DORA en profundidad: El Reglamento Delegado (UE) 2024/1774 y la continuidad operativa en el sector financiero

En un entorno financiero profundamente digitalizado, la resiliencia operativa digital es crucial para la estabilidad del sistema y la protección de los servicios esenciales. El Reglamento Delegado (UE) 2024/1774, de 13 de marzo de 2024, desarrolla el Reglamento DORA (UE) 2022/2554, estableciendo normas técnicas de regulación (RTS) relativas a la gestión del riesgo de las TIC, la continuidad operativa y la gobernanza interna.

Objetivo y Alcance del Reglamento Delegado. 

Este desarrollo Reglamentario está orientado a garantizar la proporcionalidad y eficacia en la aplicación del DORA, con especial atención a la diversidad estructural de las entidades financieras.

Según su artículo 1, este Reglamento tiene por objeto especificar los requisitos detallados sobre:

  • Herramientas, métodos y políticas para la gestión del riesgo de las TIC (art. 4-24).
  • Estrategias y planes de continuidad operativa y recuperación (art. 2 y 3, y 25-27).
  • Gobernanza interna en relación con los riesgos TIC (art. 28-30).

Estrategia de Continuidad Operativa TIC . Los artículos 2 y 3 exigen a las entidades:

  • Identificar funciones críticas o importantes (CFI) y sus dependencias.
  • Determinar los recursos TIC necesarios y los riesgos derivados de la dependencia tecnológica.
  • Establecer mecanismos de revisión y aprobación periódica por parte del órgano de dirección.
  • Integrar la estrategia de continuidad TIC en el marco general de gestión de riesgos.

Gestión integral del riesgo TIC

Los artículos 4 a 23 del Reglamento Delegado (UE) 2024/1774 articulan un marco integral para la gestión del riesgo relacionado con las TIC, estructurado en distintos bloques temáticos que abarcan todo el ciclo de vida de los activos digitales.

En primer lugar, los artículos 5 a 11 se centran en la gestión del ciclo de vida de los activos TIC, incluyendo aspectos como el control de accesos, la segmentación de entornos, las políticas de configuración, la gestión de parches y actualizaciones, el registro de eventos, la planificación de capacidad y el uso seguro de técnicas criptográficas.

El art 9 establece que las entidades financieras deben desarrollar procedimientos específicos para la gestión de la capacidad y el rendimiento de sus sistemas TIC.

  • Estos procedimientos deben permitir determinar los requisitos de capacidad, optimizar el uso de recursos y mantener o mejorar la disponibilidad, eficiencia y previsión de necesidades tecnológicas.
  • Además, deben adaptarse a las particularidades de los sistemas que requieren procesos de adquisición complejos o que hacen un uso intensivo de recursos, garantizando así una planificación adecuada y resiliente

El Reglamento Delegado (UE) 2024/1774 profundiza en las obligaciones de seguridad que deben adoptar las entidades financieras en relación con los datos y sistemas TIC.

El artículo 10 regula la gestión de vulnerabilidades y parches.

  • En primer lugar, exige que las entidades financieras elaboren procedimientos para identificar, evaluar y mitigar vulnerabilidades, incluyendo la actualización constante de fuentes de información fiables, la realización de escaneos automatizados (al menos semanales para activos críticos), y la verificación de que los proveedores TIC gestionan adecuadamente sus propias vulnerabilidades. También se requiere el seguimiento del uso de bibliotecas de terceros, especialmente en servicios TIC esenciales, y la divulgación responsable de vulnerabilidades cuando sea necesario. Además, se deben priorizar los parches según la gravedad de la vulnerabilidad y el perfil de riesgo del activo afectado, y registrar todas las vulnerabilidades detectadas junto con su resolución.
  • En cuanto a la gestión de parches, el artículo exige procedimientos que permitan identificar y evaluar actualizaciones mediante herramientas automatizadas, establecer protocolos de emergencia, probar e implementar los parches conforme a las normas de seguridad y definir plazos claros para su instalación. En caso de incumplimiento de estos plazos, deben existir mecanismos de escalado jerárquico para su resolució

Además, concreta en su artículo 11 la necesidad de establecer procedimientos específicos para salvaguardar la integridad, confidencialidad y disponibilidad de la información.

  • Dichos procedimientos deben ser coherentes con la clasificación de datos establecida conforme al Reglamento DORA e incluir medidas técnicas y organizativas que garanticen configuraciones seguras, restricción de accesos, control de software autorizado, protección frente a códigos maliciosos y uso controlado de dispositivos.
  • También se exige prestar especial atención a entornos de teletrabajo y a la gestión de activos operados por terceros, respetando en todo momento el principio de responsabilidad plena de la entidad financiera respecto de sus proveedores de servicios TIC.
  • Asimismo, se prevén requisitos precisos sobre la eliminación segura de datos y soportes, así como sobre la prevención de fugas de información y el aseguramiento de la resiliencia digital.

