Víctor Salgado destaca o marco de confianza tecnolóxica que abre o Regulamento de Ciberresiliencia da UE

martes, 29 de outubro do 2024 S. P.

O avogado galego Víctor Salgado, do bufete especializado en dereito tecnolóxico Pintos & Salgado, compartiu con Código Cero un novo informe sobre unha das cuestións prioritarias para garantir o pleno desenvolvemento e a plena accesibilidade da sociedade dixital: a cibeseguridade. Víctor Salgado pon o foco desta volta no Regulamento de Ciberresiliencia, unha nova normativa europea que nace para garantir a seguridade dos produtos dixitais. Trátase dun novo e relevante paso a prol de garantir a protección na nosa relación co ecosistema tecnolóxico, logo de que en 2024 o Goberno europeo formalizase a aprobación do Regulamento IA.
Salgado explícanos que o Regulamento de Ciberresiliencia é unha iniciativa que saía do Parlamento Europeo en marzo deste ano e xa foi aprobado este mes de outubro por parte do Consello da UE; un texto lexislativo para garantir que certos produtos como cámaras domésticas, frigoríficos, televisores, xoguetes conectados a Internet sexan seguros antes de introducirse no mercado. “Este regulamento chega para cubrir un oco na normativa europea: céntrase en harmonizar lexislativamente as medidas de seguridade que deben implementarse en todo tipo de dispositivos da Internet das Cousas. A principal medida que propón é a marcado CE, un certificado que garante que o produto dixital que compra pasou por uns controis moi estritos en materia de ciberseguridade”, expón Víctor Salgado, que se ben recoñece que a normativa ben puido adiantarse á evolución frenética en termos tecnolóxicos que vivimos nos últimos anos, “nunca é tarde se finalmente conseguimos un marco axeitado de disposicións que garantan unha comercialización segura de produtos importantes para o cidadán medio, incluíndo a menores de idade, persoas maiores ou con problemas de saúde… É importante pensar que agora temos dispositivos virtuais que manexan información persoal moi sensíbel, desde monitores con controis sanitarios a reloxos intelixentes con información persoal ou obxectos de domótica que determinan a seguridade dos nosos fogares”.
Para o avogado galego, a responsabilidade de contar con suficientes garantías de protección en todos eses dispositivos “non debe recaer única e exclusivamente nos usuarios e a súa xestión de contrasinais”; todos os axentes que interveñen na construción e venda dun produto dixital deben comprometerse e dar garantías de ciberseguridade. “Ata este momento”, continúa Salgado, “a UE centraba as súas medidas de seguridade mínimas nun concepto físico: obxectos sen elementos tóxicos, xoguetes sen pezas pequenas perigosas para os menores… e o Regulamento de Ciberresiliencia camiña nese sentido, pero centrándose na seguridade dixital. É unha moi boa noticia”.
Salgado lembra que o propio concepto de ciberresiliencia alude a unha das características fundamentais que todo dispositivo conectado a Internet ten que cumprir: deberá ser capaz de recuperar axiña a situación previa a un incidente ou ataque informático cando este se produza.
Tres tipoloxías
A maiores da marcado CE, para o avogado especialista en dereito dixital a normativa incorpora unha segunda gran medida ou novidade: a taxonomía legal que determina o grao de relevancia en termos de ciberseguridade. “Agora a UE modulará os requisitos que pedirá en cada dispositivo electrónico en función da que tipo de produto pertenza: se son produtos estándar, importantes ou críticos. Cada categoría presenta uns riscos distintos para os usuarios se existe algún tipo de vulneración de seguridade nese dispositivo. Todos irán coa certificado CE, pero a maior nivel, máis supervisión e requisitos previos para comercializarse”, contextualiza Salgado.
Os produtos estándar referencian os produtos software e hardware de consumo diario (electrodomésticos intelixentes, asistentes domóticos básicos, lámpadas conectadas, robots de limpeza…); os importantes relaciónanse con programas que tratan datos de carácter persoal, depósitos de contrasinais dos usuarios, software de xestión de redes… E, finalmente, os críticos, os que máis risco terían, aluden a tarxetas intelixentes, depósitos de criptomoedas, pasarelas de contadores intelixentes, dispositivos de cadea de bloques (blockchain)… tecnoloxías máis complexas que xestionan datos relevantes nun sentido económico ou persoal.
“Estamos a integrar unha cantidade enorme de dispositivos que nin soñabamos que se puidesen incorporar nas nosas vidas. Avanzamos moi axiña tecnoloxicamente falando, pero aínda necesitamos reflexionar colectivamente sobre todo o que está en xogo no noso día a día a través da tecnoloxía. Información médica, financeira, do noso estado físico… debemos discutir sobre o Internet das Cousas, e creo que este Regulamento de Ciberresiliencia contribúe en certa maneira para abrir un novo diálogo entre empresas deseñadoras e comercializadoras, institucións públicas e cidadanía”, conclúe Víctor Salgado.
Trala aprobación formal do texto este mes de outubro de 2024, a normativa deberá publicarse no Diario Oficial da UE para entrar en vigor vinte días despois da súa publicación. Con todo, aplicarase tres anos máis adiante, é dicir, ata 2027 non estará activa na súa totalidade, aínda que haxa algúns artigos que se apliquen previamente.