REGLAMENTO DELEGADO (UE) 2022/30 DE LA COMISIÓN

de 29 de octubre de 2021

que completa la Directiva 2014/53/UE del Parlamento Europeo y del Consejo en lo que respecta a la aplicación de los requisitos esenciales contemplados en el artículo 3, apartado 3, letras d), e) y f), de dicha Directiva

(Texto pertinente a efectos del EEE)

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Vista la Directiva 2014/53/UE del Parlamento Europeo y del Consejo, de 16 de abril de 2014, relativa a la armonización de las legislaciones de los Estados miembros sobre la comercialización de equipos radioeléctricos, y por la que se deroga la Directiva 1999/5/CE (1), y, en particular, su artículo 3, apartado 3, párrafo segundo, en relación con su artículo 3, apartado 3, párrafo primero, letras d), e) y f),

Considerando lo siguiente:

(1)	La protección de la red o su funcionamiento frente a los daños, la protección de los datos personales y la privacidad de los usuarios y de los abonados y la protección contra el fraude son los elementos en los que se basa la protección contra los riesgos de ciberseguridad.

(2)

Como se indica en el considerando 13 de la Directiva 2014/53/UE, la protección de datos personales y de la privacidad de los usuarios y de los abonados a equipos radioeléctricos, así como la protección contra el fraude, pueden mejorarse mediante funciones especiales de los equipos radioeléctricos. Por tanto, según dicho considerando, los equipos radioeléctricos deben diseñarse de manera que sean compatibles con las funciones necesarias para acceder a tales servicios.

(3)

La red 5G desempeñará un papel clave en el desarrollo de la economía y la sociedad digitales de la Unión en los próximos años y podrá afectar a casi todos los aspectos de la vida de los ciudadanos de la Unión. El documento titulado «Ciberseguridad de las redes 5G: conjunto de instrumentos de la UE para las medidas de reducción del riesgo» (2) identifica un posible conjunto común de medidas capaces de mitigar los principales riesgos de ciberseguridad de las redes 5G y proporciona orientaciones para la selección de medidas que deben priorizarse en los planes de mitigación a escala nacional y de la Unión. Además de esas medidas, es muy importante seguir un enfoque armonizado de los requisitos esenciales relativos a los elementos de protección de la ciberseguridad aplicables a los equipos radioeléctricos 5G cuando se introduzcan en el mercado de la Unión.

(4)

El nivel de seguridad aplicable con arreglo a los requisitos esenciales de la Unión establecidos en el artículo 3, apartado 3, letras d), e) y f), para garantizar la protección de la red, las salvaguardias para la protección de los datos personales y de la privacidad y la protección contra el fraude no menoscabará el elevado nivel de seguridad exigido a escala nacional para las redes inteligentes descentralizadas en el ámbito de la energía en las que vayan a utilizarse contadores inteligentes sujetos a dichos requisitos, ni para los equipos de redes 5G utilizados por los proveedores de redes públicas de comunicaciones electrónicas y servicios de comunicaciones electrónicas disponibles para el público en el sentido de la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo (3).

(5)

También se han expresado numerosas preocupaciones en relación con el aumento de los riesgos de ciberseguridad como consecuencia del mayor uso por parte de profesionales y consumidores, incluidos los niños, de equipos radioeléctricos que: i) pueden comunicarse por internet, independientemente de si se comunican directamente o a través de cualquier otro equipo («equipo radioeléctrico conectado a internet»), es decir, dichos equipos funcionan con protocolos necesarios para intercambiar datos con internet, ya sea directamente o mediante un equipo intermedio; ii) pueden ser un juguete con función radioeléctrica que también entra en el ámbito de aplicación de la Directiva 2009/48/CE del Parlamento Europeo y del Consejo (4) o están diseñados o destinados exclusivamente al cuidado infantil, como monitores de bebés, o iii) están diseñados o destinados, exclusivamente o no, a ser llevados, ajustados o colgados de cualquier parte del cuerpo humano (cabeza, cuello, tronco, brazos, manos, piernas o pies) o cualquier prenda de vestir (incluidos los accesorios para el cabello, para las manos o el calzado) que lleve la persona, como equipos de radio en forma de reloj de pulsera, anillos, cintas, auriculares o gafas («equipos radioelectrónicos ponibles»).