Complementariamente, el artículo 12 impone un marco riguroso para la gestión de registros, como salvaguarda frente a intrusiones y usos indebidos. Las entidades deben identificar qué hechos registrar, han de proteger la integridad de los datos y tienen que garantizar su conservación durante periodos adecuados, en función de la finalidad del registro y del nivel de riesgo asociado. La trazabilidad debe extenderse al acceso lógico y físico, al rendimiento de redes, a la gestión de la capacidad y al ciclo de vida de los sistemas TIC. Para asegurar la fiabilidad y utilidad de estos registros, el Reglamento exige mecanismos contra la manipulación o el acceso no autorizado, así como la sincronización precisa del tiempo en todos los sistemas, asegurando su coherencia con fuentes de referencia fiables.

 En los artículos 17 a 19, el Reglamento trata específicamente la seguridad de redes y sistemas de información (SGSI), con énfasis en la protección frente a ciberamenazas, la implementación de mecanismos de autenticación robusta y el despliegue de medidas de defensa en profundidad. Por su parte, los artículos 20 a 23 regulan la gestión del desarrollo y mantenimiento de software, exigiendo procedimientos seguros durante las fases de desarrollo, prueba y modificación tanto de software propio como de soluciones de terceros.

Políticas y  Planes de continuidad operativa.

Los artículos 24 a 26 del Reglamento Delegado (UE) 2024/1774 desarrollan de forma precisa los requisitos que deben cumplir las políticas y planes de continuidad operativa en materia de TIC.

  • El artículo 24 establece el contenido mínimo que deben incluir dichas políticas, tales como los objetivos perseguidos, sus eventuales limitaciones, los criterios para su activación y desactivación, así como los procedimientos de comunicación tanto interna como externa en situaciones de crisis. Asimismo, exige la definición de escenarios de disrupción y de objetivos concretos de recuperación, la planificación de pruebas periódicas y su validación documental.
    • Estas políticas deben estar armonizadas con las relativas a la subcontratación, en línea con lo dispuesto en el artículo 28 del propio Reglamento.
  • Por su parte, el artículo 25 impone la obligación de realizar pruebas de los planes de continuidad TIC al menos una vez al año. Estas pruebas deben estar basadas en análisis de impacto en el negocio y contemplar escenarios graves pero verosímiles. Además, deben incluir simulaciones que involucren a terceros proveedores de servicios TIC, lo que refuerza la preparación frente a fallos externos. Es fundamental que los resultados de estas pruebas se documenten adecuadamente, que se subsanen las deficiencias detectadas y que cualquier fallo material se comunique sin demora al órgano de dirección.
  • El artículo 26 exige que las entidades dispongan de planes de respuesta y recuperación ante incidentes TIC que definan con claridad las condiciones de activación, aseguren la restauración de la disponibilidad e integridad de los sistemas críticos y contemplen alternativas operativas cuando las medidas primarias no sean viables. Estos planes deben abordar también la respuesta ante incidentes complejos como fallos de infraestructuras, ciberataques o pandemias, e incluir tiempos objetivos de recuperación (RTOs) claramente definidos para cada función crítica o importante (CFI).

Mongolfiera

Los requisitos reforzados para ciertas entidades se contemplan en el art 27:

  • Contrapartes centrales (CCPs): recuperación de servicios esenciales en un máximo de 2 horas, con centros de respaldo en ubicaciones geográficas con riesgo diferenciado.
  • Depositarios centrales de valores (CSDs): enfoque de continuidad con especial atención a sus interdependencias sistémicas.
  • Centros de negociación: capacidad de reanudar operaciones en menos de 2 horas, con pérdida mínima de datos.

Por otro lado, los artículos 28 a 30 establecen las bases de la gobernanza interna y el control del riesgo TIC, señalando que el órgano de dirección de cada entidad es el responsable último del marco de gestión implantado. Este marco debe estar respaldado por una clara asignación y documentación de funciones, garantizar la formación continua y la competencia técnica del personal implicado, así como prever la existencia de una función de auditoría interna independiente que verifique regularmente el cumplimiento de las obligaciones establecidas en materia de riesgo TIC.

Gobernanza Interna y control 

Los artículos 28 a 30 del Reglamento Delegado (UE) 2024/1774 establecen los principios de gobernanza y supervisión interna del marco de gestión del riesgo relacionado con las TIC en las entidades financieras.

