EXPOSICIÓN DE MOTIVOS
1.CONTEXTO DEL ACTO DELEGADO
Un gran número de equipos radioeléctricos son utilizados a diario, no solo por consumidores adultos o usuarios profesionales, sino también por usuarios vulnerables como los niños.
Por una parte, el Parlamento Europeo y el Consejo han expresado en repetidas ocasiones la necesidad de reforzar la ciberseguridad en la UE, reconociendo la creciente importancia de los equipos radioeléctricos conectados, incluidas las máquinas, los sensores y las redes que conforman el internet de las cosas, con los problemas de seguridad conexos. El marco de la UE se compone de varios actos legislativos que abarcan aspectos relacionados con la ciberseguridad o algunos de sus elementos. Al abordar determinadas cuestiones de ciberseguridad, cada uno de los diversos interlocutores o partes interesadas puede tener la obligación específica de contribuir a garantizar que todo el ecosistema siga siendo seguro. Por ejemplo, los operadores de redes y los proveedores de servicios deben garantizar la seguridad de sus sistemas y plataformas, los fabricantes de equipos deben garantizar que se diseñan teniendo en cuenta los principios de seguridad, los usuarios deben ser conscientes de los riesgos que entraña la realización de determinadas operaciones y de la necesidad de llevar a cabo las actualizaciones necesarias del equipo que utilizan, y los Estados miembros pueden establecer prioridades. La ciberseguridad de todo el ecosistema solo está garantizada si todos sus componentes son ciberseguros.
Por otra parte, en diciembre de 2016, el Consejo de Consumidores noruego evaluó las características técnicas de determinados juguetes radioconectados. Sus conclusiones apuntan a una posible falta de protección de los derechos de los niños a la privacidad, a la protección de los datos personales y a la seguridad. Gracias a los altavoces integrados, los micrófonos y otros sensores, los juguetes interconectados son, por definición, «inteligentes» y, por ejemplo, pueden interpretar el habla, lo que les permite interactuar con los niños. Además, pueden grabar no solo fotos, vídeos, datos de geolocalización, datos relacionados con la experiencia de juego, sino también ritmos cardíacos, hábitos de sueño u otros datos biométricos. El informe refleja asimismo que algunos de estos juguetes también pueden anunciar productos cuando interactúan con el niño, lo que puede no estar en consonancia con la transparencia esperada de este tipo de productos. Por este motivo, su resultado ha hecho que las asociaciones europeas de consumidores hagan un llamamiento a la acción.
Los juguetes son tan solo una parte de un sector más amplio que presenta riesgos similares. La Directiva 2009/48/CE establece los requisitos de seguridad que deben cumplir los juguetes incluidos en el ámbito de aplicación de dicha Directiva antes de poder comercializarse en la Unión. Sin embargo, los requisitos establecidos en dicha Directiva no incluyen, por ejemplo, requisitos que garanticen la protección de los datos personales y de la privacidad o la protección contra el fraude.
Los dispositivos inteligentes, las cámaras inteligentes y otros equipos radioeléctricos conectados, como teléfonos móviles, ordenadores portátiles, dongles, sistemas de alarma y sistemas de domótica, también constituyen ejemplos de equipos con riesgo de piratería informática y de problemas de privacidad cuando están conectados a internet. Además, los equipos radioeléctricos ponibles (por ejemplo, anillos, pulseras, clips de bolsillo, auriculares, monitores deportivos, etc.) pueden monitorizar y registrar una serie de datos sensibles del usuario a lo largo del tiempo (por ejemplo, la posición, la temperatura, la presión arterial, la frecuencia cardíaca) y retransmitirlos no solo a través de internet, sino también a través de tecnologías de comunicación de corto alcance que no son seguras. La Directiva 2014/53/UE, sobre equipos radioeléctricos, establece un marco regulador para la introducción de equipos radioeléctricos en el mercado único y tiene por objeto las condiciones obligatorias de acceso al mercado para los equipos radioeléctricos. La Directiva sobre equipos radioeléctricos abarca los equipos eléctricos y electrónicos que pueden utilizar el espectro radioeléctrico para fines de comunicación o de radiodeterminación. Los Estados miembros, a través de sus autoridades nacionales de vigilancia del mercado, adoptarán medidas correctoras con respecto a los equipos radioeléctricos no conformes.
El artículo 3 de la Directiva sobre equipos radioeléctricos establece los requisitos esenciales que los equipos radioeléctricos introducidos en el mercado de la Unión deben cumplir: el artículo 3, apartado 1, letra a), establece requisitos esenciales en relación con la salud y la seguridad; el artículo 3, apartado 1, letra b), establece requisitos esenciales en relación con la compatibilidad electromagnética, y el artículo 3, apartado 2, establece requisitos esenciales en relación con el uso eficiente del espectro radioeléctrico. Además, el artículo 3, apartado 3, establece requisitos esenciales adicionales que se aplican a las categorías o clases de equipos radioeléctricos especificadas en los actos delegados de la Comisión relacionados.
