Tabla de contenidos
Internet y la consecuente aparición y evolución de las nuevas tecnologías ha hecho que también aparezcan nuevas modalidades de delitos e infracciones que han obligado a adaptar la normativa vigente en relación a la ciberseguridad.
Por ello, ha sido necesario que las diferentes leyes existentes se adapten para regular y proteger a ciudadanos y empresas de todos estos ataques cibernéticos en la medida de lo posible, estableciéndose también nuevas normas y protocolos que regulan las situaciones nuevas, no previstas hasta ahora en el mundo físico.
En este post invitado de Vanesa Alarcón, socia fundadora de Avatic Abogados, hablaremos de las leyes europeas y españolas que están poniendo orden en el ciberespacio, tratando de poner coto a los delitos de cibercriminales.
¿Qué es la ciberseguridad?
Antes de empezar a hablar de las normas aplicables a la ciberseguridad, es necesario definir primero lo que es. Según el diccionario del centro estadounidense National Initiative for Cybersecurity Careers and Studies (NICCS), cuya página web es propiedad del Departamento de Seguridad Nacional, la ciberseguridad es “la actividad o proceso, capacidad o estado por el cual los sistemas de información y comunicaciones y la información contenida en ellos están protegidos y/o defendidos contra daños, uso no autorizado, modificación o explotación.”
Es decir, se puede decir que la ciberseguridad son aquellas medidas destinadas a proteger a los usuarios y empresas que operan en Internet. En realidad, la ciberseguridad se inscribe dentro del concepto más amplio de la seguridad de la información, cuyo objetivo es proteger la información digital de sistemas que se encuentran interconectados.
Existen también otros conceptos relacionados a la ciberseguridad, como pueden ser el cibercrimen, las ciberamenazas o el ciberespacio, cuya característica principal y común reside en la existencia de los mismos en la red. De ese modo:
- Cibercrimen: Consiste en todas aquellas conductas delictivas que se practican mediante el aprovechamiento de la red.
- Ciberamenazas: Son las posibilidades de comisión de daños a personas u organismos mediante el uso de Internet.
- Ciberespacio: Es aquella realidad simulada implementada dentro de los ordenadores y redes digitales existentes a nivel mundial, siendo un concepto más amplio que el propio Internet.
En definitiva, la ciberseguridad lo que pretende es protegernos frente a ataques o actuaciones ilegales o ilícitas de terceros en la red.
¿Qué podría considerarse como actuación ilícita o ilegal?
Una actuación ilícita, podría ser desde una estafa online, la introducción de un virus informático en equipos de determinada empresa, el robo de cuentas y/o contraseñas de usuarios de determinada plataforma o incluso el publicar mentiras sobre alguien o bien suplantar su identidad.
Por lo tanto, la ciberseguridad abarca muchas materias relacionadas con el derecho penal, civil, la protección del honor o la intimidad, entre otros, que también se aplicarían en el mundo real y físico. Lo que hay que tener en cuenta es la vertiente online en la que se producen esas actuaciones ilegales o ilícitas, y el impacto que se deriva del hecho que se produzcan en el mundo digital.
¿Qué normas regularían entonces la ciberseguridad?
La ciberseguridad estaría compuesta por un compendio de normas, puesto que no existe una sola norma que lo regule todo. Existe incluso un reglamento específico para establecer un marco jurídico común para los servicios de confianza y los medios de identificación electrónica en la UE: el Reglamento eIDAS.
Y, dado el aumento de los ciberataques y la sofisticación de la ciberdelincuencia, Europa busca dar respuestas más firmes en materia de ciberseguridad para:
- protegerse contra las ciberamenzas,
- proporcionar un entorno de comunicación seguro, especialmente mediante la encriptación cuántica,
- ⚖️ garantizar el acceso a los datos a efectos judiciales y policiales.
En la Unión Europea
Existe una Directiva Europea, la Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad en las redes y sistemas de información de la Unión.
Esta Directiva dispone de un par de artículos relacionados con la seguridad de las redes y sistemas de información para los operadores de servicios esenciales y para los proveedores de servicios digitales.
De este modo, se establece en el artículo 14 que “Los Estados miembros velarán por que los operadores de servicios esenciales tomen las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilizan en sus operaciones. Habida cuenta de la situación, dichas medidas garantizarán un nivel de seguridad de las redes y sistemas de información adecuado en relación con el riesgo planteado.”