  • En primer lugar, el artículo 28 atribuye al órgano de dirección la responsabilidad última sobre la gestión del riesgo TIC. Este órgano debe aprobar y revisar periódicamente el marco de gestión del riesgo, asegurando su adecuación a la naturaleza, escala y complejidad de la entidad. Además, debe supervisar su aplicación efectiva y garantizar que se disponga de los recursos necesarios para su implementación.
  • El artículo 29 exige que las funciones y responsabilidades relacionadas con la gestión del riesgo TIC estén claramente asignadas, documentadas y comunicadas dentro de la organización. Esto incluye tanto a los niveles operativos como a los de supervisión, con el fin de evitar solapamientos o lagunas en la gestión. Asimismo, se establece que el personal implicado debe contar con la formación continua y la competencia técnica adecuadas, lo que implica programas de capacitación adaptados a los riesgos y tecnologías emergentes.
  • Por último, el artículo 30 impone la obligación de contar con una función de auditoría interna independiente, encargada de evaluar periódicamente la eficacia del marco de gestión del riesgo TIC. Esta auditoría debe ser objetiva, estar debidamente documentada y sus resultados deben comunicarse al órgano de dirección. Además, debe incluir recomendaciones para corregir deficiencias y hacer seguimiento de su implementación.

Ciber resiliencia de productos . Propuesta (UE) de reforma del régimen de responsabilidad del fabricante (Y marcado CE de ciberseguridad)

La Comisión presentó una propuesta de nueva Ley de Ciberresiliencia  o Reglamento Propuesta de Reglamento relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020 (COM(2022) 454 final).  Introduce requisitos obligatorios de ciberseguridad para los productos con elementos digitales, a lo largo de todo su ciclo de vida. Sobre aquella propuesta habíamos comentado aquí.

La propuesta se basa en el nuevo marco legislativo de la UE en materia de productos y establece por un lado, normas para la comercialización de productos con elementos digitales para garantizar su ciberseguridad; por otro requisitos esenciales para el diseño, el desarrollo y la producción de productos con elementos digitales, y obligaciones para los operadores económicos en relación con estos productos; también requisitos esenciales para los procesos de gestión de la vulnerabilidad establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y obligaciones para los operadores económicos en relación con estos procesos, incluyendo obligaciones de los fabricantes de informar de las vulnerabilidades e incidentes explotados activamente. Además, establece normas sobre vigilancia del mercado y aplicación de la legislación. En conjunto, esta propuesta llamada «Ley de Ciber resiiencia»  refuerza las normas de ciberseguridad para garantizar productos de hardware y software más seguros.

 

Gladiolo

Debe recordarse que los productos de hardware y software son cada vez más objeto de ciberataques con éxito. Ello implica un coste anual mundial estimado de 5,5 billones de euros para 2021. Estos productos adolecen de dos grandes problemas, un bajo nivel de ciberseguridad con vulnerabilidades generalizadas y suministro insuficiente e incoherente de actualizaciones de seguridad para abordarlas; y una comprensión y un acceso a la información insuficientes por parte de los usuarios (les impide elegir productos con propiedades de ciberseguridad adecuadas o utilizarlos de forma segura).

Hoy,  la  mayoría de los productos de hardware y software no están cubiertos la legislación de la UE sobre ciberseguridad. En particular, el actual marco jurídico de la UE no aborda la ciberseguridad de los programas informáticos no integrados, aun cuando son objeto de ciberataques a menudo.

La propuesta tiene dos objetivos principales, en relación con los productos.

  • crear las condiciones para el desarrollo de productos seguros con elementos digitales, garantizando que los productos de hardware y software se comercialicen con menos vulnerabilidades y velando por que los fabricantes se tomen en serio la seguridad a lo largo de todo el ciclo de vida del producto; y
  • crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad a la hora de seleccionar y utilizar productos con elementos digitales.

Y cuatro objetivos específicos:

  1. que los fabricantes mejoren la seguridad de los productos con elementos digitales desde la fase de diseño y desarrollo y a lo largo de todo el ciclo de vida;
  2. garantizar un marco coherente de ciberseguridad que facilite el cumplimiento de la normativa a los fabricantes de hardware y software
  3. aumentar la transparencia de las propiedades de seguridad de los productos con elementos digitales, y
  4. fomentar que las empresas y los consumidores utilicen los productos con elementos digitales de forma segura.

Documentación técnica (art 23 de la propuesta)

La documentación técnica debe elaborarse antes de que el producto con elementos digitales se introduzca en el mercado y, en su caso, se mantendrá permanentemente actualizada durante la vida útil prevista del producto o durante cinco años a partir de la introducción del producto con elementos digitales en el mercado, si este período fuese más breve

Marcado CE «Conformité Européenne (preámbulo 32 y art 21 de la propuesta)

El marcado CE indica la conformidad de un producto, es el resultado visible de todo un proceso que comprende la evaluación de la conformidad en sentido amplio. Los principios generales por los que se rige el marcado CE se establecen en el Reglamento (CE) n.º 765/2008 Ahora, con esta propuesta de ciber resiliencia se establecen disposiciones relativas a la colocación del marcado CE en productos con elementos digitales, siendo el marcado CE  el único marcado que garantice que los productos con elementos digitales cumplen con los requisitos Téngase en cuenta que cuando existe reserva de Marcado CE, esta mención es obligatoria. Conforme a la propuesta, los productos con elementos digitales deben llevar el marcado CE para acreditar su conformidad con el presente Reglamento y así poder circular libremente por el mercado interno.

