Archivo de la etiqueta: ciberseguridad

Hacia el Reglamento (UE) de Mercados Digitales (Digital Markets Act/DMA)

Posted on por

El 16 de junio de 2022, el Consejo remitía una carta al Parlamento EU en relación con las enmiendas y sugerencias vertidas por éste en relación con la Propuesta de Reglamento de Mercados Digitales. Recordemos los antecedentes de este importante paquete positivo de la UE, actualmente en fase de tramitación prelegislativa:

El 15 de diciembre de 2020, la Comisión Europea hizo pública su propuesta de Reglamento del Parlamento Europeo y del Consejo sobre mercados disputables y equitativos en el sector digital (Ley de Mercados Digitales) (DMA).  La propuesta establece reglas preventivas para que los mercados caracterizados por la presencia de grandes plataformas con importantes efectos de red («guardianes de acceso»), operen correctamente desde una perspectiva de mercado. Ello,  en modo complementario con la Comunicación de la Comisión «Configurar el futuro digital de Europa» en la que el ejecutivo de la UE advertía de que pueden ser necesarias intervenciones legislativas adicionales para garantizar la disputabilidad, la equidad, la innovación y la posibilidad de entrar en el mercado, así como la defensa de otros intereses generales de distinto orden.

  • Uno de los conceptos importantes de esta propuesta es el de los «guardianes de acceso» , las grandes plataformas dado que algunas de ellas actúan como puertas de acceso o guardianes de acceso entre los usuarios profesionales y los usuarios finales. Por ello, gozan de una posición afianzada en el mercado. A menudo generan auténticos conglomerados en torno a sus servicios, lo que fortalece su posición.
  • El término «plataforma en línea» se utiliza en la Propuesta para describir una serie de servicios disponibles en internet, entre los que figuran: mercados en línea; motores de búsqueda; redes sociales, creadores de sitios web en línea; tiendas de aplicaciones,; sistemas de pago.
  • Define obligaciones  y responsabilidades de los prestadores de servicios, especialmente las plataformas en línea delimitadas en el amplio sentido indicado. Incluye obligaciones  de diligencia a determinados servicios intermediarios, así como procedimientos de gestión y de notificación en relación con los contenidos ilícitos. .

La propuesta de Reglamento es complementaria de la legislación sectorial existente, como la Directiva 2010/13/CE,  modificada por la Directiva (UE) 2018/1808, sobre los prestadores de plataformas de intercambio de vídeos (Directiva de servicios de comunicación audiovisual) en lo que respecta a contenidos audiovisuales y comunicación comercial audiovisual. No obstante, la Propuesta será aplicable a esos prestadores en la medida en que la Directiva de servicios de comunicación audiovisual u otros actos jurídicos de la UE no contengan disposiciones aplicables específicas. También se complementa con el Reglamento (UE) 2019/1150, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea, aplicable como lex specialis. Además, las disposiciones de la  propuesta serán complementarias al acervo de protección del consumidor en particular en lo relativo a la Directiva (UE) 2019/2161, por la que se modifica la Directiva 93/13/CEE del Consejo, y las Directivas 98/6/CE, 2005/29/CE y 2011/83/UE, que establecen normas concretas para aumentar la transparencia en algunas de las funciones ofrecidas por determinados servicios de la sociedad de la información. Todo ello, sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679 (el Reglamento General de Protección de Datos) y otras normas de la Unión sobre la protección de los datos personales y la privacidad de las comunicaciones.

Finalmente, cabe destacar que los conceptos de prestador de servicios de la sociedad de la  información y de de responsabilidad de prestadores de servicios de sociedad de la información que subyacen a esta propuesta están basados en la jurisprudencia del TJUE, y en especial en:

Más:

Trasferencia internacional de datos. Nuevas Cláusulas estándar (CTT) de la Comisión Europea

Posted on por

Las  CCT  son cláusulas estandarizadas de protección de datos que han sido aprobadas por la Comisión Europea. Su inclusión en los acuerdos internacionales de transferencia de datos permite a los responsables y a los encargados del tratamiento cumplir con sus obligaciones en virtud del RGPD.

La Comisión Europea adoptó dos conjuntos de CCT el 4 de junio de 2022:

Se acompañan ambos de una serie de preguntas y respuestas, que la Comisión Europea pone a disposición con «fines informativos generales únicamente», pero, no obstante, para «proporcionar orientación práctica sobre el uso de las CCE y ayudar a las partes interesadas en sus esfuerzos de cumplimiento en virtud del RGPD

Dado que el llamado Escudo de Privacidad EE.UU.-UE fue invalidado por la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de 2020, ECLI:EU:C:2020:559,  «Schrems II».  , las CCT han sido el principal mecanismo para transferir datos de la UE a los EE.UU., en cumplimiento del RGPD . Las directrices anteriores de las autoridades europeas explicaban que las transferencias en el marco de las CCT son aceptables siempre que los datos personales que se transfieren estén sujetos a protecciones «esencialmente equivalentes» a las que tendrían en la UE. Para lograr protecciones «esencialmente equivalentes», el Supervisor Europeo de Protección de Datos indica que las partes que transfieren datos que pueden necesitar adoptar salvaguardias adicionales, como la codificación de los datos antes de la transferencia

Para trasferir datos fuera de la UE,  las nuevas CCT crean la obligación, principalmente para el exportador de datos, de llevar a cabo una «evaluación del impacto de la transferencia»  que implica evaluar el marco jurídico de protección de datos de la jurisdicción de destino que regirán los datos que se recibirán del controlador en la UE. Al realizar este análisis, se deben considerar las circunstancias específicas de las transferencias contempladas, incluyendo la categoría y el formato de los datos, el tipo de destinatario, el sector económico en el que se produce la transferencia y la longitud de la cadena de tratamiento. Las orientaciones que acompañan ambas Decisiones aclaran los tipos de información que deben tenerse en cuenta al realizar una evaluación del impacto de la transferencia. En concreto, las orientaciones señalan que las empresas pueden tener en cuenta

  1. información cierta sobre la aplicación de la legislación nacional del país de destino en la práctica, incluida la jurisprudencia y los informes de organismos de supervisión independientes,
  2. la existencia o ausencia de solicitudes de las autoridades públicas del país de destino para acceder a los datos en el sector correspondiente y, en determinadas condiciones,
  3. la experiencia práctica documentada del exportador y/o importador de datos. Cuando haya una evaluación negativa del impacto de la transferencia, las partes sólo podrán transferir datos basándose en las CCT «si establecen salvaguardias «suplementarias» adicionales (por ejemplo, medidas técnicas para garantizar la seguridad de los datos, como el cifrado de extremo a extremo) que aborden la situación y garanticen así el cumplimiento» de las CCT.

PERSPECTIVAS

Aunque el panorama de las transferencias internacionales de datos puede cambiar significativamente en los próximos meses a partir del reciente anuncio de que EE.UU. y la UE han alcanzado un «acuerdo de principio» sobre un nuevo marco de transferencia bilateral, no puede obviarse que NOYB, la organización de Schrems, ya ha redactado una carta abierta en la que se opone al acuerdo de principio y anima a «los negociadores de ambos lados del Atlántico a avanzar en las tan necesarias reformas de la legislación estadounidense». Además, Schrems «está dispuesto a impugnar cualquier decisión final de adecuación que no proporcione la necesaria seguridad jurídica». Por lo tanto, es probable que los CCT sigan siendo un mecanismo importante para efectuar transferencias de datos de la UE a los Estados Unidos que cumplan con el Reglamento (UE) General de Protección de Datos

MAS

STJUE. Control de contenidos subidos a plataformas, derechos de autor y libertad de expresión

Posted on por

A propósito de la reciente Sentencia del Tribunal de Justicia de la Unión Europea (Gran Sala) de 26 de abril de 2022, Polonia contra Parlamento y Consejo (C-401/19), que tiene por objeto un recurso de anulación interpuesto, con arreglo al artículo 263 TFUE, el 24 de mayo de 2019,

El texto completo de la Sentencia puede consultarse aquí

La Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo, de 17 de abril de 2019 sobre derechos de autor y derechos afines en el Mercado Único Digital, que modifica las Directivas 96/9/CE y 2001/29/CE estableció un mecanismo específico de responsabilidad con respecto a los proveedores de servicios de intercambio de contenidos en línea («proveedores»).

Concretamente, el artículo 17 de dicha Directiva establece el principio de que los proveedores son directamente responsables cuando los usuarios de sus servicios carguen, ilícitamente, obras y otros materiales protegidos. No obstante, pueden eximirse de esta responsabilidad si realizan determinadas actuaciones. Entre ellas, y conforme a lo dispuesto en el artículo 2 de la Directiva, deben supervisar activamente los contenidos cargados por los usuarios, con el fin de impedir la puesta en línea de materiales protegidos respecto de los que, los titulares de derechos no consienten en la puesta a disposición.

El TJUE, en esta sentencia, se pronunció por primera vez sobre la interpretación de la Directiva 2019/790. Y, desestimó el recurso de anulación que había interpuesto Polonia. El TJUE establece que la obligación impuesta por la Directiva a los proveedores consistente fundamentalmente en realizar una revisión automática previa de los contenidos subidos por los usuarios, está acompañada de las garantías adecuadas para asegurar el respeto del derecho a la libertad de expresión e información de dichos usuarios.

El TJUE añadió que la Directiva asienta un marco de equilibrio entre el derecho a la libre expresión e información y el derecho a la propiedad intelectual.

Barbanzóns

Barbanzóns

EL RECURSO DE NULIDAD. La República de Polonia había interpuesto un recurso solicitando,  la anulación de las letras b) y c) in fine, del artículo 17, apartado 4, de la Directiva 2019/790 y, con carácter subsidiario, la anulación de dicho artículo en su en su totalidad.

