Carlos B Fernández. Si ayer repasábamos las muchas interesantes novedades que llegaron al ámbito del Derecho Digital durante el año que acaba de concluir, hoy toca anticipar el calendario de los no menos interesantes cambios que se producirán en 2024.
El año de la ciberseguridad, la inteligencia artificial y la identidad digital
CIBERSEGURIDAD
Aunque todas las miradas parecen estar puestas en la próxima publicación del Reglamento europeo de inteligencia artificial, al que nos referimos a continuación, no conviene olvidar que en el cada vez más relevante ámbito de la ciberseguridad, este año España, como el resto de Estados miembros de la Unión Europea, tienen un horizonte en el 17 de octubre de este año.
En esa fecha, los Estados deberán haber traspuesto, tanto la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2 o NIS 2) (de cuyo contenido dimos cuenta aquí), como la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo (Directiva CER) (ver aquí).
El objetivo de la Directiva NIS 2 es eliminar las divergencias apreciadas entre los Estados miembros en la aplicación de la directiva sobre la seguridad de las redes y sistemas de información de 2016 —conocida como Directiva NIS—, mediante la definición de unas normas mínimas sobre el funcionamiento de un marco regulador coordinado, el establecimiento de mecanismos para que las autoridades competentes de cada Estado miembro cooperen de manera eficaz, la actualización de la lista de sectores y actividades sujetos a las obligaciones de ciberseguridad y la disponibilidad de vías de recurso y medidas de ejecución eficaces fundamentales para garantizar el cumplimiento efectivo de dichas obligaciones. Para ello, se establece un criterio uniforme que determine las entidades que están incluidas en el ámbito de aplicación de la Directiva y se amplía el ámbito de su aplicación por sectores a una parte más extensa de la economía, con el objetivo de ofrecer una cobertura completa de los sectores y servicios de vital importancia para las actividades sociales y económicas fundamentales dentro del mercado interior.
Por su parte, la nueva Directiva CER sustituye a la Directiva Europea de Infraestructuras Críticas de 2008, introduciendo nuevas reglas para fortalecer la resiliencia de las infraestructuras críticas ante una serie de amenazas, incluidos peligros naturales, ataques terroristas, amenazas internas o sabotaje. Para ello cubre once sectores: energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, administración pública, espacio y alimentación. En su virtud, los Estados miembros deberán adoptar una estrategia nacional y llevar a cabo evaluaciones periódicas de riesgos para identificar las entidades que se consideran críticas o vitales para la sociedad y la economía.
Por otra parte, desde enero de 2023 está en vigor el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) 1060/2009, (UE) 648/2012, (UE) 600/2014, (UE) 909/2014 y (UE) 2016/1011 (Reglamento DORA) (ver aquí), pero no comenzará a ser aplicable hasta el 17 de enero de 2025.
Y finalmente, se prevé que durante los primeros meses del año se publique el Reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020 (conocido como Cyber Resilience Act), sobre el que se alcanzó un acuerdo político entre el Consejo y el Parlamento el pasado 1 de diciembre.
Esta norma establecerá un marco legal que describe los requisitos de ciberseguridad para los productos de hardware y software con elementos digitales comercializados en el mercado de la Unión Europea. De esta forma, los fabricantes de este tipo de productos quedarán obligados a considerar su seguridad durante todo el ciclo de vida de un producto, pues los productos digitales de hardware y software constituyen una de las principales vías para que los ciberataques tengan éxito. Se considera que la ciberseguridad de estos productos tiene una dimensión transfronteriza particularmente fuerte, ya que los productos fabricados en un país suelen ser utilizados por organizaciones y consumidores en todo el mercado interior. Por ello, este nuevo reglamento abordará dos problemas principales: 1. el bajo nivel de ciberseguridad de los productos con elementos digitales, reflejado en vulnerabilidades generalizadas y la provisión insuficiente e inconsistente de actualizaciones de seguridad para abordarlas y, 2, la insuficiente comprensión y acceso a la información por parte de los usuarios, que les impide elegir productos con adecuadas propiedades de ciberseguridad o utilizarlos de forma segura.