Es decir, los Estados miembros velarán para que se cumpla con las medidas proporcionadas o adecuadas al riesgo planteado. Y también para que se adopten medidas a efectos de minimizar, reducir o prevenir incidentes que afecten a la seguridad.
Así mismo, también se deberá notificar sin dilación indebida a la autoridad competente o al CSIRT (siglas de término en inglés Computer Security Incident Response Teams) los incidentes que tengan efectos significativos en la continuidad de los servicios esenciales que se presten para que se puedan tomar medidas con carácter institucional o nacional al respecto, en su caso.
También en el artículo 16 se establece el deber del Estado para que los proveedores de servicios digitales determinen y adopten medidas de seguridad técnicas, organizativas y proporcionadas para gestionar los riesgos existentes a la seguridad de las redes y sistemas de información que se utilizan. Por ello, deben adoptar medidas con relación a la seguridad de sistemas e instalaciones, gestión de incidentes, gestión de la continuidad de las actividades, supervisión, auditorías y pruebas y cumplimiento de normas internacionales.
Sin embargo, en diciembre de 2020, la Comisión Europea propuso una revisión de la Directiva SRI (SRI 2) para sustituir a la Directiva de 2016 y dar respuesta a la evolución de las amenazas, teniendo en cuenta la transformación digital, muy acelerada por la crisis del COVID-19.
El Consejo llegó a una orientación general sobre la nueva Directiva en diciembre de 2021. Una vez adoptada, la nueva Directiva (SRI2), sustituirá a la de 2016 a fin de «seguir mejorando la resiliencia y las capacidades de respuesta ante incidentes tanto del sector público como del privado y de la UE en su conjunto».
Y, además, en junio de 2019 entró en vigor el Reglamento de Ciberseguridad de la UE, e introdujo:
- Un sistema de certificación para toda la UE,
- Un mandato nuevo y reforzado para la Agencia de la UE para la Ciberseguridad.
Gracias a este, la UE ha implantado un marco único de certificación a escala de la UE que generará confianza, aumentará el crecimiento del mercado de la ciberseguridad y facilitará el comercio en toda la UE.
En España
En España tenemos un Código de Derecho de la Ciberseguridad, publicado en el Boletín Oficial del Estado, que cita las principales normas a tener en cuenta con relación a la protección del ciberespacio y el velar por la mencionada ciberseguridad.
En este código se hace referencia a las siguientes leyes, entre otras:
- Normativas de seguridad nacional:
- Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, que regula los principios y organismos clave así como las funciones que deberán desempeñar para la defensa de la Seguridad Nacional.
- Orden TIN/3016/2011, de 28 de Octubre, por la que se crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración.
- La Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
- Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
Como puede verse, existe un entramado sumamente complejo que tendrá por objeto regular unas u otras situaciones en la red.
Otras leyes que regulan la ciberseguridad a nivel técnico y organizativo
Con relación a la ciberseguridad a nivel técnico y organizativo, hay que tener en cuenta también lo establecido por el nuevo Reglamento Europeo de Protección de Datos 2016/679, así como la existencia de otro tipo de protocolos o reglas internacionales, en especial las relacionadas con las transferencias internacionales de datos, como el Privacy Shield.
Estas tan solo son algunas de las normas que tienen por objeto proteger el ciberespacio, pero existen muchas más en detalle que regularían aspectos todavía más concretos.
Por ejemplo, las normas que se deberán tener en cuenta cuando se comete un acto delictivo relacionado con la suplantación de identidad de una marca o empresa, de aprovechamiento ilícito de la misma o de infracción a creaciones de autores protegidas por la propiedad intelectual. En estos casos, además de las normas que aparecen en el código español antes mencionado, se deberá también tener en cuenta el derecho marcario o la normativa de propiedad intelectual e industrial, según corresponda.
La ciberseguridad puede ser quebrantada, por lo tanto, no solo por la comisión u omisión de ciertos actos que tengan que ver con la seguridad en sí misma considerada sino que en ocasiones se puede afectar a un derecho de un tercero aprovechándose de actos que vayan en contra, precisamente, de la seguridad en la red.
Este post fue publicado originalmente el 26/04/2017.
Este es un post invitado de Vanesa Alarcón Caparrós. Vanesa es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de Avatic Abogados. |
POSTS RELACIONADOS