Todas las entradas de José Cuervo

20Nov/24

Loi n° 2023-22 du 24 janvier 2023

20 noviembre, 2024Francia, LeyCode Penal, Conseil constitutionnel 2022-846, Derecho Informático, Legislación francesa, Legislación Informática, Loi 2004-575, Revolution numériqueJosé Cuervo

Loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur. (JOF nº 0021 du 25 janvier 2023)

L’Assemblée nationale et le Sénat ont adopté,

Vu la décision du Conseil constitutionnel n° 2022-846 DC du 19 janvier 2023 ;

Le Président de la République promulgue la loi dont la teneur suit :

Titre IER : OBJECTIFS ET MOYENS DU MINISTÈRE DE L’INTÉRIEUR (Articles 1 à 2)

Article 1

Le rapport sur la modernisation du ministère de l’intérieur annexé à la présente loi est approuvé.

Article 2

Les crédits de paiement du ministère de l’intérieur et les plafonds des taxes affectées à ce ministère, hors charges de pensions, évoluent sur la période 2023-2027 conformément au tableau suivant :

Crédits de paiement et plafonds des taxes affectées hors compte d’affectation spéciale «Pensions»

(En millions d’euros)

Cacher le tableau

	2022 (pour mémoire)	2023	2024	2025	2026	2027
Budget du ministère de lintérieur (hors programme 232	20784	22094	22974	24074	24724	25354

Le périmètre budgétaire concerné intègre :

1° La mission « Sécurités » : les programmes « Gendarmerie nationale », « Sécurité civile », « Police nationale » et « Sécurité et éducation routières » ;

2° Dans la mission « Administration générale et territoriale de l’Etat » : les programmes « Conduite et pilotage des politiques de l’intérieur » et « Administration territoriale de l’Etat » ;

3° La mission « Immigration, asile et intégration » : les programmes « Intégration et accès à la nationalité française » et « Immigration et asile » ;

4° Dans le compte d’affectation spéciale « Contrôle de la circulation et du stationnement routiers » : les programmes « Structures et dispositifs de sécurité routière » et « Contrôle et modernisation de la politique de la circulation et du stationnement routiers » ;

5° Les taxes affectées à l’Agence nationale des titres sécurisés.

Titre II : DISPOSITIONS RELATIVES À LA RÉVOLUTION NUMÉRIQUE DU MINISTÈRE DE L’INTÉRIEUR (Articles 3 à 11)

Chapitre IER : Lutte contre la cybercriminalité (Articles 3 à 10)

Article 3

L’article 706-154 du code de procédure pénale est ainsi modifié :

1° La première phrase du premier alinéa est ainsi rédigée : « Par dérogation à l’article 706-153, l’officier de police judiciaire peut être autorisé, par tout moyen, par le procureur de la République ou par le juge d’instruction à procéder, aux frais avancés du Trésor, à la saisie d’une somme d’argent versée sur un compte ouvert auprès d’un établissement habilité par la loi à tenir des comptes de dépôts ou d’actifs numériques mentionnés à l’article L. 54-10-1 du code monétaire et financier. » ;

2° Le deuxième alinéa est ainsi modifié :

a) A la première phrase, après les mots : « du compte », sont insérés les mots : « ou au propriétaire de l’actif numérique » et, après les mots : « ce compte », sont insérés les mots : « ou cet actif » ;

b) A la dernière phrase, après le mot : « compte », sont insérés les mots : «, le propriétaire de l’actif numérique » ;

3° Au dernier alinéa, après le mot : « dépôts », sont insérés les mots : « ou sur des actifs numériques mentionnés au même article L. 54-10-1 » et, après les mots : « ce compte », sont insérés les mots : « ou à l’ensemble des actifs numériques détenus ».

Article 4

I.-Après l’article 323-3-1 du code pénal, il est inséré un article 323-3-2 ainsi rédigé :

« Art. 323-3-2.-I.-Le fait, pour un opérateur de plateforme en ligne mentionné à l’article L. 111-7 du code de la consommation qui restreint l’accès à cette dernière aux personnes utilisant des techniques d’anonymisation des connexions ou qui ne respecte pas les obligations mentionnées au VI de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, de permettre sciemment la cession de produits, de contenus ou de services dont la cession, l’offre, l’acquisition ou la détention sont manifestement illicites est puni de cinq d’emprisonnement et de 150 000 euros d’amende.

« II.-Est puni des peines prévues au I du présent article le fait de proposer, par l’intermédiaire de ces plateformes ou au soutien de transactions qu’elles permettent, des prestations d’intermédiation ou de séquestre qui ont pour objet unique ou principal de mettre en œuvre, de dissimuler ou de faciliter les opérations mentionnées au même I.

« III.-Les infractions prévues aux I et II sont punies de dix ans d’emprisonnement et de 500 000 euros d’amende lorsqu’elles sont commises en bande organisée.

« IV.-La tentative des infractions prévues aux I, II et III est punie des mêmes peines. »

II.-L’article 706-73-1 du code de procédure pénale est complété par un 12° ainsi rédigé :

« 12° Délits d’administration d’une plateforme en ligne pour permettre la cession de produits, de contenus ou de services dont la cession, l’offre, l’acquisition ou la détention sont manifestement illicites et délits d’intermédiation ou de séquestre ayant pour objet unique ou principal de mettre en œuvre, de dissimuler ou de faciliter ces opérations, prévus à l’article 323-3-2 du même code. »

Article 5

I.-Le titre II du livre Ier du code des assurances est complété par un chapitre X ainsi rédigé :

« Chapitre X.- « L’assurance des risques de cyberattaques

« Art. L. 12-10-1.-Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime.

« Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »

II.-Le I entre en vigueur trois mois après la promulgation de la présente loi.

Article 6

L’article 323-1 du code pénal est ainsi modifié :

1° Au premier alinéa, le mot : « deux » est remplacé par le mot : « trois » et le montant : « 60 000 € » est remplacé par le montant : « 100 000 € » ;

2° Au deuxième alinéa, le mot : « trois » est remplacé par le mot : « cinq » et le montant : « 100 000 € » est remplacé par le montant : « 150 000 € » ;

3° Au dernier alinéa, le mot : « cinq » est remplacé par le mot : « sept » et le montant : « 150 000 € » est remplacé par le montant : « 300 000 € ».

Article 7

I.-A l’article 323-4-1 du code pénal, les mots : « et à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat » sont supprimés.

II.-Au 1° de l’article 706-73-1 du code de procédure pénale, les mots : « à caractère personnel mis en œuvre par l’Etat » sont supprimés.

Article 8

Après l’article 323-4-1 du code pénal, il est inséré un article 323-4-2 ainsi rédigé :

« Art. 323-4-2.-Lorsque les infractions prévues aux articles 323-1 à 323-3-1 ont pour effet d’exposer autrui à un risque immédiat de mort ou de blessures de nature à entraîner une mutilation ou une infirmité permanente ou de faire obstacle aux secours destinés à faire échapper une personne à un péril imminent ou à combattre un sinistre présentant un danger pour la sécurité des personnes, la peine est portée à dix ans d’emprisonnement et à 300 000 € d’amende. »

Article 9

Après le seizième alinéa du 1° de l’article 398-1 du code de procédure pénale, il est inséré un alinéa ainsi rédigé :

«-les délits d’accès et de maintien frauduleux dans un système de traitement automatisé de données prévus au premier alinéa de l’article 323-1 ; ».

Article 10

L’article 230-46 du code de procédure pénale est ainsi modifié :

1° Le 3° est ainsi rédigé :

« 3° Acquérir tout contenu, produit, substance, prélèvement ou service ou transmettre tout contenu en réponse à une demande expresse. [Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2022-846 DC du 19 janvier 2023] l’opération est autorisée par le procureur de la République ou par le juge d’instruction saisi des faits ; »

2° Après le même 3°, il est inséré un 4° ainsi rédigé :

« 4° Après autorisation du procureur de la République ou du juge d’instruction saisi des faits, en vue de l’acquisition, de la transmission ou de la vente par les personnes susceptibles d’être les auteurs de ces infractions de tout contenu, produit, substance, prélèvement ou service, y compris illicite, mettre à la disposition de ces personnes des moyens juridiques ou financiers ainsi que des moyens de transport, de dépôt, d’hébergement, de conservation et de télécommunication. » ;

3° A l’avant-dernier alinéa, les mots : « au 3° » sont remplacés par les mots : « aux 3° et 4° ».

Chapitre II : Un équipement à la pointe du numérique (Article 11)

Article 11

Le titre Ier du livre II du code des postes et des communications électroniques est ainsi modifié :

1° L’article L. 32 est ainsi modifié :

a) Après le 1°, il est inséré un 1° bis ainsi rédigé :

« 1° bis Communications mobiles critiques à très haut débit.

« On entend par communications mobiles critiques à très haut débit les communications électroniques qui sont émises, transmises ou reçues par les services de sécurité et de secours, de protection des populations et de gestion des crises et des catastrophes et qui présentent les garanties nécessaires à l’exercice de leurs missions en termes de sécurité, d’interopérabilité, de continuité et de résilience. » ;

b) Après le 2° bis, il est inséré un 2° ter ainsi rédigé :

« 2° ter Réseau de communications électroniques des services de secours et de sécurité.

« On entend par réseau de communications électroniques des services de secours et de sécurité un réseau dédié aux services publics mutualisés de communication mobile critique à très haut débit pour les seuls besoins de sécurité et de secours, de protection des populations et de gestion des crises et des catastrophes. Ce réseau est mis à la disposition de ces services dans le cadre des missions relevant de l’Etat, des collectivités territoriales et de leurs groupements, des services d’incendie et de secours, des services d’aide médicale urgente et de tout organisme public ou privé chargé d’une mission de service public dans le domaine du secours. Il est exploité par l’opérateur défini au 15° ter. » ;

c) Après le 15° bis, il est inséré un 15° ter ainsi rédigé :

« 15° ter Opérateur de réseau de communications électroniques des services de secours et de sécurité.

« On entend par opérateur de réseau de communications électroniques des services de secours et de sécurité l’établissement public chargé d’assurer le service public d’exploitation du réseau de communications électroniques des services de secours et de sécurité et de fourniture à ses utilisateurs d’un service de communications mobiles critiques à très haut débit sécurisé destiné à des missions de sécurité et de secours et reposant sur les principes de continuité de service, de disponibilité, d’interopérabilité et de résilience. » ;

2° Le chapitre II est complété par une section 9 ainsi rédigée :

« Section 9.- Dispositions particulières au réseau de communications électroniques des services de secours et de sécurité

« Art. L. 34-16.-I.-Les opérateurs titulaires d’autorisations d’utilisation de fréquences pour établir et exploiter un réseau radioélectrique ouvert au public garantissent la continuité et la permanence des communications mobiles critiques à très haut débit destinées à des missions de sécurité et de secours, de protection des populations et de gestion des crises et des catastrophes entre les services de l’Etat, les collectivités territoriales ou leurs groupements, les services d’incendie et de secours, les services d’aide médicale urgente et tout autre organisme public ou privé chargé d’une mission de service public dans les domaines de la sécurité et du secours.

« Les opérateurs titulaires d’autorisations d’utilisation de fréquences pour établir et exploiter un réseau radioélectrique ouvert au public font droit aux demandes d’itinérance, sur leurs réseaux, de l’opérateur du réseau de communications électroniques des services de secours et de sécurité. Cette prestation fait l’objet d’une convention communiquée à l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.

« La convention mentionnée au deuxième alinéa du présent I détermine les conditions techniques et tarifaires de fourniture de la prestation d’itinérance.

« Les différends relatifs aux conditions techniques et tarifaires de la convention mentionnée au présent I sont soumis à l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, dans les conditions prévues à l’article L. 36-8.

« II.-En cas de congestion, afin de garantir l’acheminement des communications mobiles critiques à très haut débit, les opérateurs retenus dans le cadre du marché public visant à répondre aux besoins de l’opérateur de réseau de communications électroniques des services de secours et de sécurité font droit aux demandes d’accès prioritaires de celui-ci aux réseaux ouverts au public interconnectés fondées sur des impératifs de sécurité publique, conformément au règlement (UE) 2015/2120 du Parlement européen et du Conseil du 25 novembre 2015 établissant des mesures relatives à l’accès à un internet ouvert et aux prix de détail pour les communications à l’intérieur de l’Union européenne réglementées et modifiant la directive 2002/22/ CE et le règlement (UE) n° 531/2012.

« III.-Un décret en Conseil d’Etat détermine les modalités de compensation des investissements identifiables et spécifiques mis en œuvre en application du I du présent article, à la demande de l’Etat, par les opérateurs titulaires d’autorisations d’utilisation de fréquences pour établir et exploiter un réseau radioélectrique ouvert au public, sauf dans les cas où ces prestations ont fait l’objet d’un marché public.

« IV.-L’opérateur mentionné au 15° ter de l’article L. 32 et le réseau de communications électroniques des services de secours et de sécurité mentionné au 2° ter du même article L. 32 sont soumis au respect des règles applicables à l’établissement et à l’exploitation des réseaux ouverts au public et à la fourniture au public de services de communications électroniques, à l’exception des règles prévues aux f, f bis, f ter, g, h, j, k, n, n bis, n ter et p du I et aux II, V et VI de l’article L. 33-1 et aux articles L. 33-7, L. 33-9, L. 33-12, L. 33-12-1, L. 34 et L. 35 à L. 35-7.

« V.-Le I, à l’exception du dernier alinéa, et le III du présent article ainsi que les définitions utiles à leur application prévues à l’article L. 32 sont applicables en Polynésie française, dans les îles Wallis et Futuna et en Nouvelle-Calédonie, dans leur rédaction résultant de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur.

« Art. L. 34-17.-I.-Un établissement public de l’Etat a pour objet d’assurer :

« 1° La mise en œuvre et l’exploitation du réseau de communications électroniques des services mutualisés de secours et de sécurité ;

« 2° La fourniture aux utilisateurs de ce réseau d’un service de communications mobiles critiques à très haut débit sécurisé destiné à des missions de sécurité et de secours, de protection des populations et de gestion des crises et des catastrophes, à la demande de l’Etat, des collectivités territoriales ou de leurs groupements, des services d’incendie et de secours, des services d’aide médicale urgente ou de tout organisme public ou privé chargé d’une mission de service public dans les domaines de la sécurité et du secours.

« II.-L’établissement est administré par un conseil d’administration et dirigé par un directeur. Le président du conseil d’administration et le directeur de l’établissement sont nommés par décret pour une durée de trois ans, renouvelable une fois.

« Le conseil d’administration comprend, outre son président, des représentants de l’Etat, qui disposent de la majorité des sièges, un représentant des communes, un représentant des départements, des représentants des services d’incendie et de secours et des opérateurs d’importance vitale, une personnalité qualifiée dans les domaines de compétences de l’établissement et un représentant élu du personnel de l’établissement.

« III.-Les ressources de l’établissement sont constituées :

« 1° Des subventions de l’Etat, des collectivités publiques ou de toute personne publique ou privée ;

« 2° Des rémunérations des prestations et des produits des ventes effectuées dans le cadre de ses missions ;

« 3° Des subventions d’investissement et de fonctionnement versées par les personnes ayant décidé d’utiliser les services fournis par l’établissement ;

« 4° Des emprunts autorisés ;

« 5° Des dons et legs ;

« 6° De toutes les recettes autorisées par les lois et règlements.

« Les conventions conclues entre l’établissement et les services utilisateurs concernés précisent les modalités financières et comptables des rémunérations et subventions mentionnées aux 2° et 3° du présent III.

« IV.-Un décret en Conseil d’Etat définit les conditions d’application du II. Il précise notamment la composition du conseil d’administration, les conditions et les modalités de désignation de ses membres, les modalités de fonctionnement du conseil d’administration ainsi que ses attributions et celles du directeur.

« V.-Les biens, droits et obligations transférés à l’établissement le sont à titre gratuit et ne donnent lieu au paiement d’aucune indemnité, ni d’aucun droit ou taxe, ni de la contribution prévue à l’article 879 du code général des impôts.

« VI.-Les I à V du présent article sont applicables en Polynésie française, dans les îles Wallis et Futuna et en Nouvelle-Calédonie. »

Titre III : DISPOSITIONS RELATIVES À L’ACCUEIL DES VICTIMES ET À LA RÉPRESSION DES INFRACTIONS (Articles 12 à 16)

Chapitre IER : Améliorer l’accueil des victimes (Articles 12 à 13)

Article 12

Le code de procédure pénale est ainsi modifié :

1° Après l’article 15-3-1, il est inséré un article 15-3-1-1 ainsi rédigé :

« Art. 15-3-1-1.-Toute victime d’une infraction pénale peut déposer plainte et voir recueillir sa déposition par les services ou unités de police judiciaire par un moyen de télécommunication audiovisuelle garantissant la confidentialité de la transmission.

« La victime est avisée de ses droits énumérés à l’article 10-2.

« Le procès-verbal de réception de plainte et le récépissé sont établis et adressés selon les modalités prévues à l’article 15-3-1.

« La plainte par un moyen de télécommunication audiovisuelle ne peut être imposée à la victime.

« Si la nature ou la gravité des faits le justifie, le dépôt d’une plainte par la victime selon les modalités prévues au présent article ne dispense pas les enquêteurs de procéder à une nouvelle audition sans recourir à un moyen de télécommunication.

« Un décret en Conseil d’Etat définit les modalités d’application du présent article. Il précise notamment les infractions auxquelles la procédure prévue au présent article est applicable et les modalités d’accompagnement de la victime qui y a recours.

« Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, précise les modalités de traitement des données à caractère personnel issues de la procédure de dépôt de plainte prévue au présent article. » ;

2° La troisième phrase du deuxième alinéa de l’article 706-71 est ainsi rédigée : « Il est dressé un procès-verbal des opérations qui ont été effectuées. »

Article 13

L’article 10-4 du code de procédure pénale est complété par un alinéa ainsi rédigé :

« Lorsque la victime est assistée par un avocat, celui-ci peut, à l’issue de chacune de ses auditions, poser des questions. Il peut également présenter des observations écrites. Celles-ci sont jointes à la procédure. »

Chapitre II : Mieux lutter contre les violences intrafamiliales et sexistes et protéger les personnes (Articles 14 à 16)

Article 14

I.-Le chapitre II du titre II du livre II du code pénal est ainsi modifié :

1° La section 4 devient la section 7 ;

2° La section 4 est ainsi rétablie :

« Section 4.- De l’outrage sexiste et sexuel

« Art. 222-33-1-1.-I.-Est puni de 3 750 euros d’amende le fait, hors les cas prévus aux articles 222-13,222-32,222-33,222-33-2-2 et 222-33-2-3, d’imposer à une personne tout propos ou tout comportement à connotation sexuelle ou sexiste qui soit porte atteinte à sa dignité en raison de son caractère dégradant ou humiliant, soit crée à son encontre une situation intimidante, hostile ou offensante, lorsque ce fait est commis :

« 1° Par une personne qui abuse de l’autorité que lui confèrent ses fonctions ;

« 2° Sur un mineur ;

« 3° Sur une personne dont la particulière vulnérabilité due à son âge, à une maladie, à une infirmité, à une déficience physique ou psychique ou à un état de grossesse est apparente ou connue de son auteur ;

« 4° Sur une personne dont la particulière vulnérabilité ou dépendance résultant de la précarité de sa situation économique ou sociale est apparente ou connue de son auteur ;

« 5° Par plusieurs personnes agissant en qualité d’auteur ou de complice ;

« 6° Dans un véhicule affecté au transport collectif de voyageurs ou au transport public particulier ou dans un lieu destiné à l’accès à un moyen de transport collectif de voyageurs ;

« 7° En raison de l’orientation sexuelle ou de l’identité de genre, vraie ou supposée, de la victime ;

« 8° Par une personne déjà condamnée pour la contravention d’outrage sexiste et sexuel et qui commet la même infraction en étant en état de récidive dans les conditions prévues au second alinéa de l’article 132-11.

« II.-Pour le délit prévu au I du présent article, y compris en cas de récidive, l’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 300 euros. Le montant de l’amende forfaitaire minorée est de 250 euros et le montant de l’amende forfaitaire majorée est de 600 euros. » ;

3° Les sections 3 bis, 3 ter, 5,6 et 7 deviennent respectivement les sections 5,6,8,9 et 10 ;

4° L’article 222-44 est ainsi modifié :

a) Au premier alinéa du I, la référence : « 4 » est remplacée par les mots : « 7, à l’exception de la section 4 » ;

b) A la première phrase du premier alinéa du II, les mots : « 3 ter et 4 » sont remplacés par les mots : « 6 et 7 » ;

5° Au premier alinéa de l’article 222-45, la référence : « 4 » est remplacée par la référence : « 7 » ;

6° A la première phrase de l’article 222-48-2, la référence : « 3 bis » est remplacée par la référence : « 5 » ;

7° La section 5 est complétée par un article 222-48-5 ainsi rédigé :

« Art. 222-48-5.-Les personnes coupables du délit prévu à l’article 222-33-1-1 encourent également les peines complémentaires suivantes :

« 1° La peine de stage prévue aux 1°, 4°, 5° ou 7° de l’article 131-5-1 ;

« 2° La peine de travail d’intérêt général pour une durée de vingt à cent cinquante heures. »

II.-Le titre II du livre VI du code pénal est abrogé.

