Voglio sapere a riguardo di…

11.5.2021

ES

Diario Oficial de la Unión Europea
C 183/3

SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS
Resumen del Dictamen del Supervisor Europeo de Protección de Datos sobre la estrategia de ciberseguridad y la Directiva SRI 2.0
El texto completo del presente dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD, www.edps.
europa.eu 2021/C 183/03

El 16 de diciembre de 2020, la Comisión Europea adoptó una propuesta de Directiva del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión, y por la que se deroga la Directiva UE 2016/1148 la Propuesta. Paralelamente, la Comisión Europea y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad publicaron una comunicación conjunta al Parlamento Europeo y el Consejo, titulada La estrategia de ciberseguridad de la UE para la década digital la Estrategia.
El SEPD apoya firmemente el objetivo general de la Estrategia para garantizar una internet global y abierta, con sólidas salvaguardias para los riesgos de seguridad y los derechos fundamentales, que reconozca el valor estratégico de internet y su gobernanza, y consolide la actuación de la Unión en ese sentido, en un modelo de múltiples partes interesadas.
Por esa razón, el SEPD valora satisfactoriamente el objetivo de la Propuesta de introducir cambios sistémicos y estructurales a la Directiva SRI actual para abarcar un conjunto más amplio de entidades en la Unión, con mayores medidas de seguridad, incluida la gestión obligatoria del riesgo, normas mínimas y disposiciones apropiadas de supervisión y cumplimiento. A
este respecto, el SEPD considera necesario integrar plenamente a las instituciones, oficinas, órganos y agencias de la Unión en el marco global de ciberseguridad de la UE, con el fin de alcanzar un nivel uniforme de protección que incluya explícitamente a las instituciones, oficinas, órganos y agencias de la Unión en el ámbito de la Propuesta.
Además, el SEPD destaca la importancia de integrar la perspectiva de la privacidad y la protección de datos en las medidas de ciberseguridad derivadas de la Propuesta o de otras iniciativas de ciberseguridad de la Estrategia, con vistas a asegurar un enfoque integral y permitir las sinergias en la gestión de la ciberseguridad y en la protección de los datos de carácter personal que procesan. Es igualmente importante que cualquier limitación potencial del derecho a la protección de los datos de carácter personal y de la privacidad derivada de estas medidas cumpla los requisitos dispuestos en el artículo 52
de la Carta de los Derechos Fundamentales de la Unión Europea y, en particular, que se lleve a cabo mediante una medida legislativa y que sea, a la vez, necesaria y proporcionada.
El SEPD espera que la Propuesta no persiga afectar a la aplicación de la legislación de la UE que regula el tratamiento de datos de carácter personal, incluidas las funciones y poderes de las autoridades de control independientes con competencias para supervisar el cumplimiento de dichos instrumentos. Esto significa que todos los sistemas y servicios de ciberseguridad implicados en la prevención, detección y respuesta a las ciberamenazas deben ajustarse al marco actual de protección de datos y privacidad. En este sentido, el SEPD considera importante y necesario establecer una definición clara e inequívoca del término ciberseguridad a efectos de la Propuesta.
El SEPD formula recomendaciones concretas para garantizar que la Propuesta complementa de manera correcta y efectiva la legislación actual de la Unión en materia de protección de datos de carácter personal, en particular el RGPD y la Directiva sobre la privacidad y las comunicaciones electrónicas, implicando también al SEDP y al Consejo Europeo de Protección de Datos en caso necesario, y estableciendo mecanismos claros de colaboración entre las autoridades competentes de los distintos ámbitos normativos.
Además, las disposiciones sobre la gestión de los registros de dominios de primer nivel de internet deben definir claramente el ámbito de aplicación y las condiciones pertinentes en la legislación. El concepto de los exámenes proactivos de las redes y los sistemas de información por parte de los CSIRT también requiere más aclaraciones sobre el ámbito de aplicación y los tipos de datos personales tratados. Se llama la atención sobre los riesgos de posibles transferencias de datos no conformes relacionadas con la externalización de servicios de ciberseguridad o la adquisición de productos de ciberseguridad y su cadena de suministro.