(6)

A este respecto, deben considerarse equipos radioeléctricos conectados a internet todos los equipos radioeléctricos para el cuidado de niños, los equipos radioeléctricos contemplados en la Directiva 2009/48/CE o los equipos radioeléctricos ponibles, capaces de comunicarse por internet, independientemente de que se comuniquen directamente o a través de cualquier otro equipo. Los implantes, por ejemplo, no deben considerarse equipos radioeléctricos ponibles, ya que no se llevan, se ajustan o se cuelgan de ninguna parte del cuerpo humano o de ninguna prenda de vestir. No obstante, debe considerarse que los implantes son equipos radioeléctricos conectados a internet si son capaces de comunicarse por internet, independientemente de si se comunican directamente o a través de cualquier otro equipo.

(7)

Habida cuenta de las preocupaciones planteadas por el hecho de que los equipos radioeléctricos no garantizan la protección contra los elementos de riesgo para la ciberseguridad, es necesario hacer aplicables a los equipos radioeléctricos de determinadas categorías o clases los requisitos esenciales de la Directiva 2014/53/UE asociados a la protección contra los daños a la red, la protección de datos personales y la privacidad de los usuarios y de los abonados, así como la protección contra el fraude.

(8)

La Directiva 2014/53/UE se aplica a los productos que se ajustan a la definición de «equipo radioeléctrico» del artículo 2 de dicha Directiva, sin perjuicio de las exclusiones específicas indicadas en el artículo 1, apartado 2, y en el artículo 1, apartado 3, de dicha Directiva. Si bien la definición de equipo radioeléctrico que figura en el artículo 2 de la Directiva 2014/53/UE se refiere a los equipos que pueden comunicarse mediante ondas radioeléctricas, ningún requisito de la Directiva 2014/53/UE establece una distinción entre las funciones radioeléctricas y no radioeléctricas de los equipos radioeléctricos y, por tanto, todos los aspectos y partes de los equipos deben cumplir los requisitos esenciales establecidos en el presente Reglamento Delegado.

(9)

Por lo que se refiere a los daños a la red o a su funcionamiento o al uso inadecuado de los recursos de red, la degradación inaceptable de los servicios puede deberse a equipos radioeléctricos conectados a internet que no garanticen que las redes no se vean perjudicadas o utilizadas indebidamente. Por ejemplo, un atacante puede inundar maliciosamente la red de internet para impedir el tráfico legítimo de la red, perturbar las conexiones entre dos productos radioeléctricos, impidiendo así el acceso a un servicio, impedir que una persona concreta acceda a un servicio, perturbar un servicio a un sistema o persona determinado o perturbar la información. En consecuencia, la degradación de los servicios en línea puede dar lugar a ciberataques malintencionados, lo que provocará mayores costes, inconvenientes o riesgos para los operadores, los proveedores de servicios o los usuarios. Por consiguiente, el artículo 3, apartado 3, letra d), de la Directiva 2014/53/UE, que exige que los equipos radioeléctricos no dañen la red ni su funcionamiento, ni utilicen inadecuadamente los recursos de la red de manera que cause una degradación inaceptable del servicio, debe aplicarse a los equipos radioeléctricos conectados a internet.

(10)

También se han planteado preocupaciones en relación con la protección de los datos personales y la privacidad de los usuarios y los abonados de equipos radioeléctricos conectados a internet debido a la capacidad de dichos equipos radioeléctricos para grabar, almacenar y compartir información, interactuar con el usuario, incluidos los niños, cuando dichos equipos radioeléctricos tienen incorporados altavoces, micrófonos y otros sensores. Estas preocupaciones se refieren, en particular, a la capacidad de dichos equipos radioeléctricos para grabar fotos, vídeos, datos de localización, datos relacionados con la experiencia del juego, así como el ritmo cardíaco, los hábitos de sueño u otros datos personales. Por ejemplo, se puede acceder a los ajustes avanzados de los equipos radioeléctricos a través de una contraseña predeterminada si la conexión o los datos no están cifrados o si no existe un mecanismo de autenticación fuerte.