III.-A l’avant-dernier alinéa de l’article 21 du code de procédure pénale, les mots : « les contraventions prévues à l’article 621-1 » sont remplacés par les mots : « la contravention d’outrage sexiste et sexuel et le délit prévu à l’article 222-33-1-1 ».

IV.-Au premier alinéa du I de l’article L. 2241-1 du code des transports, les mots : « les contraventions prévues à l’article 621-1 » sont remplacés par les mots : « la contravention d’outrage sexiste et sexuel, le délit prévu à l’article 222-33-1-1 ».

V.-Le présent article entre en vigueur le premier jour du troisième mois suivant la promulgation de la présente loi.

Article 15

[Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2022-846 DC du 19 janvier 2023.]

Article 16

I.-L’article 223-15-2 du code pénal est complété par un alinéa ainsi rédigé :

« Lorsque l’infraction est commise en bande organisée par les membres d’un groupement qui poursuit des activités ayant pour but ou pour effet de créer, de maintenir ou d’exploiter la sujétion psychologique ou physique des personnes qui participent à ces activités, les peines sont portées à sept ans d’emprisonnement et à un million d’euros d’amende. »

II.-Le code de procédure pénale est ainsi modifié :

1° L’article 74-2 est complété par un alinéa ainsi rédigé :

« Si les nécessités de l’enquête pour rechercher la personne en fuite l’exigent, les sections 1,2 et 4 à 6 du chapitre II du titre XXV du livre IV sont applicables lorsque la personne concernée a fait l’objet de l’une des décisions mentionnées aux 1° à 3° et 6° du présent article pour l’une des infractions mentionnées aux articles 706-73 et 706-73-1. » ;

2° L’article 706-73 est ainsi modifié :

a) Après le 1°, il est inséré un 1° bis ainsi rédigé :

« 1° bis Crime de meurtre commis en concours, au sens de l’article 132-2 du code pénal, avec un ou plusieurs autres meurtres ; »

b) Après le 2°, il est inséré un 2° bis ainsi rédigé :

« 2° bis Crime de viol commis en concours, au sens de l’article 132-2 du code pénal, avec un ou plusieurs autres viols commis sur d’autres victimes ; »

c) Le 20° est ainsi rétabli :

« 20° Délit d’abus frauduleux de l’état d’ignorance ou de faiblesse commis en bande organisée prévu au dernier alinéa de l’article 223-15-2 du code pénal. »

Titre IV : DISPOSITIONS VISANT À ANTICIPER LES MENACES ET LES CRISES (Articles 17 à 27)

Chapitre IER : Renforcer la filière investigation (Articles 17 à 19)

Article 17

L’article 16 du code de procédure pénale est ainsi modifié :

1° Au 2°, les mots : « comptant au moins trois ans de service dans la gendarmerie, » sont supprimés ;

2° Au 4°, les mots : « comptant au moins trois ans de services dans ce corps, » sont supprimés ;

3° Au neuvième alinéa, les mots : « fonctionnaires visés au 4° ne peuvent recevoir l’habilitation prévue à l’alinéa précédent que » sont remplacés par les mots : « gendarmes mentionnés au 2° et les fonctionnaires mentionnés au 4° ne peuvent recevoir l’habilitation prévue au huitième alinéa que, d’une part, s’ils comptent au moins trente mois de services à compter du début de leur formation initiale, dont au moins six mois effectués dans un emploi comportant l’exercice des attributions attachées à la qualité d’agent de police judiciaire, et, d’autre part, ».

Article 18

I.-Le code de procédure pénale est ainsi modifié :

1° L’article 15 est ainsi modifié :

a) Le 3° devient le 4° ;

b) Le 3° est ainsi rétabli :

« 3° Les assistants d’enquête de la police nationale et de la gendarmerie nationale ; »

2° La section 4 du chapitre Ier du titre Ier du livre Ier devient une section 5 ;

3° La section 4 est ainsi rétablie :

« Section 4.- Des assistants d’enquête

« Art. 21-3.-Les assistants d’enquête sont recrutés parmi les militaires du corps de soutien technique et administratif de la gendarmerie nationale, les personnels administratifs de catégorie B de la police nationale et de la gendarmerie nationale et les agents de police judiciaire adjoints de la police nationale et de la gendarmerie nationale ayant satisfait à une formation sanctionnée par un examen certifiant leur aptitude à assurer les missions que la loi leur confie.

« Les assistants d’enquête ont pour mission de seconder, dans l’exercice de leurs fonctions, les officiers et les agents de police judiciaire de la police nationale et de la gendarmerie nationale, aux seules fins d’effectuer, à la demande expresse et sous le contrôle de l’officier de police judiciaire ou, lorsqu’il est compétent, de l’agent de police judiciaire, les actes suivants et d’en établir les procès-verbaux :

« 1° Procéder à la convocation de toute personne devant être entendue par un officier ou un agent de police judiciaire et contacter, le cas échéant, l’interprète nécessaire à cette audition ;

« 2° Procéder à la notification de leurs droits aux victimes, en application de l’article 10-2 ;

« 3° Procéder, avec l’autorisation préalable du procureur de la République ou du juge des libertés et de la détention lorsque celle-ci est prévue, aux réquisitions prévues aux articles 60,60-3,77-1 et 99-5 ainsi qu’à celles prévues aux articles 60-1 et 77-1-1 lorsqu’elles concernent des enregistrements issus de système de vidéoprotection ;

« 4° Informer de la garde à vue, par téléphone, les personnes mentionnées à l’article 63-2 ;

« 5° Procéder aux diligences prévues à l’article 63-3 ;

« 6° Informer l’avocat désigné ou commis d’office de la nature et de la date présumée de l’infraction sur laquelle porte l’enquête, en application de l’article 63-3-1 ;

« 7° Procéder aux convocations prévues à l’article 390-1 ;

« 8° Procéder aux transcriptions des enregistrements prévus à l’article 100-5 et au troisième alinéa de l’article 706-95-18 préalablement identifiés comme nécessaires à la manifestation de la vérité par les officiers de police judiciaire [Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2022-846 DC du 19 janvier 2023].

« En cas de difficulté rencontrée dans l’exécution de ces missions, notamment en cas d’impossibilité de prévenir ou de contacter les personnes mentionnées aux 1° et 4° à 6° du présent article, l’officier ou l’agent de police judiciaire en est immédiatement avisé.

« Un décret en Conseil d’Etat précise les modalités d’application du présent article, notamment les modalités de l’affectation des assistants d’enquête, celles selon lesquelles ils prêtent serment à l’occasion de cette affectation et celles selon lesquelles ils procèdent aux transcriptions des enregistrements prévus à l’article 100-5 et au troisième alinéa de l’article 706-95-18. » ;

4° Au premier alinéa de l’article 10-2, après le mot : « judiciaire », sont insérés les mots : « ou, sous leur contrôle, les assistants d’enquête » ;

5° Le chapitre Ier du titre II du livre Ier est ainsi modifié :

a) Aux premier et dernier alinéas de l’article 60, après la seconde occurrence du mot : « judiciaire », sont insérés les mots : « ou l’assistant d’enquête » ;

b) A la première phrase du premier alinéa de l’article 60-1, après la seconde occurrence du mot : « judiciaire », sont insérés les mots : « ou, dans le cas prévu au 3° de l’article 21-3, l’assistant d’enquête » ;

c) A la première phrase de l’article 60-3, après la seconde occurrence du mot : « judiciaire », sont insérés les mots : « ou l’assistant d’enquête » ;

d) Au deuxième alinéa du I de l’article 63-2, après le mot : « enquêteurs », sont insérés les mots : « ou, sous leur contrôle, aux assistants d’enquête » ;

e) A l’avant-dernière phrase du premier alinéa de l’article 63-3, après le mot : « enquêteurs », sont insérés les mots : « ou, sous leur contrôle, aux assistants d’enquête » ;

f) Au quatrième alinéa de l’article 63-3-1, après la seconde occurrence du mot : « judiciaire », sont insérés les mots : « ou un assistant d’enquête » ;

6° Le chapitre II du même titre II est ainsi modifié :

a) L’article 77-1 est ainsi modifié :

-au premier alinéa, après le mot : « judiciaire », sont insérés les mots : « ou, sous le contrôle de ces derniers, l’assistant d’enquête » ;

-à la première phrase du troisième alinéa, après le mot : « judiciaire », sont insérés les mots : « ou, sous leur contrôle, les assistants d’enquête » ;

b) A la première phrase du premier alinéa de l’article 77-1-1, après le mot : « judiciaire », sont insérés les mots : « ou, dans le cas prévu au 3° de l’article 21-3 et sous le contrôle de ces derniers, l’assistant d’enquête » ;

7° La section 3 du chapitre Ier du titre III du livre Ier est ainsi modifiée :

a) A l’article 99-5, après le mot : « judiciaire », sont insérés les mots : « ou, sous le contrôle de ce dernier, l’agent de police judiciaire ou l’assistant d’enquête » ;

b) La première phrase du premier alinéa de l’article 100-5 est ainsi rédigée : « Le juge d’instruction, l’officier de police judiciaire commis par lui ou l’agent de police judiciaire ou l’assistant d’enquête agissant sous le contrôle de cet officier transcrit la correspondance utile à la manifestation de la vérité. » ;

8° A l’article 230, après le mot : « adjoints », sont insérés les mots : «, aux assistants d’enquête de la police nationale et de la gendarmerie nationale » ;

9° Au premier alinéa de l’article 390-1, après le mot : « judiciaire, », sont insérés les mots : « un assistant d’enquête agissant sous le contrôle de l’officier ou de l’agent de police judiciaire, » ;

10° A la première phrase du troisième alinéa de l’article 706-95-18, après le mot : « responsabilité », sont insérés les mots : « ou l’assistant d’enquête agissant sous le contrôle de l’officier de police judiciaire ».

II.-Au premier alinéa de l’article L. 522-3 du code de la sécurité intérieure, la référence : « 3° » est remplacée par la référence : « 4° ».

III.-Le Gouvernement remet au Parlement, avant l’expiration d’un délai de deux ans à compter de la publication du décret mentionné au dernier alinéa de l’article 21-3 du code de procédure pénale, un rapport procédant à l’évaluation de la mise en œuvre du présent article. Cette évaluation porte notamment sur le recrutement et la formation des assistants d’enquête et sur l’adéquation des missions qui leur sont confiées aux besoins des services d’enquête et au respect des droits de la défense.

Article 19

Les deux premiers alinéas de l’article 20 du code de procédure pénale sont ainsi rédigés :

« Sous réserve des dispositions de l’article 20-1, sont agents de police judiciaire :

« 1° Les militaires de la gendarmerie nationale autres que les volontaires, n’ayant pas la qualité d’officier de police judiciaire ; ».

Chapitre II : Renforcer la fonction investigation (Articles 20 à 24)

Article 20

I.-Le code de procédure pénale est ainsi modifié :

1° L’article 55-1 est ainsi modifié :

a) Après le deuxième alinéa, il est inséré un alinéa ainsi rédigé :

« L’officier de police judiciaire peut également procéder, ou faire procéder sous son contrôle, aux opérations permettant l’enregistrement, la comparaison et l’identification des traces et des indices ainsi que des résultats des opérations de relevés signalétiques dans les fichiers mentionnés au deuxième alinéa, selon les règles propres à chacun de ces fichiers. » ;

b) A la première phrase du dernier alinéa, les mots : « du troisième » sont remplacés par les mots : « de l’avant-dernier » ;

2° L’article 60 est ainsi modifié :

a) Après le premier alinéa, il est inséré un alinéa ainsi rédigé :

« Lorsqu’ils sont sollicités à cet effet par l’officier de police judiciaire ou, sous le contrôle de ce dernier, par l’agent de police judiciaire, les services ou organismes de police technique et scientifique de la police nationale et de la gendarmerie nationale peuvent directement procéder à des constatations et à des examens techniques ou scientifiques relevant de leur compétence, sans qu’il soit nécessaire d’établir une réquisition à cette fin. » ;

b) Le deuxième alinéa est ainsi modifié :

-après la référence : « 157 », sont insérés les mots : « ou s’il s’agit d’un service ou organisme mentionné au deuxième alinéa du présent article » ;

-les mots : « ainsi appelées » sont remplacés par les mots : « mentionnées au premier alinéa » ;

3° L’article 60-3 est ainsi modifié :

a) A la première phrase, après la seconde occurrence du mot : « données », sont insérés les mots : « ou de procéder aux opérations techniques nécessaires à leur mise à la disposition de l’officier de police judiciaire » ;

b) Il est ajouté un alinéa ainsi rédigé :

« Les opérations mentionnées au premier alinéa du présent article peuvent être réalisées par les services ou les organismes de police technique et scientifique de la police nationale et de la gendarmerie nationale dans les conditions prévues aux deuxième et troisième alinéas de l’article 60. » ;

4° L’article 76-2 est ainsi modifié :

a) Au premier alinéa, les mots : « de prélèvements externes » sont supprimés ;

b) Au second alinéa, les mots : «, deuxième, troisième et dernier » sont remplacés par les mots : « quatre derniers » ;

5° Le deuxième alinéa de l’article 77-1 est ainsi rédigé :

« Les quatre derniers alinéas de l’article 60 sont applicables. » ;

6° L’article 77-1-3 est complété par un alinéa ainsi rédigé :

« Le second alinéa du même article 60-3 est applicable. » ;

7° L’article 99-5 est complété par un alinéa ainsi rédigé :

« Le second alinéa du même article 60-3 est applicable. » ;

8° L’article 154-1 est ainsi modifié :

a) Au premier alinéa, les mots : « de prélèvements externes » sont supprimés ;

b) Au second alinéa, les mots : « deuxième, troisième et dernier » sont remplacés par les mots : « quatre derniers » ;

9° A la deuxième phrase du premier alinéa de l’article 167, le mot : « quatrième » est remplacé par le mot : « dernier » ;

10° A la seconde phrase du deuxième alinéa de l’article 230-1, le mot : « deuxième » est remplacé par le mot : « troisième » ;

11° Le I de l’article 706-56 est ainsi modifié :

a) Le deuxième alinéa est ainsi modifié :

-à la première phrase, après le mot : « judiciaire », sont insérés les mots : « ou, sous le contrôle de ce dernier, l’agent de police judiciaire » ;

-à la même première phrase, le mot : « deuxième » est remplacé par le mot : « troisième » ;

-est ajoutée une phrase ainsi rédigée : « Lorsque l’analyse est demandée aux services ou aux organismes de police technique et scientifique mentionnés à l’article 157-2, il n’y a pas lieu à prestation de serment et si la demande émane d’un officier de police judiciaire ou d’un agent de police judiciaire, il n’est pas nécessaire d’établir une réquisition à cette fin. » ;

b) Le troisième alinéa est ainsi modifié :

-les mots : « personnes requises » sont remplacés par les mots : « services, organismes ou personnes appelés à réaliser les analyses » ;

-les mots : «, du procureur » sont remplacés par les mots : « ou, sous son contrôle, de l’agent de police judiciaire ou à la demande du procureur ».

II.-A la première phrase du b du 2° de l’article L. 423-4 du code de la justice pénale des mineurs, le mot : « troisième » est remplacé par le mot : « quatrième ».

Article 21

I.-La section 1 du chapitre Ier du titre Ier du livre Ier du code de procédure pénale est complétée par un article 15-5 ainsi rédigé :

« Art. 15-5.-Seuls les personnels spécialement et individuellement habilités à cet effet peuvent procéder à la consultation de traitements au cours d’une enquête ou d’une instruction.

« La réalité de cette habilitation spéciale et individuelle peut être contrôlée à tout moment par un magistrat, à son initiative ou à la demande d’une personne intéressée. L’absence de la mention de cette habilitation sur les différentes pièces de procédure résultant de la consultation de ces traitements n’emporte pas, par elle-même, nullité de la procédure. »

II.-Après l’article 55 bis du code des douanes, il est inséré un article 55 ter ainsi rédigé :

« Art. 55 ter.-Seuls les agents des douanes, spécialement et individuellement habilités à cet effet, peuvent procéder à la consultation de traitements au cours d’une enquête ou d’un contrôle.

Article 22

I.-A l’article 17-1 de la loi n° 95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité, après le mot : « étrangers », sont insérés les mots : « et des demandes de visa ou d’autorisation de voyage prévus aux articles L. 312-1, L. 312-2 et L. 312-7 du code de l’entrée et du séjour des étrangers et du droit d’asile ».

II.-Le chapitre IV du titre III du livre II du code de la sécurité intérieure est ainsi modifié :

1° A la seconde phrase de l’article L. 234-3, après le mot : « nationales », sont insérés les mots : «, par des agents des douanes individuellement désignés et spécialement habilités, pour le seul exercice des missions et des interventions qui le justifient, dans le cadre des pouvoirs qui leur sont conférés en application des sections 2,7 et 7 bis du chapitre IV du titre II du code des douanes, » ;

2° Au premier alinéa de l’article L. 234-4, les mots : «, 4° et 5° » sont remplacés par les mots : « à 6° ».

Article 23

I.-Le dernier alinéa de l’article 77-1-1 du code de procédure pénale est remplacé par sept alinéas ainsi rédigés :

« Sans préjudice des instructions et des autorisations particulières pouvant être données pour une procédure déterminée, les réquisitions prévues au présent article peuvent faire l’objet d’autorisations du procureur de la République résultant d’instructions générales prises en application de l’article 39-3 et concernant des crimes ou délits punis d’une peine d’emprisonnement, limitativement énumérés par ce magistrat, lorsqu’elles sont nécessaires à la manifestation de la vérité et ont pour objet :

« 1° La remise d’enregistrements issus d’un système de vidéoprotection concernant les lieux dans lesquels l’infraction a été commise ou les lieux dans lesquels seraient susceptibles de se trouver ou de s’être trouvées les personnes contre lesquelles il existe une ou plusieurs raisons plausibles de soupçonner qu’elles ont commis ou tenté de commettre ladite infraction ;

« 2° La recherche des comptes bancaires dont est titulaire une personne contre laquelle il existe une ou plusieurs raisons plausibles de soupçonner qu’elle a commis ou tenté de commettre l’infraction, ainsi que le solde de ces comptes ;

« 3° La fourniture de listes de salariés, de collaborateurs, de personnels et de prestataires de services de sociétés de droit privé ou public, lorsque l’enquête porte sur les délits prévus aux articles L. 8224-1 et L. 8224-2 du code du travail ;

« 4° La remise de données relatives à l’état civil, aux documents d’identité et aux titres de séjour concernant la personne contre laquelle il existe une ou plusieurs raisons plausibles de soupçonner qu’elle a commis ou tenté de commettre l’infraction ;

« 5° La remise de données relatives à la lecture automatisée de plaques d’immatriculation, lorsque l’infraction a été commise en utilisant un véhicule et que ces données sont susceptibles de permettre de localiser une personne contre laquelle il existe une ou plusieurs raisons plausibles de soupçonner qu’elle a commis ou tenté de commettre l’infraction.

« Ces instructions générales précisent les réquisitions autorisées selon les infractions retenues, au regard de la nature ou de la gravité de celles-ci. Leur durée ne peut excéder six mois. Le procureur de la République peut les renouveler pour une même durée, les modifier ou y mettre fin avant leur terme. Il est immédiatement avisé de la délivrance des réquisitions réalisées en application de ses instructions générales. Cet avis précise les infractions pour lesquelles la réquisition a été établie. Le procureur de la République peut ordonner que cette réquisition soit rapportée. »

II.-Dans un délai de deux ans à compter de la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport d’évaluation de l’extension des autorisations générales de réquisition délivrées par le procureur de la République.