A estos efectos, el Reglamento CRA se plantea cuatro objetivos específicos:1. Garantizar que los fabricantes mejoren la seguridad de los productos con elementos digitales desde la fase de diseño y desarrollo y durante todo el ciclo de vida; 2. Garantizar un marco de ciberseguridad coherente, que facilite el cumplimiento por parte de los productores de hardware y software; 3. Mejorar la transparencia de las propiedades de seguridad de los productos con elementos digitales, y 4. Permitir que las empresas y los consumidores utilicen productos con elementos digitales de forma segura.
INTELIGENCIA ARTIFICIAL
Sin duda, el área que más interés ha despertado durante los últimos meses, pero que sigue pendiente de la norma que definitivamente ha de regularla, el Reglamento de IA (o AI Act).
Tras el acuerdo político alcanzado el pasado ocho de diciembre entre los colegisladores europeos, las partes están negociando las condiciones técnicas del mismo, como paso previo a su aprobación y publicación definitivas.
Como se trata de una norma y de un proceso que han despertado tanta expectativa como algunos malentendidos, a finales de diciembre ofrecimos algunas aclaraciones al respecto.
Hay que tener en cuenta, no obstante, que tras su publicación y entrada en vigor a los veinte días, este Reglamento, como es habitual en la reciente normativa de la Unión tendrá un relativamente largo período de vacatio antes de ser plenamente aplicable. En concreto, la previsión es que la ley será directamente aplicable dos años después de su entrada en vigor, aunque ciertas disposiciones, como las relativas a los sistemas de IA prohibidos y de propósito general, tendrán unos periodos más cortos, de seis y doce meses respectivamente.
Mientras tanto, la Comisión está impulsando la aplicación del Pacto sobre IA, que permita a las empresas ir adaptándose desde ya a la nueva norma.
Y no cabe olvidar que en 2024 comenzará a ponerse en marcha la recientemente creada Agencia Española de Supervisión de la IA (AESIA), la cual, a su vez, deberá permitir dar los primeros pasos al entorno controlado de pruebas, o sandbox regulatorio, de la IA.
IDENTIDAD DIGITAL
Tras el acuerdo político alcanzado entre Consejo y Parlamento europeos en julio de 2023, se espera la publicación del Reglamento del Parlamento y del Consejo por el que se modifica el Reglamento (UE) 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea, conocido como Reglamento eIDAS 2.
Recordemos que esta propuesta no significa realmente la aprobación de una nueva norma, sino la introducción de una profunda modificación en el Reglamento 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS). En concreto, esta reforma pretende garantizar el acceso universal de las personas y las empresas a una identificación y autenticación electrónicas seguras y fiables, mediante una cartera o monedero digital que cada ciudadano podrá llevar en su teléfono móvil (cartera europea de identidad digital o European digital identity wallet), que les permitirá identificarse, con plena validez, ante el sector público de la UE, los proveedores de servicios privados que requieran una autenticación sólida de los usuarios y las grandes plataformas en línea. La propuesta también crea un marco jurídico para el intercambio de atributos de identificación e información vinculada a esta identidad digital, prevé el control de los usuarios y la protección de datos, así como el intercambio selectivo de datos limitado a las necesidades del servicio específico solicitado.
Y recordemos también que, en nuestro país, el Consejo de Ministros del día 27 de junio de 2023, adoptó un Acuerdo por el que se determinan los supuestos de validez de sistemas de identificación y firma electrónica en la administración del Estado por medio de sistemas de tecnología de registro distribuido, tal como se recoge en la Resolución de 6 de julio de 2023, de la Secretaría de Estado de Digitalizacióne Inteligencia Artificial, publicada en el BOE del 13 de julio.