  • El marcado CE, tal como se define en el artículo 3, punto 32, estará sujeto a los principios generales establecidos en el artículo 30 del Reglamento (CE) n.º 765/2008.:  ««marcado CE»: un marcado con el que un fabricante indica que un producto con elementos digitales y los procesos establecidos por el fabricante son conformes con los requisitos esenciales establecidos en el anexo I y otras normas de la Unión aplicables que armonicen las condiciones para la comercialización de productos (las «normas de armonización de la Unión») y prevean su colocación»
  • Se siguen las reglas de colocación, tamaño etc del art 22

En relación con este marcado la Comisión estará facultada para adoptar actos de ejecución con el fin de especificar el formato o los elementos de los informes obligatorios y la nomenclatura de materiales de los programas informáticos, especificar los esquemas europeos de certificación de la ciberseguridad que puedan utilizarse para demostrar la conformidad con los requisitos esenciales o partes de estos establecidos en el presente Reglamento, adoptar especificaciones comunes, establecer especificaciones técnicas para la colocación del marcado CE y adoptar medidas correctoras o restrictivas a escala de la Unión en circunstancias excepcionales que justifiquen una intervención inmediata destinada a preservar el buen funcionamiento del mercado interior.

Tareas encomendadas a ENISA

  • Recibir notificaciones de los fabricantes relativas a las vulnerabilidades presentes en los productos con elementos digitales y sobre los incidentes que repercutan en la seguridad de dichos productos.
  • Transmitir estas notificaciones a los equipos de respuesta a incidentes de seguridad informática (CSIRT) pertinentes o, según corresponda, a los puntos de contacto únicos de los Estados miembros designados de conformidad con DNIS2, así como informar a las autoridades de vigilancia del mercado pertinentes sobre la vulnerabilidad notificada.
  • Elaborar un informe técnico bienal sobre las tendencias emergentes en relación con los riesgos de ciberseguridad en productos con elementos digitales y presentarlo al Grupo de Cooperación
  • Apoyar el proceso de ejecución del Reglamento. En particular, proponer actividades conjuntas que las autoridades de vigilancia del mercado deberán llevar a cabo sobre la base de determinadas indicaciones o información sobre el posible incumplimiento en productos con elementos digitales en varios Estados miembros, o de identificar categorías de productos para las que deban organizarse acciones de control simultáneas coordinadas.
  • En circunstancias excepcionales que requieran una intervención inmediata, la ENISA, a petición de la Comisión, realizará evaluaciones relativas a productos específicos con elementos digitales que presenten un riesgo de ciberseguridad significativo.

Evaluación de conformidad (arts. 25 ss. de la Propuesta)

  • Recuérdese que la conformidad de un producto se efectúa antes de su comercialización. Consiste en demostrar que se cumplen todos los requisitos legislativos. Incluye pruebas, inspección y certificación.
  • En general, la legislación de productos describe los procedimientos de evaluación de la conformidad para cada producto. En concreto, para cada producto se especifica en la legislación de producto aplicable, y , el fabricante puede elegir entre diferentes procedimientos de evaluación de la conformidad disponibles para sus productos, en su caso.
  • En alunos casos, la evaluación la realizaría el fabricante salvo cuando a legislación requiere la intervención de un organismo de evaluación de conformidad.
  • Dentro de la evaluación de la conformidad, el fabricante o el representante autorizado debe redactar una declaración de conformidad (DoC). La declaración debe contener toda la información para identificar:
        • Producto
        • Legislación aplicable a ese producto
        • Fabricante o el representante autorizado
        • Organismo notificado si procede
        • Una referencia a normas armonizadas u otros documentos normativos, cuando proceda
  • En relación con esta Propuesta, los Estados miembros notificarán a la Comisión y a los demás Estados miembros los organismos de evaluación de la conformidad autorizados a realizar evaluaciones de la conformidad con arreglo al presente Reglamento.