Alegaba la demandante que el precepto cuestionado obliga a los prestadores a realizar -mediante herramientas informáticas de filtrado automático- un control preventivo de todos los contenidos que sus usuarios deseen cargar.  Consideraba Polonia que la Directiva no establece salvaguardias que garanticen el respeto del derecho a la libertad de expresión y de información, garantizado en el artículo 11 de la Carta.

Más concretamente, la nación recurrente consideraba que la obligación impuesta a los prestadores de hacer los «mayores esfuerzos» para garantizar dos resultados concretos establecidos en el precepto cuestionado, implicaría la implantación de controles preventivos automáticos de filtrado de contenidos subidos por los usuarios. Estos controles serían, conforme a la interpretación sostenida por Polonia, contrarios a la libertad de expresión. Y, no respetarían la exigencia de proporcionalidad y de necesidad de los límites que puedan imponerse sobre los Derechos reconocidos en la Carta y en otros Instrumentos Internacionales para la tutela de Derechos fundamentales.

Las obligaciones de resultados a las que nos hemos referido, y cuyo incumplimiento generaría responsabilidad de los proveedores son estos:

  • Por una parte, la indisponibilidad de obras y otras prestaciones específicas respecto de las cuales los titulares de derechos les hayan facilitado la información pertinente y necesaria (conforme al artículo 17, apartado 4, letra b), de la Directiva (UE) 2019/790).
  • Por otra parte, evitar que las obras y otras prestaciones notificadas, respecto a las cuales los titulares de derechos han presentado una notificación suficientemente justificada se carguen en el futuro (conforme al artículo 17, apartado 4, letra c), in fine, de la Directiva (UE) 2019/790)

 

ADMISIBILIDAD DEL RECURSO. En relación con la admisibilidad del recurso, el TJUE declaró que las letras b) y c), in fine del artículo 17, apartado 4, de la Directiva 2019/790 no son disociables del resto del artículo 17.

De esta manera, el TJUE interpretó que el artículo 17 de la Directiva 2019/790 establece un nuevo régimen general de los proveedores. Y que las distintas disposiciones de este precepto conforman un conjunto equilibrado de derecho positivo para ordenar los derechos e intereses de los prestadores, de los de los usuarios de sus servicios y los de los titulares de derechos. Por ello, la anulación parcial alteraría el contenido del artículo 17.  En consecuencia, el TJUE declaró inadmisible -exclusivamente- la pretensión de anulación de la letra b) y de la letra c).

 

FONDO DEL ASUNTO. En cuanto al fondo del asunto, el Tribunal de Justicia examinó el único motivo, admitido, del recurso: la alegación de limitación del ejercicio del derecho a la libertad de expresión e información, derivada del régimen de responsabilidad introducido por el artículo 17 de la Directiva 2019/790.

Como punto de partida de su análisis, el TJUE reconoció que el intercambio de información en Internet a través de plataformas de intercambio de contenidos en línea está comprendido en el ámbito de aplicación del artículo 10 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales (Convenio) y en el artículo 11 de la Carta Europea de Derechos (Carta). Observó además, que para evitar la responsabilidad de los proveedores derivada de situaciones en las que los usuarios suben a las plataformas contenidos ilícitos o sin autorización de los titulares de derechos sobre tales contenidos, los proveedores deben demostrar que cumplen todas las condiciones de exención de responsabilidad, establecidas en el artículo 17, apartado 4, letras a), b) y c), de la Directiva 2019/790.

Las condiciones de exención de responsabilidad de proveedores son: que han hecho todo lo posible para obtener dicha autorización [letra a)];  que han actuado con celeridad para poner fin, en sus plataformas, a las infracciones específicas de los derechos de autor después de que se hayan producido, tras recibir una notificación suficientemente justificada de los titulares de derechos [letra c)]; y que  han hecho todo lo posible, tras recibir dicha notificación o cuando dichos titulares de derechos les hayan proporcionado la información pertinente y necesaria antes de que se produzca una infracción de los derechos de autor “de acuerdo con los altos estándares de diligencia profesional del sector» para evitar que se produzcan o repitan dichas infracciones se produzcan o vuelvan a producirse [letras b) y c)].

El cumplimiento de las exigencias de exoneración exige, de facto, que los proveedores realicen una revisión previa de los contenidos que los usuarios desean subir a sus plataformas. Pero, añade el TJUE de conformidad con el precepto analizado, siempre que hayan recibido de los titulares de los derechos la información o los avisos previstos en las letras b) y c) del artículo 17, apartado 4, de la Directiva 2019/790.

Al realizar las revisiones exoneratorias, ciertamente los proveedores utilizarán herramientas de reconocimiento y filtrado automático. Tales instrumentos podrían ser susceptibles de restringir la difusión de contenidos en línea y, por tanto, constituir una limitación del derecho a la libertad de expresión e información garantizado en el artículo 11 de la Carta. Además, esta limitación sería consecuencia directa del régimen específico de responsabilidad establecido por el legislador europeo. No obstante,  correspondía al TJUE analizar también si la limitación controvertida estaría justificada a la luz del artículo 52, apartado 1, de la de la Carta. Y, en este sentido el TJUE manifiesta con bastante rotundidad:

Lariño. A Coruña

  • Que se trata de una limitación de un Derecho Fundamental que tiene base legal. Ello es así dado que resulta de las obligaciones impuestas a los prestadores de los citados servicios por una disposición de derecho positivo de la UE (las letras b) y c), in fine, del artículo 17, apartado 4, de la Directiva 2019/790). Pero además, que tal limitación respeta la esencia del derecho a la libertad de expresión e información de los usuarios de Internet.
  • En el marco del control de la proporcionalidad, el TJUE considera que esta limitación responde a la necesidad de proteger la propiedad intelectual garantizada en el artículo 17, apartado 2, de la Carta. Y, es necesaria para satisfacer dicha tutela. De este modo, las obligaciones impuestas a los proveedores no restringen de forma desproporcionada el derecho a la libertad de expresión e información de los usuarios.
  • Además considera el TJUE que el legislador de la UE estableció un límite claro y preciso a las medidas que pueden adoptarse en relación con las verificaciones de contenidos. El legislador excluyó, en particular, las medidas que filtran y bloquean los contenidos lícitos a la hora de cargarlos.
  • Por otra parte conforme a esta STJUE, la Directiva 2019/790 exige a los Estados miembros que garanticen que los usuarios estén autorizados a cargar y poner a disposición contenidos generados por ellos mismos con los fines específicos de fines de cita, crítica, reseña, caricatura, parodia o pastiche. Y, que los proveedores informen a sus usuarios de que pueden utilizar obras y otras materias protegidas en virtud de las excepciones o limitaciones a los derechos de autor y derechos afines previstas en la legislación de la UE.(Artículo 17(7) y (9) de la Directiva 2019/790.
  • Los proveedores sólo pueden incurrir en responsabilidad cuando los titulares de derechos afectados les faciliten la información pertinente y necesaria en relación con el contenido en cuestión. Por tanto, el artículo 17 de dicha Directiva no conlleva ninguna obligación de control general: no se puede exigir a los prestadores que impidan la carga y la puesta a disposición del público de contenidos. Para que estos contenidos sean considerados ilegales deberán ser objeto de una evaluación independiente (Artículo 17 (8) de la Directiva 2019/790). En este sentido, la disponibilidad de contenidos no autorizados sólo puede evitarse previa notificación de los titulares de los derechos.
  • Añade el TJUE que la Directiva 2019/790 introduce varias garantías procesales, en particular la posibilidad de que los usuarios presenten una reclamación cuando consideren que el acceso a los contenidos cargados ha sido inhabilitado erróneamente, así como el acceso a mecanismos de reparación extrajudicial y a recursos judiciales eficaces. (Apartados 1º y 2º del artículo 17(9) de la Directiva 2019/790)
  • Finalmente, se subraya en esta STJUE que dicha Directiva exige a la Comisión Europea que organice diálogos con las partes interesadas para debatir las mejores prácticas de cooperación entre los proveedores y los titulares de derechos, y también que publique orientaciones sobre la aplicación de ese régimen (artículo 17(10) de la Directiva 2019/790)

En consecuencia, el Tribunal de Justicia concluyó que la obligación de los proveedores de revisar, antes de su difusión al público, los contenidos que los usuarios desean subir a sus plataformas, resultante del el régimen específico de responsabilidad establecido en el artículo 17, apartado 4, de la Directiva 2019/790, ha sido acompañada por las salvaguardias adecuadas por parte del legislador de la UE con el fin de garantizar el respeto del derecho a la libertad de expresión e información de los usuarios, y un justo equilibrio entre ese derecho, por un lado, y el derecho a la propiedad intelectual, por otro. Corresponde a los Estados miembros, al transponer el artículo 17 de dicha Directiva, velar por una interpretación de esta disposición que permita un justo equilibrio entre los distintos derechos fundamentales protegidos por la Carta. Además, en relación con las medidas de transposición las autoridades y los órganos jurisdiccionales de los Estados miembros no sólo deben interpretar su Derecho nacional de forma coherente con dicho artículo 17, sino también asegurarse de que su interpretación no entre en conflicto con derechos fundamentales o con otros principios generales del Derecho de la UE, como el principio de proporcionalidad.

El TGUE sanciona el abuso de posición dominante de Google en el mercado de buscadores

Posted on por

Sentencia del Tribunal General de la UE T-612/2017, El  10.11.2021, el TGUE confirma la sanción impuesta a Google por la Comisión Europea en el asunto de infracción del art 102 TFUE (abuso de posición dominante) en relación con sus servicios de comparación de compras

 

Resumen

Los motores de búsqueda general, como el de Google Search, son infraestructuras cuya razón de ser y principal interés radica en su capacidad para identificar resultados de fuentes externas (de terceros) y para mostrarlas. En este asunto dirimido por el Tribunal General de la UE (TGUE), se debate (y confirma una sanción previa) sobre el comportamiento del motor de Google en relación con el servicio de comparación de compras. La posición de dominio del gigante tecnológico no constituye , por si misma, un supuesto sancionable. Pero, el abuso de tal posición si lo es, conforme al Derecho de la UE.

