El 12 de noviembre de 2020, se publicó la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza (en adelante, la “Ley de Servicios de Confianza”).
La nueva Ley de Servicios de Confianza, que deroga la anterior Ley 59/2003, de 19 de diciembre, de firma electrónica, complementa aquellos aspectos que el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (en adelante, el “Reglamento”) no ha armonizado y que, por tanto, se encuentran en manos de los legisladores de cada uno de los estados miembros de la Unión Europea.
El Reglamento garantiza la equivalencia jurídica entre la firma electrónica cualificada y la firma manuscrita, pero permite a los Estados miembros determinar los efectos de las otras firmas electrónicas y de los servicios electrónicos de confianza en general. En este sentido, conviene advertir que el legislador español solo regula aspectos que se considera imprescindibles y que el Reglamento no contempla, intentando evitar así posibles lagunas jurídicas en materia de los servicios electrónicos de confianza.
Siguiendo los títulos de la Ley de Servicios de Confianza, algunas de las cuestiones más importantes que se regulan son:
Disposiciones generales
Se refuerzan los efectos jurídicos probatorios de los documentos electrónicos en los que se hubiese utilizado un servicio de confianza cualificado, incluyéndose una presunción iuris tantum respecto a la validez de tales documentos, recayendo la carga de la prueba sobre quien los haya impugnado (artículo 3 y Disposición final segunda de la Ley de Servicios de Confianza).
Certificados electrónicos
El máximo período de vigencia de un certificado electrónico será de 5 años, pudiendo ser revocados y suspendidos por los prestadores de servicios electrónicos de confianza en los supuestos recogidos en el artículo 5 de la Ley de Servicios de Confianza (por ejemplo, cuando el firmante fallezca o cuando se descubra falsedad documental en los datos aportados para la expedición del certificado).
Los certificados electrónicos cualificados deberán identificar al titular a través de los datos recogidos en el artículo 6 de la Ley de Servicios de Confianza. Además, la identidad de los titulares de un certificado electrónico cualificado, junto con otras circunstancias, debe haber sido comprobada en el momento de su solicitud de forma presencial o a través de otras técnicas telemáticas que se deberán determinar por el Ministerio de Asuntos Económicos y Transformación Digital mediante Orden conforme al artículo 7 de la Ley de Servicios de Confianza.
Obligaciones y responsabilidad de los prestadores de servicios electrónicos de confianza
Las principales obligaciones recogidas en el Título III de la Ley de Servicios de Confianza respecto a los prestadores de servicios electrónicos de confianza son:
- Publicar información veraz y acorde al Reglamento y a la Ley de Servicios de Confianza.
- No almacenar ni copiar los datos de creación de firma, sello o autenticación de sitio web de la persona física o jurídica a la que haya prestado sus servicios (salvo en caso de su gestión en nombre del titular).
- Disponer de un servicio de consulta sobre el estado de validez o revocación de los certificados emitidos accesible al público.
- Conservar la información relativa a los servicios prestados durante un período de 15 años desde la extinción del certificado o finalización del servicio prestado.
- Constituir un seguro de responsabilidad civil (importe mínimo de 1,5 millones de euros y, si se presta más de un servicio cualificado, 0,5 millones de euros adicionales por servicio).
- Comunicar a sus clientes el cese de su actividad y al órgano de supervisión con dos meses de antelación.
- Enviar el informe de evaluación de la conformidad al Ministerio de Asuntos Económicos y Transformación Digital.
- Adoptar las medidas necesarias para resolver incidentes de seguridad que les afecten.
- Notificar al Ministerio de Asuntos Económicos y Transformación Digital las violaciones de seguridad, sin perjuicio de la notificación, en su caso, a la Agencia Española de Protección de Datos y a los afectados.
En el Título III de la Ley de Servicios de Confianza también se establece el régimen de responsabilidad de los prestadores de servicios electrónicos de confianza indicándose que, con carácter general, son responsable frente a terceros y sus clientes por la actuación de las personas u otros prestadores en los que deleguen alguna de sus funciones, salvo que resulte de aplicación alguno de los supuestos de limitación de responsabilidad recogidos en el artículo 11 de la Ley de Servicios de Confianza.