Azaleas

A propósito de los organismos notificados  los organismos de evaluación de conformidad (art 29 ss de la Propuesta). Y repaso al sistema de acreditación

  • Con carácter general, el organismo notificado es una organización designada por un país de la UE para evaluar la conformidad de determinados productos antes de su comercialización. Estos organismos llevan a cabo tareas relacionadas con los procedimientos de evaluación de la conformidad establecidos en la legislación aplicable a petición de terceros como los fabricantes. La Comisión Europea publica una lista de dichos organismos notificados. En España, los Organismos Notificados deben contar con la aprobación previa de ENAC (Entidad Nacional de Acreditación). Conforme al Reglamento  (CE) n.o 765/2008 la ENAC es ,en España, el organismo de acreditación:  el único organismo de un Estado miembro con potestad pública para llevar a cabo acreditaciones. Estas acreditaciones son también definidas en el mismo Reglamento: declaración por un organismo nacional de acreditación de que un organismo de evaluación de la conformidad cumple los requisitos fijados con arreglo a normas armonizadas y, cuando proceda, otros requisitos adicionales, incluidos los establecidos en los esquemas sectoriales pertinentes, para ejercer actividades específicas de evaluación de la conformidad

Rasgos generales de estos ONEC:

    • Imparcialidad: su personal tiene competencia técnica libre de incentivos económicos que tienten su criterio
    • Confidencialidad: garantizan el secreto profesional y tienen seguro de responsabilidad civil
    • Independencia: tienen personalidad jurídica propia e independiente de la organización evaluada. En este sentido, ni los directivos ni el personal podrán diseñar, instalar, proveer, fabricar, mantener…nada que pueda entrar en conflicto con su independencia, en especial los servicios de consultoría. Los organismos notificados de certificación, son conforme al R (CE) 765/2008 organizaciones que desempeñan actividades de evaluación de la conformidad, que incluyen calibración, ensayo, certificación e inspección.

Rasgos específicos de los ONEC en la Propuesta:

  • Están sometidos a las reglas específicas de notificación (art 29, apartados 2 a 12).
  • Los organismos de evaluación de la conformidad se establecerán con arreglo al Derecho nacional y tendrán personalidad jurídica. Pueden pertenecer a una asociación comercial o una federación profesional que represente a las empresas que participan en el diseño, el desarrollo, la producción, el suministro, el montaje, el uso o el mantenimiento de los productos con elementos digitales que evalúen, a condición de que se demuestre su independencia y la ausencia de conflictos de interés.
    • Es establecen incompatibilidades: Ni el ONEC, ni sus directivos de más alto rango, ni el personal responsable de la realización de las tareas de evaluación de la conformidad pueden realizar funciones de diseño, desarrollo, fabricación, provisión de servicios de instalación. Ni serán el comprador, el dueño, el usuario o el encargado del mantenimiento de los productos con elementos digitales que deben evaluarse. Ni el representante autorizado de ninguno de ellos.  Tampoco  intervendrán directamente en el diseño, el desarrollo, la producción, la comercialización, la instalación, el uso ni el mantenimiento de estos productos, ni representarán a las partes que participen en estas actividades. No realizarán ninguna actividad que pueda entrar en conflicto con su independencia de criterio o su integridad en relación con las actividades de evaluación de la conformidad para las que hayan sido notificados (en particular, esta incompatibilidad afecta a los servicios de consultoría). No obstante, estas incompatibilidades no serán óbice para que usen los productos evaluados que sean necesarios para el funcionamiento del propio ONEC o con fines personales.
    • Los ONEC se asegurarán de que las actividades de sus filiales o subcontratistas no afecten a la confidencialidad, objetividad o imparcialidad de sus actividades de evaluación de la conformidad.
    • Los ONEC y su personal actuarán con el máximo nivel de integridad profesional y con la competencia técnica exigida para el campo específico. Estarán libres de cualquier presión o incentivo, especialmente de índole financiero, que pudieran influir en su apreciación o en el resultado de sus actividades de evaluación de la conformidad, en particular por parte de personas o grupos de personas que tengan algún interés en los resultados de estas actividades.
    • El ONEC capaz de realizar todas las tareas de evaluación de la conformidad especificadas en el anexo VI de la Propuesta y para las que haya sido notificado, independientemente de si realiza las tareas el propio organismo o si se realizan en su nombre y bajo su responsabilidad.