Antecedentes

Perbes-

Google puso en marcha un servicio de comparación de compras en 2002,  en un tiempo en el que también lo ofrecieron otros motores de búsqueda como Alta Vista, Yahoo, AskJeeves o America On Line (AOL) ya que hasta ese momento, los procesos utilizados por los motores de búsqueda no devolvían necesariamente los resultados más relevantes, cuando se les interrogaba específicamente por compras o por noticias. De este modo, Google comenzó a ofrecer resultados de comparación de compras, primero en Estados Unidos y dos años más tarde fue introduciendo el servicio, progresivamente, en varios países europeos.

  • Los resultados que obtenía el motor de google a tales efectos no procedían de la aplicación de sus algoritmos ordinarios de búsqueda general a la información presentada en los sitios web – que se extrae en primer lugar mediante un proceso conocido como «crawling» por el que Google explora el contenido de la web con el fin de indexarlo, luego se selecciona para añadirlo al «índice web» de Google y, por último, se clasifica por relevancia para mostrarlo en respuesta a la consulta usuario de Internet-. Aquí, lo que mostraba la pantalla era el resultado de la aplicación de algoritmos específicos a la información contenida en una base de datos alimentada por los propios vendedores, denominada «índice de productos». Estos resultados se ofrecían primero a través de una página de búsqueda especializada, llamada Froogle, que estaba separada de la página de búsqueda general del motor de búsqueda, y luego, a partir de 2003 en Estados Unidos y de 2005 en algunos países de Europa, también estaban disponibles en la página de búsqueda general del motor de búsqueda. En este último caso, los resultados de los productos se agrupaban en las páginas de resultados generales en lo que se denominaba Product OneBox por debajo o en paralelo a los anuncios que aparecían en la parte superior o en el lateral de la página y por encima de los resultados de la búsqueda general.
  • Si los internautas utilizaban la página de búsqueda general para introducir su consulta en relación con un producto, las respuestas devueltas por el motor de búsqueda incluían tanto las de la búsqueda especializada como las de la búsqueda general. Cuando los internautas hacían clic en el enlace del resultado de una Product OneBox, eran conducidos directamente a la página correspondiente del sitio web del vendedor que ofrecía el producto buscado, donde podían comprarlo. Además, un enlace especial en el Product OneBox dirigía a los usuarios a una página de resultados de Froogle con una selección más amplia de resultados de productos especializados. Sin embargo, Google explica que los resultados de Froogle nunca aparecieron en los resultados de la búsqueda general, mientras que los resultados de otros motores de búsqueda especializados en la comparación de compras sí lo hicieron.
  • A partir de 2007, cambió la forma en que desarrollaba los resultados de los productos, abandonó el nombre de Froogle en favor de Product Search para sus páginas de búsqueda y de resultados especializados en la comparación de compras. En cuanto a los resultados de productos mostrados desde la página de búsqueda general en las páginas de resultados generales, Google enriqueció el contenido de la Product OneBox añadiendo imágenes. También diversificó los posibles resultados de la acción de hacer clic en un enlace de resultado mostrado: dependiendo de las circunstancias, los internautas eran llevados, como ya ocurría antes, directamente a la página correspondiente del sitio web del vendedor del producto buscado, donde se podía comprar el producto, o eran dirigidos a la página de resultados especializada de Búsqueda de Productos para ver más ofertas del mismo producto. Con el tiempo, el Product Onebox pasó a llamarse Product Universal  en diferentes países y su presentación se hizo más atractivo

Costa galega no outono

Tras las investigaciones realizadas y mediante decisión de 27 de junio de 2017, la Comisión Europea declaró que Google había abusado de su posición dominante en el mercado de los servicios de búsqueda general en línea, en 13 países del Espacio Económico Europeo. Concretamente, la conducta infractora consistía en haber favorecido a su propio servicio de comparación de productos, posicionándolo delante de sus competidores. En efecto, la Comisión Europea constató que los resultados de las búsquedas de productos realizadas
a través del motor de búsqueda de Google se posicionaban y mostraban de forma más llamativa cuando procedían del propio servicio de comparación de compras de Google que cuando procedían de servicios de comparación de compras de la competencia. Además, estos últimos aparecían en una presentación más simple (mostrados en forma de enlaces azules), eran desechados por los algoritmos, o situados en peores puestos  con mayor probabilidad que los resultados de Google. En consecuencia, la Comisión impuso a Google una sanción pecuniaria de 2.424.495.000 euros, de los cuales 523.518.000 euros se imponían solidariamente con Alphabet, su sociedad matriz

Google y Alphabet interpusieron un recurso contra la Decisión de la Comisión, ante el Tribunal General Tribunal General de la Unión Europea. Y, éste órgano jurisdiccional, mediante sentencia de 10.11.2021, desestimó el recurso.

El caso ante el Tribunal General de la UE

Por una parte, el Tribunal General considera que Google violó el Derecho de la Libre Competencia  al favorecer su propio servicio de comparación de compras en sus páginas de resultados generales, mediante una representación mas atractiva y completa; y mediante un posicionamiento más favorable, al tiempo que, a través de los algoritmos de clasificación utilizados se relegan los resultados de los servicios de comparación. En su conclusión, el TGUE tiene en cuenta una serie de circunstancias concurrentes en el asunto , comenzando por la importancia del tráfico que genera el motor de búsqueda de Google para los los servicios de comparación de compras;  continuando por el comportamiento de los usuarios de estos motores, que suelen concentrarse en los primeros resultados; y además la gran proporción de tráfico efectivamente desviado en un servicio de búsqueda que no puede ser reemplazado fácilmente. Estos hechos y circunstancias, y no la mera posición de dominio que , como es sabido, no basta para fundamentar una decisión de infracción de competencia, son los que subyacen en la sanción conformada por le TGUE.

El TGUE señala que las características de la página de resultados de comparación coinciden con las de un servicio esencial, desde la perspectiva de la competencia, en la medida en que actualmente no existe un sustituto que permita intercambiarla de forma económicamente viable.  En cuanto al comportamiento infractor de la operadora se debe, en esencia, al trato discriminatorio que confiere con sus servicios. Así, aunque los resultados de los servicios de comparación de compras competidores fueran más relevantes, no recibían el mismo trato de posicionamiento ni de visualización que los resultados del servicio de compras comparativas de Google. E, incluso aunque Google permitió, a partir de cierto momento, a los servicios de comparación de compras de la competencia mejorar la calidad de la de sus resultados apareciendo en sus «cajas», esta mejora se realizó a cambio de una remuneración es decir, a cambio de un cambio de modelo de negocio de los competidores, que dejaban de ser competidores directos de Google para convertirse en sus clientes.

Catedral de León by M.A. Díaz

También recuerda el TGUE que existe un existe abuso de posición dominante cuando la empresa dominante, mediante el recurso a métodos diferentes de los que rigen la competencia normal, obstaculiza el mantenimiento del grado de competencia en el mercado o el crecimiento de dicha competencia,  o simplemente mediante comportamientos susceptibles de restringir la competencia. Y, concretamente en este asunto, los efectos reales de la conducta en cuestión sobre el tráfico de los servicios de comparación de compras
de las páginas de resultados generales de Google, la Comisión disponía de una base suficiente para averiguar que ese tráfico representaba una parte importante de su tráfico total y  no podía ser efectivamente sustituida por otras fuentes de tráfico, como la publicidad (AdWords) o las aplicaciones móviles,  de modo que el resultado potencial era la desaparición de los servicios de comparación de precios, limitando además la innovación y las opciones para los consumidores, rasgos que en conjunto son característicos de los efectos de las infracciones de derecho de la competencia.

 

El Delegado de Protección y de Datos y el Responsable de Seguridad de la información  ¿figuras compatibles?

Posted on por

El Delegado de Protección de Datos en el marco del REPD y la LOPDGDD

El Delegado de Protección de Datos es una figura, ya corporativa (aunque cabe su externalización) a la que corresponden funciones fundamentales de información, asesoramiento y supervisión de las políticas, estrategias y actividades relativas a la protección de datos en las organizaciones.

 Sus funciones están especificadas en el artículo 39 del Reglamento Europeo de Protección de datos ( RGPD) y en los arts 34 y siguientes de la Ley Orgánica 3/2018 (LOPDGDD). Y, con más detalle en España en el documento de Directrices para los delegados de protección de datos, emitido por la Agencia Española de Protección de Datos.

El análisis de las funciones del delegado de protección de datos debe de partir necesariamente del contenido de lo dispuesto en el artículo 39 del RGPD. Y decimos, que “debe de partir” por cuanto que este precepto regula las funciones que, como mínimo tendrá atribuidas:

    • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
    • Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
    • Cooperar con la autoridad de control.
    • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Además debe ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35RGPD. Y,  conforme al apartado 4 del artículo 36 de la LOPDGDD, cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos, lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento

En concordancia con el RGPD, en España el artículo 36 de la LOPDGDD, especifica  que este DPD actuará como interlocutor del responsable o encargado del tratamiento ante la AEPD y las autoridades autonómicas de protección de datos, y podrá inspeccionar los procedimientos y emitir recomendaciones en el ámbito de sus competencias. Tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo, el responsable o el encargado del tratamiento, oponer a este acceso la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de la LOPDGDD.

 

Debe subrayarse que el DPD está obligado a mantener el secreto, la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros. Y, desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento. Además, el artículo 37 de la LOPDGDD establece la función del DPD en relación con las reclamaciones presentadas por afectados.  En efecto, recuérdese que en el ámbito de la protección de datos, el afectado podrá, con carácter previo a la presentación de una reclamación, dirigirse al DPD de la entidad contra la que se reclame, que comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación. Cuando el afectado presente una reclamación directamente ante la AEPD o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al DPD a fin de que este responda en el plazo de un mes. En caso de que el DPD no comunique la respuesta dada a la reclamación, la autoridad competente continuará el procedimiento.

