Archivo de la categoría: Tecnología

¿Se aplica a mi empresa la nueva Ley de Ciberseguridad?

Recientemente se ha aprobado el Real Decreto-ley 12/2018, denominado “de seguridad de las redes y sistemas de información” y que popularmente se conoce como la Ley de Ciberseguridad, aún cuando el acrónimo sea LSRSI. Personalmente, nunca he sido partidario del incremento de la normativa, pero ésta -como otras muchas- viene impuesta por nuestra inclusión en el marco de la Unión y cualquier debate sobre su existencia es vacuo y sin recorrido.

Pero no deja de sorprender la facilidad que tenemos por aceptar sin rechistar cualquier norma que trate sobre la seguridad (lo comprobaremos en el debate parlamentario), dando por bueno que, con tal bondadosa finalidad su contenido no puede ser más que maravilloso. Evidentemente ese planteamiento siempre es corroborado por la mayoría silenciosa cuando las obligaciones que se imponen recaen en otros, pero ¿esta Ley a quién afecta, a otros o a mí?

Para aportar una luz a dicha pregunta, y siguiendo la lógica de la ley, vamos a desenmarañar sus complicadas vinculaciones. Comenzamos por su artículo 2, que nos indica que la misma se aplicará a la prestación de:
a) Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Esta inclusión es clara y nos deja a todos tranquilos dado que si estás en la LPIC estarás incluido en un sector de relevancia: básicamente pensaremos que es justo que te obliguen y nos dará tranquilidad.

Pero más inquietos nos deja el apartado b) que indica que la ley también alcanza a:
b) Los servicios digitales, considerados conforme se determina en el artículo 3 e), que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube. Esta redacción genera más incertidumbre: si tenemos una empresa de un tamaño medio con una web y realizamos comercio electrónico ¿nos incluyen en el concepto de mercado en línea? La empresa tiene muchas obligaciones para que nos impongan más, ¿verdad?

Para responder a la pregunta sobre el alcance de un servicio digital se nos remite al  artículo 3 e), que a su vez, nos envía directamente a otra Ley en su anexo apartado a), haciendo saltos entre Leyes que tienen objetos diferentes pero con un trasfondo  tecnológico algo común. Esta última norma define un servicio digital  como  un servicio de la sociedad de la información,  entendido como “todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario”.

Hasta aquí esos saltos normativos concatenan que la ley de ciberseguridad debe extender exponencialmente su alcance, dado que ¿cuántas empresas, personas, profesionales disponen de una web y prestan sus servicios (compraventas, servicios, información, chats, almacenaje,… el propio wordpress??) en internet bajo la LSSI-CE? Muchas, por no decir todas, dado que es la norma palanca que permite que internet no sea un espacio des-regularizado,  teniendo como objetivo ofrecer seguridad jurídica a los usuarios.

El matiz interpretativo radica en una “coma” que incluye el artículo comentado y que he pintado de naranja en el texto: “, “,que sean mercados en linea“: ¿esto significa que un servicio digital exclusivamente incluye los “mercados en línea,motores de búsqueda en línea y servicios de computación en nube, entendidos en el sentido de la LSSI? Bueno, pudiera ser una interpretación limitativa, pero aunque la aceptásemos el concepto de mercado en linea es tan amplio que en poco hubiésemos reducido el ámbito  subjetivo de aplicación. Al igual que antes, hay que volver a  realizar otra búsqueda dentro de la LSRSI para descubrir qué es un mercado en línea y poder delimitar, si es el caso, su alcance.

En esta búsqueda hallamos el artículo 3 q) de la LSRSI  que define el  Mercado en línea como aquel “servicio digital que permite a los consumidores y a los empresarios, tal y como se definen respectivamente en los artículos 3 y 4 del texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado mediante el Real Decreto Legislativo 1/2007, de 16 de noviembre, celebrar entre sí contratos de compraventa o de prestación de servicios en línea con empresarios, ya sea en un sitio web específico del servicio de mercado en línea, o en un sitio web de un empresario que utilice servicios informáticos proporcionados al efecto por el proveedor del servicio de mercado en línea.”. Desde mi punto de vista, esta definición alcanza a toda web en la que se realice un contrato, añadiendo que  una definición que incluye el propio término definido no es una definición.