Esta medida viene a dar validez a los sistemas de identificación y firma electrónica cuya verificación se lleve a cabo por medio Blockchain (como tecnología de registro distribuido), salvando así la limitación establecida por el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptaban medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones, según la cual y con relación a los sistemas deidentificación y firma electrónicos previstos en los artículos 9.2 c) y 10.2 c) de la ley 39/2015, de Procedimiento Administrativo Común de las Administraciones Públicas, «no serán admisibles en ningún caso y, por lo tanto, no podrán ser autorizados, los sistemas de identificación basados en tecnologías de registro distribuido y los sistemas de firma basados en los anteriores, en tanto que no sean objeto de regulación específicapor el Estado en el marco del Derecho de la Unión Europea». Esta medida, se aclara en la Resolución, en ningún caso supone una prohibición general de los sistemas de identificaciones y firmas basados en tecnologías de registro distribuido, sino de una simple restricción puntual y provisional de su uso como sistema de identificación y firma de los interesados cuando estos se relacionan con la Administración.
Y dado que en el marco nacional e internacional se está acelerando la necesidad de desarrollo y empleo de las nuevas tecnologías habilitadoras, en especial, de las de registro distribuido en sistemas de identificación de los usuarios, por parte de las Administraciones Públicas, debido a las grandes ventajas que ofrecen, y para poder cumplir los compromisos adquiridos por España en el liderazgo de las propuestas europeas sobre identidad digital y credenciales e infraestructura Blockchain que han sido seleccionadas por la Comisión Europea en el marco del programa Europa Digital, se considera que la limitación provisional introducida por la Disposición adicional sexta de la Ley 39/2015, requiere de una excepción específica para poder utilizar esta tecnología en el wallet en la ejecución de aquello proyectos y limitada a estos. Lo mismo ocurre con relación a la «Cartera digital» nacional que el Ministerio de Asuntos Económicos y Transformación Digital está desarrollando en ejecución de la medida 4 del Plan de Digitalización 2021-2025 y que dará cumplimiento a las previsionesdel futuro Reglamento eIDAS 2.
Enero de 2024: Google comienza a eliminar las cookies de terceros
Tal como venía anunciando desde 2020, a partir del 4 de enero de este año, Chrome planea inhabilitar las cookies de terceros para el 1% de los usuarios. El proceso alcanzará al 100% de los usuarios a partir del tercer trimestre de 2024.
De esta manera, la compañía norteamericana, líder en tantos ámbitos tan relevantes como los buscadores de internet (Chrome), los sistemas operativos para dispositivos móviles (Android) o las plataformas de difusión de contenidos multimedia (YouTube), sigue la decisión que ya habían adoptado anteriormente Apple con su navegador Safari y Mozilla con Firefox.
Como explica Kinza Yasar en TechTarget.com, las cookies son archivos de texto formados por bits de información que los sitios web utilizan para recopilar datos de los usuarios, como su ruta de navegación o sus preferencias de personalización y hacer un seguimiento de los mismos.
Las cookies pueden ser instaladas en el equipo del usuario por el propietario del sitio web, en cuyo caso se denominan cookies propias, normalmente con la finalidad de almacenar información sobre el mismo, como su nombre de usuario, contraseñas y preferencias de idioma y para mejorar la experiencia del usuario al recordar sus preferencias y configuraciones.
Por el contrario, las cookies de terceros son colocadas en un sitio web por alguien que no es el propietario del mismo (un tercero) para recopilar datos del usuario para el tercero, generalmente con fines de optimización y segmentación de la publicidad dirigida a ese usuario por sí mismo o por terceros asociados. Los anunciantes y las redes sociales suelen utilizar cookies para rastrear a los usuarios en todos los dominios y monitorear sus actividades en línea, por lo que dependen en gran medida de los datos de los usuarios para informar el contenido que seleccionan y generan.
A diferencia de las cookies propias, que solo pueden recopilar datos del usuario cuando los usuarios interactúan con el sitio web del propietario, las cookies de terceros rastrean a los usuarios en varios sitios web, lo que proporciona una imagen más completa del comportamiento del usuario.