La amplitud de funciones que abarcan todo lo relativo a la política de datos, su diseño, puesta en práctica y consecuencias se acompaña de la prohibición por parte del RGPD de que se le impongan sanciones derivads del desempeño de tales funciones como DPD. Y, debe tenerse en cuenta que cuando hablamos de sanciones no sólo nos referimos a sanciones directas, pues se le podría sancionar de manera indirecta , igualmente prohibidas, y que pueden consistir desde en no tenerle en cuenta a efectos de promoción profesional, denegarle prestaciones que otros empleados sí reciben, etc.  No sólo están prohibidas las sanciones pues la simple amenaza de penalizar al DPD por motivos relacionados con el desarrollo de sus actividades está prohibida. Únicamente podrá ser sancionado e incluso destituido legítimamente por motivos distintos del desempeño de tales  funciones.

El lugar del DPD dentro de la entidad responsable de datos.

Tal y como establece el artículo 38 del RGPD, el desempeño por parte del DPD de las funciones mencionadas en el Art. 39 será respaldado por el responsable y el por encargado del tratamiento, quienes deberán de facilitarle los recursos necesarios para el desempeño de dichas funciones, incluyendo el acceso a los datos personales y a las operaciones de tratamiento;  y para mantener sus conocimientos especializados. En especial vamos a detenernos en algunas cuestiones que, quizás no han sido objeto de suficiente atención:

  • Por una parte, que conforme al RGPD, la alta dirección deberá prestar apoyo activo a la labor del DPD; garantizar que el DPD cuenta con tiempo suficiente para cumplir sus funciones, así como con medios para mantenerse formado; y que se debe facilitar la puesta a disposición del DPD de apoyo desde los departamentos corporativos que gestionen recursos financieros, infraestructura, recursos y personal.
  • Por otra parte, en que desde la entidad debe hacerse saber a la plantilla, por medio de los canales oficiales de comunicación interna, la designación y funciones del DPD.
  • Además, que el DPD cuenta con un auténtico derecho, o incluso deber de formación continua.
  • También, que en función del tamaño y de la estructura de la organización, puede ser necesario establecer un equipo de DPD (el Delegado y su personal), o en caso de estar externalizado, un equipo organizado bajo la responsabilidad de un contacto principal designado para el cliente, el responsable de datos o entidad a la que sirve el DPD.

El DPD en relación con las decisiones corporativas

Es destacable que el Delegado de Protección de Datos, o su equipo, deben ser partícipes, desde el principio y desde el diseño de los mecanismos y sistemas de datos del responsable, de todas las cuestiones relativas a la protección de datos. También en relación con las evaluaciones de impacto de la política de datos de la entidad responsable, el RGPD menciona que éste tendrá que recabar el asesoramiento del Delegado de Protección de Datos al redactar sus memorias de evaluación. Y que, el DPD actuará como interlocutor dentro de la empresa en todo lo relativo a la tutela de datos y que por ello deberá formar parte de todos los grupos de trabajo y proyectos referidos al ejercicio del tratamiento de datos dentro de la organización. Por ello, tanto el responsable como el encargado del tratamiento, debe garantizar que el DPD participa, de forma adecuada y en tiempo oportuno, en todas las cuestiones relativas a la protección de datos personales.

En muchas organizaciones ocurrirá que buena parte de las actividades  y decisiones corporativas tendrán impacto directo o indirecto en la política de datos, por ello, tal y como indica el GT29, Grupo de Trabajo compuesto por expertos independientes del Supervisor Europeo de Datos, la organización deberá garantizar que:

    • Se invite al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios.
    • Esté presente cuando se adoptan decisiones con implicaciones para la protección de datos, habiendo previamente recibido toda la información pertinente con el fin de que pueda prestar un asesoramiento adecuado.
    • La opinión del DPD se tenga siempre debidamente en cuenta. En caso de desacuerdo, el mencionado Grupo de Trabajo recomienda, como buena práctica, documentar los motivos por los que no se sigue el consejo del DPD.
    • Se consulte al DPD con prontitud una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.

En todo caso, el hecho de que el  DPD pueda formar parte de la entidad (y no ser externalizado si así se decide en el seno de la entidad responsable de datos) no debe de entenderse en el sentido de que resulta posible que exista una relación de dependencia. Antes al contrario, como señala el considerando Art. 97 RGPD, los DPD, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. Y, en este sentido, el apartado 3º del artículo 38;RGPD deja claro que “el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.” Es decir, tal y como añade el Considerando 97, el DPD, sea o no empleado del responsable, debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. En todo caso, el DPD estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones como tal Delegado. Y,  ha de desempeñar sus funciones de manera independiente y con autonomía. No se le puede instruir sobre como abordar un asunto. Tampoco se podrá influir para que mantenga una u otra postura respecto a la normativa de protección de datos y su aplicación. Esta autonomía del DPD afecta exclusivamente al ámbito de sus propias funciones como DPD que son descritas en el artículo 39 del RGPD.

¿Puede el DPD desempeñar otras funciones? .¿Podría, más concretamente ser Responsable de Seguridad (RS)?

En principio parece que si, que el DPP puede desempeñar otras funciones y cometidos. Ahora bien, en este caso el responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses (GT29) .
Debe aclararse, de modo previo, que no existe una figura general de RS . Si existe, sin embargo en el marco del Esquema Nacional de seguridad (ENS), una figura obligatoria en ciertas entidades, y cuya determinación puede tener un papel orientativo en otras. En este sentido, remitimos a lo analizado sobre esta figura de RS del ENS, en la entrada titulada Responsable de seguridad de la Información en el Esquema Nacional de Seguridad Electrónica (para la administración pública y ) para algunas empresas privadas que contratan con la administración. Y también con la Guía o Código de gestión de información personal  ISO/IEC 29151:2017 Information technology – Security techniques – Code of practice for personally identifiable information protection

En relación con la independencia. El artículo 38.3 RGPD determina que el responsable y el encargado del tratamiento garantizarán que el DPD no reciba instrucciones respecto a sus funciones para poderlas desarrollar con independencia. En cuanto al RS, al poder desempeñar funciones encomendadas por el responsable y el encargado del tratamiento, no goza del mismo grado de independencia protegida. Esta circunstancia casa bien con sus respectivas funciones:

En relación con las funciones de cooperación y asesoría al responsable. El DPD informa y asesora al responsable del tratamiento y coopera con la autoridad de control con independencia del resto de figuras implicadas en la seguridad de la información, y garantiza los derechos de las personas en materia de protección de datos.

    • Más en particular, y en el plano de los conflictos de intereses el GT29 o Grupo de Trabajo sobre Protección de Datos del Artículo 29 del RGPD, en sus concluiones  adoptadas el 5 de abril de 2017 señala para el DPD:  3.5. Conflicto de intereses. “No obstante, requiere que la organización garantice que «dichas funciones y cometidos no den lugar a conflicto de intereses». La ausencia de conflicto de intereses está estrechamente ligada al requisito de actuar de manera independiente. Aunque los DPD puedan tener otras funciones, solamente podrán confiárseles otras tareas y cometidos si estas no dan lugar a conflictos de intereses”

En relación con la seguridad de la información y el análisis de riesgos. El RS debe velar por garantizar la seguridad de la información de la  organización en su conjunto incluyendo las . El DPD se centra en el análisis de riesgos sobre los derechos y libertades de las personas, el  RS realiza análisis de riesgos en relación con las tecnologías de la información y las comunicaciones.

En cuanto a su posición jerárquica en el seno de una misma entidad. El DPD supervisa la labor que realiza el RS en sus tres vertientes: información, servicio y seguridad, funciones que veíamos en relación al ENS

Ponferrada. Castillo de templarios

Conclusión y recomendación:

Únicamente, y seguramente sólo en teoría,  cabría la posibilidad de centralizar ambas figuras  en una sola persona si se separan claramente las funciones que desempeña y se evitan conflictos de intereses. Precisamente es en el ámbito de los conflictos donde resulta difícil lograr la independencia que se exige al DPD. En términos prácticos la coincidencia de ambas figuras y funciones en una misma persona ni es fácil ni es recomendable.

Cuestión distinta es, en particular para las grandes organizaciones, la propuesta que desarrollamos en otro lugar para la creación de una red corporativa de seguridad que integre y sirva de cauce de comunicación entre ambos, con las debidas cautelas en términos de funciones y conflictos de intereses.

 

Sanción de 225 M€ a WhatsApp por violación del Reglamento General de Protección de Datos. Irlanda /UE/SEPD

Posted on por

La Comisión de Protección de Datos de Irlanda (Ireland’s Data Protection Commission) (IDPC) impuso recientemente una sanción de 225 millones de euros a WhatsApp Ireland Ltd (“WhatsApp”)  por  falta de transparencia en  sus prácticas de tratamiento de datos de usuarios, que no cumplirían las exigencias de los artículos 12-14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD).

 

Las investigaciones iniciales

Lariño

El IDPC había iniciado formalmente sus investigaciones sobre WhatsApp el 10 de diciembre de 2018, tras recibir quejas respecto a las actividades de tratamiento de datos de WhatsApp, así cómo una solicitud de asistencia mutua de la Autoridad Federal de Protección de Datos de Alemania (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) a efectos  del cumplimiento del RGPD por parte de WhatsApp. Con todo, formalmente el expediente se abrió «a iniciativa propia» por parte del IDPC. La investigación del supervisor irlandés se centró en averiguar si WhatsApp había cumplido con sus obligaciones de transparencia conforme al RGPD,  particularmente en lo que respecta al  tratamiento de datos personales de los usuarios de la aplicación de mensajería (e incluso de titulares no usuarios ya que WhatsApp permite cargar números de no usuarios, si el usuario actualiza sus contactos); y a su intercambio con otras entidades del Grupo Facebook (recuérdese que Facebook adquirió WhatsApp en 2014). Como  consecuencia de esta investigación del IDPC, este organismo hizo público un borrador de decisión sancionadora que notificó a las Autoridades Supervisoras Competentes (CSAs) de la UE conforme a lo que exige el artículo del 60RGPD.

