En las últimas semanas se han producido importantes novedades para el marco jurídico de Internet. A la aprobación de la Directiva europea sobre los derechos de autor en el mercado único digital, ahora se suma la transposición de la normativa europea sobre ciberseguridad.
Directiva sobre derechos de autor
Hace escasos días, se ha aprobado la propuesta de Directiva europea sobre los derechos de autor en el mercado único digital. Esta Directiva vendrá a reforzar la protección de los derechos de los autores y de sus obras en el ámbito de internet.
- La protección de las publicaciones de prensa en lo relativo a los usos digitales; es decir, la prensa y los medios de comunicación podrán solicitar compensaciones económicas por compartir sus artículos a través de otras páginas o portales de internet, en virtud de los derechos de reproducción y comunicación pública de sus obras. En este sentido, se trata de una regulación similar a la conocida como “Tasa Google” o “Canon AEDE”, recogida en la reforma de la Ley de Propiedad Intelectual de 2015, a través de la cual se obligaba a los agregadores de noticias a compensar económicamente a los editores, por la publicación de los enlaces a sus noticias. “Tasa Google” que fue declarada nula por el Tribunal Supremo este año a causa de un defecto de forma en la fórmula de cálculo.
- El uso de contenidos protegidos por parte de proveedores de servicios de la sociedad de la información: es decir, redes sociales y plataformas como “Youtube”, “Instagram”, “Google”, “Twitter” o “LinkedIn”, entre otras, deberán controlar los contenidos que sus usuarios compartan y almacenen en sus plataformas, en cuanto a infracciones de propiedad intelectual. En este sentido, se choca frontalmente con la regulación contenida en la Ley de Servicios de la Sociedad de La Información (LSSI) y, por consiguiente, en la Directiva 2000/31/CE, que consagra la teoría del “conocimiento efectivo” en cuanto a vulneraciones de derechos, es decir, la plataforma no es responsable por el contenido alojado hasta que tiene conocimiento de ello, bien sea por resolución judicial o mediante los mecanismos de denuncias internas. Por el contrario, con esta nueva regulación estas plataformas se obligan a establecer mecanismos de filtrado previo de la publicación, lo que puede conllevar a una mayor censura y libertad de interacción entre usuarios.
- Utilización de obras y otras prestaciones en actividades pedagógicas digitales: es decir, se podrán utilizar obras digitales en el ámbito educativo, siempre que esta reproducción o comunicación pública tenga lugar en los locales de un centro de enseñanza o a través de una red electrónica segura a la que solo puedan acceder los alumnos o estudiantes y el personal docente del centro educativo. Y, además, que esta reproducción o comunicación pública de la obra vaya acompañada de la correspondiente indicación de la fuente, incluyendo también el nombre del autor, salvo que ello resulte imposible.
- Mecanismos de adaptación de contratos: es decir, los autores cuyas obras son reproducidas en internet, tendrán derecho a solicitar una compensación equitativa, en caso de que hubiesen pactado una remuneración desproporcionadamente baja, en comparación con los ingresos obtenidos derivados de la explotación de sus obras.
- Conservación del patrimonio cultural: es decir, las instituciones de patrimonio cultural podrán realizar copias de las obras que se hallen de forma permanente en sus colecciones, en cualquier formato y en cualquier soporte, con la única finalidad de conservar tales obras.
- Uso de obras que están fuera del circuito comercial por parte de las instituciones de patrimonio cultural: es decir, las entidades de gestión derechos de propiedad intelectual (SGAE, CEDRO VEGAP, DAMA, AIE AGEDI o EGEDA) podrán pactar la difusión de obras que no se encuentren sujetas a usos comerciales por parte de instituciones de patrimonio cultural siempre y cuando sus autores estén representados en ella, y que puedan oponerse en cualquier momento a esa digitalización, distribución, comunicación al público o puesta a disposición del público de la obra.
Directiva de Ciberseguridad
A diferencia de la anterior normativa, la Directiva de Ciberseguridad nº 2016/1148 no es nueva, ya que fue aprobada por la Unión Europea el 6 de julio de 2016, sin embargo, ha tardado 2 años en ser traspuesta a nuestro ordenamiento jurídico, a través del Real Decreto-Ley 12/2018 de 7 de septiembre.
El principal objetivo de esta nueva norma es poder garantizar un elevado nivel común de seguridad de las redes y sistemas de información.
Se va a aplicar fundamentalmente a operadores de servicios digitales, tales como, sistemas de información en sectores estratégicos, buscadores de internet o servicios cloud, entre otros, que deberán adoptar las medidas de seguridad pertinentes en función de los riesgos a los que se vean sometidos.
Por su parte, estas medidas de seguridad tendrán en cuenta los siguientes aspectos:
- La seguridad de los sistemas e instalaciones;
- La gestión de incidentes;
- La gestión de la continuidad de las actividades;
- La supervisión, auditorías y pruebas; y
- El cumplimiento de las normas internacionales.
Para el cumplimiento de este tipo de medidas, pueden seguirse ciertos estándares de seguridad como, por ejemplo, el Esquema Nacional de Seguridad (ENS), o la ISO 27001 de Sistemas de Gestión de la Seguridad Informática, entre otros.
Asimismo, en caso de producirse algún incidente de seguridad en sus redes, tienen el deber de notificarlo; un deber similar al que sucede con la fuga de datos o brechas de seguridad en el ámbito de la protección de datos, que exige el RGPD/GDPR.
Además, estas notificaciones no supondrán una mayor responsabilidad en la entidad ( sistemas de información en sectores estratégicos, buscadores de internet, servicios cloud… etc.) que las efectúe. Y también se contempla una protección de los empleados o del personal vinculado a través de un contrato que presten sus servicios a estas compañías por informar sobre los incidentes de seguridad de los que tengan constancia. Es decir, no podrán sufrir consecuencias negativas en su puesto de trabajo o con la empresa, tales como un despido disciplinario, salvo en aquellos casos en los que se acredite su mala fe.
Por su parte, esta notificación deberá realizarse a través de los denominados “CSIRT” (Equipo de Respuesta ante Incidencias de Seguridad Informáticas) o “CERT” (Equipo de Respuesta ante Emergencias Informáticas), por ejemplo:
- CCN-CERT (Centro Criptológico Nacional).
- INCIBE-CERT (Instituto Nacional de Ciberseguridad).
- ESP-DEF-CERT (Mando Conjunto de Ciberdefensa).
Por último, el incumplimiento de esta nueva normativa puede suponer sanciones de hasta 1.000.000 € para las entidades.
José Nogueira
Abogado
Sistemius