(11)

Por tanto, es importante que los equipos radioeléctricos conectados a internet que se introduzcan en el mercado de la Unión incorporen salvaguardias para garantizar la protección de los datos personales y de la privacidad cuando puedan tratar datos personales, tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (5), o datos, tal como se definen en el artículo 2, letras b) y c), de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (6). En consecuencia, el artículo 3, apartado 3, letra e), de la Directiva 2014/53/UE debe aplicarse a los equipos radioeléctricos conectados a internet.

(12)

Además, por lo que se refiere a la protección de los datos personales y la privacidad, los equipos radioeléctricos para el cuidado de niños, los equipos radioeléctricos contemplados en la Directiva 2009/48/CE y los equipos radioeléctricos ponibles plantean riesgos de seguridad incluso en ausencia de conexión a internet. Los datos personales pueden interceptarse cuando el equipo radioeléctrico emite o recibe ondas de radio y carece de salvaguardias que garanticen la protección de datos personales y de la privacidad. Los equipos radioeléctricos para el cuidado de niños, los equipos radioeléctricos contemplados en la Directiva 2009/48/CE y los equipos radioeléctricos ponibles pueden controlar y registrar una serie de datos (personales) sensibles del usuario a lo largo del tiempo y retransmitirlos mediante tecnologías de comunicación que pueden resultar poco seguras. Los equipos radioeléctricos para el cuidado de niños, los equipos radioeléctricos contemplados en la Directiva 2009/48/CE y los equipos radioeléctricos ponibles también deben garantizar la protección de datos personales y de la privacidad cuando sean capaces de tratar, en el sentido del artículo 4, punto 2, del Reglamento (UE) 2016/679, datos personales, tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679, o datos de tráfico y localización, tal como se definen en el artículo 2, letras b) y c), de la Directiva 2002/58/CE. En consecuencia, el artículo 3, apartado 3, letra e), de la Directiva 2014/53/UE debe aplicarse a dichos equipos radioeléctricos.

(13)

Por lo que se refiere al fraude, la información que incluye datos personales puede sustraerse de equipos radioeléctricos conectados a internet que no garanticen la protección contra el fraude. Los tipos específicos de fraude se refieren a los equipos radioeléctricos conectados a internet cuando se utilizan para realizar pagos a través de internet. Los costes pueden ser elevados y no solo afectan a la persona que ha sufrido el fraude, sino también a la sociedad en su conjunto (por ejemplo, el coste de la investigación policial, los costes de los servicios a las víctimas, los costes de los juicios para determinar responsabilidades). Por este motivo, es necesario garantizar transacciones fiables y minimizar el riesgo de contraer pérdidas económicas por parte de los usuarios de equipos radioeléctricos conectados a internet que ejecuten el pago a través de dicho equipo radioeléctrico y del receptor del pago efectuado a través de dicho equipo radioeléctrico.

(14)

Los equipos radioeléctricos conectados a internet introducidos en el mercado de la Unión deben incluir características que garanticen la protección contra el fraude cuando permitan al titular o usuario transferir dinero, valor monetario o monedas virtuales, tal como se definen en el artículo 2, letra d), de la Directiva (UE) 2019/713 del Parlamento Europeo y del Consejo (7). En consecuencia, el artículo 3, apartado 3, letra f), de la Directiva 2014/53/UE debe aplicarse a dichos equipos radioeléctricos.

(15)

El Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo (8) establece normas sobre los productos sanitarios y el Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo (9) establece normas sobre los productos sanitarios para diagnóstico in vitro. Ambos Reglamentos (UE) 2017/745 y (UE) 2017/746 abordan determinados elementos de los riesgos de ciberseguridad asociados a los riesgos contemplados en el artículo 3, apartado 3, letras d), e) y f), de la Directiva 2014/53/UE. En consecuencia, los equipos radioeléctricos a los que se apliquen cualquiera de esos Reglamentos no deben pertenecer a las categorías o clases de equipos radioeléctricos que deben cumplir los requisitos esenciales establecidos en el artículo 3, apartado 3, letras d), e) y f), de la Directiva 2014/53/UE.