En su propuesta de sanción, el IDPC había identificado infracciones de los artículos 12-14 del RGPD por parte  WhatsApp, con respecto a los usuarios y a no usuarios, determinando que WhatsApp no les había proporcionado información suficientemente clara, transparente o adecuada sobre sus actividades de tratamiento. Fundamentalmente, el IDPC consideró que WhatsApp no había identificado con suficiente detalle la base jurídica para cada actividad de tratamiento, como lo requiere el Artículo 13 (1) (c) del RGPD. Y,  con respecto a las transferencias de datos personales a jurisdicciones fuera del EEE, determinó que la declaración de WhatsApp de que las transferencias «pueden» basarse en determinaciones de adecuación era insuficiente para cumplir con el Artículo 13 (1) (f) del RGPD. En este último aspecto, según la propuesta de resolución sancionadora WhatsApp debería haber identificado con concreción si existía o no una decisión de adecuación para respaldar la transferencia de categorías específicas de datos, y  determinó que la declaración de WhatsApp de que las transferencias «pueden» basarse en determinaciones de adecuación era insuficiente para cumplir con el artículo 13 (1) (f) del RGPD: WhatsApp debería haber identificado si existía o no una decisión de adecuación para respaldar la transferencia de categorías específicas de datos y no limitarse a una afirmación vaga.

Previamente a la notificación a otras CSAs, en diciembre de 2020, el IDPC había propuesto una multa de (30-50 millones €). Pero, fue objetada por ocho de las CSAs que recibieron la notificación, el asunto alcanzó al Supervisor Europeo de Protección de Datos, y la sanción finalmente impuesta  por el IDPC es de 225 millones €.

La intervención del Supervisor Europeo de Protección de Datos (SEPD)

Debido a la naturaleza transfronteriza de las actividades de tratamiento y trasferencia de datos de WhatsApp, el proyecto de decisión de la IDPC fue revisado por otras autoridades de supervisión relevantes, conforme al mecanismo de cooperación y coherencia del Capítulo VII del RGPD. Y , las objeciones formuladas  se remitieron al  Supervisor Europeo de Protección de Datos («SEPD»), de acuerdo con el procedimiento de resolución de disputas establecido en el artículo 65 (1) (a) del RGPD. Este último organismo ha adoptado una posición más estricta que el IDPC

El SEPD se opuso a la propuesta del IDPC. Frente a la opinión inicial de éste, que consideraba que WhatsApp había cumplido el ordenamiento sobre tratamiento de datos ( Artículo 13 (1) (d) del RGPD), el SEPD recordó, por el contrario, que el operador de mensajería instantánea debería haber identificado el interés específico para cada actividad de tratamiento relevante, para así garantizar que los interesados puedan ejercer los derechos que les asisten en virtud del RGPD. El SEPD también señaló que el efecto acumulativo de los incumplimientos por parte de WhatsApp tenía como consecuencia la violación del principio de transparencia contemplado en el Artículo 5 (1) (a) del RGPD, debido «a la “gravedad , la reiteración y el impacto de las infracciones». Y, en virtud de ello consideró que se había producido un incumplimiento adicional a lo establecido por la IDPC.

Por otra parte y con respecto a la cuantía de la multa inicialmente propuesta por la IDPC, la SEPD determinó que debería haberse tenido en cuenta  la facturación consolidada de Facebook Inc., matriz de WhatsApp. Además, si bien el IDPC había propuesto un compromiso único y conjunto a Facebook y WhatsApp en su proyecto de decisión, el SEPD recordó que según la jurisprudencia del TJUE ( Akzo Nobel and Others v Commission, (C-97/08 P, jsentencia de 10 septiembre 2009), cuando una empresa matriz y su filial conforman una unidad, a efectos de categorizar la infracción (aunque haya sido directamente cometida por la filial), debe tenerse en cuenta el volumen de negocios total de las empresas que componen la unidad, pues es éste el que determina la capacidad financiera de lo que , a estos efectos, se considera una empresa unitaria. El SEPD también consideró que el volumen de negocios consolidado era relevante para el cálculo de la multa en sí, no solo para garantizar que la multa no excediera los límites establecidos en el artículo 83 (4) – (6) del RGPD (lo que si respetaba lo propuesto por el IDPC), sino para que las sanciones sean  efectivas, proporcionadas y tengan efecto disuasorio.

Además, el SEPD aclaró que cuando se hayan cometido múltiples infracciones en el contexto de una misma o varias actividades de tratamiento vinculadas, todas esas infracciones deben tenerse en cuenta en el cálculo de la multa correspondiente a los efectos del artículo 83, apartado 3, del RGPD. Con el límite de que la sanción total no debe exceder la cantidad especificada para la infracción más grave.

Finalmente, el SEPD sostuvo que WhatsApp debe cumplir con sus actividades de tratamiento en un plazo de tres meses, a diferencia del período de tiempo original de seis meses propuesto por el IDPC, dada la importancia primordial del cumplimiento del principio de transparencia consagrado en el  RGPD. WhatsApp también debe actualizar sus avisos de privacidad para usuarios y no usuarios para incluir la información requerida en virtud de los artículos 13 y 14 del RGPD, incluso para aclarar cómo estos pueden  presentar una queja ante una autoridad supervisora con respecto a las actividades de tratamiento de WhatsApp.

La Decisión vinculante del SEPD y la Resolución sancionadora del IDPC

El 28 de julio de 2021, el SEPD adoptó una Decisión vinculante que fue notificada al IDPC. La Decisión del SEPD contenía instrucciones exigiendo al IDPC que procediese a una nueva valoración y que incrementase la sanción. Consecuencia de todo lo anterior, la multa efectivamente impuesta por el IDPC a WhatsApp Ireland Ltd y anunciada el 2 de septiembre de 2021 asciende a 225 millones € .

Junto con la sanción, el supervisor irlandés ha advertido a WhattsApp sobre la importancia de  reformar sus mecanismos de tratamiento de texto.

Aunque en su resolución, la IDPC concede a WhatsApp un plazo de 6 meses para adaptarse al RGPD, WhatsApp ha manifestado su intención de recurrir judicialmente

OCDE. Informe sobre Inteligencia Artificial y Machine Learning

Posted on por
Lariño

Lariño

La OCDE aborda en este informe los fenómenos de Machine Learning – ML-, Big Data o Inteligencia Artificial -IA-,  con sus aplicaciones en el ámbito financiero.

El entorno tecnológico digitalizado se une, principalmente en los planos de la captación y análisis de información y de la adopción automatizada o semi automatizada de decisiones de ejecución, para poner en marcha prácticas que en muchos casos ya eran conocidas, pero cuyas consecuencias se intensifican.

Así, por ejemplo el spoofing , práctica ilícita de manipulación del mercado que consiste en hacer ofertas de compra o de venta de valores o materias primas con la intención de cancelar las ofertas antes de la ejecución de la operación ya era posible antes del comercio algorítmico, pero alcanzó mayor notoriedad con el HST (High Speed Trading).  O, con las técnicas de IA y de ML que se aplican en la gestión de activos y en la actividad de compra en los mercados, o para casar activos con órdenes, o para identificar señales y relaciones subyacentes en los grandes datos: No dejan de reproducir operaciones que ya eran conocidas antes, pero que ahora se realizan a velocidad muy superior y con retroalimentación automatizada que permite extraer conclusiones más precisas y en tiempos muy inferiores sin intervención humana. En conjunto este Informe ofrece perspectivas muy útiles sobre las tecnologías digitalizadas en todo el sistema financiero y en el de valores y mercados.

Fortaleza digital en el sector financiero y protección de datos. A propósito del dictamen del Supervisor Europeo de Protección de Datos

Posted on por

Se comenta en esta entrada  un reciente dictamen del Supervisor Europeo de Protección de Datos sobre la Propuesta DORA, con las objeciones formuladas por este supervisor especialmente en el ámbito de la gobernanza interna de datos en las instituciones financieras, de las notificaciones de incidentes a las autoridades y de la trasferencia internacional de datos

El 24 de septiembre de 2020, la Comisión Europea adoptó una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014, que ya ha sido objeto de comentarios en este blog (aquí). Como es sabido, esta Propuesta DORA forma parte de un paquete de medidas que incluye también una Propuesta de Reglamento relativo a los mercados de criptoactivos (el «Reglamento MiCA»), una propuesta sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado  y una Propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros. Actualmente, la Propuesta DORA está siendo objeto de análisis y debate en el Consejo

Y, en este contexto, el Supervisor Europeo evacuó recientemente un Dictamen preceptivo en el procedimiento prelegislativo correspondiente.,

By M.A. Díaz

  • En el texto del Dictamen, el SEPD recuerda que cualquier operación de tratamiento de datos, en el contexto de las actividades de las entidades financieras a las que se dirige la Propuesta DORA  debe tener como referente   los requisitos de protección de datos conforme al RGPD y en particular su artículo 6, como condición básica para asegurar la salvaguardia de los derechos individuales.
    • Con carácter general, ello implica que las entidades financieras deberían incorporar a su marco de resiliencia operativa digital mecanismos específicos y sólidos de gobernanza de protección de datos. Ello incluiría sistemas para la determinación de las funciones y las responsabilidades del responsable y del encargado del tratamiento de datos, así como de las actividades de tratamiento que tendrán lugar.
    • Más en particular, considera el SEPD que el sector financiero debe adoptar códigos de conducta conformes al art 40 RGPD en los que se diseñen y delimiten las funciones relativas al tratamiento de datos, así como los procesos de tratamiento justo y transparente
  • Dado que en el ámbito de las entidades financieras tienen lugar procesos de almacenamiento de datos, incluidos datos relativos a multas y sanciones, el SEPD recuerda que el principio de limitación del almacenamiento requiere que los datos personales se conserven solo durante el tiempo necesario para los fines para los que se hayan recogido. Por ello, y más concretamente,  recomienda a las entidades financieras que adopten medidas para garantizar que la información sobre las multas administrativas se elimine de su sitio web una vez transcurridos cinco años, o antes si ya no es necesaria. Y, de modo relacionado, en relación con la publicación de multas administrativas,  recomienda incluir entre los criterios que deba valorar la autoridad competente, los riesgos para la protección de los datos personales de las personas físicas.