Article 24

I.-Le code de procédure pénale est ainsi modifié :

1° Au cinquième alinéa de l’article 57-1, après le mot : « judiciaire », sont insérés les mots : « ou, sous leur contrôle, les agents de police judiciaire » ;

2° L’article 74 est ainsi modifié :

a) Au premier alinéa, après le mot : « avisé », sont insérés les mots : « ou, sous son contrôle, l’agent de police judiciaire » ;

b) La seconde phrase du deuxième alinéa est complétée par les mots : « ou, sous le contrôle de ce dernier, un agent de police judiciaire de son choix » ;

3° A la première phrase du premier alinéa de l’article 74-1, les mots : «, assistés le cas échéant des agents de police judiciaire, » sont remplacés par les mots : « ou, sous leur contrôle, les agents de police judiciaire » ;

4° A l’article 76-3, après le mot : « police », sont insérés les mots : « judiciaire ou, sous son contrôle, l’agent de police judiciaire » ;

5° Le premier alinéa de l’article 78-3 est ainsi modifié :

a) A la troisième phrase, le mot : « celui-ci » est remplacé par les mots : « l’officier de police judiciaire ou, sous le contrôle de celui-ci, par un agent de police judiciaire » ;

b) A la dernière phrase, après le mot : « judiciaire », sont insérés les mots : « ou, sous le contrôle de celui-ci, l’agent de police judiciaire » ;

6° A l’article 97-1, après le mot : « judiciaire », sont insérés les mots : « ou, sous le contrôle de celui-ci, l’agent de police judiciaire » ;

7° Au deuxième alinéa de l’article 99-4, après le mot : « police », sont insérés les mots : « judiciaire ou, sous le contrôle de celui-ci, l’agent de police judiciaire » ;

8° A l’article 100-3 et à la première phrase du premier alinéa de l’article 100-4, après le mot : « lui », sont insérés les mots : « ou, sous le contrôle de ce dernier, l’agent de police judiciaire ».

II.-Au premier alinéa de l’article L. 813-5 du code de l’entrée et du séjour des étrangers et du droit d’asile, après le mot : « informé », sont insérés les mots : « par l’officier de police judiciaire ou, sous le contrôle de celui-ci, par l’agent de police judiciaire ».

Chapitre III : Améliorer la réponse pénale (Articles 25 à 26)

Article 25

I.-L’article L. 310-5 du code de commerce est complété par deux alinéas ainsi rédigés :

« Pour l’infraction mentionnée au 2° du présent article, l’action publique peut être éteinte, y compris en cas de récidive, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 200 euros. Le montant de l’amende forfaitaire minorée est de 150 euros et le montant de l’amende forfaitaire majorée est de 450 euros.

« Les dispositions des articles 495-20 et 495-21 du même code relatives à l’exigence d’une consignation préalable à la contestation de l’amende forfaitaire ne sont pas applicables. »

II.-Le code pénal est ainsi modifié :

1° L’article 313-5 est complété par deux alinéas ainsi rédigés :

« L’action publique peut être éteinte, y compris en cas de récidive, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 300 euros. Le montant de l’amende forfaitaire minorée est de 250 euros et le montant de l’amende forfaitaire majorée est de 600 euros.

« Les dispositions des articles 495-20 et 495-21 du même code relatives à l’exigence d’une consignation préalable à la contestation de l’amende forfaitaire ne sont pas applicables. » ;

2° L’article 322-1 est ainsi modifié :

a) Au début du premier alinéa, est ajoutée la mention : « I.-» ;

b) Au début du second alinéa, est ajoutée la mention : « II.-» ;

c) Sont ajoutés deux alinéas ainsi rédigés :

« L’action publique peut être éteinte, y compris en cas de récidive, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 200 euros. Le montant de l’amende forfaitaire minorée est de 150 euros et le montant de l’amende forfaitaire majorée est de 450 euros.

« Les dispositions des articles 495-20 et 495-21 du même code relatives à l’exigence d’une consignation préalable à la contestation de l’amende forfaitaire ne sont pas applicables. » ;

3° Le premier alinéa de l’article 322-2 est ainsi modifié :

a) Les mots : « premier alinéa » sont remplacés par la référence : « I » ;

b) Les mots : « deuxième alinéa du même article » sont remplacés par les mots : « premier alinéa du II du même article 322-1 » ;

4° L’article 322-3 est ainsi modifié :

a) Au premier et aux deux derniers alinéas, les mots : « premier alinéa » sont remplacés par la référence : « I » ;

b) Au premier alinéa, les mots : « deuxième alinéa » sont remplacés par la référence : « II » ;

5° Au 7° du I de l’article 322-15, les mots : « premier alinéa » sont remplacés par la référence : « I » ;

6° L’article 431-22 est complété par deux alinéas ainsi rédigés :

« L’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 500 €. Le montant de l’amende forfaitaire minorée est de 400 € et le montant de l’amende forfaitaire majorée est de 1 000 €.

« Les dispositions des articles 495-20 et 495-21 du même code relatives à l’exigence d’une consignation préalable à la contestation de l’amende forfaitaire ne sont pas applicables. » ;

7° L’article 446-2 est complété par un alinéa ainsi rédigé :

« L’action publique peut être éteinte, y compris en cas de récidive, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 500 €. Le montant de l’amende forfaitaire minorée est de 400 € et le montant de l’amende forfaitaire majorée est de 1 000 €. »

III.-L’article L. 114-2 du code du patrimoine est ainsi modifié :

1° Après le mot : « pénal », la fin du premier alinéa est supprimée ;

2° Les deuxième à dernier alinéas sont supprimés.

IV.-Le code des transports est ainsi modifié :

1° L’article L. 2242-4 est complété par deux alinéas ainsi rédigés :

« L’action publique peut être éteinte, y compris en cas de récidive, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 300 €. Le montant de l’amende forfaitaire minorée est de 250 € et le montant de l’amende forfaitaire majorée est de 600 €.

« Les dispositions des articles 495-20 et 495-21 du même code relatives à l’exigence d’une consignation préalable à la contestation de l’amende forfaitaire ne sont pas applicables. » ;

2° Le II de l’article L. 3124-4 est complété par un alinéa ainsi rédigé :

« L’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 500 euros. Le montant de l’amende forfaitaire minorée est de 400 euros et le montant de l’amende forfaitaire majorée est de 1 000 euros. » ;

3° Le III de l’article L. 3124-7 est complété par un alinéa ainsi rédigé :

« L’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 500 euros. Le montant de l’amende forfaitaire minorée est de 400 euros et le montant de l’amende forfaitaire majorée est de 1 000 euros. » ;

4° Le III de l’article L. 3124-12 est complété par un alinéa ainsi rédigé :

« L’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 500 euros. Le montant de l’amende forfaitaire minorée est de 400 euros et le montant de l’amende forfaitaire majorée est de 1 000 euros. » ;

5° L’article L. 3315-4 est complété par un alinéa ainsi rédigé :

6° La section 2 du chapitre II du titre V du livre IV de la troisième partie est complétée par un article L. 3452-11 ainsi rédigé :

« Art. L. 3452-11.-Pour les infractions prévues à la présente section, à l’exception de celles prévues aux articles L. 3452-9 et L. 3452-10, l’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant :

« 1° De 200 € pour les infractions prévues aux articles L. 3452-7 à L. 3452-8 du présent code ; le montant de l’amende forfaitaire minorée est de 150 € et le montant de l’amende forfaitaire majorée est de 450 € ;

« 2° De 500 € pour les infractions prévues à l’article L. 3452-6 ; le montant de l’amende forfaitaire minorée est de 400 € et le montant de l’amende forfaitaire majorée est de 1 000 €. » ;

7° Le chapitre IV du titre VII du livre II de la quatrième partie est complété par une section 5 ainsi rédigée :

« Section 5.- Amendes forfaitaires

« Art. L. 4274-19.-Pour les infractions prévues aux sections 1,2 et 4 du présent chapitre, à l’exception de celle prévue à l’article L. 4274-15, l’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant :

« 1° De 300 € pour les infractions prévues à l’article L. 4274-2, au premier alinéa de l’article L. 4274-3, aux articles L. 4274-4 et L. 4274-5, aux quatre premiers alinéas de l’article L. 4274-8 et aux articles L. 4274-10 à L. 4274-11-1, L. 4274-12-1 et L. 4274-13 du présent code ; le montant de l’amende forfaitaire minorée est de 250 € et le montant de l’amende forfaitaire majorée est de 600 € ;

« 2° De 500 € pour les infractions prévues au deuxième alinéa de l’article L. 4274-3, aux articles L. 4274-6 et L. 4274-7, au cinquième alinéa de l’article L. 4274-8 et aux articles L. 4274-9, L. 4274-12, L. 4274-17 et L. 4274-18 ; le montant de l’amende forfaitaire minorée est de 400 € et le montant de l’amende forfaitaire majorée est de 1 000 €. » ;

8° L’article L. 5242-6-6 est ainsi rétabli :

« Art. L. 5242-6-6.-I.-Le fait d’adopter, au moyen d’un engin nautique à moteur immatriculé, une conduite répétant de façon intentionnelle des manœuvres constituant des violations d’obligations particulières de sécurité ou de prudence prévues par les dispositions législatives et réglementaires de la présente cinquième partie dans des conditions qui compromettent la sécurité des usagers de la mer ou qui troublent la tranquillité publique est puni d’un an d’emprisonnement et de 15 000 € d’amende.

« II.-L’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 500 €. Le montant de l’amende forfaitaire minorée est de 400 € et le montant de l’amende forfaitaire majorée est de 1 000 €. »

V.-Le code rural et de la pêche maritime est ainsi modifié :

1° Le I de l’article L. 215-2 est complété par deux alinéas ainsi rédigés :

« L’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 300 euros. Le montant de l’amende forfaitaire minorée est de 250 euros et le montant de l’amende forfaitaire majorée est de 600 euros.

« Les dispositions des articles 495-20 et 495-21 du même code relatives à l’exigence d’une consignation préalable à la contestation de l’amende forfaitaire ne sont pas applicables. » ;

2° L’article L. 215-2-1 est complété par deux alinéas ainsi rédigés :

« L’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 300 euros. Le montant de l’amende forfaitaire minorée est de 250 euros et le montant de l’amende forfaitaire majorée est de 600 euros.

« Les dispositions des articles 495-20 et 495-21 du même code relatives à l’exigence d’une consignation préalable à la contestation de l’amende forfaitaire ne sont pas applicables. » ;

3° L’article L. 215-3 est complété par un IV ainsi rédigé :

« IV.-Pour les délits mentionnés aux 1° et 2° du I du présent article, l’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 300 euros. Le montant de l’amende forfaitaire minorée est de 250 euros et le montant de l’amende forfaitaire majorée est de 600 euros. »

VI.-Le code de la route est ainsi modifié :

1° L’article L. 318-3 est complété par un IV ainsi rédigé :

« IV.-Pour l’infraction mentionnée au I du présent article, l’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 200 euros. Le montant de l’amende forfaitaire minorée est de 150 euros et le montant de l’amende forfaitaire majorée est de 450 euros. » ;

2° L’article L. 412-1 est complété par deux alinéas ainsi rédigés :

« L’action publique peut être éteinte, y compris en cas de récidive, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 800 euros. Le montant de l’amende forfaitaire minorée est de 640 euros et le montant de l’amende forfaitaire majorée est de 1 600 euros.

« Les dispositions des articles 495-20 et 495-21 du même code relatives à l’exigence d’une consignation préalable à la contestation de l’amende forfaitaire ne sont pas applicables. »

VII.-L’article L. 317-8 du code de la sécurité intérieure est complété par un alinéa ainsi rédigé :

« Pour le délit mentionné au 3° du présent article, sauf s’il s’agit d’armes à feu, en cas de remise volontaire de l’arme, des munitions ou des éléments de l’arme à l’agent verbalisateur aux fins de transfert de propriété à l’Etat et de destruction éventuelle, l’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 500 €. Le montant de l’amende forfaitaire minorée est de 400 € et le montant de l’amende forfaitaire majorée est de 1 000 €. »

VIII.-Le code du sport est ainsi modifié :

1° L’article L. 332-3 est complété par un alinéa ainsi rédigé :

« Pour le délit mentionné au premier alinéa du présent article, l’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 500 euros. Le montant de l’amende forfaitaire minorée est de 400 euros et le montant de l’amende forfaitaire majorée est de 1 000 euros. » ;

2° L’article L. 332-10 est complété par un alinéa ainsi rédigé :

« Pour le délit mentionné au premier alinéa, l’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 500 euros. Le montant de l’amende forfaitaire minorée est de 400 euros et le montant de l’amende forfaitaire majorée est de 1 000 euros. »

IX.-Le code de l’environnement est ainsi modifié :

1° L’article L. 428-5 est complété par un IV ainsi rédigé :

« IV.-L’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 500 €. Le montant de l’amende forfaitaire minorée est de 400 € et le montant de l’amende forfaitaire majorée est de 1 000 €. » ;

2° A l’article L. 554-12, les mots : « premier alinéa » sont remplacés par la référence : « I ».

X.-Après l’article 495-24-1 du code de procédure pénale, il est inséré un article 495-24-2 ainsi rédigé :

« Art. 495-24-2.-Lorsque l’action publique concernant un délit ayant causé un préjudice à une victime est éteinte par le paiement d’une amende forfaitaire délictuelle, la victime peut toutefois demander au procureur de la République de citer l’auteur des faits à une audience devant le tribunal pour lui permettre de se constituer partie civile. Le tribunal, composé d’un seul magistrat exerçant les pouvoirs conférés au président, ne statue alors que sur les seuls intérêts civils, au vu du dossier de la procédure qui est versé au débat. Le procureur de la République informe la victime de ses droits ainsi que, lorsqu’il cite l’auteur des faits devant le tribunal correctionnel, de la date de l’audience. »

XI.-A titre expérimental, pour l’infraction mentionnée au I de l’article L. 236-1 du code de la route, l’action publique peut être éteinte, dans les conditions prévues aux articles 495-17 à 495-25 du code de procédure pénale, par le versement d’une amende forfaitaire d’un montant de 500 euros. Le montant de l’amende forfaitaire minorée est de 400 euros et le montant de l’amende forfaitaire majorée est de 1 000 euros.

Au plus tard six mois avant la fin de l’expérimentation, le Gouvernement remet au Parlement un rapport d’évaluation de l’expérimentation afin de déterminer les conditions d’une éventuelle généralisation.

Le présent XI est applicable sur l’ensemble du territoire national.

XII.-Le Gouvernement remet au Parlement, avant le 1er janvier 2026, un rapport portant évaluation de la mise en œuvre de la procédure de l’amende forfaitaire délictuelle, pour chacune des infractions auxquelles cette procédure est applicable. L’évaluation identifie les pistes d’amélioration du recouvrement de ces amendes, notamment par la mise en place d’une saisie sur salaire en concertation avec l’employeur de la personne mise en cause.

Article 26

[Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2022-846 DC du 19 janvier 2023.]

Chapitre IV : Faire face aux crises hybrides et relevant de plusieurs ministères (Article 27)

Article 27

Le code de la sécurité intérieure est ainsi modifié :

1° Le chapitre V du titre Ier du livre Ier est abrogé ;

2° A la première phrase du dernier alinéa de l’article L. 742-1, après le mot : « actions », sont insérés les mots : « ou de décisions » ;

3° Après l’article L. 742-2, il est inséré un article L. 742-2-1 ainsi rédigé :

« Art. L. 742-2-1.-Lorsque surviennent des événements de nature à entraîner un danger grave et imminent pour la sécurité, l’ordre ou la santé publics, la préservation de l’environnement, l’approvisionnement en biens de première nécessité ou la satisfaction des besoins prioritaires de la population définis à l’article L. 732-1, le représentant de l’Etat dans le département du siège de la zone de défense et de sécurité peut, si le représentant de l’Etat dans le département l’estime nécessaire pour assurer le rétablissement de l’ordre public, mettre en œuvre les actions mentionnées au dernier alinéa de l’article L. 742-1 et prévenir et limiter les conséquences de ces événements, autoriser le représentant de l’Etat dans le département, à ces seules fins, à diriger l’action de l’ensemble des services et des établissements publics de l’Etat ayant un champ d’action territorial, qui sont alors placés pour emploi sous son autorité. Le représentant de l’Etat dans le département prend les décisions visant à assurer le rétablissement de l’ordre public, à mettre en œuvre les actions mentionnées au même dernier alinéa ou à prévenir et à limiter les conséquences de ces événements, après avis de l’autorité compétente de l’établissement public placé sous son autorité en application du présent article.

« La décision du représentant de l’Etat dans le département du siège de la zone de défense et de sécurité est prise pour une durée maximale d’un mois. Elle détermine les circonscriptions territoriales à l’intérieur desquelles elle s’applique. Elle peut être renouvelée, dans les mêmes formes, par période d’un mois au plus, si les conditions l’ayant motivée continuent d’être réunies. Il est mis fin sans délai à la mesure dès que les circonstances qui l’ont justifiée ont cessé. »

Titre V : DISPOSITIONS RELATIVES À L’OUTRE-MER (Articles 28 à 29)

Article 28

I.-Au premier alinéa de l’article 804 du code de procédure pénale, les mots : « l’ordonnance n° 2022-478 du 30 mars 2022 portant partie législative du code pénitentiaire » sont remplacés par les mots : « la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur ».

II.-A l’article 711-1 du code pénal, les mots : « l’ordonnance n° 2022-478 du 30 mars 2022 portant partie législative du code pénitentiaire » sont remplacés par les mots : « la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur ».

III.-Le code de la sécurité intérieure est ainsi modifié :

1° Au premier alinéa des articles L. 285-1, L. 286-1 et L. 287-1, la référence : « n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure » est remplacée par la référence : « n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur » ;

2° Au premier alinéa des articles L. 344-1, L. 345-1, L. 346-1 et L. 347-1, la référence : « n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure » est remplacée par la référence : « n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur » ;

3° Au premier alinéa de l’article L. 545-1, la référence : « n° 2021-646 du 25 mai 2021 pour une sécurité globale préservant les libertés » est remplacée par la référence : « n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur » ;

4° L’article L. 765-1 est ainsi modifié :

a) Au premier alinéa, la référence : « n° 2021-1520 du 25 novembre 2021 visant à consolider notre modèle de sécurité civile et valoriser le volontariat des sapeurs-pompiers et les sapeurs-pompiers professionnels » est remplacée par la référence : « n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur » ;

b) Au 4°, après le mot : « publique », est insérée la référence : «, L. 742-2-1, » ;

5° Après le 23° de l’article L. 765-2, il est inséré un 23° bis ainsi rédigé :

« 23° bis L’article L. 742-2-1 est ainsi rédigé :

« “ Art. L. 742-2-1.-Lorsque surviennent des événements de nature à entraîner un danger grave et imminent pour la sécurité, l’ordre ou la santé publics, la préservation de l’environnement, l’approvisionnement en biens de première nécessité ou la satisfaction des besoins prioritaires de la population définis à l’article L. 732-1, le haut-commissaire de la République en Polynésie française peut, pour assurer le rétablissement de l’ordre public, mettre en œuvre les actions mentionnées au dernier alinéa de l’article L. 742-1 et prévenir les conséquences de ces événements, diriger l’action de l’ensemble des services et des établissements publics de l’Etat ayant un champ d’action territorial, qui sont alors placés pour emploi sous son autorité. Le haut-commissaire de la République en Polynésie française prend les décisions visant à assurer le rétablissement de l’ordre public, à mettre en œuvre les actions mentionnées au même dernier alinéa ou à prévenir et à limiter les conséquences de ces événements, après avis de l’autorité compétente de l’établissement public placé sous son autorité en application du présent article.

« “ La décision du haut-commissaire de la République en Polynésie française est prise pour une durée maximale d’un mois. Elle détermine les circonscriptions territoriales à l’intérieur desquelles elle s’applique. Elle peut être renouvelée, dans les mêmes formes, par période d’un mois au plus, si les conditions l’ayant motivée continuent d’être réunies. Il est mis fin sans délai à la mesure dès que les circonstances qui l’ont justifiée ont cessé. ” ; »

6° Au premier alinéa de l’article L. 766-1, la référence : « n° 2021-1520 du 25 novembre 2021 visant à consolider notre modèle de sécurité civile et valoriser le volontariat des sapeurs-pompiers et les sapeurs-pompiers professionnels » est remplacée par la référence : « n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur » ;

7° Après le 24° de l’article L. 766-2, il est inséré un 24° bis ainsi rédigé :

« 24° bis L’article L. 742-2-1 est ainsi rédigé :

« “ Art. L. 742-2-1.-Lorsque surviennent des événements de nature à entraîner un danger grave et imminent pour la sécurité, l’ordre ou la santé publics, la préservation de l’environnement, l’approvisionnement en biens de première nécessité ou la satisfaction des besoins prioritaires de la population définis à l’article L. 732-1, le haut-commissaire chargé de la zone de défense et de sécurité Nouvelle-Calédonie peut, pour assurer le rétablissement de l’ordre public, mettre en œuvre les actions mentionnées au dernier alinéa de l’article L. 742-1 et prévenir et limiter les conséquences de ces événements, diriger l’action de l’ensemble des services et des établissements publics de l’Etat ayant un champ d’action territorial, qui sont alors placés pour emploi sous son autorité. Le haut-commissaire prend les décisions visant à assurer le rétablissement de l’ordre public, à mettre en œuvre les actions mentionnées au même dernier alinéa ou à prévenir et à limiter les conséquences de ces événements, après avis de l’autorité compétente de l’établissement public placé sous son autorité en application du présent article.