Por tanto, si bien el bloqueo de cookies de terceros aumenta la privacidad y seguridad del usuario, supone un problema para esas empresas publicitarias que basan buena parte de su actividad en el seguimiento de los consumidores en su actividad en internet y las redes sociales, por lo que están buscando métodos alternativos, como las conversiones mejoradas (Enhanced Conversions) y otros.
17 de febrero: comienza a ser aplicable el Reglamento de Servicios Digitales (Digital Services Act)
El Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 (LA LEY 22694/2022) relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (LA LEY 7081/2000) (Reglamento de Servicios Digitales o Digital Markets Act, por su nombre en inglés), entró en vigor a los veinte días de su publicación en el DOUE del 27 de octubre de ese año.
Y si bien algunos de sus preceptos (como los artículos 24, apartados 2, 3 y 6; 33, apartados 3 a 6; 37, apartado 7; 40, apartado 13; 43 y las secciones 4, 5 y 6 del capítulo IV), ya comenzaron a ser aplicables a partir del 16 de noviembre de 2022, todo el resto del articulado comenzará a serlo a partir del próximo 17 de febrero.
Recordemos que el Reglamento de Servicios Digitales tiene por objeto crear un entorno en línea más seguro para los consumidores y las empresas de la Unión Europea (UE), con un conjunto de normas diseñadas para:
- Proteger a los consumidores y sus derechos fundamentales;
- Definir responsabilidades claras para las plataformas en línea y las redes sociales;
- Hacer frente a los contenidos y productos ilícitos, los discursos de odio y la desinformación;
- Aumentar la transparencia con una mejor información y vigilancia; y
- Fomentar la innovación, el crecimiento y la competitividad en el mercado interior de la UE.
Para ello, El Reglamento incluye un conjunto de normas específicas para:
- las plataformas en línea de muy gran tamaño (VLOP, por sus siglas en inglés) empleadas por más del 10 % de los 450 millones de consumidores de la UE; y
- los motores de búsqueda en línea de muy gran tamaño (VLOSE, por sus siglas en inglés) empleados por más del 10 % de los 450 millones de consumidores de la UE.
Además, el Reglamento introduce un nuevo mecanismo de atribución de responsabilidades y de rendición de cuentas y transparencia para los proveedores de servicios intermediarios en internet, como son:
- Los proveedores de acceso a internet,
- Los servicios de alojamiento (como los servicios de computación en nube o de alojamiento web),
- Los registradores de nombres de dominio,
- Los mercados en línea;
- Las tiendas de aplicaciones,
- Las plataformas de economía colaborativa,
- Las redes sociales,
- Las plataformas de intercambio de contenidos, y
- Las plataformas en línea de viajes y hospedaje.
30 de junio: comienza a ser aplicable el Reglamento sobre mercado de criptoactivos (MICA)
Como explicamos en su día, el objeto del Reglamento (UE) 2023/1114 del Parlamento Europeo y del Consejo de 31 de mayo de 2023, relativo a los mercados de criptoactivos y por el que se modifican los Reglamentos (UE) 1093/2010 y (UE) 1095/2010 y las Directivas 2013/36/UE y (UE) 2019/1937 (Reglamento MICA) , es establecer requisitos uniformes para la oferta pública y la admisión a negociación en una plataforma de negociación de criptoactivos distintos de fichas referenciadas a activos y fichas de dinero electrónico, de fichas referenciadas a activos y de fichas de dinero electrónico, así como requisitos para los proveedores de servicios de criptoactivos. Todo ello sin regular la tecnología subyacente.
Con carácter general, norma entró en vigor a los veinte días de su publicación en el DOUE del 9 de junio, y comenzará a ser aplicable el 30 de diciembre de 2024 .
