama帽o y motores de b煤squeda de muy gran tama帽o. Determinados prestadores ser谩n calificados as铆, y se les impondr谩n obligaciones adicionales (m谩s estrictas). Su designaci贸n por parte de la Comisi贸n se basa en que el umbral de usuarios supere el 10% de la poblaci贸n de la UE (45 millones). Dicho umbral podr谩 ser ajustado por la Comisi贸n. //// La DSA clasifica plataformas o motores de b煤squeda que tienen m谩s de 45 millones de usuarios al mes en la UE como plataformas en l铆nea de muy gran tama帽o (VLOP) o motores de b煤squeda en l铆nea de muy gran tama帽o (VLOSEs).Para ello, estas entidades, las plataformas y los motores de b煤squeda, estaban obligados a publicar datos antes del 17 de febrero de 2023. Y,聽 deber谩n actualizar estas cifras al menos cada 6 meses (DSA: Orientaci贸n sobre el requisito de publicar n煤meros de usuario). Una vez designadas, la entidad tiene cuatro meses para cumplir con las normas聽 de la DSA que abordan los riesgos particulares que representan para los europeos y la sociedad tales grandes servicios en lo que respecta a los contenidos il铆citos, y su impacto en los derechos fundamentales, la seguridad p煤blica y el bienestar.La Comisi贸n revocar谩 su decisi贸n si la plataforma o el motor de b煤squeda ya no alcanzan el umbral de 45 millones de usuarios mensuales durante un a帽o completo.

Quedan fuera del 谩mbito de aplicaci贸n de la DSA los servicios de comunicaciones interpersonales, contemplados en la Directiva (UE) 2018/1972 del Parlamento Europeo y el Consejo (como los servicios de correos electr贸nicos y los servicios de mensajer铆a privada). Sin embargo, es decir incluso en esos casos mencionados, las obligaciones de la DSA se podr铆an exigir a los prestadores de servicios que permitan poner informaci贸n a disposici贸n de un n煤mero potencialmente ilimitado de destinatarios, no determinado por el remitente de la comunicaci贸n.(considerando, 14)

II Obligaciones y responsabilidad de los prestadores intermediarios de servicios digitales

Visi贸n general y relaci贸n con el r茅gimen anterior

Hasta ahora, con la聽Directiva 2000/31/CE, Directiva de Comercio Electr贸nico, la responsabilidad de los prestadores de servicios digitales se asentaba en dos principios fundamentales. El primero, la ausencia de responsabilidad por los contenidos il铆citos que alojaban o transmit铆an siempre que no tuviesen conocimiento efectivo de los mismos. El segundo, la inexistencia de una obligaci贸n general de realizar seguimientos para impedir la publicaci贸n o transmisi贸n de estos contenidos.

El DSA mantiene ambos principios (Art 4-mera trasmisi贸n-; Art 5 -memoria cach茅; Art 6 -alojamiento de datos; Art 8- inexistencia de obligaci贸n general de monitorizaci贸n).En suma, el DSA mantiene en buena medida el r茅gimen de responsabilidad de los prestadores intermediarios, en tanto que conserva el r茅gimen de exclusi贸n de responsabilidad de los prestadores de servicios intermediarios de la聽Directiva 2000/31/CE, del Comercio Electr贸nico (safe harbour). Sigue impidiendo imponer a las plataformas una obligaci贸n general de supervisi贸n de los contenidos subidos por los usuarios, es decir, no impone una obligaci贸n de verificar聽ex ante聽la legalidad de los contenidos subidos por los usuarios. En consecuencia, no impone responsabilidad directa respecto de estos contenidos. Las exenciones de responsabilidad de la DSA se aplican a cualquier tipo de responsabilidad, sea cual sea la materia o naturaleza precisa de las disposiciones legales, por ejemplo, derecho de marcas, patentes, publicidad, imagen, honor…

Por tanto, estos prestadores de estos servicios, cuando act煤en como meros intermediarios, no ser谩n responsables del contenido subido por los usuarios, si en el momento en el que tienen conocimiento efectivo del contenido il铆cito, act煤an de manera diligente para su retirada o inhabilitan el acceso. El prestador puede obtener dicho conocimiento efectivo a trav茅s de 贸rdenes de los organismos competentes, investigaciones realizadas por iniciativa propia o notificaciones de los afectados, en la medida en que sean suficientemente precisas y est茅n bien fundamentadas.

  • Este r茅gimen especial de exenci贸n de responsabilidad no ser谩 aplicable en ning煤n caso a la informaci贸n generada por la propia plataforma, respecto de la cual los prestadores tendr谩n responsabilidad directa.
  • Adem谩s,聽 los intermediarios deben presentar la informaci贸n de manera que no induzca a los consumidores a creer que ha sido facilitada por las propias plataformas y no por sus usuarios (por ejemplo, los mercados en lineadeber谩n aclarar qu茅 servicios son prestados por terceros a trav茅s de sus plataformas).

