¿Qué leyes regulan la ciberseguridad en la Unión Europea y en España?

Posted by media on 26/04/17 9:00

ES-B-LEGALIDAD EN EL CIBERESPACIO.png

Internet y la consecuente aparición de nuevas tecnologías ha hecho que también aparezcan nuevas modalidades de delitos e infracciones a las normas que ni siquiera estaban previstas. Ha sido por tanto necesario que las diferentes leyes existentes se adapten para regular y proteger a ciudadanos y empresas de todos estos ataques cibernéticos en la medida de lo posible, estableciéndose también nuevas normas y protocolos que regulan las situaciones nuevas, no previstas hasta ahora en el mundo físico.

En este post invitado de Vanesa Alarcón, socia fundadora de Avatic Abogados, hablaremos de las leyes europeas y españolas que están poniendo orden en el ciberespacio, tratando de poner coto a una las nuevas generaciones de cibercriminales.

Este post también está disponible en inglés.

¿Qué es la ciberseguridad?

Antes de empezar a hablar de las normas aplicables a la ciberseguridad, es necesario definir primero lo que es. Según el diccionario del centro estadounidense National Initiative for Cybersecurity Careers and Studies (NICCS), cuya página web es propiedad del Departamento de Seguridad Nacional, la ciberseguridad es “la actividad o proceso, capacidad o estado por el cual los sistemas de información y comunicaciones y la información contenida en ellos están protegidos y/o defendidos contra daños, uso no autorizado, modificación o explotación.”

Es decir, se puede decir que la ciberseguridad son aquellas medidas destinadas a proteger a los usuarios y empresas que operan en Internet. En realidad, la ciberseguridad se inscribe dentro del concepto más amplio de la seguridad de la información, cuyo objetivo es proteger la información digital de sistemas que se encuentran interconectados.

Existen también otros conceptos relacionados a la ciberseguridad, como pueden ser el cibercrimen, las ciberamenazas o el ciberespacio, cuya característica principal y común reside en la existencia de los mismos en la red. De ese modo:

  • Cibercrimen: Consiste en todas aquellas conductas delictivas que se practican mediante el aprovechamiento de la red.
  • Ciberamenazas: Son las posibilidades de comisión de daños a personas u organismos mediante el uso de Internet.
  • Ciberespacio: Es aquella realidad simulada implementada dentro de los ordenadores y redes digitales existentes a nivel mundial, siendo un concepto más amplio que el propio Internet.

En definitiva, la ciberseguridad lo que pretende es protegernos frente a ataques o actuaciones ilegales o ilícitas de terceros en la red.

 

¿Qué podría considerarse como actuación ilícita o ilegal?

Una actuación ilícita, podría ser desde una estafa online, la introducción de un virus informático en equipos de determinada empresa, el robo de cuentas y/o contraseñas de usuarios de determinada plataforma o incluso el publicar mentiras sobre alguien o bien suplantar su identidad.

Por lo tanto, la ciberseguridad abarca muchas materias relacionadas con el derecho penal, civil, la protección del honor o la intimidad, entre otros, que también se aplicarían en el mundo real y físico. Lo que hay que tener en cuenta es la vertiente online en la que se producen esas actuaciones ilegales o ilícitas, y el impacto que se deriva del hecho que se produzcan en el mundo digital.

¿Qué normas regularían entonces la ciberseguridad?

La ciberseguridad estaría compuesta por un compendio de normas, puesto que no existe una sola norma que lo regule todo.

En la Unión Europea

Existe una Directiva Europea reciente, la Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad en las redes y sistemas de información de la Unión.

Esta Directiva dispone de un par de artículos relacionados con la seguridad de las redes y sistemas de información para los operadores de servicios esenciales y para los proveedores de servicios digitales.

De este modo, se establece en el artículo 14 que “Los Estados miembros velarán por que los operadores de servicios esenciales tomen las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilizan en sus operaciones. Habida cuenta de la situación, dichas medidas garantizarán un nivel de seguridad de las redes y sistemas de información adecuado en relación con el riesgo planteado.”

Es decir, los Estados miembros velarán para que se cumpla con las medidas proporcionadas o adecuadas al riesgo planteado. Y también para que se adopten medidas a efectos de minimizar, reducir o prevenir incidentes que afecten a la seguridad.