(16)

El Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo (10) establece requisitos para la homologación de tipo de los vehículos, así como de sus sistemas y componentes. Asimismo, el principal objetivo del Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo (11) es establecer y mantener un nivel de seguridad aérea elevado y uniforme en la Unión. Además, la Directiva (UE) 2019/520 del Parlamento Europeo y del Consejo (12) establece las condiciones para la interoperabilidad de los sistemas de telepeaje de carretera y para facilitar el intercambio transfronterizo de información sobre el impago de cánones de carretera en la Unión. Los Reglamentos (UE) 2019/2144 y (UE) 2018/1139 y la Directiva (UE) 2019/520 abordan elementos de los riesgos de ciberseguridad asociados a los riesgos establecidos en el artículo 3, apartado 3, letras e) y f), de la Directiva 2014/53/UE. Por tanto, los equipos radioeléctricos a los que se aplican los Reglamentos (UE) 2019/2144 y (UE) 2018/1139 o la Directiva (UE) 2019/520 no deben pertenecer a las categorías o clases de equipos radioeléctricos que deben cumplir los requisitos esenciales establecidos en el artículo 3, apartado 3, letras e) y f), de la Directiva 2014/53/UE.

(17)

El artículo 3 de la Directiva 2014/53/UE establece los requisitos esenciales que deben cumplir los agentes económicos. Para facilitar la evaluación de la conformidad con dichos requisitos, establece una presunción de conformidad para los equipos radioeléctricos que cumplan las normas armonizadas voluntarias que se adopten con arreglo al Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo (13) a fin de establecer especificaciones técnicas detalladas de esos requisitos. Las especificaciones tendrán en cuenta y abordarán el nivel de riesgo que corresponda al uso previsto de cada categoría o clase de equipo radioeléctrico a que se refiere el presente Reglamento.

(18)	Los agentes económicos deben disponer de tiempo suficiente para adaptarse a los requisitos del presente Reglamento. Por tanto, debe aplazarse la aplicación del presente Reglamento. El presente Reglamento no impedirá que los agentes económicos lo cumplan a partir de la fecha de su entrada en vigor.

(19)	La Comisión ha llevado a cabo las consultas oportunas durante los trabajos preparatorios de las medidas establecidas en el presente Reglamento y ha consultado al Grupo de Expertos sobre Equipos Radioeléctricos.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

1. El requisito esencial establecido en el artículo 3, apartado 3, letra d), de la Directiva 2014/53/UE se aplicará a todo equipo radioeléctrico que pueda comunicarse por internet, ya sea directamente o a través de cualquier otro equipo («equipo radioeléctrico conectado a internet»).

2. El requisito esencial establecido en el artículo 3, apartado 3, letra e), de la Directiva 2014/53/UE se aplicará a cualquiera de los siguientes equipos radioeléctricos, si son capaces de tratar, en el sentido del artículo 4, punto 2, del Reglamento (UE) 2016/679, datos personales, tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679, o datos de tráfico y de localización, tal como se definen en el artículo 2, letras b) y c), de la Directiva 2002/58/CE:

a)	equipos radioeléctricos conectados a internet distintos de los mencionados en las letras b), c) o d);

b)	equipos radioeléctricos diseñados o destinados exclusivamente al cuidado de niños;

c)	equipos radioeléctricos regulados por la Directiva 2009/48/CE;

equipos radioeléctricos diseñados o destinados, exclusivamente o no, a llevarse, ajustarse o colgar de cualquiera de los elementos siguientes:

i)	cualquier parte del cuerpo humano, como la cabeza, el cuello, el tronco, los brazos, las manos y los pies,

ii)	todas las prendas de vestir, como accesorios para el cabello, para las manos y el calzado que pueda llevar una persona.

3. El requisito esencial establecido en el artículo 3, apartado 3, letra f), de la Directiva 2014/53/UE se aplicará a todo equipo radioeléctrico conectado a internet, si dicho equipo permite al titular o usuario transferir dinero, valor monetario o monedas virtuales, tal como se definen en el artículo 2, letra d), de la Directiva (UE) 2019/713.

Artículo 2

1. No obstante lo dispuesto en el artículo 1, los requisitos esenciales establecidos en el artículo 3, apartado 3, letras d), e) y f), de la Directiva 2014/53/UE no se aplicarán a los equipos radioeléctricos a los que también se apliquen cualquiera de los siguientes actos legislativos de la Unión:

a)	el Reglamento (UE) 2017/745;

b)	el Reglamento (UE) 2017/746.