La Directiva relativa a los equipos radioeléctricos faculta a la Comisión para adoptar actos delegados a fin de hacer aplicable cualquiera de los requisitos esenciales establecidos en el artículo 3, apartado 3, de dicha Directiva, especificando cada uno de esos requisitos que se referirán a categorías o clases de equipos radioeléctricos. Las tres letras siguientes del artículo 3, apartado 3, párrafo segundo, son pertinentes para esta iniciativa:
·el artículo 3, apartado 3, letra d), para garantizar la protección de la red;
·el artículo 3, apartado 3, letra e), para garantizar salvaguardias para la protección de datos personales y de la privacidad;
·el artículo 3, apartado 3, letra f), para garantizar la protección contra el fraude.
No obstante, el objetivo no es elaborar normas adicionales o que se solapen con la legislación vigente, sino garantizar que los principios existentes, cuando proceda, se traduzcan en requisitos específicos para la fabricación de productos que vayan a comercializarse en el mercado de la Unión con cierto grado de cumplimiento o verificabilidad. Es importante garantizar la complementariedad con el marco vigente de la UE. A este respecto, los equipos, productos o componentes radioeléctricos a los que se aplican los Reglamentos (UE) 2019/2144y (UE) 2018/1139 o la Directiva (UE) 2019/520 no deben inscribirse en las categorías o clases de equipos radioeléctricos que deben cumplir los requisitos esenciales establecidos en el artículo 3, apartado 3, letras e) y f), de la Directiva 2014/53/UE.
En cuanto a la protección de datos, la legislación de la Unión sobre datos personales y protección de la privacidad, como el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, regulan el tratamiento de los datos personales y la protección de la privacidad, pero no regulan la comercialización de equipos radioeléctricos en el mercado de la Unión.
El objetivo clave de esta iniciativa es contribuir a reforzar el «ecosistema de confianza» que se deriva de las sinergias de todos los actos legislativos de la UE que se refieren a la protección de las redes, la privacidad y la lucha contra el fraude, que se explican con mayor detalle en la evaluación de impacto adjunta. Con esta iniciativa solo deberían permitirse en el mercado de la UE los equipos radioeléctricos suficientemente seguros. Teniendo presentes los objetivos generales, la iniciativa pretende reforzar el respeto de determinados derechos fundamentales (por ejemplo, la privacidad) y apoyar los objetivos políticos establecidos en otros actos legislativos de la UE que no permiten la aplicación de las normas en el mercado. También es necesaria una actuación oportuna, dada la magnitud de los riesgos y teniendo en cuenta que una rápida aplicación tiene un impacto positivo en los objetivos políticos actuales de la UE. La posibilidad de utilizar las competencias existentes que ya se han otorgado a la Comisión permitirá actuar respetando al marco existente y sin necesidad de legislación adicional específica. Con el fin de abordar los problemas relativos a los productos que carecen de elementos de seguridad, un objetivo específico es proporcionar a las autoridades de vigilancia del mercado un instrumento de ejecución que les permita adoptar medidas correctoras. Otro objetivo es garantizar un mercado único de los productos en cuestión, sin el obstáculo de la divergencia entre normativas locales o nacionales que aumente las cargas administrativas, especialmente para las empresas más pequeñas. El objetivo final es establecer unas condiciones equitativas mediante normas claras y proporcionadas que se apliquen de manera efectiva y uniforme en todo el territorio de la UE.
La necesidad de normas del mercado interior que incluyan salvaguardias contra productos y servicios no seguros se destaca en la Comunicación conjunta de la Comisión y del Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad, de 16 de diciembre de 2020, sobre la Estrategia de Ciberseguridad de la UE para la Década Digital.
2.CONSULTAS PREVIAS A LA ADOPCIÓN DEL ACTO
La estrategia de consulta para esta iniciativa ha tenido en cuenta todos los posibles aspectos conexos, también en cuanto al impacto para la sociedad (por ejemplo, los consumidores y los agentes económicos), las autoridades nacionales, las condiciones de acceso al mercado común y la aplicación de otros actos legislativos de la UE o las sinergias con ellos. Se utilizó la información facilitada por las partes interesadas, además de las pruebas obtenidas a través de otras fuentes de investigación (por ejemplo, la investigación documental).
Las partes interesadas pertinentes eran las siguientes: autoridades públicas competentes en materia de tratamiento de datos, fraudes o equipos radioeléctricos, asociaciones de agentes económicos, agentes económicos individuales, organizaciones de consumidores, ciudadanos, instituciones académicas o de investigación y organizaciones no gubernamentales pertinentes, organismos notificados y organizaciones europeas de normalización.
