La Comisión Europea siempre se ha centrado en la defensa de los derechos de los consumidores en paralelo al desarrollo de las nuevas tecnologías. Las nuevas tecnologías son uno de los factores determinantes del crecimiento económico y del aumento de la calidad de vida en todos los países desarrollados, como los de la Unión Europea. Al mismo tiempo, la globalización y el aumento de la conectividad conllevan un enorme desarrollo en el ámbito de las tecnologías de la comunicación y la información, que también inciden en ese desarrollo económico y de calidad de vida de la población. Aunque en principio es innegable el impacto significativo y positivo de todos esos avances, se plantean nuevas preocupaciones regulatorias que la Comisión Europea está estudiando. En 2018 vivimos la entrada en vigor del REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, RGPD). En la misma línea, el pasado 15 de septiembre de 2022, La Comisión Europea publicó su Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO sobre requisitos horizontales de ciberseguridad para productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020.
Aunque todavía es una Propuesta de la Comisión y queda un largo camino hasta que, si lo consigue, llegue a estar en vigor, conviene examinar algunas de las principales líneas y objetivos que se contemplan en esta propuesta de Reglamento. El objetivo principal de la propuesta es proporcionar protección a los consumidores europeos con una regulación horizontal en la que se observen todos los sectores por igual. La regulación actual sobre ciberseguridad se centra sobre todo en los productos digitales tangibles, pero hay muchos otros productos que con el nivel actual de tecnología se ven afectados por los riesgos de ciberseguridad mientras que están fuera del ámbito de la regulación actual sobre ciberseguridad. De ahí que la Comisión Europea quiera evitar cualquier laguna en la protección del consumidor. Al mismo tiempo, una característica de la normativa en vigor en materia de ciberseguridad es que la regulación es bastante estática, en el sentido de que sólo contempla lo que ocurre con respecto a los esfuerzos realizados por los fabricantes y proveedores de servicios cuando intentan comercializar sus productos. Sin embargo, el impacto dinámico de la ciberseguridad en los mercados se ignora en su mayor parte. Este componente dinámico tiene que ver con el impacto que esos productos traen a los consumidores después de la compra de esos productos o servicios, durante su vida útil, dado el alto grado de conectividad que pueden presentar. Por ello, la Comisión Europea quiere proponer un Reglamento en el que se tenga en cuenta el componente dinámico. Con ese objetivo, la nueva propuesta, a la que muchas veces se refieren como la Ley de Resiliencia de la Ciberseguridad (Cybersecurity Resilience Act, CRA) busca una visión más completa y holística y considera todo el ciclo de vida de los productos con una perspectiva dinámica y, al mismo tiempo, incluye el software.
Por lo tanto, el Reglamento propuesto va a contemplar el desarrollo de productos, la gestión de la vulnerabilidad y la transparencia sobre las actualizaciones del software de seguridad, y afectará no sólo a los fabricantes sino también a muchos otros agentes económicos. El objetivo es que ofrezca una visión horizontal, para todo tipo de productos, en lugar de una visión vertical para sectores específicos.
Es importante tener en cuenta que el Reglamento propuesto no está exento de importantes retos. Quizá el más importante sea proporcionar esa regulación horizontal y dinámica a través de normas armonizadas que tengan en cuenta las diferentes regulaciones ya existentes para los distintos sectores. La razón es que ahora mismo existen diferentes normativas, como la Directiva de Equipos Radioeléctricos (RED), la NIS2, la propuesta de Ley de Inteligencia Artificial, o el Reglamento de Dispositivos Médicos que siendo sectoriales, afectarán o podrán interferir con la implementación de la Propuesta horizontal, la Ley de Resiliencia en Ciberseguridad. Si la aplicación de la propuesta de reglamento, cuando entre en vigor, es fluida para las diferentes partes interesadas, la Ley de Resiliencia de la Ciberseguridad será beneficiosa para la sociedad europea a largo plazo. Sin embargo, queda por ver cómo este Reglamento interactuará con las demás normativas más verticales y promoverá, como se espera, la eficiencia en los diferentes mercados con el beneficio para los consumidores europeos, y sin disminuir los incentivos para la innovación empresarial, motor del perseguido crecimiento económico y de la calidad de vida.
Teodora Toma, Asociada de Cremades & Calvo-Sotelo Abogados