Aunque,聽 no afecta a la aplicaci贸n de la legislaci贸n europea que regula determinados aspectos sobre la prestaci贸n de servicios de la sociedad de la informaci贸n, que tiene car谩cter de lex specialis聽como, por ejemplo, el art铆culo 17 de la聽Directiva 2019/790, sobre los derechos de autor y derechos afines en el mercado 煤nico digital (DMUD); la聽Directiva (UE) 2018/1808, sobre los prestadores de plataformas de intercambio de v铆deos (DSCA 2018); el聽Reglamento (UE) 2019/1150, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediaci贸n en l铆nea (Reglamento B2B2C) o el聽Reglamento (UE) 2016/679聽de Protecci贸n de Datos (RGPD). Ciertamente, la interrelaci贸n de la DSA con otras normas del entorno聽online plantea cuestiones complejas

Nuevas obligacionesArija

El DSA introduce novedades importantes, en forma de obligaciones de los intermediarios. El Reglamento identifica las siguientes obligaciones aplicables a todos聽los servicios intermediarios:

  1. Establecer puntos de contacto que permitan la comunicaci贸n directa con los Estados miembros, la Comisi贸n .
  2. Designar un punto de contacto 煤nico para los destinatarios de los servicios que permita una comunicaci贸n r谩pida, directa y eficiente.
  3. Designar a una persona para actuar como representante legal en un Estado miembro, cuando esos prestadores est茅n est谩n establecidos en un tercer pa铆s.
  4. Indicar y actualizar en sus condiciones la informaci贸n relativa a las medidas por las que pueden restringir la prestaci贸n de sus servicios.
  5. Indicar y actualizar en sus condiciones las normas del procedimiento de su sistema interno de tramitaci贸n de reclamaciones.
  6. Diversas obligaciones de transparencia informativa; incluyendo la publicaci贸n de informes sobre su actividad de moderaci贸n de contenidos (al menos, una vez al a帽o) en un formato legible por m谩quina.
  7. Colaborar con las autoridades: Informar a las autoridades policiales de sospechas sobre la posible comisi贸n de un delito por un destinatario.
Obligaciones adicionales aplicables a los prestadores de servicios de alojamiento, incluidas las plataformas en l铆nea.
  • Moderaci贸n聽 de contenidos.
    • Establecimiento de mecanismos (NTDs)聽que permitan notificar la presencia de contenidos y productos presuntamente il铆citos (incluyendo productos falsificados). Salvo que se trate de una notificaci贸n de un delito, las plataformas deber谩n pedir al notificante que revele su identidad.
    • Suspensiones de cuentas. En determinadas condiciones, las plataformas en l铆nea deber谩n suspender temporalmente sus actividades a la persona que muestre comportamientos abusivos. Se consideran comportamientos abusivos la publicaci贸n frecuente de contenidos manifiestamente il铆citos y el env铆o frecuente de avisos o reclamaciones manifiestamente infundados a trav茅s de los mecanismos y sistemas, respectivamente. La informaci贸n debe tener la consideraci贸n de contenido manifiestamente il铆cito cuando sea evidente para una persona lega en la materia, sin un an谩lisis de fondo, que dicho contenido es il铆cito o que los avisos o reclamaciones son infundados.
    • Establecer procesos espec铆ficos para permitir solicitar la retirada de contenidos il铆citos,
    • Establecer un sistema interno de tramitaci贸n de reclamaciones con respecto a las decisiones adoptadas por estas plataformas, con mecanismos para permitir que los usuarios puedan defenderse en caso de que entiendan que sus contenidos han sido retirados sin justificaci贸n infringiendo, por ejemplo, sus libertades de expresi贸n e informaci贸n
    • Transparencia informativa de los prestadores de servicios intermediarios y publicaci贸n de informes sobre cualquier actividad de moderaci贸n de contenidos.
  • Trasparencia en la publicidad que se aloje en los intermediarios (Art 26).
    • Los destinatarios del servicio deben tener informaci贸n sobre los principales par谩metros utilizados para determinar la presentaci贸n de la publicidad. Adem谩s, deber谩n ofrecer explicaciones de la l贸gica utilizada con ese fin. Los prestadores de estos servicios se asegurar谩n de que los destinatarios puedan conocer, por cada anuncio publicitario, de manera clara e inequ铆voca y en tiempo real:
      • a) que la informaci贸n presentada es un anuncio publicitario;
      • b) la persona f铆sica o jur铆dica en cuyo nombre se presenta el anuncio publicitario;
      • c) informaci贸n significativa acerca de los principales par谩metros utilizados para determinar el destinatario al que se presenta el anuncio publicitario.
    • En relaci贸n con la publicidad, los destinatarios deben poder acceder directamente desde la interfaz donde se presente el anuncio a informaci贸n sobre los principales par谩metros utilizados, ofreciendo explicaciones 煤tiles de la l贸gica utilizada con ese fin, tambi茅n cuando se base en la elaboraci贸n de perfiles.
  • Transparencia en las recomendaciones (Art 27)
  • Protecci贸n de menores (Art 28)
  • Obligaciones especiales para las plataformas que permitan a los consumidores concluir contratos a distancia, (y que no sean PYMES) (Arts 29 yss). : Incluyen la trazabilidad de comerciantes; el disponer las interfaces para facilitar que los comerciantes puedan cumplir sus obligaciones (el llamado cumplimiento desde el dise帽o, Art 31 ), as铆聽 como a los consumidores, ejercer sus derechos de informaci贸n (Art 32)
  • Cooperaci贸n con las autoridades de los Estados Miembros tanto en la retirada de contenidos il铆citos como en la identificaci贸n de determinados usuario
Obligaciones de las plataformas y motores en l铆nea de gran tama帽o