Se efectuaron las siguientes actividades específicas de consulta:
·Todas las partes interesadas pudieron presentar observaciones sobre la evaluación de impacto inicial durante un período de cuatro semanas.
·Se ha iniciado una consulta pública de 12 semanas de duración en el portal «Legislar mejor» de la Comisión.
·Una consulta específica centrada específicamente en los Estados miembros, los agentes económicos (asociaciones o particulares), las organizaciones de consumidores, los organismos de evaluación de la conformidad, los consumidores u otros expertos.
También se invitó a las partes interesadas a participar en la encuesta específica, incluidas las que han participado en la reunión del Grupo de Expertos sobre Equipos Radioeléctricos. De ellos, 56 optaron por responder rellenando el cuestionario. Los 56 encuestados procedían de 20 países, incluidos 14 Estados miembros de la UE. El mayor número de respuestas (14) procedían de Bélgica, casi todas ellas entidades que representaban a fabricantes o consumidores. Alemania fue el siguiente país mejor representado, con 11 encuestados, la mayoría de los cuales eran fabricantes. De los Estados no pertenecientes a la UE, los Estados Unidos estaban mejor representados, con 5 encuestados, entre los que se encontraba una combinación de fabricantes y organismos industriales. Hubo equilibrio en el tamaño de las organizaciones que respondieron. Las grandes organizaciones eran todas fabricantes o administraciones públicas nacionales, excepto dos organismos de evaluación de la conformidad y una universidad. Muchas de las microorganizaciones eran asociaciones industriales o de consumidores. Las organizaciones pequeñas y medianas eran una mezcla de todo tipo de organizaciones.
En cuanto a la consulta pública abierta, que consistía en preguntas abiertas y cerradas, llegaron 42 respuestas. El perfil del país de los que respondieron era el siguiente:
·Las 42 respuestas procedían de 14 Estados miembros de la UE.
·El mayor número de respuestas (8) procedían de Alemania, siete de las cuales eran de ciudadanos.
·Seis procedían de Bélgica, y todos ellos eran organismos representativos a escala de la UE (cinco asociaciones empresariales y una asociación de consumidores).
·Seis procedían de España, de las cuales cuatro eran autoridades públicas y dos eran empresas.
·Ninguno de los encuestados estaba ubicado fuera de la UE.
El perfil del tipo de encuestado era el siguiente:
·De los 42 encuestados, algo más de la mitad (22) eran ciudadanos.
·Los ciudadanos procedían de 10 Estados miembros de la UE.
·De las seis autoridades públicas, cuatro procedían de España, una de Estonia y otra de Irlanda.
·De las siete asociaciones empresariales, cinco eran organismos a escala de la UE con sede en Bélgica.
·Las seis empresas procedían de cinco países diferentes. Tres eran microempresas, dos eran pequeñas empresas y una era gran empresa.
·La única organización de consumidores era un organismo a escala de la UE con sede en Bélgica.
El 18 de septiembre de 2020 y el 17 de noviembre de 2020 se consultó al Grupo de Expertos sobre Equipos Radioeléctricos (E03587) sobre documentos preliminares que abordaban puntos clave del acto delegado (ámbito de aplicación, artículos aplicables, excepciones, fecha de aplicabilidad). El 24 de febrero de 2021 se consultó al mismo grupo sobre el proyecto de acto. Participan en el Grupo de Expertos sobre Equipos Radioeléctricos las autoridades de los Estados miembros de la UE y de los países asociados, las asociaciones de consumidores, las asociaciones de agentes económicos que se ocupan de la Directiva relativa a los equipos radioeléctricos y las organizaciones europeas de normalización. Las observaciones recibidas están a disposición del público en CIRCABC, donde también se resumen los debates correspondientes en las actas de las reuniones.
Algunas opciones de políticas se descartaron en una fase temprana o durante el desarrollo de esta iniciativa por diversas razones, como se indica a continuación:
·En una fase temprana, otra posible opción política que se consideró fue la introducción de un acto legislativo horizontal sobre ciberseguridad. Varios fabricantes individuales y sus asociaciones industriales lo propusieron como la mejor opción política que, en su opinión, evitaría la fragmentación de los resultados, la eficiencia y la eficacia. Sin embargo, en los debates del Grupo de Expertos sobre Equipos Radioeléctricos se señaló, por ejemplo, que, en realidad, habida cuenta de los plazos legislativos necesarios para un procedimiento de codecisión, dicha opción podría no ser tan oportuna como uno o más actos delegados en virtud de la Directiva relativa a los equipos radioeléctricos.
·En el momento de publicar la evaluación inicial de impacto, aún no se había adoptado el Reglamento de Ciberseguridad, por lo que ninguna opción podía basarse en ese acto legislativo. Además, el establecimiento de regímenes de certificación de la ciberseguridad en virtud del acto no crea ninguna obligación jurídica en lo que respecta a la comercialización de productos. Como tal, la certificación de la ciberseguridad sigue siendo una actividad voluntaria que se abordó en virtud de los enfoques industriales voluntarios en el contexto de las opciones políticas.