 

  • En cuanto a la notificación de incidentes graves, el SEPD formula la sugerencia de incluir a las autoridades de protección de datos entre las que directamente reciban estas notificaciones. Así, el SEPD señala que, en su entender, la redacción del considerando 42 de la Propuesta sería incompatible con el artículo 33 del RGPD. Por ello, recomienda eliminar la referencia a las autoridades de protección de datos del considerando 42 de la Propuesta que las sitúa como receptoras indirectas de las notificaciones, y modificar el artículo 17 para incluir una  obligación de notificación  directa de vulneraciones de la seguridad de los datos a las autoridades de materia de protección de datos.
      • Este considerando 42, en la redacción inicial de la Comisión Europea establece que: «Las consecuencias importantes de los ciberataques se amplifican cuando se producen en el sector financiero, un ámbito que corre mucho más riesgo de ser blanco de propagadores malintencionados que persiguen obtener beneficios financieros directamente en la fuente. Para mitigar tales riesgos y evitar que los sistemas de TIC pierdan integridad o dejen de estar disponibles, y que se vulneren datos confidenciales o que las infraestructuras físicas de TIC sufran daños, debe mejorarse significativamente la notificación de incidentes graves relacionados con las TIC por parte de las entidades financieras. La notificación de incidentes relacionados con las TIC debe armonizarse para todas las entidades financieras exigiéndoles que informen únicamente a sus autoridades competentes. Aunque todas las entidades financieras estarían sujetas a esta notificación, no todas ellas deberían verse afectadas de la misma manera, ya que los umbrales de importancia relativa y los plazos pertinentes deben calibrarse para reflejar únicamente los incidentes graves relacionados con las TIC. La notificación directa permitiría a los supervisores financieros acceder a información sobre incidentes relacionados con las TIC. No obstante, los supervisores financieros deben transmitir esta información a las autoridades públicas no financieras (autoridades competentes en materia de SRI, autoridades nacionales de protección de datos y autoridades policiales o judiciales en caso de incidentes de carácter delictivo). La información sobre incidentes relacionados con las TIC debe canalizarse mutuamente: los supervisores financieros deben proporcionar a la entidad financiera todas las observaciones u orientaciones necesarias, mientras que las AES deben compartir datos anonimizados sobre amenazas y vulnerabilidades relacionadas con un determinado suceso para contribuir a una defensa colectiva más amplia». Pues bien, frente a esta redacción, el art 33 del RGPD establece la obligación del responsable de tratamiento de notificar a la autoridad de control de datos, en caso de violación de la seguridad de los datos personales, sin dilación indebida y, de ser posible, a
        72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Añade el art 33 RGPD que si la notificación a la autoridad de control no se efectuase en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos del retraso.
      • Por lo que respecta al art 17 de DORA en su redacción inicial, alude a la notificación directa de incidentes, sin contemplar entre las autoridades receptoras de las notificaciones a las de protección de datos, circunstancia que el SEPD sugiere subsanar
  • En relación con las transferencias internacionales a proveedores terceros de servicios de TIC establecidos en un tercer país, el SEPD recuerda que toda transferencia internacional de datos personales debe cumplir con los requisitos del capítulo V del RGPD con arreglo a su interpretación en la jurisprudencia del TJUE, incluida la sentencia en Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (C-311/18), también conocido simplemente como Schrems II. El TJUE declaró es esa sentencia  la invalidez de la decisión de adecuación relativa al Privacy Shield (escudo de Privacidad) mientras que legitimó las transferencias al amparo de las cláusulas contractuales tipo (Standard Contractual Clauses) aprobadas  por la Comisión Europea. Las consideraciones del fallo  impactan en las transferencias de datos desde los Estados miembros de la Unión Europea a países fuera del bloque comunitario, incluyendo aquellos en América y, especialmente, a los que no han obtenido una decisión de adecuación.
    • Como es sabido, la Unión Europea ha adoptado un sistema de regulación horizontal a través del cual se aprobaron normas generales comprehensivas en materia de protección de datos personales que alcanzan a todas las actividades e industrias. Tal fue el caso de la anterior Directiva 95/46 y su sucesor el RGPD. Estas normas presentan restricciones a las transferencias internacionales de datos a países que no cuenten con normativa considerada adecuada. Por el volumen de relaciones comerciales con  Estados Unidos de América  resultó necesario tener en cuenta que en este país se carece de una norma general en materia de protección de datos personales, aunque existen  regulaciones sectoriales que tratan esta materia y normas de algunos estados que han legislado en materia de privacidad, como es el caso de California. La ausencia de una norma federal ha sido el disparador para que ambos bloques tuvieran que negociar arreglos que permitieran la transmisión de datos. El primero de ellos dio lugar a los principios reconocidos como Safe Harbor o Puerto Seguro, adoptados por el Departamento de Comercio de los Estados Unidos,  un sistema de autorregulación al cual las empresas en ese país podían adherir, comprometiéndose a respetar ciertas reglas establecidos en su texto. La Comisión Europea declaró adecuado este sistema en el año 2000, mediante su (hoy derogada) Decisión de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América
    • Sin embargo, pronto se vio que el mecanismo de Puerto Seguro planteaba incongruencias que fueron sancionadas por el TJUE en la relevante sentencia Schrems II.
      • Concretamente,  el Sr Schrems inició una reclamación contra Facebook Irlanda por considerar que la plataforma social violaba los derechos de intimidad y protección de datos personales de los usuarios. Se basaba el reclamante en que los datos eran transferidos desde Irlanda a servidores localizados en Estados Unidos, en donde eran procesados y utilizados por Facebook Inc. Y, sucedía que en Estados Unidos, los datos podían están sujetos a un control estatal por parte de las agencias de investigación gubernamentales, práctica que podía afectar los derechos de los titulares de datos europeos. En efecto, Facebook Ireland explicó que una gran parte de los datos personales se transfería a Facebook Inc., basándose en cláusulas tipo de protección de datos.
      • Schrems cuestionó la compatibilidad del ordenamiento europeo de datos con el Derecho estadounidense que obligaba a la matriz, Facebook Inc., a poner los datos personales recibidos de sus filiales europeas (en este caso de la irlandesa), a disposición de las autoridades estadounidenses, como la National Security Agency (NSA) y la Federal Bureau of Investigation (FBI) . Y, que esos datos eran utilizados en programas de vigilancia de las autoridades estadounidenses, en modo incompatible con las normas europeas. Por ello, consideró que  el ordenamiento europeo no amparaba la transferencia de esos datos a los Estados Unidos y solicitó al regulador de Irlanda que prohibiese o suspendiese la transferencia de sus datos personales a Facebook Inc.
      • La autoridad irlandesa de protección de datos inició un procedimiento ante el Tribunal Superior de Irlanda y éste elevó una cuestión prejudicial al Tribunal de Justicia Europeo sobre la interpretación de las disposiciones que validan las transferencias internacionales al amparo de las cláusulas contractuales tipo y el  Safe Harbor.
      • El  TJUE validó las transferencias internacionales al amparo de las cláusulas contractuales tipo, pero, declaró inválido al Safe Harbor. Es decir, consideró que las cláusulas contractuales tipo son una alternativa válida para legitimar la transferencia a países que no posean legislación adecuada. Sin embargo, en su interpretación estableció que estas cláusulas obligan a las partes a  un control activo de la normativa del país de destino, para garantizar que los compromisos asumidos en el contrato no se vean frustrados por las regulaciones del ordenamiento de destino, imposibilitando su cumplimiento. En cambio, sentenció que el Safe Harbor no proporciona una adecuada protección y, por lo tanto, no puede ser entendido como un instrumento que avale la transferencia internacional desde la Unión Europea a los Estados Unidos.
      • La declaración de invalidez del Safe Harbor se basó en dos cuestiones principales. Por una parte que las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización por las autoridades estadounidense de los datos transferidos (principalmente en el marco de investigaciones por las fuerzas de seguridad estatales) no responden a las exigencias en situaciones equivalentes requeridas en el Derecho de la Unión Europea. Además, subrayó el TJUE, en lo que se refiere a la tutela judicial, que los ciudadanos europeos no tienen acceso a los mismos recursos de los que disponen los nacionales estadounidenses contra el tratamiento de datos personales por parte de las autoridades de aquel país. Es por ello que el TJUE resuelve declarar la invalidez del Safe Harbor como recurso para las transferencias internacionales.El TJUE declaró inválidas las transferencias internacionales a los Estados Unidos con base en el Safe Harbor. Esta anulación derivó en  un nuevo mecanismo para legitimar las transferencias internacionales de datos que concluyeron en la aprobación del Privacy Shield consensuado por el Departamento de Comercio de los Estados Unidos y las autoridades europeas que  dotaba a los ciudadanos europeos de mayores resortes para resguardar sus derechos. En el año 2016 la Comisión Europea declaró válidas las transmisiones de datos  certificadas bajo el régimen del Privacy Shield (Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.)
      • El Privacy Shield se basa en un sistema de autocertificación por el que las entidades estadounidenses se comprometen a cumplir  principios de protección de la vida privada —a saber, los principios marco del Escudo de la privacidad UE-EE. UU., incluidos los principios complementarios  establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.. Se aplica tanto a los responsables como a los encargados del tratamiento. Y los encargados deben estar obligados contractualmente a actuar únicamente siguiendo instrucciones del responsable del tratamiento de la UE y asistirle a responder a las personas físicas que ejerzan sus derechos en caso de transferencia internacional de datos.
      • Frente al mecanismo de puerto seguro, el Privacy Shield obliga a las entidades  responsables de la trasferencia internacional de dato a EEUU a  establecer mecanismos de recurso a los particulares afectados por potenciales incumplimientos de modo que los interesados de la UE puedan presentar reclamaciones en relación con el incumplimiento por parte de entidades autocertificadas de EE. UU. Y, a que se resuelvan estas reclamaciones, mediante una resolución que conceda un recurso efectivo

Primavera, by M.A. Díaz

  • Finalmente, el SEPD recomienda modificar el artículo 23, apartado 2, de la Propuesta relativo a pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC basadas en pruebas de penetración guiadas por amenazas, para asegurar que no se puedan realizar pruebas, desarrollo de productos o investigaciones de los sistemas de TIC en sistemas de producción activos que contengan datos personales de clientes.