Pero antes, el 30 de junio, comenzará a ser aplicable lo dispuesto en sus títulos III (Fichas referenciadas a activos) y IV (Fichas de dinero electrónico)
Anteriormente, el 29 de junio de 2023 ya habían comenzado a ser aplicables los artículos: 2(Ámbito de aplicación), apartado 5; 3 (Definiciones), apartado 2; 6(Contenido y forma del libro blanco de criptoactivos), apartados 11 y 12; 14(Obligaciones de los oferentes y las personas que soliciten la admisión a negociación de criptoactivos distintos de fichas referenciadas a activos o fichas de dinero electrónico), apartado 1, párrafo segundo; 17(Requisitos para las entidades de crédito), apartado 8; 18 (Solicitud de autorización), apartados 6 y 7; 19(Contenido y forma del libro blanco de criptoactivos relativo a fichas referenciadas a activos), apartados 10 y 11; 21 (Concesión o denegación de la autorización), apartado 3; 22 (Notificación sobre las fichas referenciadas a activos), apartados 6 y 7; 31(Procedimiento de tramitación de reclamaciones), apartado 5; 32(Detección, prevención, gestión y comunicación de los conflictos de intereses) , apartado 5; 34(Sistema de gobernanza), apartado 13; 35(Requisitos de fondos propios), apartado 6; 36(Obligación de disponer de una reserva de activos, y composición y gestión de dicha reserva de activos), apartado 4; 38(Inversión de la reserva de activos), apartado 5; 42(Contenido de la evaluación de las adquisiciones propuestas de emisores de fichas referenciadas a activos), apartado 4; 43 (Clasificación de fichas referenciadas a activos como fichas significativas referenciadas a activos), apartado 11; 45(Obligaciones adicionales específicas de los emisores de fichas significativas referenciadas a activos), apartados 7 y 8; 46(Plan de recuperación), apartado 6; 47(Plan de reembolso), apartado 5; 51(Contenido y forma del libro blanco de criptoactivos relativo a fichas de dinero electrónico), apartados 10 y 15; 60(Prestación de servicios de criptoactivos por determinadas entidades financieras), apartados 13 y 14; 61(Prestación de servicios de criptoactivos por iniciativa exclusiva del cliente), apartado 3; 62(Solicitud de autorización como proveedor de servicios de criptoactivos), apartados 5 y 6; 63(Evaluación de la solicitud de autorización y concesión o denegación de la autorización), apartado 11; 66 (Obligación de actuar con honestidad, imparcialidad y profesionalidad y en el mejor interés de los clientes), apartado 6; 68(Disposiciones de gobernanza), apartado 10; 71(Procedimiento de tramitación de reclamaciones), apartado 5; 72 (Detección, prevención, gestión y comunicación de los conflictos de intereses), apartado 5; 76 (Gestión de una plataforma de negociación de criptoactivos), apartado 16; 81(Prestación de asesoramiento en materia de criptoactivos y de servicios de gestión de carteras de criptoactivos), apartado 15; 82(Prestación de servicios de transferencia de criptoactivos por cuenta de clientes), apartado 2; 84 (Contenido de la evaluación de las adquisiciones propuestas de proveedores de servicios de criptoactivos), apartado 4; 88 (Difusión pública de información privilegiada) , apartado 4; 92(Prevención y detección del abuso de mercado), apartados 2 y 3; 95(Cooperación entre las autoridades competentes), apartados 10 y 11; 96(Cooperación con la ABE y la AEVM), apartado 3; 97(Fomento de la convergencia en la clasificación de criptoactivos), apartado 1; 103(Poderes de intervención temporal de la AEVM), apartado 8; 104 (Poderes de intervención temporal de la ABE), apartado 8; 105 (Intervención de las autoridades competentes en relación con los productos), apartado 7; 107(Cooperación con terceros países), apartados 3 y 4; 109(Registro de libros blancos de criptoactivos, de emisores de fichas referenciadas a activos y fichas de dinero electrónico, y de proveedores de servicios de criptoactivos), apartado 8; 119 (Colegios para los emisores de fichas significativas referenciadas a activos y de fichas significativas de dinero electrónico), apartado 8; 134(Normas de procedimiento para la adopción de medidas de supervisión y la imposición de multas), apartado 10; 137(Tasas de supervisión), apartado 3, y 139(Ejercicio de la delegación).