« “ La décision du haut-commissaire chargé de la zone de défense et de sécurité Nouvelle-Calédonie est prise pour une durée maximale d’un mois. Elle détermine les circonscriptions territoriales à l’intérieur desquelles elle s’applique. Elle peut être renouvelée, dans les mêmes formes, par période d’un mois au plus, si les conditions l’ayant motivée continuent d’être réunies. Il est mis fin sans délai à la mesure dès que les circonstances qui l’ont justifiée ont cessé. ” ; »

8° L’article L. 767-1 est ainsi modifié :

b) Au 3°, après la référence : « L. 742-1, », est insérée la référence : « L. 742-2-1, » ;

9° L’article L. 768-1 est ainsi modifié :

b) Au 3°, après la référence : « L. 742-1, », est insérée la référence : « L. 742-2-1, ».

IV.-Avant le dernier alinéa de l’article L. 194-1 du code des assurances, il est inséré un alinéa ainsi rédigé :

« L’article L. 12-10-1 est applicable dans les îles Wallis et Futuna dans sa rédaction résultant de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur. »

V.-L’article 55 ter du code des douanes est applicable dans les îles Wallis et Futuna.

VI.-Le titre IV du livre II du code de la route est ainsi modifié :

1° L’article L. 243-2 est ainsi modifié :

a) Au second alinéa, la référence : « L. 233-1, » est supprimée ;

b) Il est ajouté un alinéa ainsi rédigé :

« L’article L. 233-1 est applicable en Nouvelle-Calédonie dans sa rédaction résultant de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur. » ;

2° L’article L. 243-3 est ainsi modifié :

a) Après le premier alinéa, il est inséré un alinéa ainsi rédigé :

« L’article L. 236-1 est applicable en Nouvelle-Calédonie dans sa rédaction résultant de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur. » ;

b) A la fin du second alinéa, les mots : « l’ordonnance n° 2019-950 du 11 septembre 2019 portant partie législative du code de la justice pénale des mineurs » sont remplacés par les mots : « la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur » ;

3° L’article L. 244-2 est ainsi modifié :

a) Au second alinéa, la référence : « L. 233-1, » est supprimée ;

b) Il est ajouté un alinéa ainsi rédigé :

« L’article L. 233-1 est applicable en Polynésie française dans sa rédaction résultant de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur. » ;

4° Après le premier alinéa de l’article L. 244-3, il est inséré un alinéa ainsi rédigé :

« L’article L. 236-1 est applicable en Polynésie française dans sa rédaction résultant de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur. » ;

5° L’article L. 245-2 est ainsi modifié :

a) Au second alinéa, la référence : « L. 233-1, » est supprimée ;

b) Il est ajouté un alinéa ainsi rédigé :

« L’article L. 233-1 est applicable dans les îles Wallis et Futuna dans sa rédaction résultant de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur. » ;

6° L’article L. 245-3 est ainsi modifié :

a) Après le premier alinéa, il est inséré un alinéa ainsi rédigé :

« L’article L. 236-1 est applicable dans les îles Wallis et Futuna dans sa rédaction résultant de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur. » ;

VII.-La quatrième ligne du tableau du second alinéa des articles L. 832-1, L. 833-1, L. 834-1, L. 835-1 et L. 836-1 du code de l’entrée et du séjour des étrangers et du droit d’asile est remplacée par trois lignes ainsi rédigées :

L. 813- 1 à L. 813-4
L. 813-5	La loi nº 2023-22 du 24 janvier 2023 d´orientation et de programmation du ministére de l´interieur
L. 813-6 à L. 814-1

VIII.-Aux articles L. 721-1, L. 722-1 et L. 723-1 du code de justice pénale des mineurs, les mots : « l’ordonnance n° 2022-478 du 30 mars 2022 portant partie législative du code pénitentiaire » sont remplacés par les mots : « la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur ».

IX.-Le code rural et de la pêche maritime est ainsi modifié :

1° La douzième ligne du tableau du second alinéa de l’article L. 275-2 est remplacée par deux lignes ainsi rédigées :

L. 215-1	Résultant de la loi nº 2007-297 du 5 mars 2007 relative à la prévention de la délinquance
L. 215-2 à L. 215-3	Rèsultant de la loi nº 2023-22 du 24 janvier 2023 d´orientation et de programmation du ministère de l´interiéur

2° La quinzième ligne du tableau du second alinéa de l’article L. 275-5 est remplacée par deux lignes ainsi rédigées :

L. 215-1	Résultant de la loi nº 2007-297 du 5 mars 2007 relative à la prèvention de la delinquance
L. 215-2 à L. 215-3	Rèsultant de la loi nº 2023-22 du 24 janvier 2023 d´orientation et de programmation du ministère de l´interieru

3° La douzième ligne du tableau du second alinéa de l’article L. 275-10 est remplacée par deux lignes ainsi rédigées :

L. 215-1	Résultant de la loi nº 2007-297 du 5 mars 2007 relative à la prèvention de la delinquance
L. 215-2 à L. 215-3	Rèsultant de la loi nº 2023-22 du 24 janvier 2023 d´orientation et de programmation du ministère de l´interieru

X.-L’article 31 de la loi n° 95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité est ainsi modifié :

1° Les 2° et 3° sont ainsi rétablis :

« 2° L’article 17-1 est applicable dans les îles Wallis et Futuna, en Polynésie française et en Nouvelle-Calédonie dans sa rédaction résultant de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur.

« Pour son application à Saint-Barthélemy, à Saint-Martin, dans les îles Wallis et Futuna, en Polynésie française et en Nouvelle-Calédonie, la référence à l’article L. 312-7 du code de l’entrée et du séjour des étrangers et du droit d’asile est supprimée ;

« 3° Le II de l’article 36 est applicable en Polynésie française, en Nouvelle-Calédonie et dans les îles Wallis et Futuna dans sa rédaction résultant de la loi n° 2021-646 du 25 mai 2021 pour une sécurité globale préservant les libertés. » ;

2° Le dernier alinéa est supprimé.

XI.-Le 3° du I de l’article L. 950-1 du code de commerce est complété par un alinéa ainsi rédigé :

« L’article L. 310-5 est applicable dans sa rédaction résultant de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur ; ».

XII.-Le code des transports est ainsi modifié :

1° Après le deuxième alinéa de l’article L. 5762-1, il est inséré un alinéa ainsi rédigé :

« L’article L. 5242-6-6 est applicable en Nouvelle-Calédonie dans sa rédaction résultant de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur. » ;

2° Après le deuxième alinéa de l’article L. 5772-1, il est inséré un alinéa ainsi rédigé :

« L’article L. 5242-6-6 est applicable en Polynésie française dans sa rédaction résultant de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur. » ;

3° Après le quatrième alinéa de l’article L. 5782-1, il est inséré un alinéa ainsi rédigé :

« L’article L. 5242-6-6 est applicable à Wallis-et-Futuna dans sa rédaction résultant de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur. » ;

4° L’article L. 5792-1 est complété par un alinéa ainsi rédigé :

« L’article L. 5242-6-6 est applicable dans les Terres australes et antarctiques françaises dans sa rédaction résultant de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur. »

Article 29

Le Gouvernement remet au Parlement, avant le 31 décembre 2023, deux rapports d’évaluation des politiques publiques en matière de cybersécurité.

Un premier rapport évalue la protection des collectivités territoriales et leur vulnérabilité aux intrusions numériques. Des recommandations pour mieux les protéger, validées par l’Agence nationale de la sécurité des systèmes d’information, sont proposées.

Un second rapport évalue la protection des entreprises, en examinant la possibilité de subordonner le remboursement d’une assurance contre les risques de cyberattaques au recours par la victime à un prestataire informatique labellisé. Ce rapport comporte un avis et des préconisations de l’Agence nationale de la sécurité des systèmes d’information et du groupement d’intérêt public « Action contre la cybermalveillance » sur les exigences minimales de l’éventuelle labellisation des prestataires.

La présente loi sera exécutée comme loi de l’Etat.

RAPPORT ANNEXÉ

Introduction

Transformer l’institution pour être à la hauteur des attentes des citoyens : telle est l’ambition qui fédère l’ensemble des agents et forces du ministère de l’intérieur pour les cinq prochaines années. La loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) fixe une trajectoire à cette ambition jusqu’en 2027 grâce à des moyens humains, juridiques, budgétaires et matériels inédits.

Ce texte est d’abord une loi de transformation numérique, qui saisit toutes les opportunités offertes par les nouvelles technologies pour améliorer le service rendu au citoyen, grâce à des démarches simples, pratiques et accessibles à tous, quel que soit leur lieu de vie. Cette modernisation ne sera possible qu’en offrant aux agents du ministère de l’intérieur les outils numériques et la formation pour en tirer pleinement profit. Travailler en mobilité, accéder depuis le terrain aux ressources utiles, aller vers les citoyens – notamment les plus fragiles -, mener à bien les grands projets numériques qui simplifieront la vie de tous les agents du ministère et des citoyens ne sera plus l’exception, mais le quotidien.

Le cyberespace constitue en outre un nouvel espace à investir : non seulement les menaces de la « vie réelle » trouvent, pour la plupart, leur prolongement dans le cyberespace, mais le numérique est de surcroît le théâtre de l’émergence de risques nouveaux. Au sein d’un ministère de l’intérieur chef de file en matière de lutte contre la cybercriminalité, les forces de sécurité intérieure seront ainsi davantage présentes dans le cyberespace, pour protéger les Français et les institutions des menaces nouvelles. Ces actions contribueront à répondre à la première des attentes des citoyens, à savoir des résultats à la fois rapides et visibles de l’action de l’Etat.

Efficacité et proximité seront au cœur de la mission de sécurité pour ces cinq prochaines années. Pour affirmer cette présence, de nouvelles implantations du ministère mailleront le territoire, relais de ces forces présentes au plus près des citoyens et relais de l’Etat au cœur des départements. Préfets et sous-préfets à la tête des services de l’Etat local devront continuer à travailler avec les forces vives des territoires, au premier rang desquels les élus et les collectivités territoriales, les entreprises, les associations et les services publics afin de construire des projets de développement au plus près du terrain et d’affermir le continuum de sécurité. Articulation approfondie avec le réseau France services, fonds d’ingénierie locale et moyens renforcés pour affronter plus facilement les crises graves renforceront l’action du réseau préfectoral au service des Français.

Policiers et gendarmes seront davantage sur le terrain et verront leur présence doublée sur la voie publique d’ici 2030. Face à la délinquance et aux menaces persistantes – violences liées au trafic de drogue, violences intrafamiliales et sexuelles, atteintes aux biens, etc. – l’insécurité ne peut reculer que grâce à des policiers et des gendarmes présents là où il faut et quand il le faut, dotés de nouveaux outils juridiques et numériques (utilisation de logiciels de retranscription, de nouveaux outils numériques pendant l’enquête, etc.) pour prévenir, enquêter et confondre les délinquants. Le travail en mobilité permettra aux policiers et aux gendarmes de passer moins de temps au commissariat ou à la caserne et davantage sur la voie publique.

Cette action résolue va de pair avec un effort sans précédent pour mieux accueillir et accompagner les victimes. Mais cette ambition de proximité serait incomplète si nos policiers et nos gendarmes n’étaient pas demain davantage à l’image de la population française qu’ils ne le sont aujourd’hui. Mieux formés, exemplaires, ils donneront envie aux jeunes de rejoindre le ministère de l’intérieur de demain, qui s’ouvrira davantage sur la société.

Transformation numérique, efficacité et proximité permettront au ministère de l’intérieur de mieux faire face aux crises et menaces d’aujourd’hui et de demain, au cœur d’une société rendue plus résiliente. Les défis sont nombreux tandis que les crises s’enchaînent : les crises sanitaires, climatiques et d’ordre public pourraient être suivies demain, sans pour autant disparaître, de crises cyber, nucléaires, radiobiologiques, biologiques et chimiques (NRBC) ou mélangeant l’ensemble de ces dimensions. Si notre modèle de gestion de crise a fait ses preuves, il sera renforcé à tous les échelons par des moyens humains et technologiques, pour faire de la France une référence européenne, et structuré par des responsabilités mieux définies pour lui donner une véritable capacité d’anticipation. Cette mutation est d’autant plus nécessaire dans la perspective des grands événements (coupe du monde de rugby, jeux olympiques et paralympiques) qu’accueille la France et qui vont concentrer sur notre pays l’attention du monde entier.

Au-delà des crises, notre société devra également être plus robuste dans sa réponse à toutes les formes de délinquance et de criminalité, du terrorisme et de la criminalité organisée jusqu’aux actes de « petite délinquance ». La présence renforcée sur la voie publique des policiers et des gendarmes va de pair avec des moyens d’investigation renforcés et une procédure pénale drastiquement simplifiée, afin de mettre hors d’état de nuire les délinquants. La hauteur des attentes envers nos policiers et gendarmes se traduira, pour eux, par une formation et un accompagnement au quotidien renforcés ainsi que par une revalorisation ciblée sur les missions les plus difficiles ou exposées. Les citoyens ont eux aussi envie de s’engager et de contribuer à la protection de notre Nation, notamment par l’intermédiaire des réserves ou du volontariat. Cette loi saisit pleinement cette chance pour fédérer autour de causes qui réunissent nos concitoyens.

La loi prévoit des moyens sans précédent pour concrétiser cette ambition : le budget du ministère de l’intérieur sera augmenté de 15 milliards d’euros sur la période 2023-2027 pour la mise en œuvre de ces mesures nouvelles.

Une réforme de la gouvernance des investissements sera mise en œuvre. Un comité ministériel des investissements, présidé par le ministre de l’intérieur, sera institué pour examiner, pour chaque projet d’investissement majeur, la satisfaction du besoin opérationnel, la stratégie de maîtrise des risques, le coût global de l’investissement, intégrant en particulier les coûts d’exploitation et de maintenance, ainsi que la faisabilité financière d’ensemble. Le comité ministériel pourra s’appuyer, s’agissant des principaux projets d’investissement, sur l’avis d’un comité financier interministériel, associant le ministère chargé du budget, qui procédera à un examen contradictoire de la soutenabilité financière desdits projets de même que, chaque année, de la programmation pluriannuelle. Le renforcement du pilotage des investissements doit notamment permettre, sous la responsabilité du ministre de l’intérieur, d’assurer la cohérence d’ensemble des décisions ministérielles en matière d’investissement, de maîtriser les coûts, les délais et les spécifications des projets d’investissement majeurs mais aussi de favoriser la recherche de mutualisations et de partenariats.

1. Une révolution numérique profonde

L’élan numérique à l’horizon 2030 doit permettre de remettre le numérique au cœur de l’activité du ministère de l’intérieur.

Cette impulsion vise d’abord à répondre aux menaces cyber, nouveau territoire de délinquance de masse, où les victimes ne savent pas vers qui se tourner ni comment se protéger. Les investissements permettront d’améliorer significativement la qualité du service rendu par l’administration aux citoyens dans ce domaine, mais aussi de transformer le service public rendu par l’ensemble du ministère pour une plus grande efficacité dans la lutte contre la cyberdélinquance.

Il s’agit par ailleurs de créer les conditions favorables à une plus grande ouverture des données au profit des citoyens et acteurs économiques afin de stimuler la création, par la société civile ou le tissu industriel, de nouveaux services et d’activités créatrices de valeur, tout en veillant au strict respect de la réglementation en matière de traitement des données personnelles et en rendant compte de ces traitements de la manière la plus transparente qui soit.

Dans son organisation, le ministère devra rendre plus lisible la production de services numériques pour les forces de l’ordre, avec une agence du numérique des forces de sécurité intérieure. Le policier et le gendarme de demain seront « augmentés » grâce à des outils numériques mobiles tant pour la procédure pénale que pour leurs missions de sécurité.

L’utilisation des nouvelles technologies dans les domaines de la sécurité ne peut faire l’économie d’une acceptation de la société civile. La loi d’orientation et de programmation du ministère de l’intérieur est donc l’occasion de poser les bases de la nouvelle relation que le ministère souhaite construire avec la société civile sur ces sujets et de mettre en place les instances de gouvernance, de contrôle et de discussion adéquates.

La transformation numérique irrigue également tous les champs de la relation aux citoyens ; chaque procédure administrative devra être accessible en ligne tout en conservant un contact humain personnalisé pour ceux qui n’ont pas accès aux nouvelles technologies.

1.1. Un ministère chef de file de la lutte contre la cybercriminalité

La cyberdélinquance est en constante augmentation depuis plusieurs années, avec des taux de progression des faits constatés allant de 10 % à 20 % d’une année sur l’autre selon le type d’infraction.

Par ailleurs, aujourd’hui, plus de deux tiers des escroqueries trouvent leur origine ou sont facilitées par internet. En 2019, la moitié des individus de 15 ans ou plus déclaraient avoir connu des problèmes de cybercriminalité au cours de l’année précédente (notamment un renvoi vers un site frauduleux). En 2020, une entreprise sur cinq déclare avoir subi au moins une attaque par rançongiciel au cours de l’année et 58 % des cyberattaques ont eu des conséquences avérées sur l’activité économique, avec des perturbations sur la production dans 27 % des cas (1).

Le ministère de l’intérieur a un rôle clé à jouer sur le sujet de la cybercriminalité. Les volets relatifs à l’anticipation et à la prévention ainsi qu’à la réponse opérationnelle doivent constituer le cœur de l’action du ministère. De fait, le risque d’une crise systémique existe : après la crise sanitaire, la prochaine crise de grande ampleur pourrait être d’origine numérique. Le niveau de dépendance à la technologie en laisse deviner l’impact (2). Parallèlement, se révèle une opportunité pour le développement et la consolidation d’un nouveau marché aux leviers de croissance très importants. Il s’agit avant tout de développer une autonomie stratégique française afin de ne pas dépendre des seules technologies étrangères.

1.1.1. Sensibiliser et prévenir

Afin d’apporter une réponse à la hauteur de l’enjeu, l’objectif doit être de sensibiliser 100 % des entreprises et des institutions aux risques que représente la cybercriminalité. Sur l’ensemble des actions de sensibilisation ou de prévention cyber réalisées auprès des entreprises et institutions, le ministère de l’intérieur proposera de mettre à disposition son maillage pour venir en appui de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). La présence du ministère de l’intérieur dans l’ensemble des territoires permettra ainsi la diffusion des messages de sensibilisation et des bonnes pratiques. Dans cette perspective, les équipes préfectorales seront également formées à la prévention de la cybercriminalité et à la lutte contre cette menace.

Parallèlement, et aux fins de casser le modèle économique des cyberdélinquants, les clauses de remboursement des rançons par les assurances contre les cyberattaques seront mieux encadrées et les paiements de rançons devront être déclarés aux forces de sécurité ou à l’autorité judiciaire, afin que les services compétents disposent des informations nécessaires pour poursuivre les auteurs de l’infraction. Ainsi, une clause assurantielle visant à couvrir un tel risque ne pourrait être mise en œuvre que dans la mesure où les forces de sécurité ou l’autorité judiciaire ont été informées par un dépôt de plainte. Cette stratégie consiste à attaquer le modèle de rentabilité de l’écosystème cybercriminel afin de décourager les cyberattaquants. En effet, si la position des services compétents a toujours été de recommander le non-paiement des rançons, la dégradation rapide de la situation appelle une action publique plus déterminée afin de s’assurer que, dans les cas où une rançon a été payée, les autorités compétentes disposent des informations nécessaires pour poursuivre les auteurs de l’infraction. La régulation de la couverture assurantielle du paiement de rançons apparaît ainsi comme nécessaire.

1.1.2. Adapter la réponse opérationnelle

Le cyberespace constitue désormais un nouveau territoire de délinquance de masse, qui impose au ministère de l’intérieur d’opérer une « révolution copernicienne » sur le sujet.

Dans ce contexte, se développent également de véritables mafias cybercriminelles qui se structurent en sous-groupes spécialisés et s’articulent de manière très agile pour organiser des cyberattaques contre des grandes entreprises ou des institutions ainsi que de la grande délinquance financière sur internet.

Si des succès opérationnels récents ont mis fin à une longue période d’impunité, il est nécessaire de renforcer la réponse opérationnelle face à la cybercriminalité. Le travail de renseignement devra être accru sur ces organisations qui peuvent toucher les intérêts fondamentaux de la Nation ou entraîner des dégâts systémiques sur son fonctionnement, en lien avec le travail interministériel réalisé en format « C4 », entité présidée au nom du Premier ministre par le secrétaire général de la défense et de la sécurité nationale (SGDSN), au sein de laquelle la direction générale de la sécurité intérieure (DGSI) siège pour le compte du ministère de l’intérieur, aux côtés de l’ANSSI, qui en assure le secrétariat, de la direction générale de la sécurité extérieure (DGSE) et du commandement de la cyberdéfense (COMCYBER). De nouveaux pans du renseignement criminel seront développés au sein des services spécialisés du ministère de l’intérieur pour mener une politique d’entrave systématique des cyberattaquants sur le territoire national, en lien étroit avec l’ensemble des services partenaires, notamment européens.