En relaci贸n con 茅stos plataformas, una de las cuestiones iniciales a tener en cuenta es la de su identificaci贸n. V茅ase esta entrada del Blog GARRIGUES:聽Las plataformas y buscadores deben publicar su n煤mero de usuarios antes del 17 de febrero: primer paso para saber si son de 鈥渕uy gran tama帽o鈥

  • La DSA impone obligaciones espec铆ficas a las grandes plataformas con el fin de evaluar los riesgos sist茅micos que entra帽a el funcionamiento y uso de su servicio, as铆 como los posibles usos indebidos por parte de los destinatarios (Arts 33 y ss).
  • Los principales riesgos sist茅micos identificados por el DSA son los riesgos asociados al uso indebido de su servicio mediante la difusi贸n de contenidos il铆citos, como la difusi贸n de materiales de abuso sexual de menores o delitos de incitaci贸n al odio, y la realizaci贸n de actividades il铆citas como la venta de productos o servicios prohibidos. Tambi茅n los efectos del servicio para el ejercicio de los derechos protegidos por la Carta de los Derechos Fundamentales, incluida la libertad de expresi贸n e informaci贸n, el derecho a la vida privada, el derecho a la no discriminaci贸n y los derechos del ni帽o. Adem谩s, la manipulaci贸n deliberada con efectos para la salud, el discurso c铆vico, los procesos electorales, la seguridad p煤blica y la protecci贸n de los menores. Por ejemplo, por la creaci贸n de cuentas falsas, el uso de bots y otros comportamientos total o parcialmente automatizados.
  • Adicionalmente, deben asumir la adaptaci贸n de los sistemas de moderaci贸n de contenidos o de recomendaci贸n, sus procesos decisorios, las caracter铆sticas o el funcionamiento de sus servicios, o sus condiciones.
  • Tambi茅n han de detectar, analizar y evaluar con diligencia cualquier riesgo sist茅mico que se derive de su dise帽o, incluidos los sistemas algor铆tmicos, el funcionamiento y el uso que se haga de sus servicios.
  • As铆 mismo, tienen que establecer medidas selectivas dirigidas a limitar la presentaci贸n de anuncios publicitarios. En este sentido el art 39 exige trasparencia especial.
      • Art 99.1 : Los prestadores de plataformas en l铆nea de muy gran tama帽o o de motores de b煤squeda en l铆nea de muy gran tama帽o que presenten anuncios publicitarios en sus interfaces en l铆nea recopilar谩n y har谩n p煤blico, en una secci贸n espec铆fica de su interfaz en l铆nea, a trav茅s de una herramienta de b煤squeda fiable que permita realizar consultas en funci贸n de m煤ltiples criterios, y mediante interfaces de programaci贸n de aplicaciones, un repositorio que contenga la informaci贸n a que se refiere el apartado 2, durante todo el tiempo en el que presenten un anuncio y hasta un a帽o despu茅s de la 煤ltima vez que se presente el anuncio en sus interfaces en l铆nea. Se asegurar谩n de que el repositorio no contenga ning煤n dato personal de los destinatarios del servicio a quienes se haya o se pueda haber presentado el anuncio y har谩n todos los esfuerzos que resulten razonables para garantizar que la informaci贸n sea exacta y completa.
  • Estas grandes plataformas tambi茅n deben reforzar los procesos internos o la supervisi贸n de cualquiera de sus actividades, en particular en lo que respecta a la detecci贸n de riesgos sist茅micos.
  • Tambi茅n deben ocuparse de la puesta en marcha o el ajuste de la cooperaci贸n con los llamados聽 alertadores fiables; as铆 como de la puesta en marcha o el ajuste de la cooperaci贸n con otras plataformas en l铆nea mediante los c贸digos de conducta y los protocolos de crisis. Finalmente, dada la necesidad de garantizar la verificaci贸n por expertos independientes, las plataformas en l铆nea y los motores de b煤squeda de muy gran tama帽o deben rendir cuentas, mediante auditor铆as independientes.