Ante la pregunta que nos formulabamos ¿estoy sometido a la LSRSI si desde mi web realizo cualquier tipo de contratación? En mi opinión, y salvo criterio fundado en contrario, la respuesta es afirmativa, salvo que se trate de “microempresas o pequeñas empresas” excluidas conforme al artículo 2.3.b) de la LSRSI. Es premonitorio que la exposición de motivos de la LSRSI indique  que “su ámbito de aplicación se extiende a sectores que no están expresamente incluidos en la Directiva, para darle a este real decreto-ley un enfoque global, aunque se preserva su legislación específica.”

 

Blockchain: perspectiva jurídica

Ciertamente no soy muy dado a realizar comentarios sobre la tecnología que soporta los diferentes sistemas de información, tanto por desconocimiento como por convicción. Las Ciencias del saber son muy amplias y requieren, para opinar con un cierto seso, dominar en profundidad la materia, resultándome muy embarazoso realizar un juicio de valor sobre algo que no conozco en toda su extensión. Dicho esto, y con la prudencia que debe caracterizar todo análisis superficial, no puedo resistirme a plasmar unas ideas sobre el Blockchain.

La primera aproximación a esta tecnología debería permitirme mostrar una definición, aspecto harto difícil, dado que nada entiendo al respecto, destacando otros aspectos o características, tales como que su objetivo radica en transmitir de una forma segura información o bloques de información con el fin de disponer de la forma más confiable de documentos electrónicos entre los participantes de dicha red. El contenido, objetivo y finalidad de la transmisión segura de dicha información queda al arbitrio de las partes, pudiéndose transmitirse datos médicos, contables, fiscales, facturas, mercantiles, o documentos que liberen de obligaciones de pago, como los ya famosos bitcoins o criptomonedas, sin entrar en estos últimos en su naturaleza jurídica que daría para un debate en otro post. En suma, se transmite información de una forma altamente segura.

Partiendo de este supuesto de hecho, resumido y simplificado, que seguramente oculta otras tantas potencialidades del uso de esta tecnología, deberíamos ser capaces de apuntar la normativa básica de aplicación. En primer lugar, y siempre que haya un documento electrónico, parece obvio que se deberá acudir a la normativa (vigente?) de Firma Electrónica, que es la Ley básica que establece las condiciones de los documentos electrónicos así como el nivel de firma aplicable para lograr un nivel aceptable de seguridad entre las partes intervinientes. Desde mi punto de vista, ésta debe ser la primera aproximación jurídica, y si las conclusiones que se obtengan, satisfacen a los usuarios del blockchain continuar con las siguientes.  A partir de aquí, deberemos analizar el tipo de información que se transmitirá, debiendo determinar si se aplicarán normas del ámbito del Sector Público o por el contrario, del Sector Privado, derivándose en normativas sectoriales diferentes dependiendo de la finalidad del tratamiento. No debe olvidarse que las normas que regulan la transmisión de la información en el Sector Público, desde hace 7 años, son más restrictivas que la relativa libertad que rige en el ámbito privado, siendo muy importante el establecimiento de una relación contractual previa, en los aspectos dispositivos, que permitan contemplar y detectar los potenciales problemas para ofrecer la solución mediante la correspondiente consecuencia jurídica. Todo ello, sin obviar la normativa horizontal de protección de datos.

En conclusión, la tecnología soportada en Blockchain posiblemente discurrirá en un exitoso desarrollo y despliegue pero, como el resto de tecnologías, para lograr un éxito completo deberá hacerse un hueco en el espacio normativo que le permita, no sólo aportar soluciones fiables, seguras, confiables, sino exponerlas jurídicamente bien estructuradas para cerrar ese ciclo del virtuosismo.