Pour concrétiser cette ambition, un plan d’investissement technologique mais également de formation et de recrutement ambitieux au sein des forces de sécurité intérieure sera mis en place, pour aller chercher les meilleurs profils issus de la société civile, notamment les cyberréservistes. Pour renforcer l’efficience du ministère dans la lutte contre la menace cyber, une coopération plus étroite entre les services concernés sera structurée. Celle-ci se traduira notamment par une mutualisation plus importante des investissements techniques et humains à venir, ainsi que par le développement de capacités et d’outils, dont le ministère sera propriétaire, de nature à garantir la souveraineté des opérations techniques effectuées par les services.

Parallèlement, un regroupement des capacités techniques et d’analyse du ministère de l’intérieur en matière cyber auprès du pôle régalien de cyberdéfense implanté à Rennes sera étudié, afin d’améliorer les synergies au sein de l’écosystème interministériel cyber.

Une école de formation cyber interne au ministère de l’intérieur sera mise en place afin de garantir un haut niveau de compétences des policiers et gendarmes dans la durée. La très rapide évolution des chemins d’attaque utilisés et des objets technologiques en jeu (comme les cryptomonnaies) nécessite une formation continue pour l’ensemble des services d’enquête. Cette école de formation du ministère de l’intérieur spécialisée dans la lutte contre la cybercriminalité et faisant intervenir enquêteurs et formateurs extérieurs permettra à la fois d’augmenter significativement le nombre d’enquêteurs formés et de garantir le niveau de connaissance dans le temps.

Par ailleurs, les mêmes conditions de saisie seront appliquées aux avoirs cryptoactifs (cryptomonnaies par exemple) que pour les comptes bancaires : trop souvent, les criminels convertissent le fruit de leurs malversations en cryptoactifs, qui peuvent être plus facilement dispersés et donc dissimulés.

1.1.3. Créer un équivalent numérique de « l’appel 17 » et recruter 1 500 cyberpatrouilleurs supplémentaires

Les victimes de cette nouvelle délinquance ne sont pas préparées à ce risque et ne savent pas vers qui se tourner, du fait notamment du caractère inédit de cette menace et de la multiplicité des acteurs.

Un équivalent numérique de « l’appel 17 » sera donc mis en place afin que chaque citoyen puisse signaler en direct une cyberattaque et être mis immédiatement en relation avec un opérateur spécialisé. Ce « 17 cyber » sera construit en s’appuyant sur les outils existants, qu’il s’agisse de la plateforme numérique d’assistance aux victimes (cybermalveillance.gouv.fr), qui permet notamment la mise en relation des victimes avec des prestataires d’accompagnement, des centres de réponse aux incidents régionaux, en cours de création, des dispositifs PHAROS et Perceval ainsi que de l’ANSSI. Le « 17 cyber » permettra ainsi d’éviter aux citoyens d’avoir à s’orienter dans ce dispositif de réponse à incidents : au contraire, ils seront pris en charge et bénéficieront de conseils immédiats et rassurants.

En outre, 1 500 nouveaux cyberpoliciers et cybergendarmes seront formés et déployés pour mieux lutter contre la cybercriminalité. Ils pourront notamment être recrutés parmi les réservistes.

Enfin, afin de renforcer la lutte contre les contenus répréhensibles en ligne, les signalements sur la plateforme PHAROS seront encouragés. Un bilan semestriel de l’activité issue des signalements sera mis en place pour sensibiliser et entretenir la démarche citoyenne de signalement. Chaque bilan rendra compte du nombre de signalements, regroupés par catégories, transmis au cours du semestre par la communauté de contributeurs à PHAROS et fera état du nombre de demandes de retrait de contenus illicites transmis par PHAROS aux opérateurs de plateforme en ligne pendant la même période. Le bilan sera partagé par courrier électronique avec la communauté de contributeurs de PHAROS et publié sur le site internet-signalement.gouv.fr.

1.2. Enrichir « l’identité numérique » des citoyens

L’identité numérique du citoyen, développée depuis 2017, constitue désormais le pivot de nouvelles perspectives au sein du ministère de l’intérieur, et plus largement pour le développement de services à l’usager qui réclament un haut niveau de confiance.

1.2.1. Le numérique au service des citoyens

L’effort de dématérialisation et d’accessibilité des démarches dématérialisées sera poursuivi avec, comme illustration, la dématérialisation de la procuration de vote, qui permettra de remplacer progressivement le nécessaire passage devant une autorité habilitée (officier de police judiciaire ou adjoint de police judiciaire). L’usager gardera la possibilité de se rendre au commissariat de police, à la brigade de gendarmerie ou dans un tiers lieu autorisé par arrêté du préfet pour établir sa procuration mais n’y sera plus contraint. La demande en ligne, possible depuis le 6 avril 2021, date de la mise en service de la téléprocédure Maprocuration, pourra suffire.

Cette mesure s’appuie sur le déploiement d’une identité numérique régalienne de niveau élevé, portée par le programme « France identité numérique », qui s’appuie sur l’outil France Connect.

Le développement de ces nouveaux outils et services numériques au sein du ministère de l’intérieur va de pair avec le renforcement de la politique de cyberdéfense du ministère afin de garantir un haut niveau de sécurité.

1.2.2. Un contact humain pour chaque procédure dématérialisée

Afin d’améliorer l’accompagnement des usagers lors de leurs démarches en ligne et de réduire la fracture numérique, chaque téléprocédure devra être dotée d’un moyen d’accompagnement effectif et adapté à tous les usagers.

Le recours croissant aux téléprocédures et la suppression des démarches en présentiel à un guichet ne suppriment pas le besoin d’accompagnement des usagers. L’accompagnement physique, par exemple dans les espaces France services au sein desquels le ministère de l’intérieur est engagé, restera donc la solution privilégiée pour les populations les plus fragiles en difficulté avec les outils numériques ou avec la langue française ou les moins bien renseignées sur les possibilités de contact à distance. Le présentiel constitue pour de nombreuses personnes le mode de contact le plus sûr, qui leur garantit que l’agent en face d’elles pourra les aider et prendre en compte leur demande. Le réseau des points d’accueil numérique (PAN) des préfectures et sous-préfectures sera ainsi consolidé, par le déploiement de PAN+ qui accompagneront l’usager pour l’ensemble des démarches des préfectures. L’accompagnement par téléphone ou par « chatbot » directement sur les sites des téléprocédures permettra de rassurer immédiatement l’usager et d’échanger avec lui en temps réel, à la différence d’un échange par courriel avec des réponses souvent différées. Les agents mobilisés dans ces services seront formés à l’accueil et à l’accompagnement des personnes en situation de handicap, quelle que soit leur situation de handicap.

1.3. Doter nos forces de sécurité d’un équipement à la pointe du numérique

L’équipement numérique offre de réelles opportunités aux policiers et gendarmes pour gagner en efficacité et donc mieux réaliser leurs missions au service des Français. La mise à disposition de ces nouvelles technologies a déjà largement été initiée depuis 2017, avec notamment le déploiement des caméras-piétons. Celle-ci doit s’accélérer, tout en tenant compte du risque que l’addition de l’ensemble des matériels et systèmes se fasse sans cohérence, multipliant à la fois le poids et les interactions homme-machine. Le défi consiste donc à bâtir un véritable modèle cohérent de policier, gendarme ou pompier « augmenté » par le recours à des technologies de pointe.

Par ailleurs, comme pour la technologie cyber, un écosystème français « souverain » est prêt à produire ces matériels et doit être soutenu.

1.3.1. Une agence du numérique pour les forces de sécurité intérieure

Afin de porter cette orientation stratégique de forces de sécurité « augmentées », l’agence du numérique des forces de sécurité intérieure, constituée des divers services existants et mise en place pour porter l’ensemble de ces projets, nouera des partenariats avec le secteur industriel pour permettre l’émergence d’un écosystème français.

L’agence sera placée sous contrôle du directeur général de la police nationale et du directeur général de la gendarmerie nationale – qui seront donc responsables de chaque euro investi – et budgétairement alimentée par leurs programmes. En lien avec le nouveau secrétaire général adjoint du ministère de l’intérieur chargé de la transformation numérique (cf. partie 1.4), elle sera chargée de faire converger les visions du numérique entre les deux directions générales et d’étudier systématiquement, pour chaque nouveau projet mené par l’une ou l’autre des directions générales, la possibilité d’en faire un projet commun.

Irriguée par des ingénieurs et des représentants des deux forces, formés à haut niveau sur le numérique et la conduite de projets, l’agence développera des outils numériques au service du terrain et de l’opérationnel. Cette agence devra particulièrement réfléchir à l’exosquelette du policier et du gendarme de demain, ainsi qu’à la parfaite interconnexion de l’ensemble des systèmes d’information mobilisés. Une démarche capacitaire commune sera consolidée entre cette agence et la direction générale de la sécurité intérieure et chargée de développer les capacités opérationnelles de très haut niveau dans l’espace numérique et les capacités classifiées de défense, afin de rationaliser et de mutualiser les travaux conduits de part et d’autre. Une démarche de concertation sera également mise en œuvre avec l’Agence nationale de la sécurité des systèmes d’information, le secrétariat général de la défense et de la sécurité nationale et le commandement de la cyberdéfense du ministère des armées.

Au sein de l’agence, une cellule d’innovation et un laboratoire de recherche et développement sur l’utilisation des nouvelles technologies dans les domaines de la sécurité permettront de dédier une partie de ses ressources à l’innovation.

1.3.2. Policier, gendarme, pompier et agent « augmentés »

Engagé sur des interventions du quotidien, le policier ou le gendarme agit dans un environnement marqué par une menace physique variée qui nécessite une interconnexion avec de nombreux systèmes d’information et de communication. Il doit, tout à la fois, faire face à la menace, exploiter ses systèmes d’information et de communication et réaliser ses missions de sécurité au contact de la population. Aujourd’hui, « l’augmentation » du gendarme ou du policier consiste en l’adjonction de systèmes et d’équipements autour de son corps, multipliant le poids et les interactions homme-machine, ce qui n’est pas satisfaisant.

A l’horizon 2030, l’objectif est d’intégrer les moyens de protection, d’action et d’interaction dans un ensemble cohérent, adapté à la morphologie du policier ou du gendarme et facilitant son engagement. La protection pourra être optimisée et assurée grâce à de nouvelles technologies (textiles intelligents capables de mieux résister et de thermoréguler, casque allégé, biocapteurs sur l’état physiologique). De même, les capacités pourront être « augmentées » grâce à un exosquelette ou répartiteur de charge, interconnecté avec les moyens numériques présents et à venir (moyens radio, NEO, PC Storm, caméra-piéton, etc.) et grâce à l’emport d’une capacité d’énergie. Enfin, les développements auront pour objectif l’amélioration de l’ergonomie et la simplification d’emploi des outils (commande vocale, alerte automatique via des capteurs).

Les principales acquisitions à venir dans ce domaine portent sur la généralisation annoncée des nouvelles caméras-piétons et l’équipement dès 2023 des véhicules des forces de sécurité intérieure en caméras embarquées, ainsi que sur les postes mobiles (par exemple pour la prise de plainte à domicile actuellement expérimentée), les terminaux numériques type Néo et le réseau radio de pointe (RRF). L’équipement en caméras-piétons et en caméras embarquées répond aux impératifs de transparence dans l’action des forces de sécurité, de pacification des interventions sur la voie publique, de dissuasion et d’amélioration de l’efficacité des missions de police, notamment par le recueil d’informations utiles aux procédures.

Cette réflexion ne concerne pas uniquement les forces de sécurité intérieure mais aussi l’ensemble des autres agents du ministère de l’intérieur. Autrefois cantonné à l’ordinateur fixe et aux logiciels bureautiques, l’environnement numérique de travail doit aujourd’hui s’entendre comme un écosystème faisant l’interface entre l’agent et les systèmes d’information. Les nouvelles capacités de mobilité, les nouveaux outils collaboratifs et le traitement automatisé du langage permettent une transformation forte de cet environnement et une augmentation tout aussi forte de l’efficience de l’agent, y compris en mobilité sur le terrain. Les nouveaux moyens numériques devront aussi permettre une meilleure interaction avec l’usager et surtout transformer les relations avec les usagers en offrant un service proactif. Dans le même esprit, l’analyse des données permise par l’intelligence artificielle permet un usage renforcé et plus intelligent des données.

Avec le pacte capacitaire entre l’Etat, les collectivités territoriales et les services départementaux d’incendie et de secours (SDIS), l’Etat accompagnera également les investissements innovants visant l’utilisation de nouvelles technologies au bénéfice opérationnel des sapeurs-pompiers, permettant de mieux anticiper et agir sur les situations de crise, en concertation avec les financeurs. La collaboration du ministère avec les SDIS sera également renforcée et structurée en matière d’innovations technologiques, pour développer les réflexions stratégiques et prospectives, grâce notamment à la mise en réseau de référents sur les territoires. Le Gouvernement étudie l’opportunité de la création d’une seconde base pour les Canadair et autres aéronefs de la sécurité civile ainsi que d’un prépositionnement de détachements couvrant l’intégralité du territoire sur des sites dotés de maintenance légère, au regard du risque en matière d’incendie. Le Gouvernement étudie également l’opportunité d’une coopération transfrontalière entre la Corse et la Sardaigne afin de créer une force méditerranéenne de lutte contre les incendies.

Ces efforts supposent aussi de développer une politique d’achat davantage orientée vers l’innovation en favorisant l’acculturation des services du ministère aux enjeux de l’innovation et en favorisant l’émergence d’un réseau de partenaires extérieurs, dans le respect des règles de la commande publique. Cet élan est donc l’occasion de définir la feuille de route ministérielle pour la mise en œuvre des actions visant à transformer la fonction achat du ministère de l’intérieur afin qu’elle devienne un vecteur d’innovation autour de plusieurs axes stratégiques, dont la mesure de la performance opérationnelle et économique de l’innovation au sein du ministère ou encore la mise à disposition d’ingénieurs de l’armement au sein de la direction de l’évaluation de la performance, de l’achat, des finances et de l’immobilier (DEPAFI).

1.3.3. Réseau radio du futur

Le programme Réseau radio du futur (RRF) répond au triple objectif d’assurer la sécurité de nos concitoyens, d’offrir un système commun à l’ensemble des forces et de moderniser les équipements radio en dotant les forces d’un unique équipement individuel de communication, multifonctions. Ce programme vise à doter l’ensemble des services chargés de la protection de nos concitoyens d’un système de communication mobile à très haut débit (4G puis 5G), multimédia, interopérable, prioritaire, résilient et sécurisé. Il constituera le continuum de sécurité et de secours.

Le réseau radio du futur devra remplacer les réseaux radio bas débit (INPT et RUBIS) vieillissants n’offrant plus des fonctionnalités alignées avec les outils numériques actuels. A terme, le RRF prévoit d’équiper 300 000 abonnés chargés des missions de protection des populations et de gestion des crises et catastrophes issus de plus de trente entités utilisatrices différentes réparties entre plusieurs ministères et instances publiques et privées (opérateurs d’importance vitale [OIV] et associations agréées de sécurité civile). La loi modifie le code des postes et des communications électroniques pour la mise en œuvre de ce réseau.

Le réseau radio du futur concerne notamment les acteurs de la sécurité et des secours suivants : les services préfectoraux, la police nationale, la gendarmerie nationale, les services d’aide médicale urgente, les services départementaux d’incendie et de secours, les services du ministère des armées concourant à la protection du territoire national, les services du ministère de la justice, les douanes, les polices municipales, certains opérateurs d’importance vitale des secteurs de l’énergie et du transport ainsi que les associations nationales de sécurité civile.

1.3.4. Assurer le déploiement de l’outil mutualisé de gestion des alertes des services d’incendie et de secours

Le projet en cours de développement par l’agence du numérique de la sécurité civile (ANSC) permettra la mutualisation et l’interopérabilité de la gestion des alertes et des opérations de l’ensemble des services d’incendie et de secours.

Le projet est cofinancé par les services d’incendie et de secours et par le ministère de l’intérieur. Il permettra en effet un pilotage plus efficace des secours par les préfets de département et une coordination plus rapide par les préfets de zone et par la direction générale de la sécurité civile et de la gestion des crises (DGSCGC). Il permettra le développement d’un système de collecte et de routage intelligent des communications (SECOURIR) d’urgence (18 et 112), par décloisonnement des plaques de communication (communication en réseau plus agile et réactive), et limitera les risques de congestion et de panne, exportable des SDIS vers l’ensemble des acteurs de la sécurité et du secours.

La construction d’un centre de service à l’ANSC permettra aux utilisateurs des services de bénéficier d’un support utilisateur réactif et d’une supervision dédiée cohérente avec les contraintes opérationnelles.

1.4. Eriger la fonction numérique au rang de priorité stratégique au sein du ministère de l’intérieur

Toutes les opportunités offertes par le numérique ne sont pas pleinement exploitées au ministère de l’intérieur, alors que celles-ci pourraient faciliter considérablement l’exercice de ses missions : analyse de données, open data, intelligence artificielle ou encore blockchains.

La conduite de grands projets numériques constitue l’un des principaux défis pour le ministère de l’intérieur. Il n’est plus envisageable d’engager des projets numériques d’ampleur qui ne seraient pas conduits à leur terme, du fait de problèmes de gouvernance, de conception du projet ou de manque de ressources humaines. Par ailleurs, les directions générales métiers sont trop peu responsabilisées sur les sujets numériques, alors même que de leur implication dépend le succès des projets.

Cette ambition de livrer plus rapidement les projets numériques et de transformer les métiers pour une plus grande efficacité d’action dans l’application des missions va de pair avec l’objectif d’ouverture des données du ministère de l’intérieur.

1.4.1. Faire du numérique une fonction stratégique en repensant son organisation

Le numérique sera désormais confié à un secrétaire général adjoint du ministère de l’intérieur, afin que cet enjeu soit incarné au plus haut niveau et bénéficie de tous les leviers permettant une réelle transformation des métiers. Il s’agit de repenser le modèle pour améliorer la capacité à créer, innover et opérer dans la durée.

En lien avec l’agence du numérique des forces de sécurité intérieure, ce nouvel acteur aura pour mission de mettre en place une organisation moderne, agile et intégrée tournée vers l’innovation. Cette démarche nécessite d’impliquer très fortement les métiers, de développer des pôles de compétences (data, intelligence artificielle) pour des projets modernes et de faire prendre en compte les phases de projet et d’exploitation par une même équipe maîtrisant parfaitement les applications d’une sphère métier.

Les équipes du secrétaire général adjoint chargé du numérique auront aussi une activité d’appui et de conseil pour venir en soutien des projets structurels du ministère et favoriser la transformation numérique. Elles inciteront au passage à une approche par service ou par produit afin de garantir l’évolution et la modernisation des services plutôt que leur changement au fil des cycles, ce qui nécessite de mettre en place l’organisation permettant le passage du « mode projet » au « mode produit ».

Par ailleurs, une activité d’audit des grands projets numériques sera créée afin de contrôler dans la durée la bonne exécution des projets structurants du ministère et d’anticiper les risques associés à ces projets.

1.4.2. Attirer, recruter et former

Afin de faire émerger de véritables filières numériques professionnalisées au ministère de l’intérieur, des fonctionnaires et contractuels de haut niveau seront recrutés pour ré-internaliser les compétences techniques nécessaires à la conduite de projets. Cela permettra de moins dépendre des prestataires extérieurs et de travailler de concert avec les directions métier sur les projets les plus importants du ministère.

Cet effort est estimé à 300 équivalents temps plein (ETP) – auxquels s’ajoutent 100 ETP pour l’agence du numérique – et requiert un plan de formation et de mentorat ainsi que l’assouplissement de règles permettant d’assurer une plus grande attractivité des métiers du numérique au ministère de l’intérieur pour les contractuels.

Attirer les talents du numérique nécessite de proposer des conditions de travail attractives (matériel, télétravail) et des mécanismes managériaux adaptés à ces profils (libération des énergies, capacité à créer, à proposer, à développer), tout en proposant des parcours interministériels de carrière attractifs en vue d’une fidélisation des meilleurs. La diversification des filières de recrutement (écoles, alternance, éditeurs de logiciels) gagne à être renforcée par des partenariats avec les écoles d’ingénieurs.

La formation au numérique devra concerner à la fois ces nouveaux recrutements, les experts numériques du ministère de l’intérieur, les directeurs et l’ensemble des autres agents du ministère. Devront être mis en place des plans de formation et de mentorat ambitieux et leur suivi : plan de formation continue pour les profils en tension, mentorats ouverts aux cadres supérieurs et directeurs généraux, opérations d’acculturation au numérique des managers des directions métiers et parcours de formation pour permettre des passerelles vers le numérique. Au sein de la sphère de la sécurité intérieure, il s’agira de mutualiser les parcours de formation au numérique afin de créer une culture commune et de diversifier les filières de recrutement de la police nationale en augmentant la proportion d’ingénieurs pour irriguer l’agence du numérique sur les sujets techniques et liés à l’exploitation des données.