Sin perjuicio de todo ello, el DSA contempla tambi茅n posibles medidas voluntarias a adoptar por los proveedores de servicios, entre las que se encuentra la elaboraci贸n de un c贸digo de conducta relativo a materias concretas: publicidad, accesibilidad y protocolos de crisis.

 

III Otras cuestiones

 

A)聽聽 Doctrina del Buen Samaritano

La DSA reconoce expresamente la aplicaci贸n de la doctrina anglosajona del 鈥淏uen Samaritano鈥 con el fin de no desincentivar las actividades destinadas a detectar, identificar y actuar contra contenidos il铆citos que se puedan llevar a cabo de forma voluntaria. Es decir, las plataformas no perder谩n las ventajas del r茅gimen de exclusi贸n de responsabilidad por actuar proactivamente en la lucha contra contenidos il铆citos.

B)聽聽 Trazabilidad: nuevos requisitos de informaci贸n de los usuarios

Una importante novedad es que las plataformas en l铆nea que permitan formalizar contratos a distancia deber谩n asegurarse de que los vendedores sean localizables. Para ello, deber谩n recabar informaci贸n sobre los comerciantes y hacer esfuerzos razonables para verificar su fiabilidad, por ejemplo, mediante el uso de bases de datos, registros mercantiles y el sistema de intercambio de informaci贸n sobre el IVA.

Esta informaci贸n puede permitir a los titulares de derechos identificar al infractor, responsable directo del il铆cito, y, por tanto, facilita el ejercicio de acciones legales contra el responsable principal de la infracci贸n.

No obstante, las plataformas no estar谩n obligadas a realizar actividades excesivas o costosas de b煤squeda de hechos, ni tampoco a realizar verificaciones sobre el terreno, si bien deber谩n hacer todo lo posible para evaluar la fiabilidad de la informaci贸n.

C)聽聽 Alertadores o informadores fiables

Se crea la figura de los 鈥渁lertadores fiables鈥, que permiten una especie de 鈥fast track鈥澛a sus reclamaciones de infracciones en las plataformas. Dicha condici贸n se otorgar谩 solo a entidades que acrediten conocimientos para luchar contra los contenidos il铆citos, que representan intereses colectivos y que trabajan de manera diligente y objetiva.

Esta condici贸n ser谩 otorgada por el coordinador de servicios digitales del Estado miembro donde el solicitante est茅 establecido y debe ser reconocida por todos los prestadores de plataformas en l铆nea incluidos en el 谩mbito de aplicaci贸n del DSA.

D) Resoluci贸n de conflictos

La DSA contempla la v铆a de resoluci贸n extrajudicial de litigios por organismos certificados que posean la independencia, los medios y los conocimientos necesarios para desarrollar sus actividades con equidad, rapidez y eficacia en t茅rminos de costes. Adem谩s, deben ser complementarias a la posibilidad de recurso judicial. Por otra parte, los consumidores podr谩n retirarse del procedimiento en cualquier momento si no est谩n satisfechos con el funcionamiento o la tramitaci贸n del procedimiento.

Los destinatarios del servicio podr谩n elegir entre el mecanismo interno de reclamaci贸n, la resoluci贸n extrajudicial de litigios y la posibilidad de iniciar, en cualquier momento, un procedimiento judicial.

ACTUALIZACI脫N:

  • Primera designaci贸n de Plataformas y Motores de Gran Tama帽o Plataformas en l铆nea de muy gran tama帽o y motores de b煤squeda de muy gran tama帽o designados con arreglo al art铆culo 33, apartado 4, del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado 煤nico de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Ley de servicios digitales) (Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado 煤nico de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).) 2023/C 249/02

 

TJUE: RGPD y Despido del Delegado de Protecci贸n de Datos

En su sentencia de 22 de junio de 2022 (asunto C-534/20; Leistritz), el TJUE se pronunci贸 sobre si el RGPD permite la aplicabilidad de las disposiciones alemanas que rigen la terminaci贸n del empleo de un responsable de la protecci贸n de datos (DPO) de conformidad con el art铆culo 38 (2) y el art铆culo 6 (4) frase 2 de la Ley Federal de Protecci贸n de Datos (Bundesdatenschutzgesetz, BDSG).

No Eume- Ponte do Eume

Antecedentes

La decisi贸n del TJUE se basa en la petici贸n de decisi贸n prejudicial del Tribunal Federal de Trabajo alem谩n (Bundesarbeitsgericht, BAG) formulada mediante la decisi贸n de 30 de julio de 2020 (2 AZR 225/20). El BAG deb铆a pronunciarse sobre la legalidad del despido de una DPO por parte de su empleador.