Por último, en una fase posterior, es decir, tras la publicación de la evaluación inicial de impacto, algunos Estados miembros sugirieron la adopción del artículo 3, apartado 3, letra d), en relación con el artículo 3, apartado 3, letra e) y el artículo 3, apartado 3, letra f), señalando las sinergias de la adopción conjunta de los tres artículos. Dado que los Estados miembros y las asociaciones de consumidores consideraron la adopción del artículo 3, apartado 3, letra d), como un complemento de la opción 4, no se consideró una opción independiente para el artículo 3, apartado 3, letra d).
Asimismo, para abordar los riesgos de ciberseguridad en todos los productos conectados y servicios asociados y a lo largo de todo su ciclo de vida, en la Comunicación conjunta de diciembre de 2020 titulada «La Estrategia de Ciberseguridad de la UE para la Década Digital», la Comisión anunció que considerará la posibilidad de adoptar un enfoque integral, incluidas posibles nuevas normas horizontales para mejorar la ciberseguridad de todos los productos conectados y los servicios asociados que se comercializan en el mercado interior.
3. CONSULTA PÚBLICA DEL PROYECTO DE ACTO
Tras debatir el proyecto de acto con el Grupo de Expertos sobre Equipos Radioeléctricos, se puso en marcha una consulta pública formal de cuatro semanas. La consulta estaba abierta a todos los ciudadanos y partes interesadas, sin restricciones.
El número final de contribuciones recibidas fue de 26. El perfil del país de los que respondieron fue el siguiente:
·El mayor número de respuestas (18) procedieron de Bélgica.
·Solo se envió una contribución desde fuera de la Unión Europea (Suiza).
·El resto de respuestas procedieron de los Países Bajos (4), Polonia (1), Alemania (1) y Francia (1).
El perfil del tipo de encuestado fue el siguiente:
·La mayoría de las contribuciones (17) procedieron de la industria.
·Los consumidores y las asociaciones no gubernamentales dieron tres respuestas.
·Cuatro ciudadanos enviaron comentarios.
·Se recibieron dos contribuciones de las organizaciones europeas de normalización.
Tras evaluar estas contribuciones, se ha llegado a la conclusión de que no es necesario modificar el proyecto de acto por las razones que se exponen a continuación:
·Algunas contribuciones se referían específicamente a medidas técnicas para mitigar las amenazas a la ciberseguridad. Sin embargo, este acto no establece medidas técnicas, sino que solo establece requisitos esenciales. Las opiniones expresadas en las contribuciones recibidas sobre estas cuestiones técnicas se tendrán en cuenta a la hora de elaborar las normas auxiliares armonizadas.
·Algunas partes interesadas expresaron su preocupación por la supuesta duplicación de obligaciones con otros actos legislativos de la UE. Este proyecto de acto regula la comercialización de los equipos que pertenecen al ámbito de aplicación; el resto del marco jurídico de la UE no ha regulado este elemento. Además, el acto no pretende regular ningún proceso o servicio ni ninguna cuestión posterior a la comercialización que no esté cubierta por la Directiva sobre equipos radioeléctricos.
·Una asociación industrial indicó que, en su opinión, el acto crea obstáculos a las pymes. Como se indica en la evaluación de impacto, las próximas normas armonizadas aportarán las soluciones técnicas y las pymes contribuirán a su desarrollo.
·Se han recibido varias observaciones sobre la comprensión de las categorías de equipos a los que serán aplicables los requisitos esenciales. La definición de «dispositivo conectado a internet» se ha debatido ampliamente en el grupo de expertos pertinente. La limitación del ámbito de aplicación según el uso previsto y no según las capacidades técnicas implicará que varios equipos no estarían contemplados en el acto. Desde el punto de vista técnico, la comunicación a través de Internet sería posible y los piratas informáticos podrían aprovechar estas vulnerabilidades. Además, el concepto de «red» es claro e incluye internet.
·Algunas asociaciones industriales mostraron su preocupación acerca del principio de neutralidad tecnológica, ya que los equipos conectados mediante cable no están contemplados en el acto. La evaluación de impacto confirma que los dispositivos inalámbricos presentan un mayor riesgo en cuanto a la ciberseguridad y, por lo tanto, deben aplicarse medidas estratégicas específicas para esos equipos radioeléctricos.
·Una asociación industrial señaló que no todos los equipos utilizados por los niños estaban contemplados en el acto. A este respecto, la protección de la privacidad de los niños se garantiza mediante las obligaciones impuestas a los fabricantes de dispositivos, juguetes y equipos para el cuidado de niños conectados a internet (los dos últimos también aunque no puedan comunicarse a través de internet). Los equipos radioeléctricos utilizados por los niños están ampliamente incluidos en las categorías mencionadas.