1.4.3. De nouvelles interfaces avec la société civile, le tissu industriel et le monde académique

Le ministère de l’intérieur et la société civile doivent entretenir une relation apaisée sur l’utilisation de la technologie au sein du ministère. A cette fin, la société civile joue un rôle dans le suivi et le contrôle des technologies employées, grâce notamment à l’ouverture des codes sources et algorithmes utilisés. L’agence du numérique pilotera ainsi une politique d’ouverture des données et des sources par défaut, qui favorise la création de nouveaux services et d’activités créatrices de valeur au profit des citoyens et des entreprises.

De surcroît, une attention particulière sera portée aux solutions de protection de la vie privée dès la conception (privacy by design), qui consistent à proposer des outils numériques nativement protecteurs des libertés individuelles. L’agence du numérique a donc vocation à intégrer des compétences juridiques et des compétences spécialisées dans le privacy by design, potentiellement alimentées par des chercheurs, afin de développer des solutions répondant parfaitement aux besoins opérationnels tout en préservant les libertés individuelles et en le prouvant.

En matière de partenariats industriels, le ministère devra s’investir dans la construction de relations étroites avec les industriels français de confiance et tirer profit de leurs centres de formation spécialisée sur les sujets technologiques de pointe. Cela peut se traduire par des mobilités croisées, voire par la mise en place d’un mécanisme de réserve inversée, consistant dans le cadre de la formation continue à envoyer les équipes techniques du ministère de l’intérieur rejoindre les grands industriels français pendant une période donnée pour s’inspirer de leurs méthodes et de leurs outils de travail et pour développer des compétences sur des sujets techniques. Sont également envisageables des laboratoires communs de recherche et développement avec des industriels, des universitaires et des juristes, sur des projets technologiques de pointe. L’approche sous forme de laboratoire permettra en outre de s’assurer de la parfaite adaptation de ces technologies aux besoins opérationnels des forces. En cohérence avec les efforts internes au ministère de l’intérieur, il s’agit en outre d’inciter les industriels français à avancer sur le privacy by design et à en faire un élément différenciant dans leur stratégie commerciale.

Le ministère devra aussi nouer des partenariats privilégiés avec le monde académique en s’investissant notamment dans des travaux de thèses ou de post-doctorat ou en s’associant à des chaires. L’effort portera en matière de recherche et développement sur l’utilisation des nouvelles technologies dans le domaine de la sécurité, notamment en matière de cybersécurité, mais aussi dans le champ des sciences sociales.

Focus : tirer pleinement parti des opportunités offertes par le numérique outre-mer

Le numérique est un enjeu essentiel pour les territoires ultramarins, par les opportunités offertes en matière de rapprochement entre les services de l’Etat et la population ou encore de besoins opérationnels des services du ministère dans ces territoires particulièrement exposés. En même temps, la mise en place d’outils numériques performants et adaptés est un défi majeur, dans des régions parfois difficiles d’accès du fait de l’insularité, de l’immensité du territoire ou du caractère enclavé de certaines régions.

Un effort de remise à niveau de l’architecture des réseaux outre-mer sera engagé avec, comme objectif, la numérisation des réseaux tactiques communs aux forces pour renforcer leur capacité opérationnelle, en substitution aux réseaux anciens devenus obsolètes. Le déploiement du projet « Réseau radio du futur » s’inscrit dans cet effort. Sont plus particulièrement concernées la Nouvelle-Calédonie, la Polynésie française et la Guyane, qui n’ont pas pu bénéficier du passage à l’état de l’art technologique comme l’ont fait ces dernières années les Antilles, La Réunion et Mayotte.

D’autre part, les chantiers numériques de proximité, visant à rapprocher l’administration du citoyen et à doter les agents du ministère de l’intérieur d’outils performants, seront déployés de manière adaptée et rapide outre-mer. Les possibilités offertes sont particulièrement adaptées à ces territoires ultramarins, où les enjeux d’accès aux services publics sont prégnants : téléprocédures permettant de mener ses démarches depuis chez soi ou en mobilité ; application unique « Ma sécurité » permettant la prise de plainte en ligne, le suivi de celle-ci et l’échange direct avec des policiers ou des gendarmes ; audition ou prise de plainte en visioconférence ou à domicile ; équipement des policiers et gendarmes en matériels de pointe (caméras-piétons, caméras embarquées, tablettes Néo, ordinateurs portables, etc.).

Le déploiement des projets numériques du ministère outre-mer fera l’objet d’une feuille de route et d’un suivi spécifique. Cette feuille de route sera élaborée après concertation avec les parlementaires et les élus locaux de l’ensemble des territoires ultramarins concernés.

2. Plus de proximité, de transparence et d’exemplarité

En 2030, la présence des policiers et gendarmes sur le terrain sera doublée grâce à un recrutement massif de policiers et de gendarmes, à la transformation numérique, à une meilleure gestion des effectifs et du temps de travail, à la suppression des tâches périphériques et à la simplification des procédures.

Cet effort de proximité portera d’abord sur les zones éloignées des services publics. De nouvelles brigades de gendarmerie seront créées dans les territoires ruraux et périurbains ; les sous-préfectures seront, en articulation avec le réseau France services, les lieux des démarches du quotidien pour les citoyens. La présence renforcée des policiers et gendarmes sur la voie publique donnera de nouvelles marges de manœuvre opérationnelles, qui seront mises à profit grâce à un commandement présent de manière continue sur le terrain et à une réorganisation de la police nationale par filières.

La répartition territoriale entre police et gendarmerie sera adaptée selon des critères qualitatifs, afin de mieux correspondre à la réalité des territoires et à la nécessité d’améliorer le service rendu à la population. Cette adaptation sera réalisée après un processus de concertation avec les représentants des acteurs de chaque territoire, en particulier les parlementaires, les associations départementales de maires et les conseils départementaux.

Dans chaque département sera signé par les responsables locaux de la police nationale et de la gendarmerie nationale, sous l’égide des préfets et après consultation des élus locaux, un protocole de coopération opérationnelle entre les deux forces visant à améliorer leur coordination dans une logique de continuité territoriale de zones contiguës, à réagir aux situations urgentes et exceptionnelles, à identifier et combattre des phénomènes de délinquance communs et à optimiser l’emploi de services ou de capacités spécifiques.

La proximité passe aussi par une amélioration qualitative du contact avec les forces de sécurité. Le parcours des victimes sera amélioré, avec un traitement plus efficace et transparent des plaintes. L’accueil des usagers sera modernisé : rénovation immobilière, mais surtout adaptation aux besoins des usagers, simplification et numérisation des démarches, tout en gardant systématiquement un accompagnement physique. Cette attention portera en particulier sur les plus fragiles, notamment les victimes des violences intrafamiliales et sexuelles : fichier de prévention des violences intrafamiliales, doublement des effectifs dédiés (4 000 contre 2 000 en 2022), densification du maillage territorial en accueils spécialisés, création de postes d’intervenants sociaux en police et gendarmerie, triplement de l’amende pour outrage sexiste et sexuel.

Les citoyens pourront ainsi compter sur des forces de l’ordre plus présentes et plus accessibles, mais qui doivent aussi leur ressembler : si les agents du ministère de l’intérieur sont représentatifs de tous les milieux sociaux, il n’en est pas de même de la diversité de la population. Des dispositifs de recrutement seront mieux ciblés sur les quartiers populaires ainsi que sur les territoires ruraux, les concours du ministère de l’intérieur seront refondus pour élargir le recrutement. Le ministère veillera également à assurer la promotion de ses dispositifs de recrutement dans les territoires ultramarins. De meilleures possibilités de promotion interne seront ouvertes aux agents les plus méritants.

La transparence et l’exemplarité de l’action des policiers et gendarmes seront mieux garanties. Le travail des inspections sera conforté, notamment en utilisant les nouvelles possibilités permises par l’intelligence artificielle, et rendu plus lisible pour les citoyens. Lorsque des agents du ministère se seront rendus coupables de comportements inacceptables, les sanctions seront alourdies.

Suivant les conclusions du rapport de la Cour des comptes de février 2022 sur la formation des policiers, la transparence et l’exemplarité de l’action de la police nationale et de la gendarmerie nationale seront garanties par une formation initiale et continue de haut niveau.

Le ministère de l’intérieur contribuera à la redynamisation des territoires ruraux et des villes moyennes en y installant certains services relevant de l’administration centrale.

Le ministère de l’intérieur s’ouvrira à de nouveaux partenariats de sécurité animés par la nouvelle direction unique du continuum de sécurité. Ces partenariats s’appuient sur des moyens renforcés, avec le triplement des crédits dédiés au cofinancement des projets de vidéoprotection des collectivités. Le ministère de l’intérieur s’ouvrira également au monde de la recherche et de l’innovation (think tanks, universités) tout en renforçant sa capacité propre de prospective, pour anticiper les enjeux et menaces de demain.

Enfin, des moyens nouveaux seront dévolus aux forces de sécurité intérieure, qu’il s’agisse de nouveaux matériels plus performants (véhicules, tenues, armements, équipements de protection) mais aussi innovants (caméras-piétons, caméras embarquées, drones, robots d’intervention de déminage) ou encore d’un immobilier à même de leur permettre d’accomplir leurs missions dans de bonnes conditions, de répondre aux besoins de formations et de mieux accueillir les usagers.

Dans un souci de transparence et d’accessibilité du droit, le ministère de l’intérieur peut organiser des consultations ouvertes sur ses projets de décret sur son site internet.

2.1. Faire du renforcement de la présence dans la ruralité une nouvelle politique à part entière

2.1.1. Le maillage territorial des forces de sécurité sera renforcé en priorité dans les territoires ruraux et périurbains

Jusqu’en 2017, les quinquennats précédents ont été marqués par le recul de l’Etat dans les territoires, avec la disparition de nombre d’implantations de services publics : 500 brigades de gendarmerie fermées en 15 ans, 20 commissariats fermés depuis 2008, 10 arrondissements supprimés et 9 jumelés depuis 2014. Ce recul s’est également traduit par la fermeture de guichets (préfectures et sous-préfectures) alors qu’en parallèle les procédures de délivrance de titres ont été largement dématérialisées. Si cette dématérialisation des procédures a constitué un progrès pour nombre de citoyens, qui peuvent désormais réaliser nombre de démarches sans se déplacer, les personnes éloignées du numérique conservent le besoin d’un accompagnement humain.

Les dernières années démontrent aussi que le besoin de sécurité n’est pas l’apanage des métropoles : les territoires périurbains et ruraux connaissent une augmentation des violences aux personnes – principalement des violences non crapuleuses, des violences sexuelles et des violences intrafamiliales.

Partant de ce constat, l’Etat a inversé cette dynamique de recul des services publics et renforcé sa présence. Plus de 2 000 espaces France services ont été créés depuis 2018, dans tous les départements, pour permettre aux citoyens de réaliser leurs démarches de proximité et de bénéficier d’un accompagnement physique personnalisé. La diminution des effectifs des services locaux de l’Etat a été stoppée et le niveau départemental, celui de la proximité, a été revalorisé. Enfin, les effectifs des forces de sécurité ont été augmentés : chaque département compte aujourd’hui davantage de policiers et de gendarmes qu’il y a cinq ans. Les services de l’Etat vont continuer de renforcer leur présence et leur efficacité dans les cinq années à venir, en particulier dans les zones périurbaines et rurales, notamment celles connaissant une importante dynamique démographique.

S’agissant d’un service public essentiel, le ministère de l’intérieur pose ici un principe clair qu’il s’engage à respecter : aucun commissariat ou brigade de gendarmerie ne pourra être fermé sans que le maire de la commune siège du commissariat ou les maires des communes du périmètre d’intervention de la brigade territoriale soient préalablement consultés.

Ces décisions de fermeture donnent lieu à une consultation des parlementaires concernés.

Deux cents brigades de gendarmerie nouvelles seront créées, sous la forme d’implantations nouvelles ou de brigades mobiles. Les brigades mobiles consistent, pour les gendarmes, à « aller vers » les citoyens, notamment ceux qui sont les moins enclins à se déplacer dans une brigade de gendarmerie (jeunes, victimes de violences intrafamiliales, personnes âgées, isolées, etc.). Ces unités seront équipées de postes mobiles avancés – par exemple des véhicules de grande capacité – qui permettront grâce aux outils numériques de mobilité (tablettes NEO, ordinateurs portables) d’apporter des réponses aux citoyens. Les départements ayant expérimenté ces nouvelles brigades ont plébiscité ce dispositif, qui rapproche les gendarmes de la population dans des territoires où l’empreinte des services publics est faible ou insuffisante.

Le choix des territoires d’implantation de ces nouvelles brigades sera effectué selon des critères objectifs liés à la population, aux flux, aux risques locaux, à la délinquance et aux délais d’intervention, à l’issue d’un diagnostic partagé avec les autorités administratives et judiciaires ainsi qu’avec les élus.

Ce choix donne lieu à une concertation entre les élus locaux et les services du ministère. Ces derniers communiquent aux élus un état des lieux de la situation sécuritaire sur le territoire concerné. Après communication de ces informations, un délai raisonnable est accordé aux élus locaux pour transmettre leurs observations sur les constats effectués ainsi que pour communiquer leurs propositions, notamment sur les lieux d’implantation des brigades.

Afin de garantir la soutenabilité des dépenses des collectivités territoriales liées à la construction de bâtiments destinés à accueillir des brigades, leurs modalités de financement seront adaptées, le cas échéant par l’adoption de dérogations aux règles comptables et budgétaires des collectivités territoriales. Le dispositif de soutien financier sera par ailleurs renforcé.

Au regard des spécificités des problèmes de sécurité rencontrés par ces territoires, une attention particulière sera apportée dans le choix d’implantation de ces nouvelles brigades en outre-mer.

Dans un délai de deux ans à compter de la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport dressant un bilan d’étape de la création de ces nouvelles brigades.

Dans la police nationale, un effort particulier sera fait pour renforcer les unités généralistes de police secours : les effectifs supplémentaires seront dirigés en priorité vers ces fonctions de terrain, notamment les effectifs de « police secours » et les personnels travaillant de nuit, qui verront leur rémunération revalorisée.

Chaque année, le Gouvernement publiera les chiffres des évolutions nettes des effectifs de police et de gendarmerie dans chaque département.

2.1.2. Le pilotage des services de l’Etat sera renforcé au plus près des territoires et de leurs besoins

En plus des 2 055 espaces France services existants en février 2022, de nouvelles sous-préfectures seront labellisées France services.

Le pilotage unifié et cohérent de ces moyens renforcés est confié aux préfets. Afin que ce pilotage se fasse au plus près des territoires et en tenant compte de leurs enjeux spécifiques, le réseau préfectoral sera affermi, pour mieux prendre en charge le besoin de proximité et d’appui territorial des communes périurbaines ou rurales de l’arrondissement chef-lieu. Préfectures et sous-préfectures seront plus ouvertes qu’avant à nos concitoyens et aux entreprises, avec des points d’accueil numérique (PAN) « augmentés », les « PAN+ », pour aider les citoyens à réaliser leurs démarches, des guichets uniques pour les acteurs économiques permettant de réunir plusieurs services, d’expliquer les réformes prioritaires du Gouvernement et de veiller à ce qu’elles bénéficient à chacun. Les préfets et sous-préfets verront rappeler les spécificités de leur métier dans le cadre de la réforme de la haute fonction publique.

Parallèlement, dans le cadre de la poursuite de la dématérialisation des démarches et des titres, le ministère de l’intérieur veillera à maintenir un contact physique de proximité pour chaque procédure numérique, afin d’accompagner les usagers qui ne sont pas à l’aise avec le numérique, mais aussi pour les procédures dont le cas particulier ne peut être résolu par la voie numérique.

2.2. Relocaliser certains services de l’administration centrale du ministère de l’intérieur au bénéfice des territoires ruraux et des villes moyennes

L’ancrage territorial du ministère de l’intérieur sera aussi renforcé à travers la relocalisation de certains services de l’administration centrale dans des villes moyennes et des territoires ruraux.

Ce mouvement concernera plus de 1 400 fonctionnaires issus de l’ensemble des grandes directions du ministère de l’intérieur. Il a deux objectifs principaux : d’une part, renforcer la présence de services publics au plus près des usagers et, d’autre part, améliorer les conditions de vie au travail des agents.

Le choix de ces nouvelles implantations est le fruit d’un appel à candidatures ouvert à l’ensemble des territoires, hors Ile-de-France et grandes métropoles régionales, intéressés par l’accueil de ces services.

Ces relocalisations permettront de nouvelles synergies entre les différents services du réseau territorial du ministère de l’intérieur (préfectures et sous-préfectures, directions départementales interministérielles, services de la police nationale et de la gendarmerie nationale).

L’installation de services à vocation nationale sur l’ensemble du territoire exploitera pleinement les opportunités offertes par le travail à distance au bénéfice des services centraux et territoriaux du ministère.

Elle permettra également de dynamiser la politique immobilière de l’Etat dans les villes concernées, au bénéfice du développement et de l’attractivité des territoires concernés.

2.3. Doubler la présence de nos forces de l’ordre sur le terrain d’ici 2030

Les citoyens attendent des forces de sécurité qu’elles soient plus présentes et visibles sur le terrain, avec un effet rassurant pour la population et un effet dissuasif pour les délinquants. Mais si le quinquennat écoulé a permis la création de 10 000 postes supplémentaires de policiers et de gendarmes, leur présence sur la voie publique demeure insuffisante : policiers et gendarmes ne passent que 37 % de leur temps sur la voie publique, du fait de la lourdeur de la procédure pénale, d’outils numériques insuffisamment performants et de tâches administratives chronophages.

Le doublement de la présence des forces de sécurité sur la voie publique en dix ans annoncé par le Président de la République implique donc une transformation profonde : faire de la présence sur la voie publique la règle et la présence en commissariat ou en brigade l’exception.

2.3.1. L’objectif de doublement de la présence des forces de l’ordre sur la voie publique impose d’activer un ensemble de leviers complémentaires

Deux réformes importantes ont d’ores et déjà été actées : la suppression des cycles horaires chronophages des unités de voie publique, effective au 1er février 2022, ainsi que la réforme des modalités d’affectation des effectifs de police au 1er janvier 2023, pour pouvoir positionner plus facilement les effectifs là où sont les besoins.

Les policiers et gendarmes seront de plus en plus « nomades », grâce à l’équipement numérique mobile qui leur permettra de réaliser le maximum de tâches en extérieur lors des patrouilles. Les tablettes « Néo » ont déjà permis d’importants gains de temps et d’efficacité, qui seront amplifiés avec le déploiement en cours de la deuxième génération de tablettes, ainsi qu’avec une dotation massive en ordinateurs portables. Ces outils permettent l’accès à l’ensemble des ressources utiles en mobilité, que ce soit pour mieux renseigner les usagers, appréhender les situations d’intervention avec un maximum d’informations (profil des parties prenantes, position des autres patrouilles grâce à un outil de cartographie), recueillir de l’information (consultation de fichiers, prélèvements biométriques) ou encore gagner du temps (outil de retranscription écrite de la parole, procédure pénale numérique – cf. ci-après) et réduire les déplacements sans plus-value opérationnelle par la rédaction des procédures en mobilité ou la réalisation de prélèvements directement sur le terrain. D’importants investissements seront consentis pour mettre à niveau les réseaux de télécommunications afin de supporter ces nouveaux outils technologiques et de permettre une disponibilité optimale des applications, ainsi que pour la maintenance de ces nouveaux outils.

Le recours aux réserves opérationnelles de la gendarmerie et de la police sera accru, puisqu’elles passeront en cinq ans de 30 000 aujourd’hui à 50 000 réservistes pour la gendarmerie nationale et de 6 000 à 30 000 réservistes pour la police nationale. Afin de maintenir l’engagement et la motivation des réservistes, une cible minimale d’emploi de 25 jours par an et par réserviste est fixée. Ce renforcement de la réserve opérationnelle permettra à des jeunes de se former et de s’ancrer dans la vie professionnelle par un service – rémunéré – au profit de la Nation. Des passerelles avec les autres réserves de la garde nationale, les réserves communales de sécurité civile, l’éducation nationale, l’enseignement supérieur, la recherche et le service national universel seront créées. Les réserves opérationnelles de la gendarmerie et de la police seront pleinement investies dans le service national universel.

Aux fins d’emploi des réservistes, la direction générale de la gendarmerie nationale et la direction générale de la police nationale développeront des partenariats avec les autres administrations ou les entreprises chargées d’une mission de service public. Ces conventions fixeront notamment les conditions d’emploi de ces personnels et les modalités de la prise en charge financière de l’emploi des réservistes.