En todo momento, para cada procedimiento de evaluación de la conformidad y para cada tipo o categoría de productos con elementos digitales para los que ha sido notificado, el organismo de evaluación de la conformidad dispondrá:

            1. de personal con conocimientos técnicos y experiencia suficiente y adecuada para realizar las tareas de evaluación de la conformidad;
            2. de las descripciones de los procedimientos con arreglo a los cuales se efectúa la evaluación de la conformidad, garantizando la transparencia y la posibilidad de reproducción de estos procedimientos; dispondrá también de las políticas y procedimientos adecuados que permitan distinguir entre las tareas efectuadas como organismo notificado y cualquier otra actividad;
            3. de procedimientos para desempeñar sus actividades teniendo debidamente en cuenta el tamaño de las empresas, el sector en que operan, su estructura, el grado de complejidad de la tecnología del producto y el carácter masivo o en serie del proceso de producción.
            4. dispondrá de los medios necesarios para realizar adecuadamente las tareas técnicas y administrativas relacionadas con las actividades de evaluación de la conformidad y tendrá acceso a todo el equipo o las instalaciones que necesite. El personal encargado de llevar a cabo las tareas de evaluación de la conformidad dispondrá de:
                  1. una buena formación técnica y profesional para realizar todas las actividades de evaluación de la conformidad para las que el organismo de evaluación de la conformidad haya sido notificado;
                  2. un conocimiento satisfactorio de los requisitos de las evaluaciones que efectúe y la autoridad necesaria para efectuarlas
                  3. un conocimiento y una comprensión adecuados de los requisitos esenciales, de las normas armonizadas aplicables y de las disposiciones pertinentes de las normas de armonización de la Unión aplicables, así como de las normas de aplicación correspondientes;
                  4. capacidad necesaria para elaborar certificados, documentos e informes que demuestren que se han efectuado las evaluaciones.

Se garantizará la imparcialidad de los organismos de evaluación de la conformidad, de sus directivos de alto rango y del personal de evaluación.

      • La remuneración de los directivos de alto rango y del personal de evaluación de los organismos de evaluación de la conformidad no dependerá del número de evaluaciones realizadas ni de los resultados de dichas evaluaciones.

Garantías frente a responsabilidad

  • El organismo de evaluación de la conformidad suscribirá un seguro de responsabilidad, salvo que el Estado asuma la responsabilidad con arreglo al Derecho interno, o que el propio Estado miembro sea directamente responsable de la evaluación de la conformidad.

Secreto

    • El personal del organismo de evaluación de la conformidad deberá observar el secreto profesional acerca de toda la información recabada en el ejercicio de sus tareas, con arreglo al anexo VI o a cualquier disposición de Derecho interno por la que se aplique, salvo con respecto a las autoridades de vigilancia del mercado del Estado miembro en que realice sus actividades. Se protegerán los derechos de propiedad. El organismo de evaluación de la conformidad contará con procedimientos documentados que garanticen el cumplimiento del presente apartado.

 

 

Zarzas y lila

Otras cuestiones

    • Los ONEC participarán en las actividades pertinentes de normalización y las actividades del grupo de coordinación de los organismos notificados establecido con arreglo al artículo 40, o se asegurarán de que su personal de evaluación esté informado al respecto, y aplicarán a modo de directrices generales las decisiones y los documentos administrativos que resulten de las labores del grupo.
    • Los ONEC funcionarán con arreglo a un conjunto de condiciones coherentes, justas y razonables que tengan particularmente en cuenta los intereses de las pymes en relación con las tasas.

Presunción de conformidad/ subcontrataciones y filiales de los organismos notificados

  • Artículo 30.- Presunción de conformidad . Si un ONEC declara la conformidad de productos con los criterios establecidos en las normas armonizadas (o parte de ellas) cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea, se presumirá que tales productos cumples los requisitos establecidos en el artículo 29 de la propuesta, en la medida en que las normas armonizadas aplicables cubran estos requisitos.
  • Artículo 31. Subcontrataciones y filiales de los ONEC: 1.Cuando un ONEC subcontrate tareas específicas relacionadas con la evaluación de la conformidad o recurra a una filial, se asegurará de que el subcontratista o la filial cumplen los requisitos establecidos en el artículo 29 e informará a la autoridad notificante en consecuencia. 2.El ONEC asumirá la plena responsabilidad de las tareas realizadas por los subcontratistas o las filiales, con independencia de dónde estén establecidos. 3.Las actividades solo podrán subcontratarse o delegarse en una filial previo consentimiento del fabricante. 4.Los ONEC mantendrán a disposición de la autoridad notificante los documentos pertinentes sobre la evaluación de las cualificaciones del subcontratista o de la filial, así como sobre el trabajo que estos realicen con arreglo al presente Reglamento (esta Propuesta).

25 THINGS YOU SHOULD KNOW ABOUT ARTIFICAL INTELLIGENCE ART AND COPYRIGHT, Fernández Carballo-Calero

Artificial Intelligence (IA) is no longer science fiction. Con esta frase , el Profesor Pablo Fernández Carballo- Calero inicia su obra 25 THINGS YOU SHOULD KNOW ABOUT ARTIFICAL INTELLIGENCE ART AND COPYRIGHT, Aranzadi (colección estudios), 2022 ISBN- 978-84-1391-652-1 .