  • El empleador, una sociedad de Derecho privado que, con arreglo a la legislaci贸n alemana, est谩 obligada a nombrar a un DPO, hab铆a puesto fin a la relaci贸n laboral de la DPO con la debida antelaci贸n debido a una medida de reestructuraci贸n. Los tribunales de primera instancia consideraron que la rescisi贸n no era v谩lida porque eran aplicables las disposiciones que regulan la rescisi贸n de la relaci贸n laboral de un DPO con arreglo al art铆culo 38, apartado 2, y al art铆culo 6, apartado 4, segunda frase, de la BDSG, por lo que la relaci贸n laboral s贸lo pod铆a haberse rescindido por 鈥渃ausa justificada鈥, en el sentido de la BDSG y el RGPD.
            • El art铆culo 6 (4) de la BDSG, establece:鈥No se pondr谩 fin a la relaci贸n laboral del responsable de la protecci贸n de datos a menos que existan hechos que den al organismo 鈥. una causa justa para poner fin a la relaci贸n laboral sin previo aviso. […]禄
  • El BAG ten铆a dudas sobre la compatibilidad de esta disposici贸n (art铆culo 6 (4) de la BDSG) con el art铆culo 38, apartado 3, frase 2, del RGPD (芦El responsable del tratamiento o el encargado del tratamiento no podr谩 despedirlo ni sancionarlo por el desempe帽o de sus funciones芦), ya que las disposiciones alemanas imponen requisitos m谩s estrictos al cese del empleo de un DPO que la disposici贸n de la legislaci贸n de la UE. En este contexto, el BAG plante贸 la siguiente pregunta al TJCE*:

芦驴Debe interpretarse el art铆culo 38, apartado 3, segunda frase, [del RGPD] en el sentido de que se opone a una disposici贸n de Derecho nacional, como el art铆culo 38, apartados 1 y 2, en relaci贸n con el art铆culo 6, apartado 4, segunda frase, de la [BDSG], que declara inadmisible la rescisi贸n ordinaria del contrato de trabajo del delegado de protecci贸n de datos por el responsable del tratamiento, que es su empleador, con independencia de que su contrato se rescinda por el desempe帽o de sus funciones?禄.

En sus razonamientos, el TJUE recuerda que el numeral 97 de los considerandos del RGPD establece que 聽聽los delegados de protecci贸n de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempe帽ar sus funciones y cometidos de manera independiente.聽Y que el l art铆culo 37 del RGPD, titulado 芦Designaci贸n del delegado de protecci贸n de datos禄, tiene el siguiente tenor: 1.- El responsable y el encargado del tratamiento designar谩n un delegado de protecci贸n de datos siempre聽que:聽 a) el tratamiento lo lleve a cabo una autoridad u organismo p煤blico, excepto los tribunales que act煤en en ejercicio de su funci贸n judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en raz贸n de su naturaleza, alcance y/o fines, requieran una observaci贸n habitual y sistem谩tica de interesados a gran escala,聽o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categor铆as especiales de datos con arreglo al art铆culo 9 o de datos personales relativos a condenas e infracciones penales a que se refiere el art铆culo聽10.聽El art铆culo 38 del RGPD, titulado 芦Posici贸n del delegado de protecci贸n de datos禄, establece, en sus apartados 3聽y聽5: 芦3.聽El responsable y el encargado del tratamiento garantizar谩n que el delegado de protecci贸n de datos no reciba ninguna instrucci贸n en lo que respecta al desempe帽o de dichas funciones. No ser谩 destituido ni sancionado por el responsable o el encargado por desempe帽ar sus funciones. El delegado de protecci贸n de datos rendir谩 cuentas directamente al m谩s alto nivel jer谩rquico del responsable o encargado.[鈥 5. El delegado de protecci贸n de datos estar谩 obligado a mantener el secreto o la confidencialidad en lo que respecta al desempe帽o de sus funciones, de conformidad con el Derecho de la Uni贸n o de los Estados miembros.禄聽El art铆culo 39 del RGPD, titulado 芦Funciones del delegado de protecci贸n de datos禄, dispone, en su apartado 1, letra聽b): 芦El delegado de protecci贸n de datos tendr谩 como m铆nimo las siguientes funciones:鈥, supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protecci贸n de datos de la Uni贸n o de los Estados miembros y de las pol铆ticas del responsable o del encargado del tratamiento en materia de protecci贸n de datos personales, incluida la asignaci贸n de responsabilidades, la concienciaci贸n y formaci贸n del personal que participa en las operaciones de tratamiento, y las auditor铆as correspondientes;…..