·Por último, la mayoría de las partes interesadas manifestaron su preocupación por el período transitorio, ya que lo consideraban demasiado corto o demasiado largo. Se considera que el período transitorio de treinta meses alcanza el equilibrio adecuado entre la necesidad de mejorar urgentemente el nivel de ciberseguridad de los equipos radioeléctricos en el mercado europeo y la necesidad de conceder un plazo razonable a los fabricantes para que adapten sus productos.
4.ASPECTOS JURÍDICOS DEL ACTO DELEGADO
El objetivo del presente Reglamento Delegado es hacer aplicables los requisitos esenciales establecidos en el artículo 3, apartado 3, letras d), e) y f), de la Directiva relativa a los equipos radioeléctricos, que abordan elementos de ciberseguridad, a las categorías de equipos radioeléctricos que plantean riesgos para la ciberseguridad.
Más concretamente, establece que el artículo 3, apartado 3, letras d), e) y f), de la Directiva relativa a los equipos radioeléctricos se aplicará a los equipos radioeléctricos conectados a internet definidos en el artículo 1, con sujeción a determinadas exclusiones especificadas en el acto delegado.
Además, establece que el artículo 3, apartado 3, letra e), de la Directiva relativa a los equipos radioeléctricos se aplicará a los equipos radioeléctricos ponibles, a los juguetes que sean también equipos radioeléctricos y a los equipos radioeléctricos para el cuidado de niños —conectados a internet o no—, con sujeción a determinadas exclusiones especificadas en el acto delegado.
El Reglamento Delegado es coherente con los principios establecidos en distintos actos legislativos pertinentes de la UE, en particular la legislación de la UE en el ámbito de la ciberseguridad.
La fecha de aplicabilidad del Reglamento Delegado es de treinta meses a partir de su entrada en vigor, por lo que no afectará a los equipos radioeléctricos introducidos en el mercado de la Unión antes de esa fecha de aplicabilidad.
El Reglamento Delegado no tiene repercusiones para el presupuesto de la UE.
REGLAMENTO DELEGADO (UE) …/... DE LA COMISIÓN
de 29.10.2021
que completa la Directiva 2014/53/UE del Parlamento Europeo y del Consejo en lo que respecta a la aplicación de los requisitos esenciales contemplados en el artículo 3, apartado 3, letras d), e) y f), de dicha Directiva
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Vista la Directiva 2014/53/UE del Parlamento Europeo y del Consejo, de 16 de abril de 2014, relativa a la armonización de las legislaciones de los Estados miembros sobre la comercialización de equipos radioeléctricos, y por la que se deroga la Directiva 1999/5/CE, y, en particular, su artículo 3, apartado 3, párrafo segundo, en relación con su artículo 3, apartado 3, párrafo primero, letras d), e) y f),
Considerando lo siguiente:
(1)La protección de la red o su funcionamiento frente a los daños, la protección de los datos personales y la privacidad de los usuarios y de los abonados y la protección contra el fraude son los elementos en los que se basa la protección contra los riesgos de ciberseguridad.
(2)Como se indica en el considerando 13 de la Directiva 2014/53/UE, la protección de datos personales y de la privacidad de los usuarios y de los abonados a equipos radioeléctricos, así como la protección contra el fraude, pueden mejorarse mediante funciones especiales de los equipos radioeléctricos. Por tanto, según dicho considerando, los equipos radioeléctricos deben diseñarse de manera que sean compatibles con las funciones necesarias para acceder a tales servicios.
(3)La red 5G desempeñará un papel clave en el desarrollo de la economía y la sociedad digitales de la Unión en los próximos años y podrá afectar a casi todos los aspectos de la vida de los ciudadanos de la Unión. El documento titulado «Ciberseguridad de las redes 5G: conjunto de instrumentos de la UE para las medidas de reducción del riesgo» identifica un posible conjunto común de medidas capaces de mitigar los principales riesgos de ciberseguridad de las redes 5G y proporciona orientaciones para la selección de medidas que deben priorizarse en los planes de mitigación a escala nacional y de la Unión. Además de esas medidas, es muy importante seguir un enfoque armonizado de los requisitos esenciales relativos a los elementos de protección de la ciberseguridad aplicables a los equipos radioeléctricos 5G cuando se introduzcan en el mercado de la Unión.
(4)El nivel de seguridad aplicable con arreglo a los requisitos esenciales de la Unión establecidos en el artículo 3, apartado 3, letras d), e) y f), para garantizar la protección de la red, las salvaguardias para la protección de los datos personales y de la privacidad y la protección contra el fraude no menoscabará el elevado nivel de seguridad exigido a escala nacional para las redes inteligentes descentralizadas en el ámbito de la energía en las que vayan a utilizarse contadores inteligentes sujetos a dichos requisitos, ni para los equipos de redes 5G utilizados por los proveedores de redes públicas de comunicaciones electrónicas y servicios de comunicaciones electrónicas disponibles para el público en el sentido de la Directiva (UE) 2018/1972.