La compensation financière des heures supplémentaires sera privilégiée plutôt que le retour sous forme de récupérations, qui affaiblit la présence des policiers sur la voie publique. Le Président de la République a par ailleurs demandé l’ouverture d’une discussion sociale sur l’augmentation du temps de travail au sein des forces de sécurité intérieure.

Les forces de sécurité seront recentrées sur le cœur de leur mission de sécurité, par la substitution aux personnels actifs de personnels administratifs, par la mise en place de la fonction d’« assistant d’enquête de police et de gendarmerie » et par l’abandon des tâches périphériques. Le mouvement de substitution aux personnels actifs de personnels administratifs sera relancé, notamment pour les missions de contrôle aux frontières (couplé à l’automatisation) ou pour certaines missions relatives au fonctionnement des centres de rétention administrative (CRA). Les futurs assistants d’enquête de police et de gendarmerie se verront ainsi confier des tâches actuellement exercées par les personnels actifs, afin de permettre à ces derniers de se concentrer sur leur cœur de mission, notamment les enquêteurs.

Les policiers et les gendarmes n’assureront plus de missions périphériques : les extractions judiciaires devront finir d’être transférées au ministère de la justice, les policiers et gendarmes devront être libérés de la police des audiences ou encore de la garde des détenus hospitalisés. Les missions d’escorte ou de garde de bâtiments officiels seront réétudiées et externalisées lorsque leur exercice peut être assuré par d’autres que les policiers ou les gendarmes. La télécommunication audiovisuelle sera privilégiée pour certains actes d’enquête (exemple : enregistrement de plainte) ou pour les auditions (exemple : pour les auditions par le juge de la liberté et de la détention des étrangers placés en CRA afin d’éviter les transferts et gardes chronophages).

La procédure pénale sera simplifiée (cf. infra).

Pour mesurer l’effectivité de l’ensemble de ces mesures, un suivi statistique de l’effort sera réalisé, avec un compte rendu annuel. Afin d’atteindre l’objectif de doublement de la présence sur la voie publique en dix ans, l’effort sur 2023-2027 devra représenter une hausse de 50 % du nombre d’heures de présence sur la voie publique des policiers et des gendarmes, par rapport à l’année de référence 2021. Ces gains quantitatifs de présence sur la voie publique donneront de nouvelles marges de manœuvre opérationnelle, au service de priorités fixées au plus près du terrain.

2.3.2. La police nationale réformera son organisation pour un pilotage de proximité plus efficace

La mise en place d’un commandement opérationnel des forces 24h/24 et 7j/7 permettra un meilleur pilotage des effectifs présents sur le terrain, en fonction des priorités définies, et visera à pallier les difficultés pouvant être observées sur certaines interventions délicates.

Au niveau départemental, le pilotage en fonction des priorités sera affirmé par la généralisation des directions uniques de la police nationale, appelées directions départementales de la police nationale (DDPN), sous réserve des spécificités de la police judiciaire. Le directeur unique de la police pourra allouer les forces en fonction des priorités opérationnelles : sécurité du quotidien, démantèlement des trafics, lutte contre l’immigration clandestine. L’état-major mutualisé qui en découle facilitera les rationalisations d’organisation et le renforcement de la présence sur la voie publique. Une organisation en filières au niveau local concentrera ainsi sous l’autorité du préfet et du procureur de la République des fonctions jusqu’ici trop éclatées et sera plus lisible pour les partenaires de la police nationale participant du continuum de sécurité.

La réforme sera mise en œuvre en s’appuyant sur les conclusions de la mission d’information sur l’organisation de la police judiciaire menée par la commission des lois du Sénat, de la mission d’information sur la réforme de la police judiciaire dans le cadre de la création des directions départementales de la police nationale menée par la commission des lois de l’Assemblée nationale et de la mission confiée à l’inspection générale de l’administration, à l’inspection générale de la police nationale et à l’inspection générale de la justice relative au bilan des expérimentations déjà menées dans les territoires. Enfin, les représentants du personnel de la police nationale, issus des élections professionnelles de décembre 2022, seront obligatoirement consultés. Aucun policier affecté à la direction centrale de la police judiciaire ne sera conduit, par cette réforme, à changer de direction ou de mission sans son accord.

Cette réforme garantira une filière judiciaire plus efficace afin de répondre tant aux enjeux de la délinquance de proximité qu’aux graves menaces liées à la criminalité organisée. Conformément aux articles 12 et 12-1 du code de procédure pénale, les magistrats conserveront le libre choix du service enquêteur. Cette réforme s’effectuera sans modifier la cartographie des services exerçant des missions de police judiciaire au sein de la direction centrale de la police judiciaire (DCPJ) : le maillage territorial actuel sera maintenu et adapté aux évolutions des bassins de délinquance, aucun service de police judiciaire n’étant supprimé. Les offices centraux seront conservés et confortés par des antennes locales. Les offices centraux et l’échelon zonal seront privilégiés pour le traitement de la criminalité organisée, complexe ou présentant une particulière gravité. Pour assurer ses missions, l’échelon zonal de la police judiciaire disposera de moyens humains et budgétaires propres afin de garantir le bon traitement de ces infractions graves et complexes.

Cette réforme de l’échelon territorial s’accompagne d’une réforme de l’administration centrale, qui décloisonnera son fonctionnement en passant d’une organisation en « tuyaux d’orgue » à une direction générale fondée sur des filières par métiers (sécurité et ordre public ; police judiciaire ; renseignement territorial ; frontières et immigration irrégulière) et une fonction soutien consolidée. Cette intégration se traduira par un site unique de la direction générale de la police nationale à l’horizon des cinq prochaines années.

2.4. Mettre la victime au centre de l’attention

Le parcours pour les victimes sera refondu, depuis l’accueil jusqu’au suivi de la plainte. L’application mobile commune à la police et à la gendarmerie « Ma sécurité », qui est déployée depuis le premier trimestre de l’année 2022, donne accès à de nombreux télé-services : au-delà de la pré-plainte en ligne déjà disponible, l’application permettra à partir de 2023 de déposer une plainte en ligne mais également, à terme, d’effectuer le suivi de cette plainte. Aujourd’hui, plaignants et victimes ne sont pas suffisamment bien informés de l’évolution du traitement de leur plainte et se rendent dans les commissariats ou les brigades pour demander où en est leur affaire. Avec « Ma sécurité », le citoyen pourra déposer une plainte en ligne, puis suivre le traitement de cette plainte en temps réel, en étant informé de certains « moments-clés » des suites données. L’application « Ma sécurité » permettra aussi d’effectuer des actes de signalement ou d’interagir par messagerie instantanée avec des policiers ou des gendarmes formés au numérique. Cet outil numérique, vecteur de rapprochement entre la population et les forces de l’ordre de proximité, permettra la diffusion d’informations et de notifications et sera accessible pour toutes les personnes en situation de handicap. Des opérations de communication seront menées afin de faire connaître plus massivement l’application « Ma sécurité » auprès de la population.

Afin de déterminer les conséquences réelles de la mise en œuvre de modalités numériques de dépôt des plaintes, un rapport d’évaluation portant sur le dépôt de plainte en ligne et le dépôt de plainte par un moyen de télécommunication audiovisuelle sera effectué afin de mesurer, notamment, l’implication en termes de temps de travail que représentera pour les professionnels de la police et de la gendarmerie cet accroissement des plaintes dématérialisées.

Par ailleurs, les spécificités des situations des victimes seront mieux prises en compte. Grâce aux postes informatiques mobiles, dont le nombre sera doublé dès 2022, de plus en plus de démarches seront possibles hors les murs des services de police et de gendarmerie (auditions, plaintes). La prise de plainte hors les murs, déjà expérimentée dans plusieurs territoires, sera généralisée. Elle sera notamment proposée aux femmes victimes de violence et aux élus victimes de violences ou de menaces ainsi qu’aux autres victimes d’infractions pénales, après appréciation par les forces de l’ordre de la difficulté de la victime à se déplacer dans un commissariat ou une unité de gendarmerie.

Cette logique d’« aller vers » va de pair avec un effort particulier en faveur de dispositifs plus adaptés au sein des unités : la création de 19 nouvelles maisons de confiance et de protection de la famille d’ici la fin de l’année 2023 permettra de généraliser ce dispositif à l’ensemble du territoire (cf. infra). A compter de cette date, il sera maintenu au minimum une maison de confiance et de protection de la famille dans chaque département.

Le traitement rapide de la plainte est ainsi indissociable de l’amélioration de l’accueil de la victime, qu’il s’agisse de la priorisation du traitement des plaintes pour les faits les plus graves, par exemple les violences intrafamiliales et sexuelles, ou, à l’inverse, d’une orientation de la plainte vers une médiation pour les incivilités du quotidien qui minent la vie de nos concitoyens.

Les accueils physiques des brigades et des commissariats seront modernisés : la brigade et le commissariat de 2030 ne ressembleront en rien à ceux d’aujourd’hui, ce qui vaut en particulier pour les espaces d’accueil. Un effort conséquent en termes de confidentialité, d’ergonomie et d’accessibilité dans les accueils des brigades et casernes sera réalisé. Mais, au-delà des efforts nécessaires en termes immobiliers, il s’agira de généraliser la prise de rendez-vous en ligne et d’accentuer le déploiement de bornes d’accueil et la diffusion vidéo de contenus pour optimiser les temps d’attente. L’utilisation d’un robot d’accueil va même être expérimentée dans certains territoires. Plus systématiquement qu’aujourd’hui, la pratique dite de l’« usager mystère » (« mystery shopping ») sera développée afin de s’inscrire dans une démarche d’amélioration continue.

Il faut également que les victimes bénéficient d’un suivi de leur affaire : un ensemble de propositions émises par le ministère de la justice permettra d’améliorer l’information de la victime tout au long de sa procédure.

Dans la prise en charge des victimes, une attention particulière sera portée aux enfants, dans le cadre des procédures les impliquant directement, en tant que victimes (violences, notamment sexuelles) ou indirectement (violences intrafamiliales par exemple). Le maillage des salles Mélanie, implantées dans les services de police et de gendarmerie et permettant de faciliter le recueil de la parole de l’enfant dans le respect des obligations légales et réglementaires (enregistrement audiovisuel), doit continuer à se développer sur l’ensemble du territoire, en métropole comme en outre-mer. Ce dispositif de proximité est complémentaire des unités d’accueil pédiatrique des enfants en danger qui permettent une prise en charge globale judiciaire, médicale et médico-légale des enfants pour les situations les plus graves et complexes et dont le développement doit être également soutenu.

Par ailleurs, les brigades de protection des familles de la police nationale et les maisons de protection des familles de la gendarmerie (créées en 2021) doivent poursuivre leur montée en puissance (à la fois en nombre et en effectif) pour une meilleure prise en charge de ce contentieux de masse. Les policiers et gendarmes de ces services spécialisés, mais également les enquêteurs à l’accueil des commissariats et des brigades doivent bénéficier de formations adaptées à ces publics vulnérables. Enfin, des policiers et gendarmes spécialement formés interviendront également en milieu scolaire pour des actions de prévention contre les violences sexuelles et sexistes, le harcèlement (notamment en ligne), les usages numériques à risque, etc.

2.5. Mieux lutter contre les violences intrafamiliales et sexuelles

2.5.1. Les moyens de lutte contre les violences intrafamiliales seront encore renforcés

Grande cause du quinquennat, la lutte contre les violences faites aux femmes demeure un enjeu majeur : sous l’effet notamment de la libération de la parole, les violences intrafamiliales sont devenues un contentieux de masse, qui représente 45 interventions par heure pour les services de police ou de gendarmerie.

La lutte contre ces violences demeure une priorité constante du ministère de l’intérieur : 298 unités spécialisées et maisons de confiance et de protection des familles ont été mises en place et continuent de se déployer (cf. supra) ; les services de police et de gendarmerie comptent 1 973 enquêteurs dédiés et 2 562 référents violences intrafamiliales, désignés à l’été 2021, au sein des commissariats et brigades ; 90 000 policiers et gendarmes, ainsi que la totalité des élèves policiers et gendarmes, ont été formés depuis le Grenelle des violences conjugales.

Les victimes de violences sexuelles et intrafamiliales sont au cœur de la refonte du « parcours victime » et la montée en puissance des moyens se prolongera dans la présente loi d’orientation et de programmation. Le nombre d’enquêteurs affectés à la lutte contre les violences intrafamiliales au sein des unités spécialisées sera doublé au cours des cinq prochaines années, passant de 2 000 à 4 000 enquêteurs. Une attention particulière sera portée aux femmes en situation de handicap et aux victimes de violences dans les couples de même sexe, notamment dans la formation des agents et l’accompagnement des victimes.

Afin d’apporter un meilleur accompagnement aux victimes partout sur le territoire, un financement pérenne sera prévu pour la création d’au moins 200 postes d’intervenants sociaux supplémentaires en police et gendarmerie, dispositif qui dépend aujourd’hui de financements croisés de l’Etat et des collectivités territoriales, avec des niveaux d’effort malheureusement disparates selon les territoires. Le ministère de l’intérieur s’engagera en outre dans la voie d’un déploiement généralisé des intervenants sociaux au sein des commissariats de la police nationale et des groupements de la gendarmerie nationale et encouragera pour cela l’établissement de conventions entre l’Etat, les départements et, le cas échéant, les communes concernées relatives à la mise à disposition de travailleurs sociaux aux côtés des forces de l’ordre.

En complément de l’office central pour la répression des violences faites aux personnes, sera créé un office de police judiciaire spécialisé dans la lutte contre les violences faites aux mineurs.

Un fichier de prévention des violences intrafamiliales sera créé afin d’empêcher la réitération de faits de violence, de prendre en compte les signaux de dangerosité et de sécuriser les interventions des policiers et des gendarmes.

Les associations pourront accompagner plus efficacement les femmes victimes de violences, en organisant le dépôt de plainte dans leurs locaux et en signalant les faits dont elles ont connaissance aux forces de l’ordre.

La plateforme arrêtonslesviolences.gouv.fr doit être une référence en matière de lutte contre les violences sexistes et sexuelles, et plus particulièrement la plateforme nationale d’aide aux victimes (PNAV). Une campagne de communication à destination du public sera lancée pour développer la visibilité de cet outil et sensibiliser chaque citoyenne et citoyen.

2.5.2. Les violences sexuelles et sexistes seront mieux détectées et plus sévèrement réprimées

Notamment en matière de violences sexuelles, le cadre d’enquête sera modifié afin de doter les enquêteurs d’outils procéduraux plus adaptés à des infractions présentant par nature un caractère de particulière complexité : les techniques spéciales d’enquête et le recours à la garde à vue dérogatoire seront ainsi étendus aux homicides et viols sériels. Cela permettra de doter les enquêteurs d’outils adaptés à la poursuite d’infractions.

En matière d’outrage sexiste et sexuel, la France a été pionnière en pénalisant cette infraction. Mais la persistance de tels faits, notamment dans l’espace public, incite à aggraver cette pénalisation, en qualifiant l’outrage sexiste et sexuel de délit et en prévoyant que l’amende forfaitaire délictuelle lui sera applicable. Il est toutefois nécessaire de poursuivre la lutte contre l’outrage sexiste et sexuel simple. C’est la raison pour laquelle, malgré sa suppression dans cette loi, la contravention de 5e classe d’outrage sexiste et sexuel sera créée par décret. La circulaire d’application du 3 septembre 2018 de la loi n° 2018-703 du 3 août 2018 renforçant la lutte contre les violences sexuelles et sexistes était venue préciser que le champ d’application de l’outrage sexiste comprenait aussi l’espace privé tel un espace de travail. Il faut désormais interroger l’extension de ce champ d’application à l’espace numérique, tout en laissant le temps au ministère de l’intérieur d’appréhender cette extension et les moyens qui seront nécessaires à la prise en charge par ses services de l’outrage sexiste et sexuel dans l’espace numérique.

Les effectifs des forces de sécurité intérieure dans les transports en commun seront doublés, en particulier aux horaires où ces agressions sont le plus souvent constatées. En effet les femmes y sont encore trop souvent victimes d’agressions, notamment pendant leurs trajets domicile-travail.

L’opportunité d’accompagner la mise en œuvre du dispositif « Demandez Angela » pourrait être étudiée. A cet effet, des plans de partenariat entre les forces de l’ordre et les acteurs économiques et associatifs locaux pourraient être mis en place. Une campagne de communication à destination du public pourrait être lancée pour développer la visibilité de cet outil et sensibiliser chaque citoyenne et citoyen.

Le ministère de l’intérieur a un rôle clé à jouer dans le renforcement des moyens de lutte contre le gamma hydroxy butyrate, plus communément appelé « drogue du violeur », qui s’utilise généralement par versement dans les verres ou par injection avec une seringue.

La lutte contre les mutilations sexuelles imposées sera également mise au cœur de la lutte contre les violences sexuelles en France.

2.5.3. Renforcer la lutte contre les discriminations

La lutte contre le racisme, l’antisémitisme, la haine anti-LGBT et tout type de discrimination demeure une priorité constante du ministère de l’intérieur.

Depuis 2021, la plateforme d’assistance aux victimes de violences sexistes et sexuelles est étendue aux signalements d’actes discriminatoires et de cyberharcèlement. Des policiers spécialement formés traitent par le biais de messageries instantanées les signalements des internautes et orientent les victimes vers un dépôt de plainte.

Au sein des commissariats et des brigades, une attention particulière est portée à l’accueil des victimes avec la poursuite du déploiement d’un réseau de référents spécialisés sur l’ensemble du territoire national. Les associations sont encouragées à se saisir de la possibilité d’organiser des permanences en vue de faciliter les dépôts de plaintes.

Le ministère poursuit son effort de formation des forces de l’ordre, notamment dans le cadre de la formation initiale des élèves policiers et gendarmes et des plans de formation continue, en partenariat avec les associations de lutte contre les discriminations et la délégation interministérielle à la lutte contre le racisme, l’antisémitisme et la haine anti-LGBT. Des ressources sont mises à la disposition des agents pour améliorer la caractérisation et la répression des actes discriminatoires et pour garantir l’exercice des droits des victimes.

Ainsi, dans un souci de meilleure prise en charge des spécificités des victimes, il convient de développer la présence des officiers LGBT+, qui existent déjà à Bordeaux ou à Paris, chargés d’accueillir les plaintes et les déclarations des victimes comportant une circonstance anti-LGBT+. Les officiers de liaison LGBT+ sont en lien permanent avec les victimes et les associations LGBT+. Ils assurent le lien avec les référents LGBT+ dans les commissariats et gendarmeries et peuvent animer des sensibilisations à destination des agents chargés de recevoir les plaintes.

Une attention particulière sera apportée aux recommandations du rapport de la mission de lutte contre les discriminations dans l’action des forces de sécurité intérieure, remis par M. Christian Vigouroux en juillet 2021, et à la mise en œuvre de ces recommandations.

Des enquêteurs spéciaux sont aussi mobilisés dans la lutte contre la haine sur internet et traitent notamment les signalements de contenus à caractère haineux ou discriminatoire sur la plateforme « PHAROS ». Des policiers et des gendarmes spécialement formés interviennent en milieu scolaire pour des actions de prévention des actes discriminatoires et de la haine en ligne, en particulier dans le cadre du « permis internet ».

En matière de prévention interne, un réseau de référents de promotion de l’égalité et de la diversité assure des actions de sensibilisation à destination des agents, dans le cadre des labellisations « égalité professionnelle entre les femmes et les hommes » et « diversité ». Une cellule d’écoute est ouverte à l’ensemble des agents de la police nationale et de la gendarmerie nationale témoins et victimes de discriminations pour orienter, conseiller et faciliter la prise en charge des victimes.

Par ailleurs, le peu de textes du code pénal ciblant exclusivement les actes antireligieux empêche le service statistique ministériel de la sécurité intérieure de produire des statistiques sur ces faits. Celui-ci ne peut fournir qu’une statistique générale sur les actes xénophobes, racistes ou antireligieux dans leur globalité. Les chiffres du renseignement territorial, sur lesquels se fonde la communication gouvernementale, n’intègrent de plus pas les actes antireligieux sur internet. Les atteintes à la laïcité ainsi que les actes antireligieux numériques doivent être traités différemment par les services.

2.6. S’assurer que le ministère de l’intérieur ressemble davantage aux Français, notamment à la jeunesse

L’image de nos forces de sécurité est aujourd’hui dégradée auprès des jeunes (3), quand elles disposent parallèlement d’un très fort soutien parmi les autres classes d’âge. La ressemblance fait partie des leviers qui peuvent permettre de créer la confiance : or, si les agents du ministère de l’intérieur sont relativement jeunes et représentatifs de tous les milieux sociaux, ils ne reflètent pas pour autant la diversité de la population française. Il existe pourtant un chemin pour offrir aux jeunes des quartiers des perspectives de réussite républicaine, via l’incorporation parmi les personnels du ministère de l’intérieur, et expérimenter ainsi une approche inédite afin de le rapprocher de la population.