Merindades burgalesas
Merindades burgalesas

La respuesta del TJUE a la pregunta del BAG es que la segunda frase del art铆culo 38, apartado 3, del RGPD debe interpretarse en el sentido de que no se opone a una legislaci贸n nacional que establece que un responsable o un encargado del tratamiento puede rescindir el contrato de trabajo de un delegado de protecci贸n de datos, que es miembro de su personal, 煤nicamente con justa causa, aunque la rescisi贸n contractual no est茅 relacionada con el desempe帽o de las tareas de dicho delegado, en la medida en que dicha legislaci贸n no menoscabe la consecuci贸n de los objetivos del RGPD.聽Seg煤n el TJCE, las disposiciones alemanas, en virtud de las cuales la relaci贸n laboral de un DPO s贸lo puede rescindirse por causa justificada, aunque la rescisi贸n no est茅 relacionada con el desempe帽o de sus funciones, en principio no son contrarias al Derecho de la UE. Sin embargo, el DPO debe seguir siendo suficientemente competente para sus actividades. Esto significa que , desde el punto de vista del derecho de la UE en lo relativo al RGPD, el cese debe ser posible incluso si no se cumplen los estrictos requisitos de la aplicaci贸n tradicional de la legislaci贸n alemana de protecci贸n del empleo favorable a los trabajadores.

El TJUE justific贸 su decisi贸n afirmando que el art铆culo 38, apartado 3, frase 2, del RGPD sirve 煤nicamente para proteger la independencia funcional del DPO . En cambio, no tiene por objeto regular la relaci贸n laboral entre un responsable o un encargado del tratamiento y el DPO como su empleado o prestador de servicio externo. Tales relaciones se ven afectadas pero s贸lo incidentalmente, en la medida en que sea estrictamente necesario para lograr los objetivos del RGPD. En cambio, la fijaci贸n de normas sobre la protecci贸n de los DPD/DPO frente a la terminaci贸n de su relaci贸n laboral es fundamentalmente una cuesti贸n de pol铆tica social, 谩mbito en el que los Estados miembros de la UE pueden establecer disposiciones m谩s tuitivas y estrictas que el legislador de la UE, siempre dentro de unos l铆mites. As铆, en cuanto a la compatibilidad de las disposiciones nacionales que protegen al DPO contra el cese de su empleo con el RGPD, el TJUE se帽ala que las disposiciones protectoras no pueden menoscabar los objetivos del RGPD, por ejemplo, no podr铆an impedir la 聽rescisi贸n del contrato de trabajo, del DPP/DPO cuando no posea las cualidades profesionales necesarias para desempe帽ar sus funciones. O cuando no cumpla dichas funciones de conformidad con las disposiciones del RGPD

Queda por ver si los tribunales alemanes, que tienden a ser favorables a los empleados, considerar谩n estos dos casos como 芦causas justas禄 para el despido en futuras decisiones y/o si desarrollar谩n otros casos de causa justa cuando el despido sea necesario para alcanzar los objetivos del RGPD. En cualquier caso, la cuesti贸n de si existe una causa justa para el despido a煤n debe determinarse caso por caso, si bien los efectos de una rescisi贸n sobre las obligaciones derivadas del RGPD desempe帽ar谩n un papel importante a la hora de determinar si existe una causa justa para la rescisi贸n.

Entrada redactada con el apoyo del Proyecto de Investigaci贸n 芦Retribuci贸n de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa禄, con el n煤mero de referencia: SBPLY/21/180501/000240 concedido por la Consejer铆a de Educaci贸n, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha

25 THINGS YOU SHOULD KNOW ABOUT ARTIFICAL INTELLIGENCE ART AND COPYRIGHT, Fern谩ndez Carballo-Calero

Artificial Intelligence (IA) is no longer science fiction. Con esta frase , el Profesor Pablo Fern谩ndez Carballo- Calero inicia su obra 25 THINGS YOU SHOULD KNOW ABOUT ARTIFICAL INTELLIGENCE ART AND COPYRIGHT, Aranzadi (colecci贸n estudios), 2022 ISBN- 978-84-1391-652-1 .

Los sistemas de IA escriben, pintan, componen m煤sica. Y plantean problemas de calado en el 谩mbito de la Propiedad y Tutela intelectual sobre las obras as铆 generadas. 驴deber铆an estar protegidas por derechos de autor?聽 驴qui茅n ser铆a el autor y el titular de los derechos? La obra comentada aporta 25 factores clave sobre la Propiedad Intelectual de las obras generadas con inteligencia artificial, distinguiendo entre las creadas de forma principalmente aut贸noma por m谩quinas inteligentes de aquellas en las que ha existido, dentro del proceso creativo, una contribuci贸n humana relevante y verificada.