(5)También se han expresado numerosas preocupaciones en relación con el aumento de los riesgos de ciberseguridad como consecuencia del mayor uso por parte de profesionales y consumidores, incluidos los niños, de equipos radioeléctricos que: i) pueden comunicarse por internet, independientemente de si se comunican directamente o a través de cualquier otro equipo («equipo radioeléctrico conectado a internet»), es decir, dichos equipos funcionan con protocolos necesarios para intercambiar datos con internet, ya sea directamente o mediante un equipo intermedio; ii) pueden ser un juguete con función radioeléctrica que también entra en el ámbito de aplicación de la Directiva 2009/48/CE del Parlamento Europeo y del Consejo o están diseñados o destinados exclusivamente al cuidado infantil, como monitores de bebés; o iii) están diseñados o destinados, exclusivamente o no, a ser llevados, ajustados o colgados de cualquier parte del cuerpo humano (cabeza, cuello, tronco, brazos, manos, piernas o pies) o cualquier prenda de vestir (incluidos los accesorios para el cabello, para las manos o el calzado) que lleve la persona, como equipos de radio en forma de reloj de pulsera, anillos, cintas, auriculares o gafas («equipos radioelectrónicos ponibles»).
(6)A este respecto, deben considerarse equipos radioeléctricos conectados a internet todos los equipos radioeléctricos para el cuidado de niños, los equipos radioeléctricos contemplados en la Directiva 2009/48/CE o los equipos radioeléctricos ponibles, capaces de comunicarse por internet, independientemente de que se comuniquen directamente o a través de cualquier otro equipo. Los implantes, por ejemplo, no deben considerarse equipos radioeléctricos ponibles, ya que no se llevan, se ajustan o se cuelgan de ninguna parte del cuerpo humano o de ninguna prenda de vestir. No obstante, debe considerarse que los implantes son equipos radioeléctricos conectados a internet si son capaces de comunicarse por internet, independientemente de si se comunican directamente o a través de cualquier otro equipo.
(7)Habida cuenta de las preocupaciones planteadas por el hecho de que los equipos radioeléctricos no garantizan la protección contra los elementos de riesgo para la ciberseguridad, es necesario hacer aplicables a los equipos radioeléctricos de determinadas categorías o clases los requisitos esenciales de la Directiva 2014/53/UE asociados a la protección contra los daños a la red, la protección de datos personales y la privacidad de los usuarios y de los abonados, así como la protección contra el fraude.
(8)La Directiva 2014/53/UE se aplica a los productos que se ajustan a la definición de «equipo radioeléctrico» del artículo 2 de dicha Directiva, sin perjuicio de las exclusiones específicas indicadas en el artículo 1, apartado 2, y en el artículo 1, apartado 3, de dicha Directiva. Si bien la definición de equipo radioeléctrico que figura en el artículo 2 de la Directiva 2014/53/UE se refiere a los equipos que pueden comunicarse mediante ondas radioeléctricas, ningún requisito de la Directiva 2014/53/UE establece una distinción entre las funciones radioeléctricas y no radioeléctricas de los equipos radioeléctricos y, por tanto, todos los aspectos y partes de los equipos deben cumplir los requisitos esenciales establecidos en el presente Reglamento Delegado.
(9)Por lo que se refiere a los daños a la red o a su funcionamiento o al uso inadecuado de los recursos de red, la degradación inaceptable de los servicios puede deberse a equipos radioeléctricos conectados a internet que no garanticen que las redes no se vean perjudicadas o utilizadas indebidamente. Por ejemplo, un atacante puede inundar maliciosamente la red de internet para impedir el tráfico legítimo de la red, perturbar las conexiones entre dos productos radioeléctricos, impidiendo así el acceso a un servicio, impedir que una persona concreta acceda a un servicio, perturbar un servicio a un sistema o persona determinado o perturbar la información. En consecuencia, la degradación de los servicios en línea puede dar lugar a ciberataques malintencionados, lo que provocará mayores costes, inconvenientes o riesgos para los operadores, los proveedores de servicios o los usuarios. Por consiguiente, el artículo 3, apartado 3, letra d), de la Directiva 2014/53/UE, que exige que los equipos radioeléctricos no dañen la red ni su funcionamiento, ni utilicen inadecuadamente los recursos de la red de manera que cause una degradación inaceptable del servicio, debe aplicarse a los equipos radioeléctricos conectados a internet.