Los sistemas de IA escriben, pintan, componen música. Y plantean problemas de calado en el ámbito de la Propiedad y Tutela intelectual sobre las obras así generadas. ¿deberían estar protegidas por derechos de autor?  ¿quién sería el autor y el titular de los derechos? La obra comentada aporta 25 factores clave sobre la Propiedad Intelectual de las obras generadas con inteligencia artificial, distinguiendo entre las creadas de forma principalmente autónoma por máquinas inteligentes de aquellas en las que ha existido, dentro del proceso creativo, una contribución humana relevante y verificada.

Este trabajo del Profesor Fernández Carballo-Calero, mercantilista de la Universidad de Vigo contribuye a encontrar respuestas a las preguntas formuladas. Escrita en inglés, se divide en VI partes (25 capítulos). Ofrece un completo análisis basado en derecho comparado, europeo y nacional sobre la relación de las creaciones y resultados surgidos total o parcialmente de la Inteligencia Artificial, y los derechos de autor

Artificial intelligence, art and copyright, la parte Iª, sitúa el conjunto de fenómenos que se conocen o identifican en torno a la denominada Inteligencia Artificial (A). En esta sección se da cuenta de las imprescindibles delimitaciones conceptuales y económicas necesarias para abordar el libro en su conjunto. El retrato Edmond Belamy creado por IA y subastado en Sotherby’s, o la generación algorítmica de melodías con Magenta son algunos de los ejemplos escogidos por el autor para acercarnos una representación clara de los debates jurídicos que se están desarrollando en torno a la protección de creaciones realizadas o apoyadas en IA (capítulo 4). Las nuevas realidades han exigido adaptar las normas de derecho de autor y continuarán demandando flexibilidad, o nuevas reglas. Resultan especialmente acertadas las reflexiones del autor sobre la evolución doctrinal en parte amparada por la OMPI/WIPO, evolución que no ha terminado. Incorpora concepciones donde la creación basada en máquinas seria obra que quien la utiliza y permite prever nuevas formulaciones para la protección de las obras generadas mediante IA

 

La IIª parte del libro se titula The typology of artificial intelligence artwork: a first assessment in the light of copyright fundamentals. Aquí se formulan cuestiones clave en torno a la creación mediante inteligencia artificial Recuerda Fernández Carballo-Calero que cabría que la IA esté protegida como programa de ordenador cuando se dan los requisitos al efecto (capitulo 8). También aborda la distinción entre obras generadas mediante IA y obras generadas con la asistencia de IA (capitulo 9, capítulo 10). A continuación, el autor reconduce el hilo de su trabajo retomando la clásica dicotomía entre las ideas utilitaristas (que priorizan el valor de la obra, en sí misma, y que han gozado de algún predicamento en el mundo anglosajón) y las teorías de la personalidad (que reconocen especialmente la relevancia del impacto del autor sobre las obras). Este marco permite asentar con rigor el debate sobre a definición de políticas futuras.

The protection of AI generaled works es el título de la IIIª parte. En ella se delimitan las creaciones sin intervención humana y se plantean vías por las que se iría formulando su tutela. Ello, sin perjuicio de que el reconocimiento clásico de derechos de autor se apoya en la concepción de la creatividad como un talento exclusivamente humano, que excluiría la protección de las obras en las que no hay intervención humana. Posición en la que la doctrina y la jurisprudencia ya aportan matices (capítulo 11).