Además, tampoco serán responsables si los destinatarios actúan de forma negligente o en caso de que los datos que consten en el certificado electrónico no sean exactos si estos habían sido acreditados mediante documentos públicos o oficiales.
Supervisión y control
De conformidad con el Título IV de la Ley de Servicios de Confianza, se atribuye al Ministerio de Asuntos Económicos y Transformación Digital el control del cumplimiento de las obligaciones de los prestadores de servicios electrónicos (tanto cualificados como no cualificados), otorgándole la capacidad de llevar actuaciones inspectoras para el ejercicio de sus funciones de supervisión y control.
El Ministerio de Asuntos Económicos y Transformación Digital mantendrá y publicará una lista de confianza con información relativa a los prestadores cualificados de servicios de confianza.
Infracciones y sanciones
El Título V de la Ley de Servicios de Confianza establece el régimen sancionador tipificando en leves, graves y muy graves las infracciones derivadas del incumplimiento de las obligaciones impuestas a los prestadores de servicios de confianza.
La sanción por infracción muy grave será multa por importe de 150.001 hasta 300.000 euros, por infracción grave multa por importe de 50.001 hasta 150.000 euros y por infracción leve, multa por importe de hasta 50.000 euros.
Puede consultar el texto completo de la Ley de Servicios de Confianza pulsando aquí.
La Agencia Española de Protección de Datos (“AEPD”) publicó el pasado 5 de enero la primera guía de este 2021, dedicada a los “Requisitos para Auditorías de Tratamientos que incluyan IA” (en adelante, la “Guía”). Esta Guía ofrece orientaciones, así como un listado de posibles objetivos de control y controles específicos que podrían incorporarse en auditorías y análisis de adecuación de aquellos tratamientos de datos personales que hacen uso de componentes basados en inteligencia artificial (“IA”). La Guía puede consultarse en el siguiente link.
Este documento, desarrolla el apartado relativo a las auditorías de la “Guía de adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial” publicada por la AEPD en febrero del año pasado (link). En esta guía se presentan las auditorías como una de las posibles herramientas que permiten determinar la adecuación a las exigencias del Reglamento General de Protección de Datos (“RGPD”) y comprobar la validez del tratamiento basado en soluciones de IA.
Es importante señalar, tal y como resalta la AEPD, que las auditorías de tratamientos de datos personales que incluyen componentes basados en IA, no deben centrarse exclusivamente en los aspectos técnicos específicos de esta tecnología, sino que han de cubrir aspectos más extensos como la naturaleza, ámbito, contexto y fines del tratamiento, además de los riesgos que implica para los derechos y libertades de los afectados.
En este sentido, y debido al impacto de los tratamientos basados en soluciones de IA sobre los derechos y libertades de los ciudadanos, la importancia de esta Guía radica en la necesidad de establecer medidas de control efectivo, corrección, responsabilidad, rendición de cuentas, gestión del riesgo y transparencia relativas a los sistemas y a los tratamientos de datos sobre los que se utilice.
La AEPD enumera un conjunto de objetivos y de posibles medidas de control a tener en cuenta cómo: inventariar el algoritmo auditado, identificar las responsabilidades y cumplir con el principio de transparencia, identificar las finalidades del tratamiento, analizar su proporcionalidad y necesidad, los límites en la conservación de los datos, asegurar la calidad de los datos, controlar posibles sesgos, verificar y validar las acciones realizadas y los resultados obtenidos.
La lista de controles presentada por la AEPD en la Guía pretende establecerse como una referencia, siendo el auditor, el que, tras un análisis previo, determine aquellos controles más adecuados al tratamiento concreto.
Las denominadas “Cláusulas Contractuales Tipo” (“Standard Contractual Clauses” o “SCC”, por sus siglas en inglés) son instrumentos jurídicos que permiten, a falta de una decisión de adecuación, ofrecer garantías adecuadas a las transferencias internacionales de datos a terceros países u organizaciones que se encuentran fuera del Espacio Económico Europeo.