(10)También se han planteado preocupaciones en relación con la protección de los datos personales y la privacidad de los usuarios y los abonados de equipos radioeléctricos conectados a internet debido a la capacidad de dichos equipos radioeléctricos para grabar, almacenar y compartir información, interactuar con el usuario, incluidos los niños, cuando dichos equipos radioeléctricos tienen incorporados altavoces, micrófonos y otros sensores. Estas preocupaciones se refieren, en particular, a la capacidad de dichos equipos radioeléctricos para grabar fotos, vídeos, datos de localización, datos relacionados con la experiencia del juego, así como el ritmo cardíaco, los hábitos de sueño u otros datos personales. Por ejemplo, se puede acceder a los ajustes avanzados de los equipos radioeléctricos a través de una contraseña predeterminada si la conexión o los datos no están cifrados o si no existe un mecanismo de autenticación fuerte.
(11)Por tanto, es importante que los equipos radioeléctricos conectados a internet que se introduzcan en el mercado de la Unión incorporen salvaguardias para garantizar la protección de los datos personales y de la privacidad cuando puedan tratar datos personales, tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679, o datos, tal como se definen en el artículo 2, letras b) y c), de la Directiva 2002/58/CE. En consecuencia, el artículo 3, apartado 3, letra e), de la Directiva 2014/53/UE debe aplicarse a los equipos radioeléctricos conectados a internet.
(12)Además, por lo que se refiere a la protección de los datos personales y la privacidad, los equipos radioeléctricos para el cuidado de niños, los equipos radioeléctricos contemplados en la Directiva 2009/48/CE y los equipos radioeléctricos ponibles plantean riesgos de seguridad incluso en ausencia de conexión a internet. Los datos personales pueden interceptarse cuando el equipo radioeléctrico emite o recibe ondas de radio y carece de salvaguardias que garanticen la protección de datos personales y de la privacidad. Los equipos radioeléctricos para el cuidado de niños, los equipos radioeléctricos contemplados en la Directiva 2009/48/CE y los equipos radioeléctricos ponibles pueden controlar y registrar una serie de datos (personales) sensibles del usuario a lo largo del tiempo y retransmitirlos mediante tecnologías de comunicación que pueden resultar poco seguras. Los equipos radioeléctricos para el cuidado de niños, los equipos radioeléctricos contemplados en la Directiva 2009/48/CE y los equipos radioeléctricos ponibles también deben garantizar la protección de datos personales y de la privacidad cuando sean capaces de tratar, en el sentido del artículo 4, punto 2, del Reglamento (UE) 2016/679, datos personales, tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679, o datos de tráfico y localización, tal como se definen en el artículo 2, letras b) y c), de la Directiva 2002/58/CE. En consecuencia, el artículo 3, apartado 3, letra e), de la Directiva 2014/53/UE debe aplicarse a dichos equipos radioeléctricos.
(13)Por lo que se refiere al fraude, la información que incluye datos personales puede sustraerse de equipos radioeléctricos conectados a internet que no garanticen la protección contra el fraude. Los tipos específicos de fraude se refieren a los equipos radioeléctricos conectados a internet cuando se utilizan para realizar pagos a través de internet. Los costes pueden ser elevados y no solo afectan a la persona que ha sufrido el fraude, sino también a la sociedad en su conjunto (por ejemplo, el coste de la investigación policial, los costes de los servicios a las víctimas, los costes de los juicios para determinar responsabilidades). Por este motivo, es necesario garantizar transacciones fiables y minimizar el riesgo de contraer pérdidas económicas por parte de los usuarios de equipos radioeléctricos conectados a internet que ejecuten el pago a través de dicho equipo radioeléctrico y del receptor del pago efectuado a través de dicho equipo radioeléctrico.
(14)Los equipos radioeléctricos conectados a internet introducidos en el mercado de la Unión deben incluir características que garanticen la protección contra el fraude cuando permitan al titular o usuario transferir dinero, valor monetario o monedas virtuales, tal como se definen en el artículo 2, letra d), de la Directiva (UE) 2019/713 del Parlamento Europeo y del Consejo. En consecuencia, el artículo 3, apartado 3, letra f), de la Directiva 2014/53/UE debe aplicarse a dichos equipos radioeléctricos.
(15)El Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo establece normas sobre los productos sanitarios y el Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo establece normas sobre los productos sanitarios para diagnóstico in vitro. Ambos Reglamentos (UE) 2017/745 y (UE) 2017/746 abordan determinados elementos de los riesgos de ciberseguridad asociados a los riesgos contemplados en el artículo 3, apartado 3, letras d), e) y f), de la Directiva 2014/53/UE. En consecuencia, los equipos radioeléctricos a los que se apliquen cualquiera de esos Reglamentos no deben pertenecer a las categorías o clases de equipos radioeléctricos que deben cumplir los requisitos esenciales establecidos en el artículo 3, apartado 3, letras d), e) y f), de la Directiva 2014/53/UE.