 

 

El contenido del Dictamen responde a las competencias que el SEPD tiene atribuidas. Las entidades financieras que quedarán sometidas a DORA en caso de aprobarse, estarán sujetas también al RGPD. Y desde esa perspectiva el Dictamen comentado podría resultar redundante. Sin embargo, no deja de constituir una referencia y una llamada de atención sobre el doble sometimiento, caso de que finalmente las consideraciones contenidas en él no resultasen incorporadas en la Directiva Digital Resilience.

Software crítico en el sector público. Orden Ejecutiva sobre Ciberseguridad del Presidente Biden y su desarrollo

Posted on por

Según lo solicitado en la Orden Ejecutiva de Ciberseguridad («EO») del 12 de mayo de 2021 publicada por la Administración de Biden ( aquí ), el National Institute for Standards and Technology, NIST ha publicado su definición de «software crítico» dentro del plazo de 45 días que establecía la OE. Esta definición de «software crítico» representa un requisito, conforme a la OE, para dotar de seguridad a la cadena de suministro de software, especialmente en lo relativo a los proveedores de servicios para el ejecutivo Federal de Estados Unidos. Eventualmente, se reflejará en un  futuro Reglamento Federal de Adquisiciones obligatorio para los proveedores de software. Como es sabido, los documentos sobre seguridad del NIST acaban constituyendo una referencia de definiciones y estándares en todo el mundo, y muy especialmente en el ámbito de la ciberseguridad.

Acrobacias 2015

acrobacias2015

La definición de NIST de «software crítico» como se establece en su documento técnico publicado el 25 de junio de 2021 incluye a cualquier software  que influye directamente sobre otro software o sobre componentes de otro software («dependencias directas» y cuenta con al menos uno de estos atributos:

  • está diseñado para ejecutarse con permisos o privilegios o para administrar privilegios;
  • tiene acceso directo o privilegiado a redes o recursos informáticos;
  • está diseñado para controlar el acceso a datos o tecnología operativa;
  • realiza una función fundamental para los servicios «críticos de confianza»; o,
  • opera fuera de los límites de confianza normales, con acceso privilegiado.

El documento técnico especifica además, que  esa definición se aplica a software muy variado, como software independiente, software integral para dispositivos o componentes de hardware específicos, software basado en la nube; y tanto cuando ha sido adquirido por compra como cuando es desarrollado en sistemas de producción y utilizado para fines operativos. Sin embargo,  cuando se trata de software utilizado únicamente para investigación o pruebas , es decir, que no se implementa en sistemas de producción, estaría fuera del alcance de esta definición.

By M.A. Díaz

NIST proporciona también información sobre cuestiones terminológicas de la propia definición. Por ejemplo las «Dependencias directas sobre otro software” significa, para un componente o producto dado, “otros componentes de software (por ejemplo, bibliotecas, paquetes, módulos) que están directamente integrados y son necesarios para el funcionamiento de la instancia de software en cuestión. No incluye las interfaces y servicios de lo que de otra manera serían productos independientes «. En cuanto a «Crítico para la confianza» significa «categorías de software utilizadas para funciones de seguridad como control de red, seguridad de punto final y protección de red».

El documento técnico, destinado principalmente a los contratistas con la administración federal,  también ofrece un cuadro que explica cada categoría de software que considera «crítico para la EO», así como una lista de preguntas frecuentes (FAQ) y respuestas. Las categorías de software enumeradas en la tabla de NIST incluyen los destinados a gestión de identidades, credenciales y acceso (ICAM), los sistemas operativos, hipervisores, entornos de contenedores, los navegadores web, el software de control y protección de red, supervisión y configuración de redes, seguimiento y análisis operativos, copias de seguridad, almacenamiento remiro, entre otros.

 

 

Medidas para mejorar la ciberseguridad en las empresas

Posted on por

A medida que se multiplican los ciberataques a empresas, y que los efectos de tales incidentes son más graves, la reflexión relativa a los ciber-incidentes es más intensa. Van surgiendo sugerencias y recomendaciones expertas relativas prácticas corporativas internas y externas (respecto de proveedores, clientes, y otros con quienes interrelacionan en el curso de su actividad)

NYC_by Jara IPM

  • Desde el punto de vista de las relaciones de las empresas con terceros, se han sugerido ya algunas orientaciones tendentes a minimizar los riesgos derivados del entorno digital. Entre ellas, la revisión de sus prácticas contractuales para adaptar las definiciones y alcance de las exclusiones de responsabilidad pactadas. Estas prácticas son especialmente relevantes en sectores como el  del transporte de viajeros. ;   o en las empresas de transporte y distribución energética, por mencionar algunos de los que recientemente han sufrido grandes pérdidas, o han visto su actividad totalmente paralizada como consecuencia de ciberataques (sirva de ejemplo el ataque a Colonial Pipeline, y  los eventos de 6 de mayo de 2021). También son importantes para la gestión pública de infraestructuras y servicios que, al igual que el sector privado, han sufrido importantes ataques cibernéticos (véase los que afectaron a varias ciudades de Texas en 2019).

 

  • Otro conjunto de prácticas recomendadas para la prevención de riesgos cibernéticos consiste  en la contratación, mantenimiento y actualización de seguros contra ciberriesgos cuyo alcance y coberturas pueden variar sustancialmente. Pueden cubrir gran variedad de riesgos como la seguridad de elementos físicos susceptibles de recibir daños materiales fruto de una intervención ilícita en los sistemas digitales de la empresa; daños derivados de pérdidas de datos (y los relativos a los gastos necesarios para recuperarlos), pasando por la contratación de expertos que van desde la recuperación de datos electrónicos hasta el análisis experto del ataque, y la defensa en el caso (probable) de que se interpongan litigios contra el asegurado después de un ciberataque, o que éste decida interponerlos.  Hoy, las prácticas comerciales prudentes hacen que la contratación de seguros contra ciber-riesgos sea fundamental, hasta el punto de que la ausencia de esta cobertura puede, en si misma dar lugar a acusaciones de falta de diligencia por parte de los administradores.

 

NYC_by Jara IPM. One Trade Center Tower

  • Continuando en esta enumeración, la contratación de expertos externos especializados en la prevención y control de los ciberataques se considera una buena práctica. Los especialistas en ciberseguridad desempeñan un papel importante para minimizar la exposición, para detectar y supervisar los riesgos así como para establecer protocolos de seguridad de la infraestructura de información de una empresa. Como buena práctica, la contratación de estos expertos es también interesante como defensa en caso de litigio derivado de un ciberataque, en el sentido de que la empresa afectada puede aportar, a su favor, que sus protocolos estaban supervisados por expertos.

 

  • No es menos relevante, que la entidad cuente con profesionales cualificados en su seno como el CISO –Chief Information Security Officer- o el CSO, Chief Security Officer , o el CIO Chief information Officer, figuras que se van introduciendo en la práctica, en los estándares de seguridad como NIST o ISO, y van penetrando el ámbito normativo positivo.  En este sentido, recordamos algunas entradas anteriores en este blog,  como la relativa al Responsable de Información (exigido a las administraciones conforme al Esquema Nacional de Seguridad y también a ciertas empresas que contratan con la administración), que debe ser una figura distinta del Responsable de Seguridad y también del Responsable del Servicio en los términos del Real Decreto 3/2010. O el Responsable de Seguridad de la Información en los Operadores de Servicios esenciales, conforme al Real Decreto 41/2021) Como ya anunciábamos, estas figuras de altos ejecutivos se van haciendo habituales en la práctica  y han sido reforzadas mediante su inclusión en estándares de ciberseguridad como los NIST e ISO (familia 2700), y en recomendaciones de los CERN nacionales.

 

 

 

Responsable de seguridad de la Información en el Esquema Nacional de Seguridad Electrónica (para la administración pública y ) para algunas empresas privadas que contratan con la administración

Posted on por

Entrada que debe actualizarse conforme al: Nuevo Esquema Nacional de Seguridad

 

Esquema Nacional de Seguridad en el ámbito de la administración electrónica ( ENS) está regulado en el Real Decreto 3/2010 de 8 de enero

Hamburgo. Ayuntamiento. Epc

El objeto del ENS es “el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información” y persigue “fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas”. En principio se aplica  sólo a las administraciones públicas para “asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias”. Pero, como veremos,  afecta también a algunas empresas del sector privado.

Es recomendable que las entidades privadas que manejen datos sensibles, de alto riesgo, implanten este ENS ya que el RGPD, exige aplicar  medidas que resultan adecuadas a la tecnología, tipología y volumen de datos tratados, tratamientos realizados, etc. de cada organización mediante análisis de riesgos previo, evaluaciones de impacto, etc. Pero además resulta obligatorio en los casos establecidos en la D.A. 1 de la Ley Orgánica 3/2018 de Protección de datos personales y garantía de derechos digitales, que se reproduce: 1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679. 2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado. En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos fue la primera en establecer el Esquema Nacional de Seguridad. En 2010 se aprobó el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.  Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos. En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.

Entre las obligaciones más destacables que derivan del ENS está la de clasificar los niveles de riesgo de ciberseguridad en tres grandes categorías (bajo, medio, alto) , así como  las correspondientes medidas aplicables a cada uno de esos niveles.

