El Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, es la normativa encargada de transponer a la legislación nacional la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un nivel común de seguridad de las redes y sistemas de información de la Unión y regula la utilización de estas medidas para, por un lado, la provisión de los servicios esenciales (agua, energía, salud, transporte, alimentación…), y, por otro, la provisión de los servicios digitales que cumplan con determinados requisitos.

Según la Ley 34/2002, de 11 de julio, de servicios de sociedad de la información y comercio electrónico, son considerados proveedores de servicios digitales aquellas personas jurídicas que lleven a cabo la contratación de bienes o servicios por vía electrónica, la organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales, la gestión de compras en la red por grupos de personas o el envío de comunicaciones comerciales o el suministro de información por vía telemática.

No obstante, y de acuerdo con el artículo 2 1. b del Real Decreto-Ley, solamente entrarán en el ámbito de aplicación de la normativa aquellos proveedores de servicios digitales que cumplan determinados requisitos.

¿A qué proveedores de servicios digitales afecta esta normativa?

De acuerdo con el artículo 2 1. b del Real Decreto-Ley, entrarán en el ámbito de aplicación de la normativa únicamente:

1. Aquellos proveedores de servicios digitales que constituyan:

    • Mercados en línea: Los mercados en línea proporcionan a las empresas la infraestructura básica para comerciar en línea. En este sentido, se considerarán mercados en línea aquellos servicios que permitan a consumidores y a empresarios celebrar contratos, de compraventa o de prestación de servicios en línea, con empresarios, siendo el propio servicio en línea el lugar donde se celebran finalmente tales contratos, es decir, únicamente las entidades que operen plataformas electrónicas que permitan la contratación entre terceros, pero no los usuarios de dichas plataformas, ni quienes las establezcan u operen con el único propósito de comercializar sus propios productos o servicios por vía electrónica.
    • Motores de búsqueda en línea: Son aquellos servicios que permiten a los usuarios hacer búsquedas de, en principio, todos los sitios web o de sitios web en una lengua en concreto, mediante una consulta sobre un tema en forma de palabra clave, frase u otro tipo de entrada, y que, en respuesta, muestra enlaces en los que puede encontrarse información relacionada con el contenido solicitado.
    • Servicios de computación en la nube: La computación en la nube es un tipo específico de servicio de computación que utiliza recursos compartidos para el tratamiento de datos a petición del usuario. Los recursos compartidos pueden ser cualquier tipo de componentes de hardware o software (p. ej., redes, servidores u otras infraestructuras, sistemas de almacenamiento, aplicaciones y servicios) que se entregan previa petición a los usuarios para el tratamiento de datos. Quedan sujetos al ámbito de aplicación del Real Decreto-ley las entidades que ofrecen a terceros los servicios de computación en la nube, pero no los usuarios de dichos servicios.

2. Sean empresas con más de 50 trabajadores y/o con un volumen de negocios anual que supere los 10 millones de euros, según la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas y,

3. Tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo.

¿Qué ocurre si el proveedor de servicios digitales opera en varios países?

En el caso en que los proveedores de servicios digitales operen en varios países de la Unión Europea, quedan sometidos a la jurisdicción en materia de seguridad de las redes y sistemas de información del país donde tengan su establecimiento principal en la Unión Europea o, si no están establecidos en la Unión Europea, del país donde hayan designado a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo.

Las autoridades del resto de los países donde operen estos proveedores de servicios digitales se coordinarán con la autoridad competente del país de establecimiento principal, o donde hayan designado su representante, para garantizar el cumplimiento de las obligaciones.

¿Cuáles son las obligaciones que deberán asumir los proveedores de servicios digitales que entren en el ámbito de aplicación del real decreto 12/2018?

El Real Decreto-ley 12/2018 establece un sistema de notificación de incidentes y un marco institucional para favorecer la coordinación entre las autoridades competentes y los órganos de cooperación relevantes en el ámbito comunitario.

En este sentido, los proveedores de servicios digitales que entren en el ámbito de aplicación del Real Decreto-ley 12/2018 estarán obligados a:

  • Comunicar su actividad a la Secretaría de Estado con un propósito meramente informativo para el Avance Digital del Ministerio de Economía y Empresa, en el plazo de tres meses desde el inicio de la actividad, o bien desde la entrada en vigor de la normativa si el proveedor de servicios digitales ya viniera prestando sus servicios.
  • Adoptar medidas de seguridad técnicas y de organización, adecuadas y proporcionadas.
  • Notificar los incidentes que tengan efectos perturbadores significativos en sus servicios de acuerdo a lo establecido en el Reglamento de Ejecución (UE) 2018/151 de 30 de enero de 2018.

Si eres un proveedor de servicios digitales, necesitas más información sobre como tramitar la comunicación de tu actividad a la Secretaría de Estado o tienes alguna duda pincha aquí.