14/10/2024
El 11 de octubre de 2024 fue una jornada clave para el Consejo de la Unión Europea, que adoptó dos importantes normativas: el Reglamento de Ciberresiliencia y la Directiva de responsabilidad por los daños causados por productos defectuosos. Ambas regulaciones representan un avance significativo en la adaptación de las leyes europeas a los desafíos que plantea la creciente digitalización y la transformación tecnológica.
El Reglamento de Ciberresiliencia, uno de los marcos más esperados en el ámbito de la seguridad digital, introduce exigencias de ciberseguridad a nivel europeo para productos que contienen elementos digitales. El objetivo principal de dicho Reglamento es el garantizar que los dispositivos que estén conectados a Internet (Internet of Things –IoT-), como pueden ser objetos cotidianos tales como frigoríficos, lámparas o sistemas de climatización inteligentes, sean seguros a lo largo de toda su cadena de suministro y ciclo de vida.
Una de las novedades clave del Reglamento es la obligación, de los fabricantes de dispositivos conectados, de garantizar que estos productos no contengan vulnerabilidades explotables conocidas al momento de ser comercializados. Además, los dispositivos deben estar configurados de manera segura por defecto, permitiendo actualizaciones de seguridad automáticas cuando sea necesario. Los fabricantes también deben implementar mecanismos efectivos para la gestión de vulnerabilidades, lo que incluye la provisión de actualizaciones de seguridad continuas y gratuitas a lo largo del ciclo de vida del producto.
El ámbito de aplicación del Reglamento es amplio, abarcando todos los productos que estén conectados directa o indirectamente a otro dispositivo o red. Sin embargo, se contemplan algunas excepciones, como los productos sanitarios, aeronáuticos o automovilísticos, que ya están sujetos a normativas específicas en materia de ciberseguridad.
El plazo de implementación será progresivo. Si bien el reglamento entrará en vigor 20 días después de su publicación en el Diario Oficial de la Unión Europea, su aplicación completa está prevista para 36 meses después de dicha entrada en vigor, permitiendo a los fabricantes y operadores ajustarse a los nuevos requisitos. Sin embargo, algunas disposiciones se aplicarán en fases anteriores para garantizar una transición adecuada.
Por otro lado, la Directiva de responsabilidad por los daños causados por productos defectuosos, actualiza el marco de responsabilidad civil. En un contexto en el que la digitalización y los modelos de negocio basados en la sostenibilidad y la economía circular están en auge, era imprescindible una modernización de las reglas que rigen la responsabilidad de los fabricantes y operadores de productos defectuosos.
Un aspecto innovador de esta normativa es la ampliación del concepto de “producto” para incluir archivos digitales y software, además de la posibilidad de que las plataformas online sean responsables por los productos defectuosos vendidos a través de ellas, siempre que actúen como operadores económicos.
Además, esta Directiva también debe analizarse con otras normativas, tales como es el reciente Reglamento (UE) 2024/1689 sobre Inteligencia Artificial. Entre otras medidas, aborda las actualizaciones de software y la capacidad de los sistemas de IA de realizar modificaciones sustanciales a productos a través de su continuo aprendizaje. En estos casos, cualquier modificación significativa que realice un sistema de IA sobre un producto será tratada como si ese producto hubiera sido introducido nuevamente en el mercado en el momento en que la modificación ocurre.
Otro cambio significativo es la inclusión de los productos que, en el marco de la economía circular, han sido reparados o modificados fuera del control del fabricante original. En estos casos, será el reparador o modificador quien asuma la responsabilidad por los posibles defectos del producto.
Además, la Directiva simplifica los procedimientos judiciales para los consumidores. Ahora será más fácil reclamar compensaciones ante los tribunales nacionales gracias a la nueva disposición que permite a los afectados solicitar acceso a pruebas en poder de los fabricantes.
Finalmente, en casos donde el consumidor encuentre dificultades excesivas para probar el defecto, o la causalidad del mismo, los tribunales podrán flexibilizar los requisitos probatorios, permitiendo que el demandante sólo tenga que demostrar la probabilidad de que el producto fuera defectuoso, o que ese defecto fue una causa probable del daño.
En definitiva, con la aprobación del Reglamento de Ciberresiliencia y la Directiva de responsabilidad por los daños causados por productos defectuosos, la Unión Europea da un paso firme hacia la consolidación de un marco normativo que responde a los desafíos de la era digital y la economía circular. Ambas normativas no sólo ofrecen mayor seguridad jurídica a consumidores y empresas, sino que también facilitan la adopción de nuevas tecnologías de manera responsable y sostenible. Desde EJASO, estaremos atentos a cualquier desarrollo normativo adicional y ofrecemos asesoramiento especializado a todas aquellas empresas que necesiten adaptarse a los nuevos requisitos establecidos por estas regulaciones.
España & Portugal