2. No obstante lo dispuesto en el artículo 1, apartado 2, y en el artículo 1, apartado 3, los requisitos esenciales establecidos en el artículo 3, apartado 3, letras e) y f), de la Directiva 2014/53/UE no se aplicarán a los equipos radioeléctricos a los que también se apliquen cualquiera de los siguientes actos legislativos de la Unión:

a)	el Reglamento (UE) 2018/1139;

b)	el Reglamento (UE) 2019/2144;

c)	la Directiva (UE) 2019/520.

Artículo 3

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Será aplicable a partir del 1 de agosto de 2024.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 29 de octubre de 2021.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

(1) DO L 153 de 22.5.2014, p. 62.

(2) Cybersecurity of 5G networks-EU Toolbox of risk mitigating measures [Ciberseguridad de las redes 5G: conjunto de instrumentos de la UE para las medidas de reducción del riesgo], 29 de enero de 2020 (en inglés). https://digital-strategy.ec.europa.eu/en/library/cybersecurity-5g-networks-eu-toolbox-risk-mitigating-measures.

(3) Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código Europeo de las Comunicaciones Electrónicas (versión refundida) (DO L 321 de 17.12.2018, p. 36).

(4) Directiva 2009/48/CE del Parlamento Europeo y del Consejo, de 18 de junio de 2009, sobre la seguridad de los juguetes (DO L 170 de 30.6.2009, p. 1).

(5) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(6) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(7) Directiva (UE) 2019/713 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo y por la que se sustituye la Decisión Marco 2001/413/JAI del Consejo (DO L 123 de 10.5.2019, p. 18).

(8) Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios, por el que se modifican la Directiva 2001/83/CE, el Reglamento (CE) n.o 178/2002 y el Reglamento (CE) n.o 1223/2009 y por el que se derogan las Directivas 90/385/CEE y 93/42/CEE del Consejo (DO L 117 de 5.5.2017, p. 1).

(9) Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios para diagnóstico in vitro y por el que se derogan la Directiva 98/79/CE y la Decisión 2010/227/UE de la Comisión (DO L 117 de 5.5.2017, p. 176).

(10) Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo, de 27 de noviembre de 2019, relativo a los requisitos de homologación de tipo de los vehículos de motor y de sus remolques, así como de los sistemas, componentes y unidades técnicas independientes destinados a esos vehículos, en lo que respecta a su seguridad general y a la protección de los ocupantes de los vehículos y de los usuarios vulnerables de la vía pública, por el que se modifica el Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) n.o 78/2009, (CE) n.o 79/2009 y (CE) n.o 661/2009 del Parlamento Europeo y del Consejo y los Reglamentos (CE) n.o 631/2009, (UE) n.o 406/2010, (UE) n.o 672/2010, (UE) n.o 1003/2010, (UE) n.o 1005/2010, (UE) n.o 1008/2010, (UE) n.o 1009/2010, (UE) n.o 19/2011, (UE) n.o 109/2011, (UE) n.o 458/2011, (UE) n.o 65/2012, (UE) n.o 130/2012, (UE) n.o 347/2012, (UE) n.o 351/2012, (UE) n.o 1230/2012 y (UE) 2015/166 de la Comisión (DO L 325 de 16.12.2019, p. 1).

(11) Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo, de 4 de julio de 2018, sobre normas comunes en el ámbito de la aviación civil y por el que se crea una Agencia de la Unión Europea para la Seguridad Aérea y por el que se modifican los Reglamentos (CE) n.o 2111/2005, (CE) n.o 1008/2008, (UE) n.o 996/2010, (UE) n.o 376/2014 y las Directivas 2014/30/UE y 2014/53/UE del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) n.o 552/2004 y (CE) n.o 216/2008 del Parlamento Europeo y del Consejo y el Reglamento (CEE) n.o 3922/91 del Consejo (DO L 212 de 22.8.2018, p. 1).

(12) Directiva (UE) 2019/520 del Parlamento Europeo y del Consejo, de 19 de marzo de 2019, relativa a la interoperabilidad de los sistemas de telepeaje de carretera y por la que se facilita el intercambio transfronterizo de información sobre el impago de cánones de carretera en la Unión (DO L 91 de 29.3.2019, p. 45).

(13) Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión n.o 1673/2006/CE del Parlamento Europeo y del Consejo (DO L 316 de 14.11.2012, p. 12).