(16)El Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo establece requisitos para la homologación de tipo de los vehículos, así como de sus sistemas y componentes. Asimismo, el principal objetivo del Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo es establecer y mantener un nivel de seguridad aérea elevado y uniforme en la Unión. Además, la Directiva (UE) 2019/520 del Parlamento Europeo y del Consejo establece las condiciones para la interoperabilidad de los sistemas de telepeaje de carretera y para facilitar el intercambio transfronterizo de información sobre el impago de cánones de carretera en la Unión. Los Reglamentos (UE) 2019/2144 y (UE) 2018/1139 y la Directiva (UE) 2019/520 abordan elementos de los riesgos de ciberseguridad asociados a los riesgos establecidos en el artículo 3, apartado 3, letras e) y f), de la Directiva 2014/53/UE. Por tanto, los equipos radioeléctricos a los que se aplican los Reglamentos (UE) 2019/2144 y (UE) 2018/1139 o la Directiva (UE) 2019/520 no deben pertenecer a las categorías o clases de equipos radioeléctricos que deben cumplir los requisitos esenciales establecidos en el artículo 3, apartado 3, letras e) y f), de la Directiva 2014/53/UE.
(17)El artículo 3 de la Directiva 2014/53/UE establece los requisitos esenciales que deben cumplir los agentes económicos. Para facilitar la evaluación de la conformidad con dichos requisitos, establece una presunción de conformidad para los equipos radioeléctricos que cumplan las normas armonizadas voluntarias que se adopten con arreglo al Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo a fin de establecer especificaciones técnicas detalladas de esos requisitos. Las especificaciones tendrán en cuenta y abordarán el nivel de riesgo que corresponda al uso previsto de cada categoría o clase de equipo radioeléctrico a que se refiere el presente Reglamento.
(18)Los agentes económicos deben disponer de tiempo suficiente para adaptarse a los requisitos del presente Reglamento. Por tanto, debe aplazarse la aplicación del presente Reglamento. El presente Reglamento no impedirá que los agentes económicos lo cumplan a partir de la fecha de su entrada en vigor.
(19)La Comisión ha llevado a cabo las consultas oportunas durante los trabajos preparatorios de las medidas establecidas en el presente Reglamento y ha consultado al Grupo de Expertos sobre Equipos Radioeléctricos.
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
1. El requisito esencial establecido en el artículo 3, apartado 3, letra d), de la Directiva 2014/53/UE se aplicará a todo equipo radioeléctrico que pueda comunicarse por internet, ya sea directamente o a través de cualquier otro equipo («equipo radioeléctrico conectado a internet»).
2. El requisito esencial establecido en el artículo 3, apartado 3, letra e), de la Directiva 2014/53/UE se aplicará a cualquiera de los siguientes equipos radioeléctricos, si son capaces de tratar, en el sentido del artículo 4, punto 2, del Reglamento (UE) 2016/679, datos personales, tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679, o datos de tráfico y de localización, tal como se definen en el artículo 2, letras b) y c), de la Directiva 2002/58/CE:
a)equipos radioeléctricos conectados a internet distintos de los mencionados en las letras b), c) o d);
b)equipos radioeléctricos diseñados o destinados exclusivamente al cuidado de niños;
c)equipos radioeléctricos regulados por la Directiva 2009/48/CE;
d)equipos radioeléctricos diseñados o destinados, exclusivamente o no, a llevarse, ajustarse o colgar de cualquiera de los elementos siguientes:
i)cualquier parte del cuerpo humano, como la cabeza, el cuello, el tronco, los brazos, las manos y los pies;
ii)todas las prendas de vestir, como accesorios para el cabello, para las manos y el calzado que pueda llevar una persona.
3. El requisito esencial establecido en el artículo 3, apartado 3, letra f), de la Directiva 2014/53/UE se aplicará a todo equipo radioeléctrico conectado a internet, si dicho equipo permite al titular o usuario transferir dinero, valor monetario o monedas virtuales, tal como se definen en el artículo 2, letra d), de la Directiva (UE) 2019/713.
Artículo 2
1. No obstante lo dispuesto en el artículo 1, los requisitos esenciales establecidos en el artículo 3, apartado 3, letras d), e) y f), de la Directiva 2014/53/UE no se aplicarán a los equipos radioeléctricos a los que también se apliquen cualquiera de los siguientes actos legislativos de la Unión:
a)el Reglamento (UE) 2017/745;
b)el Reglamento (UE) 2017/746.
2. No obstante lo dispuesto en el artículo 1, apartado 2, y en el artículo 1, apartado 3, los requisitos esenciales establecidos en el artículo 3, apartado 3, letras e) y f), de la Directiva 2014/53/UE no se aplicarán a los equipos radioeléctricos a los que también se apliquen cualquiera de los siguientes actos legislativos de la Unión:
a)el Reglamento (UE) 2018/1139;
b)el Reglamento (UE) 2019/2144;
c)la Directiva (UE) 2019/520.
Artículo 3
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Será aplicable a partir del… [insertar fecha: treinta meses después de la entrada en vigor del presente Reglamento].
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 29.10.2021
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