Este trabajo del Profesor Fern谩ndez Carballo-Calero, mercantilista de la Universidad de Vigo contribuye a encontrar respuestas a las preguntas formuladas. Escrita en ingl茅s, se divide en VI partes (25 cap铆tulos). Ofrece un completo an谩lisis basado en derecho comparado, europeo y nacional sobre la relaci贸n de las creaciones y resultados surgidos total o parcialmente de la Inteligencia Artificial, y los derechos de autor

Artificial intelligence, art and copyright, la parte I陋, sit煤a el conjunto de fen贸menos que se conocen o identifican en torno a la denominada Inteligencia Artificial (A). En esta secci贸n se da cuenta de las imprescindibles delimitaciones conceptuales y econ贸micas necesarias para abordar el libro en su conjunto. El retrato Edmond Belamy creado por IA y subastado en Sotherby鈥檚, o la generaci贸n algor铆tmica de melod铆as con Magenta son algunos de los ejemplos escogidos por el autor para acercarnos una representaci贸n clara de los debates jur铆dicos que se est谩n desarrollando en torno a la protecci贸n de creaciones realizadas o apoyadas en IA (cap铆tulo 4). Las nuevas realidades han exigido adaptar las normas de derecho de autor y continuar谩n demandando flexibilidad, o nuevas reglas. Resultan especialmente acertadas las reflexiones del autor sobre la evoluci贸n doctrinal en parte amparada por la OMPI/WIPO, evoluci贸n que no ha terminado. Incorpora concepciones donde la creaci贸n basada en m谩quinas seria obra que quien la utiliza y permite prever nuevas formulaciones para la protecci贸n de las obras generadas mediante IA

 

La II陋 parte del libro se titula The typology of artificial intelligence artwork: a first assessment in the light of copyright fundamentals. Aqu铆 se formulan cuestiones clave en torno a la creaci贸n mediante inteligencia artificial Recuerda Fern谩ndez Carballo-Calero que cabr铆a que la IA est茅 protegida como programa de ordenador cuando se dan los requisitos al efecto (capitulo 8). Tambi茅n aborda la distinci贸n entre obras generadas mediante IA y obras generadas con la asistencia de IA (capitulo 9, cap铆tulo 10). A continuaci贸n, el autor reconduce el hilo de su trabajo retomando la cl谩sica dicotom铆a entre las ideas utilitaristas (que priorizan el valor de la obra, en s铆 misma, y que han gozado de alg煤n predicamento en el mundo anglosaj贸n) y las teor铆as de la personalidad (que reconocen especialmente la relevancia del impacto del autor sobre las obras). Este marco permite asentar con rigor el debate sobre a definici贸n de pol铆ticas futuras.

The protection of AI generaled works es el t铆tulo de la III陋 parte. En ella se delimitan las creaciones sin intervenci贸n humana y se plantean v铆as por las que se ir铆a formulando su tutela. Ello, sin perjuicio de que el reconocimiento cl谩sico de derechos de autor se apoya en la concepci贸n de la creatividad como un talento exclusivamente humano, que excluir铆a la protecci贸n de las obras en las que no hay intervenci贸n humana. Posici贸n en la que la doctrina y la jurisprudencia ya aportan matices (cap铆tulo 11).

  • En Europa, el Tribunal de Justicia de la Uni贸n Europea (TJUE) ha declarado en varias ocasiones, como en su hist贸rica sentencia Infopaq (C-5/08 Infopaq International A/S contra Danske Dagbaldes Forening), que los derechos de autor s贸lo se aplican a las obras originales, y que la originalidad debe reflejar la 芦propia creaci贸n intelectual del autor禄. De alguna manera, esto reflejar铆a que la obra original est谩 impregnada y manifiesta la personalidad del autor, y se vincular铆a a la necesidad de que exista un autor humano como requisito para la protecci贸n de derechos de autor. Y, por ello, en la mayor parte de los ordenamientos las obras generadas por IA no gozar铆an de la protecci贸n de los derechos de autor.
  • Sin embargo, ciertos sistemas jur铆dicos 鈥 y sus tribunales- como los de Hong Kong, India Irlanda, Nueva Zelanda o Reino Unido habr铆an optado por introducir alguna tutela a las creaciones de IA. No se trata por el momento de un reconocimiento absoluto, ni aut贸nomo, sino de atribuir derechos a quien realiza la programaci贸n que permite la creaci贸n (o a quien utiliza el programa). Es decir, se trata de proteger la participaci贸n humana (aunque sea m铆nima) en la creaci贸n. Este planteamiento se recoge claramente en la vigente legislaci贸n brit谩nica sobre derechos de autor: el art铆culo 9(3) de la Ley brit谩nica de Derechos de Autor, Dise帽os y Patentes (CDPA) , que establece: 芦En el caso de una obra literaria, dram谩tica, musical o art铆stica generada por ordenador, se considerar谩 autor a la persona que haya tomado las medidas necesarias para la creaci贸n de la obra禄. Y, el art铆culo 178 de la CDPA define una obra generada por ordenador como aquella que 芦se genera por ordenador en circunstancias tales que no hay autor humano de la obra禄. La idea que subyace a esta disposici贸n es crear una excepci贸n a todos los requisitos de autor铆a humana, reconociendo el trabajo que conlleva la creaci贸n de un programa capaz de generar obras, aunque la tarea creativa recaiga en la m谩quina.
  • Con todo queda abierta otra pregunta fundamental consistente en la cuesti贸n de a qui茅n debe considerar la ley como la persona que realiza las acciones para generar la obra. En especial si la tutela y reconocimiento la merecer铆a el programador o el usuario del programa que da lugar a la creaci贸n
  • Las posibles v铆as de tutela de las creaciones generadas por IA dan lugar a interesantes reflexiones.
    • Cabr铆a, por ejemplo, una asimilaci贸n -o adaptaci贸n- de la protecci贸n de obras generadas por ordenador (cap铆tulo 12). Aunque ello no evita reconocer dificultades hermen茅uticas, por ejemplo, en torno a la originalidad del resultado. Y tampoco conduce a soluciones uniformes en todos los ordenamientos (como el ingl茅s, el estadounidense, el espa帽ol a la luz de la jurisprudencia de nuestro TS) ni conforme a la doctrina del Tribunal de Internet de Pek铆n.
    • Otra posible v铆a de tutela se apoyar铆a en la t茅cnica jur铆dica de protecci贸n de obras efectuadas en el marco de trabajos, encargos de terceros (cap铆tulo 13), respecto de la que el autor se muestra cr铆tico. 聽Esta t茅cnica tiene base en derecho positivo escrito, y conforme a ella (si) una obra se realiza por encargo, el empresario es tutelado como autor, sin serlo materialmente. Se ha formulado la posibilidad de que sirva en la b煤squeda de soluciones para las creaciones generadas por IA .
    • O la futura tutela podr铆a venir de la mano de la t茅cnica de los derechos sui generis del productor de una base de datos (cap铆tulo 14) , aunque tampoco parece la v铆a 贸ptima. O en el reconocimiento de un nuevo derecho sui generis (cap铆tulo 15).