Hasta la fecha, continúan en vigor las SCC aprobadas por las siguientes decisiones de la Comunión Europea:
El pasado día 12 de noviembre de 2020, la Comisión Europea publicó un borrador de las nuevas SCC aplicables a transferencias internacionales de datos de Responsables del Tratamiento a Encargados del tratamiento situados fuera del Espacio Económico Europeo, abriendo un periodo de consulta pública que finalizó el pasado día 10 de diciembre de 2020. Este borrador se encuentra disponible en este enlace (link).
Además, junto a este borrador, se hizo público un modelo de cláusulas contractuales tipo, también denominadas SCC, preparado para dar cumplimiento al artículo 28 del RGPD. Estas cláusulas contractuales podrán firmarse entre Responsables del Tratamiento y Encargados del Tratamiento situados dentro del Espacio Económico Europeo (link).
La Comisión trasladó los borradores al Comité Europeo de Protección de Datos (“European Data Protection Board” o “EDPB”, por sus siglas en inglés) y al Supervisor Europeo de Protección de Datos (“European Data Protection Supervisor” o “EDPS”, por sus siglas en inglés) para que emitieran pronunciamientos conjuntos al respecto.
El pasado 14 de enero de 2021, el EDPB y el EDPS publicaron sus dictámenes conjuntos sobre los dos borradores de SCC remitidos:
- SCC entre Responsables y Encargados del Tratamiento, junto con dos Anexos que contienen observaciones adicionales de carácter técnico al borrador de Decisión de Ejecución y al borrador de SCC. Se puede consultar el dictamen conjunto y sus Anexos en el siguiente link.
- SCC relativas a transferencias de datos personales a terceros países, junto con un Anexo en el que figuran observaciones adicionales de carácter técnico sobre el borrador de las SCC. Se puede consultar el dictamen conjunto y su Anexo en el siguiente link.
El siguiente paso será, una vez evaluadas las aportaciones y alegaciones del EDPB y el EDPS, así como el resto de los comentarios recibidos, la adopción de una versión definitiva de las SCC por parte de la Comisión Europea.
El EDPB ha publicado el borrador de las “Directrices 01/2021 sobre Ejemplos respecto a Notificaciones de Brechas de Seguridad” (en adelante, las “Directrices 01/2021”), abriéndose con ello período de consultas públicas hasta el próximo 2 de marzo de 2021. Se puede consultar el borrador de las Directrices 01/2021 en el siguiente link.
Las Directrices 01/2021 constituyen una orientación práctica para que los responsables del tratamiento valoren la necesidad o no de notificar una brecha de seguridad a su respectiva autoridad de control. El documento del EDPB analiza diferentes supuestos de brechas de seguridad basados en casos reales que las diferentes autoridades de control han ido recibiendo en estos últimos años, proponiendo medidas para mitigar el riesgo.
Las Directrices 01/2021 analiza 18 casos prácticos de brechas de seguridad que se clasifican en los siguientes grupos:
- Ataques de ransomware. El EDPB aclara que se trata de aquellos supuestos en los que un código malicioso encripta los datos personales de un responsable del tratamiento, solicitando el atacante un rescate para proporcionar el código de desencriptación. Este tipo de brechas afecta, generalmente, a la disponibilidad de los datos, pero también la confidencialidad de los datos puede verse comprometida.
- Ataques de extracción de datos. Son todos aquellos ataques en los que se aprovechan las vulnerabilidades de los servicios ofrecidos por un responsable de tratamiento a terceras partes a través del uso de Internet. El objetivo último de este tipo de ataques es copiar, extraer o hacer un mal uso de los datos personales. Este tipo de brechas de seguridad afectan a la confidencialidad de los datos y, posiblemente, también a la integridad de los mismos.