  • En Europa, el Tribunal de Justicia de la Unión Europea (TJUE) ha declarado en varias ocasiones, como en su histórica sentencia Infopaq (C-5/08 Infopaq International A/S contra Danske Dagbaldes Forening), que los derechos de autor sólo se aplican a las obras originales, y que la originalidad debe reflejar la «propia creación intelectual del autor». De alguna manera, esto reflejaría que la obra original está impregnada y manifiesta la personalidad del autor, y se vincularía a la necesidad de que exista un autor humano como requisito para la protección de derechos de autor. Y, por ello, en la mayor parte de los ordenamientos las obras generadas por IA no gozarían de la protección de los derechos de autor.
  • Sin embargo, ciertos sistemas jurídicos – y sus tribunales- como los de Hong Kong, India Irlanda, Nueva Zelanda o Reino Unido habrían optado por introducir alguna tutela a las creaciones de IA. No se trata por el momento de un reconocimiento absoluto, ni autónomo, sino de atribuir derechos a quien realiza la programación que permite la creación (o a quien utiliza el programa). Es decir, se trata de proteger la participación humana (aunque sea mínima) en la creación. Este planteamiento se recoge claramente en la vigente legislación británica sobre derechos de autor: el artículo 9(3) de la Ley británica de Derechos de Autor, Diseños y Patentes (CDPA) , que establece: «En el caso de una obra literaria, dramática, musical o artística generada por ordenador, se considerará autor a la persona que haya tomado las medidas necesarias para la creación de la obra». Y, el artículo 178 de la CDPA define una obra generada por ordenador como aquella que «se genera por ordenador en circunstancias tales que no hay autor humano de la obra». La idea que subyace a esta disposición es crear una excepción a todos los requisitos de autoría humana, reconociendo el trabajo que conlleva la creación de un programa capaz de generar obras, aunque la tarea creativa recaiga en la máquina.
  • Con todo queda abierta otra pregunta fundamental consistente en la cuestión de a quién debe considerar la ley como la persona que realiza las acciones para generar la obra. En especial si la tutela y reconocimiento la merecería el programador o el usuario del programa que da lugar a la creación
  • Las posibles vías de tutela de las creaciones generadas por IA dan lugar a interesantes reflexiones.
    • Cabría, por ejemplo, una asimilación -o adaptación- de la protección de obras generadas por ordenador (capítulo 12). Aunque ello no evita reconocer dificultades hermenéuticas, por ejemplo, en torno a la originalidad del resultado. Y tampoco conduce a soluciones uniformes en todos los ordenamientos (como el inglés, el estadounidense, el español a la luz de la jurisprudencia de nuestro TS) ni conforme a la doctrina del Tribunal de Internet de Pekín.
    • Otra posible vía de tutela se apoyaría en la técnica jurídica de protección de obras efectuadas en el marco de trabajos, encargos de terceros (capítulo 13), respecto de la que el autor se muestra crítico.  Esta técnica tiene base en derecho positivo escrito, y conforme a ella (si) una obra se realiza por encargo, el empresario es tutelado como autor, sin serlo materialmente. Se ha formulado la posibilidad de que sirva en la búsqueda de soluciones para las creaciones generadas por IA .
    • O la futura tutela podría venir de la mano de la técnica de los derechos sui generis del productor de una base de datos (capítulo 14) , aunque tampoco parece la vía óptima. O en el reconocimiento de un nuevo derecho sui generis (capítulo 15).

Las maquinas no siempre serán meros instrumentos al servicio de los humanos. Ni son de momento mecanismos autónomos capaces de generar resultados con una intervención humana irrelevante (o inexistente). En muchos casos, y al menos hoy por hoy, la intervención de la IA ocupa un campo intermedio y difícil de definir.  Y en el camino hacia la clarificación del marco de tutela de estas creaciones es fundamental establecer los criterios para distinguir el nivel de contribución humana sobre los resultados creativos finales. Y es que si existe intervención humana, aunque sea pequeña, habrá lugar para activar la tutela del derecho de autor al creador personificado

La parte IVª se dedica a The protection of AI assisted Works. El autor ofrece una crítica ilustrada sobre la Resolución de 12 de febrero de 2019 del Parlamento Europeo sobre IA y Robótica. Y además, apunta al carácter incompleto de la Directiva UE 2019/790, que no llega a establecer un marco satisfactorio para la IA.  Nos encontramos ante una realidad difícil de precisar, en la que a menudo resulta difícil identificar la persona o la tecnología que soporta las creaciones.

Muy enriquecedora resulta la Vª parte Authorship and ownership of rights in relation to AI assisted works, donde se ofrecen perspectivas para delimitar la autoría conjunta de obras, frente a la generación exclusivamente apoyada en IA. La distinción no es homogénea ni en la doctrina , ni en el plano comparado. Ni es sencilla. Ocurrirá a menudo que las contribuciones  automatizadas o apoyadas en IA a una creación no son susceptibles de tutela en el sentido clásico del derecho de autor. O que  quien diseño el programa y quien lo utiliza ni siquiera se conocen, con lo cual no podría hablarse de una obra en colaboración en sentido propio.

En los anexos se recogen debates sobre la relación entre la Propiedad Intelectual y la Inteligencia Artificial, auspiciados por la WIPO. También de gran utilidad el Anexo relativo a la reglamentación de los trabajos generados por ordenadores. Y la útil bibliografía con referencias que completan el rigor científico de este libro.

Prologado por el catedrático Anxo Tato, en Navidad y desde la ribera del Ulla, los agradecimientos que el autor dedica a los colegas mercantilistas de la Universidad forman parte de un trabajo bien resuelto que aporta a la escuela gallega de Propiedad Industrial, y Derecho Mercantil del siglo XXI

 

Esta entrada ha sido elaborada con el apoyo del Proyecto de investigación «Los remedios restaurativos en el Derecho de la competencia: una respuesta a los retos que plantea la economía digital -RETOS  2020». PID2020-116217RB-I00.  Conv.  2020 de «Proyectos I+D+i» en el marco del Programa Estatal de Generación de conocimiento y fortalecimiento científico y tecnológico del sistema de I+D+i y del Programa estatal de I+D+i orientada a los retos de la sociedad».