Así mismo, también se deberá notificar sin dilación indebida a la autoridad competente o al CSIRT (siglas de término en inglés Computer Security Incident Response Teams) los incidentes que tengan efectos significativos en la continuidad de los servicios esenciales que se presten para que se puedan tomar medidas con carácter institucional o nacional al respecto, en su caso.

También en el artículo 16 se establece el deber del Estado para que los proveedores de servicios digitales determinen y adopten medidas de seguridad técnicas, organizativas y proporcionadas para gestionar los riesgos existentes a la seguridad de las redes y sistemas de información que se utilizan. Por ello, deben adoptar medidas con relación a la seguridad de sistemas e instalaciones, gestión de incidentes, gestión de la continuidad de las actividades, supervisión, auditorías y pruebas y cumplimiento de normas internacionales.


En España

En España tenemos un Código de Derecho de la Ciberseguridad, publicado en el Boletín Oficial del Estado, que cita las principales normas a tener en cuenta con relación a la protección del ciberespacio y el velar por la mencionada ciberseguridad.

En este código se hace referencia a las siguientes leyes, entre otras:

  • Normativas de seguridad nacional:
    • Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, que regula los principios y organismos clave así como las funciones que deberán desempeñar para la defensa de la Seguridad Nacional.
    • Orden TIN/3016/2011, de 28 de Octubre, por la que se crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración.
  • Normativas de seguridad:
    • Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.
    • Ley 5/2014, de 4 de abril, de Seguridad Privada.
  • Con relación a incidentes de seguridad, existe todo un entramado relacionado con las Fuerzas Armadas pero también se dispone de una inclusión parcial en la Ley 34/2002, de 11 de julio, de servicios a la sociedad de la información y comercio electrónico.
  • Relacionadas con las telecomunicaciones, existen las siguientes normas:
    • Ley 34/2002, de 11 de julio, de servicios a la sociedad de la información y comercio electrónico (antes citada).
    • Real Decreto 381/2015, de 14 de mayo, por el que se establecen medidas contra el tráfico no permitido o irregular con fines fraudulentos en comunicaciones electrónicas.
    • Ley 50/2003, de 19 de diciembre, de firma electrónica.
    • La Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
    • Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
  • Relacionado con la ciberdelincuencia, encontramos inclusiones parciales en el Código Penal, la Ley Orgánica 5/2000, de 12 de enero, reguladora de la responsabilidad penal de los menores; o en el Real Decreto de aprobación de la Ley de Enjuiciamiento Criminal.
  • También es de aplicación lo dispuesto en la normativa de protección de datos, desarrollada por la Ley Orgánica 15/1999, de 13 de diciembre y su Reglamento, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

Como puede verse, existe un entramado sumamente complejo que tendrá por objeto regular unas u otras situaciones en la red.


Otras leyes que regulan la ciberseguridad a nivel técnico y organizativo

Con relación a la ciberseguridad a nivel técnico y organizativo, hay que tener en cuenta también lo establecido por el nuevo Reglamento Europeo de Protección de Datos 2016/679, así como la existencia de otro tipo de protocolos o reglas internacionales, en especial las relacionadas con las transferencias internacionales de datos, como el Privacy Shield.

Estas tan solo son algunas de las normas que tienen por objeto proteger el ciberespacio, pero existen muchas más en detalle que regularían aspectos todavía más concretos.

Por ejemplo, las normas que se deberán tener en cuenta cuando se comete un acto delictivo relacionado con la suplantación de identidad de una marca o empresa, de aprovechamiento ilícito de la misma o de infracción a creaciones de autores protegidas por la propiedad intelectual. En estos casos, además de las normas que aparecen en el código español antes mencionado, se deberá también tener en cuenta el derecho marcario o la normativa de propiedad intelectual e industrial, según corresponda.

La ciberseguridad puede ser quebrantada, por lo tanto, no solo por la comisión u omisión de ciertos actos que tengan que ver con la seguridad en sí misma considerada sino que en ocasiones se puede afectar a un derecho de un tercero aprovechándose de actos que vayan en contra, precisamente, de la seguridad en la red.

Este post también está disponible en inglés.

New Call-to-action



Este es un post invitado de Vanesa Alarcón Caparrós

Vanesa es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de Avatic Abogados.

@vanesa_alarcon
@AvaticAbogados


Este es un post invitado de Vanesa Alarcón Caparrós.

Vanesa es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de Avatic Abogados.

@vanesa_alarcon
@AvaticAbogados


 

POSTS RELACIONADOS


Tags: Legalidad

Subscríbete al blog

Últimos posts