- Riesgos por personal interno. El EDPB presta especial atención a estas brechas de seguridad, que pueden ser tanto intencionales como provocadas por descuidos, al ser comunes Destaca la dificultad de identificar vulnerabilidades y adoptar medidas para evitar los riesgos por parte de los responsables de tratamiento.
- Pérdida o robo de dispositivos y documentos en soporte papel. El EDPB aclara que, en estos casos, el responsable del tratamiento debe tener en cuenta ciertas circunstancias, como el tipo de datos almacenados en los dispositivos y las medidas adoptadas previamente para asegurar un adecuado nivel de seguridad.
- Errores en el envío de correos. Este tipo de brechas de seguridad están relacionadas con los riesgos por personal interno, pero en estos supuestos, generalmente, no hay intencionalidad. Son el resultado de la falta de atención o de conocimientos. Por lo tanto, el EDPB establece que lo más importante es adoptar medidas de prevención.
- Otros supuestos (ingeniería social). El EDPB recoge otros casos de brechas de seguridad, como la suplantación de identidad o el acceso no autorizado a las cuentas de correo electrónico.
Es importante recordar que estas Directrices 01/2021 complementan las “Directrices sobre la notificación de brechas de seguridad de los datos personales de acuerdo con el Reglamento 2016/679” del antiguo Grupo de Trabajo del Artículo 29 (link).
El 28 de enero, se publicó en el Boletín Oficial del Estado el Real Decreto 43/2021, de 26 de enero (link), por el que se desarrolla el Real Decreto-ley 12/2018 de seguridad de las redes y sistemas de información. Esta última norma transpone a nuestro derecho la Directiva (UE) 2016/1148, conocida como “Directiva NIS”, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
Tanto el Real Decreto 43/2021 como Real Decreto-ley 12/2018, establecen: (i) el marco estratégico e institucional de seguridad de las redes y sistemas de información; (ii) la supervisión del cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales, y (iii) la gestión de incidentes de seguridad.
El Real Decreto 43/2021, desarrolla ciertos puntos del Real Decreto-ley 12/2018, siendo lo más destacables los siguientes:
- El desarrollo de los supuestos de cooperación y coordinación entre los equipos de respuesta a incidentes de seguridad informática (CSIRT) de referencia, y de estos con las autoridades competentes, que se instrumentan a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes (artículo 4).
- La ampliación de las funciones de enlace para garantizar la cooperación transfronteriza con las autoridades competentes de otros Estados miembros de la Unión Europea, así como con el grupo de cooperación y la red de CSIRT (artículo 5).
- Las medidas necesarias para el cumplimiento de las obligaciones de seguridad por parte de los operadores de servicios esenciales (artículo 6)
- Por lo que se refiere a la notificación de incidentes, las obligaciones de notificación por parte de los operadores de servicios esenciales de los incidentes que puedan tener efectos perturbadores significativos en dichos servicios (artículos 8 y 9).
- La obligación de colaboración de los operadores de servicios esenciales y los proveedores de servicios digitales con las autoridades competentes, que podrán requerir, asimismo, la colaboración de los CSIRT de referencia para el ejercicio de su función de supervisión (artículo 15).
Por último, aunque el Real Decreto 43/2021 no modifica ni amplia las sanciones previstas en el Real Decreto-ley 12/2018, conviene recordar que, las sanciones previstas en la normativa española van desde la amonestación a multas de hasta 1.000.000 euros, en función de distintos factores como el grado de culpabilidad, la continuidad o persistencia, el número de usuarios afectados, la reincidencia, el volumen de facturación o las acciones realizadas para descubrir o paliar los efectos.
Más información:
Norman Heckh (nheckh@ramoncajal.com)
María Luisa González (mlgonzalez@ramoncajal.com)
Antonio Borjas (aborjas@ramoncajal.com)
Pablo Tena (ptena@ramoncajal.com)
Andrés Ruiz (aruiz@ramoncajal.com)
Antonio Borjas
aborjas@ramoncajal.com
Pablo Tena
ptena@ramoncajal.com
Andrés Ruiz
aruiz@ramoncajal.com