Las maquinas no siempre ser谩n meros instrumentos al servicio de los humanos. Ni son de momento mecanismos aut贸nomos capaces de generar resultados con una intervenci贸n humana irrelevante (o inexistente). En muchos casos, y al menos hoy por hoy, la intervenci贸n de la IA ocupa un campo intermedio y dif铆cil de definir. 聽Y en el camino hacia la clarificaci贸n del marco de tutela de estas creaciones es fundamental establecer los criterios para distinguir el nivel de contribuci贸n humana sobre los resultados creativos finales. Y es que si existe intervenci贸n humana, aunque sea peque帽a, habr谩 lugar para activar la tutela del derecho de autor al creador personificado

La parte IV陋 se dedica a The protection of AI assisted Works. El autor ofrece una cr铆tica ilustrada sobre la Resoluci贸n de 12 de febrero de 2019 del Parlamento Europeo sobre IA y Rob贸tica. Y adem谩s, apunta al car谩cter incompleto de la Directiva UE 2019/790, que no llega a establecer un marco satisfactorio para la IA. 聽Nos encontramos ante una realidad dif铆cil de precisar, en la que a menudo resulta dif铆cil identificar la persona o la tecnolog铆a que soporta las creaciones.

Muy enriquecedora resulta la V陋 parte Authorship and ownership of rights in relation to AI assisted works, donde se ofrecen perspectivas para delimitar la autor铆a conjunta de obras, frente a la generaci贸n exclusivamente apoyada en IA. La distinci贸n no es homog茅nea ni en la doctrina , ni en el plano comparado. Ni es sencilla. Ocurrir谩 a menudo que las contribuciones聽 automatizadas o apoyadas en IA a una creaci贸n no son susceptibles de tutela en el sentido cl谩sico del derecho de autor. O que聽 quien dise帽o el programa y quien lo utiliza ni siquiera se conocen, con lo cual no podr铆a hablarse de una obra en colaboraci贸n en sentido propio.

En los anexos se recogen debates sobre la relaci贸n entre la Propiedad Intelectual y la Inteligencia Artificial, auspiciados por la WIPO. Tambi茅n de gran utilidad el Anexo relativo a la reglamentaci贸n de los trabajos generados por ordenadores. Y la 煤til bibliograf铆a con referencias que completan el rigor cient铆fico de este libro.

Prologado por el catedr谩tico Anxo Tato, en Navidad y desde la ribera del Ulla, los agradecimientos que el autor dedica a los colegas mercantilistas de la Universidad forman parte de un trabajo bien resuelto que aporta a la escuela gallega de Propiedad Industrial, y Derecho Mercantil del siglo XXI

 

Esta entrada ha sido elaborada con el apoyo del Proyecto de investigaci贸n 芦Los remedios restaurativos en el Derecho de la competencia: una respuesta a los retos que plantea la econom铆a digital -RETOS聽 2020禄. PID2020-116217RB-I00.聽 Conv.聽 2020 de 芦Proyectos I+D+i禄 en el marco del Programa Estatal de Generaci贸n de conocimiento y fortalecimiento cient铆fico y tecnol贸gico del sistema de I+D+i y del Programa estatal de I+D+i orientada a los retos de la sociedad禄.