Otra obligación afecta a la gobernanza empresarial, pues conforme al ENS, las entidades afectadas deben nombrar a responsables específicos. Concretamente, conforme al art 10 del RD 3/2010 (ENS),  en los sistemas de información de las entidades sometidas a ese RD, se deben establecer tres figuras de responsabilidad distintas: el responsable de la información, el responsable del servicio y el responsable de la seguridad: El responsable de la información  será competente para determinar los requisitos de la información tratada; el responsable del servicio determinará los requisitos de los servicios prestados; y el responsable de seguridad determinará las decisiones  que deban adoptarse para satisfacer los requisitos de seguridad de la información y de los servicios.

Pero, adicionalmente, conforme al ENS la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios. A todo esto se une que la política de seguridad de la organización, documento estratégico con el  que deben contar las entidades sometidas al ENS,  detallará las atribuciones de cada responsable, los mecanismos de coordinación y lo de resolución de conflictos.

Como adelantábamos, el ENS  también resulta aplicable a la empresa privada en algunos casos.

Para entender mejor el contexto,  recordemos que  la Ley Orgánica, 3/2018 de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPD-GDD) adapta nuestro ordenamiento al Reglamento (UE) 2016/679”, RGPD. Y,  es aplicable tanto a la administración como a la empresa privada

  • El RGPD dispone en su art. 5.2 el “principio de la responsabilidad proactiva”, que, el responsable del tratamiento debe cumplir y ser capaz de demostrar que los datos personales son tratados de acuerdo con los principios de “licitud, lealtad y transparencia”; “limitación de la finalidad”; “minimización de datos”; “exactitud”; “limitación del plazo de conservación” y de “integridad y confidencialidad”. Precisamente el principio de “integridad y confidencialidad” establece que se ha de garantizar una seguridad adecuada de los datos personales, para protegerlos “contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental
  • El artículo 32 del RGPD, establece que teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Por tanto, las medidas de seguridad para proteger los datos personales no se recogen en una lista taxativa. Con este artículo 32, se introduce una suerte de  autoevaluación por el responsable de las medidas de seguridad que son necesarias para proteger los datos personales, ya sean estos objeto de tratamiento directamente por él o, en su caso, por encargados de tratamiento que tratan datos por cuenta suya

Vista de San Sebastian

La LOPD GDD, art 77, estableció, además, unos sistemas y medidas de protección de datos especiales ara la Administración Pública española. Ello se completa con la DA 1ª LOPD-GDD que establece un marco específico de seguridad en el sector público, a través del ENS, sustituyendo la autoevaluación del art 5.2 por un régimen específico para el sector público: “Medidas de seguridad en el ámbito del sector público:

  1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.
  2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado
  3. En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad

Por lo tanto, en la distintas entidades de la DA 1 , apartado 3 LOPD-GDD, ya sea en calidad de responsable o encargado del tratamiento, han de  categorizar de acuerdo con el Anexo I del ENS (en categoría básica, media o alta) los sistemas de información utilizados para el tratamiento y  de acuerdo con el Anexo II, implementar aquellas medidas de seguridad (organizativas, operacionales y de protección) que sean acordes a la categoría otorgada al sistema. Ello para proteger la integridad, confidencialidad y disponibilidad de los datos personales que traten,

Casamento no Pazo

Cualquier entidad  privada que preste o quiera prestar servicios a una Administración Pública ha de cumplir también con las medidas de seguridad que, en virtud del ENS, sean de aplicación a dicha administración de referencia. Y, en efecto, es habitual que las empresas privadas que se presentan a licitaciones del sector público encuentren reflejados en los pliegos la exigencia inexcusable de que cumplan con el Esquema Nacional de Seguridad y que hayan superado un proceso de certificación por una entidad debidamente acreditada.

¿El papel de responsable de seguridad en estas empresas podrá corresponder, es decir, coincidir con el  RSI o Chief Information Security Officer (CISO) que deriva del RD  43/2021 -dentro del desarrollo del paquete NIS (Network Information and Security) ; al que aludíamos en entradas anteriores? Conforme al art 7 apartado 5 delReal Decreto 43/2021,  así sería, al menos en el caso de las empresas privadas sometidas tanto a NIS como al ENS. 

El Responsable de Seguridad de la Información – RSI/CISO en los operadores de servicios esenciales. RD 43/2021 que desarrolla el RD-l 12/2018 (seguimos con el paquete NIS)

Posted on por

El Boletín Oficial del Estado (BOE) publica el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. El texto completa la incorporación del  la Directiva (UE) 2016/1148 del Parlamento Europeo y  del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión Europea, conocida como Directiva NIS (Security of Network and Insformation Systems)

Cabanas, 2016

Recuérdese que a  finales del año 2018, la transposición de la citada Directiva NIS se llevó al ordenamiento jurídico español mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. que  regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales, estableciendo mecanismos que, con una perspectiva integral, permiten mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, y fija un marco institucional de cooperación que facilita la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea

En esta ocasión, el Real Decreto 43/2021, de 26 de enero, que publica el BOE, establece como ámbito de aplicación la prestación de los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Pero también la prestación de servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.

En el artículo 2.2. RD contempla que está sometidos a este nuevo Real Decreto «los operadores de servicios esenciales establecidos en España. En coherencia con lo ya expresado respecto de NIS, se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que estos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades. Así mismo, este real decreto será de aplicación a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.» También «los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión

Por contra, este Real Decreto no se aplica, según establece el artículo 2.3, a «los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.». Tampoco a «los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.«

Sanabria

Cabe destacar que en dicho Real Decreto:

  1. se establecen los requisitos de seguridad, así como las medidas para el cumplimiento de las obligaciones de seguridad,
  2. contempla en el plano normativo al responsable de la seguridad de la información o RSI, el CISO, que veíamos desarrollado en normas o estándares privados como ISO.
  3. se ocupa de la gestión de incidentes de seguridad
  4. detalla las obligaciones de notificación de los incidentes de los operadores de servicios esenciales: «Los operadores de servicios esenciales notificarán a la autoridad competente respectiva, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, considerándose a tal efecto los incidentes con un nivel de impacto crítico, muy alto o alto, según el detalle que se especifica en el apartado 4 de la Instrucción nacional de notificación y gestión de ciberincidentes, que se contiene en el anexo de este real decreto. Asimismo, notificarán los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos. A estos efectos, se considerarán los incidentes con un nivel de peligrosidad crítico, muy alto o alto, según el detalle que se especifica en el apartado 3 de la citada Instrucción«, reza el artículo 9.1 de este RD.

El RSI o CISO (para OSE)

En relación con el Responsable de Seguridad de la Información, el artículo 7  del RD 43/2021 insta a que esta figura mantenga «una comunicación real y efectiva con la alta dirección». Además, señala que su posición debe «facilitar el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad». Esta figura, ya sea una persona, unidad u órgano colegiado, deberá contar con medios personales y materiales para desarrollar su función. Ejercerá de punto de contacto y coordinación técnica con la autoridad competente y el CSIRT de referencia. El art 7 es de aplicación únicamente a los OSE

Entre las funciones del RSI/CISO está el  elaborar las políticas de seguridad y proponerlas para su aprobación por la organización. Estas políticas han de incluir las medidas técnicas y organizativas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados. Y, para prevenir y reducir al mínimo los efectos de los ciberincidentes

Se reproduce a continuación el art 7 del RD 43/2021:

Artículo 7. Responsable de la seguridad de la información.

  1. Los operadores de servicios esenciales designarán una persona, unidad u órgano colegiado, responsable de la seguridad de la información que ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y CSIRT de referencia que le corresponda de conformidad con lo previsto en el apartado tercero. En el supuesto de que el responsable de seguridad de la información sea una unidad u órgano colegiado, se deberá designar una persona física representante, así como un sustituto de este que asumirá sus funciones en casos de ausencia, vacante o enfermedad. El plazo para llevar a cabo dicha designación será de tres meses desde su designación como operador de servicios esenciales.
  2. Los operadores de servicios esenciales comunicarán a la autoridad competente respectiva la designación del responsable de la seguridad de la información dentro del plazo establecido en el apartado anterior, así como los nombramientos y ceses que afecten a la designación del responsable de la seguridad de la información en el plazo de un mes desde que aquellos se produzcan.
  3. El responsable de la seguridad de la información actuará como punto de contacto con la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información, y como punto de contacto especializado para la coordinación de la gestión de los incidentes con el CSIRT de referencia. Se desarrollarán bajo su responsabilidad, entre otras, las siguientes funciones:

a) Elaborar y proponer para aprobación por la organización, de conformidad con lo establecido en el artículo 6.2 de este real decreto, las políticas de seguridad, que incluirán las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios, de conformidad con lo dispuesto en el artículo 6.

b) Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo controles periódicos de seguridad.

c) Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad considerado en el artículo 6.3 párrafo segundo de este real decreto.

d) Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.

e) Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios a los que se refiere el artículo 19.1 del Real Decreto-ley 12/2018, de 7 de septiembre.

f) Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.

g) Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa. El responsable de la seguridad de la información, para desarrollar estas funciones, se podrá apoyar en servicios prestados por terceros.

4. Los operadores de servicios esenciales garantizarán que el responsable de la seguridad de la información cumpla con los siguientes requisitos:

a) Contar con personal con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico, adecuados al desempeño de las funciones indicadas en el apartado anterior.

b) Contar con los recursos necesarios para el desarrollo de dichas funciones.

c) Ostentar una posición en la organización que facilite el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo una comunicación real y efectiva con la alta dirección.

d) Mantener la debida independencia respecto de los responsables de las redes y los sistemas de información.

5. Siempre que concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulación, las funciones y responsabilidades encomendadas al responsable de la seguridad de la información podrán compatibilizarse con las señaladas para el Responsable de Seguridad  del Esquema Nacional de Seguridad,  a lo que dedicamos la siguiente entrada de este blog