Il est donc nécessaire de renforcer le lien de confiance entre la police et la population, en particulier dans les quartiers populaires ou qui ont une population jeune. Le ministère doit être lui-même un exemple « d’ascenseur social ».

Cent « classes de reconquête républicaine », destinées prioritairement aux élèves décrocheurs, seront créées dans les quartiers de reconquête républicaine (QRR) et dans les quartiers prioritaires de la politique de la ville (QPV) pour préparer aux concours de la fonction publique et du ministère de l’intérieur en particulier (policier, gendarme, pompier, administratif) ou pour inciter les jeunes à s’engager dans les réserves opérationnelles. Dans ce même objectif, un dispositif sera expérimenté dans les territoires ruraux afin de susciter l’ambition scolaire des élèves et de les inciter à intégrer les forces de sécurité intérieure.

Cet effort sera complété par la mise en place d’actions ciblées de recrutement dans les territoires prioritaires, relayées par les préfets à l’égalité des chances, afin d’encourager les recrutements de policiers adjoints, de gendarmes adjoints volontaires ou de sapeurs-pompiers professionnels ou volontaires. Les partenariats avec les établissements pour l’insertion dans l’emploi (EPIDE) et les écoles de la deuxième chance seront renforcés. Les partenariats avec les plates-formes d’insertion des conseils départementaux seront développés.

En complément, pour donner toute sa place à la méritocratie, les concours du ministère de l’intérieur seront réformés pour neutraliser les biais de recrutement.

Par ailleurs, le ministère de l’intérieur amplifiera le plan « 10 000 jeunes » mis en place en 2021, qui a permis de proposer 10 000 stages, apprentissages et alternances à de jeunes actifs. Le fort succès enregistré (95 % de l’objectif sur deux ans atteint en moins d’un an) incite à reconduire et à amplifier le dispositif pour les années à venir. Des modules d’immersion dans les services seront proposés aux élèves de troisième scolarisés dans des établissements en QRR.

Le ministère prendra également toute sa place dans la réinsertion des jeunes délinquants, en fléchant prioritairement ses dispositifs vers des jeunes ayant pu commettre des actes de petite délinquance.

La focalisation trop importante sur les centres éducatifs fermés nuit aux autres solutions plus limitées mais parfois plus efficaces et territorialisées. Les centres éducatifs fermés peuvent être efficaces pour permettre une prise en charge renforcée hors cadre pénitentiaire mais nécessitent une conjonction de facteurs de réussite qui s’avèrent difficiles à réunir. En partenariat avec le ministère de la justice, le ministère de l’intérieur travaillera à la mise en place d’une méthodologie d’évaluation des résultats des mesures mises en œuvre et à la réorientation des moyens prévus pour la création de nouveaux centres éducatifs fermés vers les dispositifs existants plus adaptés aux besoins de terrain.

Au-delà de l’intégration dans les effectifs du ministère de l’intérieur, il s’agit enfin de proposer aux agents du ministère de l’intérieur des perspectives d’évolution en interne ; des cours du soir (« classes Beauvau ») destinés aux agents volontaires seront proposés pour faciliter l’ascension sociale des personnels.

Enfin, l’extension des réserves du ministère de l’intérieur (gendarmerie et police), la consolidation du modèle du volontariat chez les sapeurs-pompiers et la création de la réserve préfectorale devront s’accompagner de la possibilité de servir des « causes » au sein même du ministère (environnement, violences intrafamiliales, etc.), car celles-ci constituent aujourd’hui les principales sources d’engagement de la population française, et singulièrement de sa jeunesse.

Afin d’améliorer l’attractivité des métiers de la police et de la gendarmerie, une grande campagne conjointe de recrutement sera menée sur les cinq années à venir et particulièrement ciblée sur les plus jeunes.

La volonté d’attractivité du ministère se matérialise à différents niveaux d’âge et de scolarité : parcours d’engagement citoyen au sein de la gendarmerie nationale dès 11 ans ; jeunes réservistes citoyens pour les 18-25 ans ; amélioration du statut des cadets de la République, renommés « apprentis policiers » puisque les candidats pourront bénéficier dès 18 ans de la formation pour préparer le concours de gardien de la paix et verront leur rémunération alignée sur celle des policiers adjoints ; développement de la filière professionnelle « métiers de la sécurité intérieure » dans les lycées, en lien avec l’éducation nationale ; possibilité d’effectuer des missions de soutien, et non uniquement opérationnelles, en tant que réservistes.

Le recrutement initial sera élargi pour rechercher les compétences dont manquent les forces de l’ordre : profils scientifiques (ingénieurs) et non exclusivement juridiques, titulaires de doctorats ou contractuels aux ressources rares. Dans le cadre de la réforme actuelle de la haute fonction publique, la venue d’autres fonctionnaires par la voie du détachement sur les postes d’encadrement sera facilitée. Des voies d’accès basées sur les acquis de l’expérience seront créées et les concours seront réformés pour intégrer de nouvelles options permettant d’élargir le vivier de recrutement.

2.7. Garantir la transparence et l’exemplarité de l’action des forces de l’ordre

Les modes d’action des forces de l’ordre font régulièrement l’actualité, avec la montée des enjeux autour des questions de maintien de l’ordre et l’intérêt pour les interventions de police qui « tournent mal ». Parallèlement, la demande sociale d’exemplarité dans le comportement des forces de sécurité s’accroît et s’exprime à travers une revendication d’indépendance et de transparence de la manière dont celles-ci sont contrôlées. Des mesures fortes prises lors du Beauvau de la sécurité sont déjà en cours de mise en œuvre, comme la publication des rapports des inspections, le renforcement de la formation en matière de déontologie des policiers et gendarmes ou encore l’instauration au sein de l’inspection générale de la police nationale (IGPN) d’un comité d’évaluation de la déontologie de la police nationale, incluant des représentants de la société civile.

Afin de garantir la transparence et l’exemplarité de l’action des forces de l’ordre, il s’agira de dissiper tout doute sur la légitimité du travail des inspections, de mieux contrôler l’action des forces de l’ordre en sanctionnant fermement les dérives éventuelles et d’ouvrir davantage le ministère sur l’extérieur pour agir en transparence et combler son déficit d’image.

Collège de déontologie

Un collège de déontologie sera institué auprès du ministre de l’intérieur. Il sera composé de quatre professionnels et de trois personnalités extérieures qualifiées, dont un magistrat de l’ordre judiciaire et un universitaire. Il sera présidé par un membre du Conseil d’Etat, désigné sur proposition du vice-président du Conseil d’Etat.

Il participera à l’adaptation et à l’actualisation du code de déontologie et prendra en compte l’action des référents déontologues placés auprès du secrétaire général, du chef de l’inspection générale de l’administration, du directeur général de la police nationale, du directeur général de la sécurité intérieure et du directeur général de la gendarmerie nationale. Il conduira des réflexions sur l’éthique et la déontologie dans l’ensemble des domaines de compétence du ministère de l’intérieur et formulera toute proposition de nature à en assurer la promotion. Il rendra des avis et des recommandations sur des dossiers complexes.

Suivi des signalements effectués auprès des inspections générales

Les plateformes de signalements gérées par l’IGPN et l’inspection générale de la gendarmerie nationale (IGGN) seront modernisées afin de favoriser les signalements, notamment en temps réel, et de permettre leur usage en mobilité (sur téléphone portable et tablette). Pour l’IGPN, ces investissements devraient également permettre de disposer d’un outil offrant un meilleur suivi des dossiers soumis. La direction générale de la police nationale (DGPN) et la direction générale de la gendarmerie nationale (DGGN) vont par ailleurs se doter d’un outil de suivi des sanctions.

L’inspection générale de l’administration sera cosaisie plus fréquemment dans le cadre des missions d’inspection des forces (IGGN et IGPN) afin d’apporter une expertise complémentaire.

Sanctionner sévèrement les fonctionnaires de police et gendarmes condamnés pour certains faits

Les fonctionnaires de police et gendarmes condamnés définitivement à une peine d’emprisonnement pour des faits de violences intrafamiliales, des infractions à la législation sur les stupéfiants ou des faits de racisme ou de discrimination feront l’objet d’une exclusion définitive.

Evaluation des cadres

L’évaluation des cadres de la police nationale sera renforcée par des évaluations dites « à 360° » comme elles se pratiquent pour les emplois préfectoraux via le conseil supérieur de l’appui territorial et de l’évaluation (CSATE).

2.8. Mieux piloter le continuum de sécurité

Les forces de sécurité intérieure ne peuvent couvrir seules efficacement l’intégralité du spectre de la délinquance, qui va de l’incivilité aux crimes les plus graves. Il existe donc un besoin de partenariats plus poussés aux niveaux local et central, avec l’ensemble des acteurs publics et privés du continuum, tout comme la nécessité de rendre plus lisibles les instances et les outils correspondants, notamment les contrats de sécurité intégrés qui constituent un cadre de pilotage important des politiques de sécurité pour les maires, les préfets et les procureurs de la République.

De nombreuses compétences ont été récemment ouvertes aux polices municipales et aux gardes champêtres dans de précédentes lois (loi du 25 mai 2021 pour une sécurité globale préservant les libertés, loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure). Les polices municipales et les gardes champêtres jouent un rôle essentiel, aux côtés des forces de sécurité intérieure, pour la sécurité des citoyens.

Toutefois, une expansion supplémentaire des pouvoirs des polices municipales et des gardes champêtres connaît désormais une limite de nature constitutionnelle.

Pour mieux couvrir l’ensemble du spectre de l’insécurité, en s’appuyant sur des partenaires renforcés et plus mobilisés, l’animation des partenariats se structurera davantage.

Une direction unique des partenariats chargée de l’animation du continuum de sécurité et du pilotage des partenariats avec les polices municipales, les gardes champêtres, la sécurité privée, les professions exposées à des menaces particulières de délinquance, les industriels fournisseurs de moyens et l’ensemble des acteurs qui concourent à la coproduction de sécurité sera créée au ministère de l’intérieur. Elle unifiera, sous l’autorité du ministre de l’intérieur, la politique de l’Etat en direction de ces acteurs et coordonnera leur action dans le cadre de conventions nationales, dont elle assurera le suivi et l’évaluation en lien avec les échelons locaux, notamment les communes.

Les crédits dédiés au financement d’équipements de sécurité présentent un puissant effet de levier pour accélérer les projets des collectivités en la matière. Ainsi, les crédits du fonds interministériel de prévention de la délinquance et de la radicalisation (FIPDR) consacrés à la vidéoprotection seront triplés au cours des cinq années à venir et viendront cofinancer les projets portés par les collectivités territoriales, notamment des audits des éventuelles failles de sécurité présentes dans les caméras déjà installées.

2.9. Ouvrir davantage le ministère de l’intérieur sur la société

Malgré les rationalisations engagées récemment, la fonction de prospective et d’anticipation est insuffisamment structurée au sein du ministère de l’intérieur, alors que l’anticipation des crises et des enjeux de sécurité et la connaissance de notre environnement donnent pourtant à ces réflexions une importance vitale. En outre, la fonction internationale demeure scindée en deux au sein du ministère de l’intérieur, ne permettant pas de tirer suffisamment parti du réseau des attachés de sécurité intérieure (ASI), alors même que les politiques de sécurité ne peuvent se mener aujourd’hui sans considérer le cadre européen et mondial.

Le ministère de l’intérieur s’ouvre encore trop peu au monde extérieur, notamment à celui de la recherche, alors que ses ressources pourraient permettre de mieux mesurer le sentiment de sécurité sur le temps long, d’analyser les ressorts de la relation police-population, d’outiller les décideurs publics sur les politiques de sécurité et de mieux tirer toutes les conséquences de ce que peuvent nous apprendre les sciences comportementales. Avoir un temps d’avance sur les criminels, mieux anticiper les crises, donner une dimension plus stratégique à la coopération européenne et internationale sont des objectifs prioritaires des prochaines années.

2.9.1. Unifier le pilotage de l’action européenne et internationale au sein du ministère

La présente loi d’orientation et de programmation sera l’occasion d’unifier le pilotage de l’action européenne et internationale du ministère au sein d’une direction, la direction des affaires européennes et internationales, notamment pour ce qui concerne la promotion et l’influence françaises, la coordination des activités de coopération non opérationnelles (les activités opérationnelles restant du ressort de la direction de la coopération internationale de sécurité – DCIS – et de la direction générale de la sécurité civile et de la gestion des crises s’agissant de la sécurité civile), la défense des intérêts industriels français et la recherche de financements européens et internationaux. L’importance toujours croissante des enjeux européens et internationaux pour les politiques exercées par le ministère de l’intérieur commande en effet ce pilotage unifié, qui permettra de mobiliser dans une vision plus stratégique les réseaux du ministère, qu’il s’agisse des experts nationaux détachés ou des attachés de sécurité intérieure.

2.9.2. Ouvrir le ministère sur le monde de la recherche

Les partenariats avec le monde de la recherche sont plus ou moins actifs au sein du ministère. S’ils sont très nourris au sein de la gendarmerie nationale, ils sont conçus d’une manière plus limitée au sein de la police nationale, où ils sont portés par l’École nationale supérieure de police (ENSP), qui dispose de deux structures de recherche. De nouveaux partenariats seront donc développés entre la police nationale et la recherche, sous l’égide de la future académie de police. Afin de mieux organiser la demande de recherche, l’académie disposera d’un conseil scientifique, qui validera les appels à projets, et son numéro 2 sera un chercheur. Le ministère fidélisera un certain nombre de chercheurs autour des thématiques de sécurité, en finançant des travaux de court terme ou de plus long terme et en les cadençant de sorte à pouvoir nourrir la politique publique de leurs résultats. Une politique d’ouverture des données (cf. supra), facteur clé de succès pour multiplier les travaux, sera menée. Les financements du ministère permettront de lancer des projets de recherche et de financer des thèses et des post-doctorants (jusqu’à cinquante).

Le collège des experts de la sécurité civile, largement ouvert au monde universitaire, complétera la capacité d’analyse et de projection dans le temps long du ministère, notamment pour adapter les outils de la résilience collective face aux conséquences des évolutions climatiques.

2.9.3. Structurer la fonction prospective et anticipation

Il s’agit enfin de structurer de manière explicite une véritable fonction prospective et anticipation, qui sera portée par l’Institut des hautes études du ministère de l’intérieur (IHEMI). Pour cela, la priorité sera mise sur les champs de sécurité, la gestion de crise et la résilience, d’une part, sur la société, les institutions et territoires, d’autre part. L’offre de service sera étoffée pour être plus rapidement mobilisable par l’autorité ministérielle. De nouveaux partenariats autour de la prospective seront développés, dans le domaine de la recherche (avec une communauté d’experts de la prospective), mais aussi avec des partenaires privés et la société civile.

2.10. Matériel du quotidien

Pour assurer leurs missions sur le terrain, policiers et gendarmes seront dotés sur la durée de la loi de programmation de matériels performants et modernisés.

Premier acheteur civil de l’Etat avec près de 4 milliards d’euros de dépenses par an, faisant travailler près de 70 000 fournisseurs, le ministère de l’intérieur se doit d’être exemplaire dans son utilisation de la commande publique. Tous les leviers en sa possession seront ainsi mobilisés afin de mettre en œuvre une politique d’achat responsable et orientée vers les productions françaises, dans le strict respect des règles de la commande publique, afin de conjuguer satisfaction des besoins des services et accessibilité des entreprises françaises : meilleure information des entreprises du tissu local, utilisation des marchés réservés aux structures de l’économie sociale et solidaire, application de clauses sociales et environnementales, allotissement, etc. L’ensemble des matériels seront acquis dans une démarche d’achat responsable à travers la labellisation « relations fournisseurs & achats responsables » (conforme à la norme ISO 20400). Les matériels acquis seront ensuite mieux contrôlés, grâce à la mobilisation du centre de recherche et d’expertise de la logistique (CREL) du ministère de l’intérieur, dont les moyens seront renforcés pour en faire un laboratoire de pointe pour le ministère.

2.10.1. Des véhicules « augmentés »

La modernisation des moyens mobiles des forces de sécurité intérieure a été largement engagée : entre 2017 et 2022, la moitié des véhicules ont été renouvelés. Cet effort se poursuivra durant toute la durée de la présente loi d’orientation et de programmation, avec un objectif de renouvellement annuel de 10 % de la flotte, dans une logique de verdissement de la flotte. Des véhicules supplémentaires seront acquis pour remettre à niveau les services spécialisés en maintien de l’ordre, en intervention et nautiques (renforcement des moyens nautiques et réaménagement de la brigade fluviale de la préfecture de police de Paris).

Les structures de maintenance seront remises à niveau et la maintenance préventive sera développée, grâce à l’analyse des données recueillies dans les véhicules et par des missions mobiles sous forme de « camions-ateliers » qui se rendront directement auprès des forces.

2.10.2. Des tenues modernisées et adaptées

Donnant suite à une demande des policiers et de leurs représentants, la modification de l’habillement des policiers a été actée dans le cadre du « Beauvau de la sécurité ». Plusieurs écoles de mode et de design ont travaillé sur une nouvelle tenue pour la police nationale, composée d’un calot, d’un nouveau polo et d’un nouvel uniforme. Les premières tenues ont été déployées dès le début de l’année 2022 dans les unités. L’habillement et l’équipement de certains effectifs spécialisés de la police feront également l’objet d’un effort budgétaire. Des tenues plus adaptées et protectrices seront attribuées en dotation initiale à certaines unités de la gendarmerie – gendarmes mobiles, peloton de surveillance et d’intervention, brigades territoriales, unités de sécurité routière.

2.10.3. Des matériels renouvelés

Pour le renouvellement des armements et matériels de la police et de la gendarmerie, l’accent sera mis sur certaines catégories de matériel. Les gendarmes seront notamment dotés sur cinq ans de nouvelles armes lourdes, de packs de vision nocturne, de moyens en intervention spécialisée ainsi que d’équipements de protection balistique. Les policiers seront dotés en nouveaux armements (exemple : pistolets à impulsion électriques ou PIE) et en équipements de protection modernisés, en housses tactiques modulaires, en nouveaux matériels d’analyse et de détection (kits pour stupéfiants) et en équipements lourds de police technique et scientifique.

2.10.4. Drones

L’espace aérien est un domaine très réglementé et qui nécessite une grande technicité pour le couvrir efficacement. Les moyens aériens du ministère de l’intérieur (hélicoptères, avions) demeurent incontournables dans les missions de secours à personne, de lutte contre les feux de forêt, de sécurité publique, de lutte contre l’immigration irrégulière et de transport de personnes ou de matériels (cf. 3). Si l’émergence de nouveaux matériels, tels que les drones, fait naître des menaces nouvelles qui nécessitent d’adapter la réponse opérationnelle (lutte anti-drones, cf. 3.), leur utilisation par les forces de sécurité ouvre également de nouvelles opportunités, notamment dans l’appui opérationnel aux missions de sécurité publique et de sécurité civile ainsi que dans le recueil de renseignements (ordre public, surveillance des frontières, etc.).

Un programme d’acquisition de drones sera lancé afin d’équiper les forces de sécurité et de secours. Ces matériels seront adaptés aux missions différentes qu’ils seront amenés à remplir mais feront l’objet d’un achat puis d’une maintenance et d’une formation des pilotes mutualisés entre les différentes forces du ministère – police, gendarmerie, sapeurs-pompiers.

2.11. Une politique immobilière à la hauteur des projets et des besoins quotidiens du réseau

L’immobilier du ministère de l’intérieur représente des millions de mètres carrés de bâti et plus de 20 000 implantations dans toute la France, ce qui en fait un acteur foncier incontournable.

La création d’une structure dédiée à la gestion et à l’entretien de ce patrimoine constituera une réforme d’ampleur qui répond à un triple objectif de mise à niveau de l’immobilier du ministère, de professionnalisation de la gestion et de qualité dans la durée de l’entretien courant et de la maintenance. Il s’agit également de rendre possible la recherche de recettes nouvelles et innovantes à consacrer à l’immobilier, en déléguant la gestion à un organisme dédié.

Cette structure permettra en outre d’organiser l’atteinte d’objectifs ambitieux de réduction de la consommation d’énergie au sein du ministère de l’intérieur à l’horizon 2030, grâce à une rénovation énergétique d’ampleur.

Cette réforme implique également, et sans attendre, de professionnaliser la fonction immobilière au sein du ministère de l’intérieur grâce des outils de gouvernance et à un suivi des ressources humaines (RH) renforcé des agents chargés de ces missions. La professionnalisation implique également de fixer des objectifs de performance aux services de ce ministère en ce qui concerne l’exhaustivité des informations permettant de connaître le parc immobilier.

Il sera nécessaire de déterminer et présenter un tendanciel de dépenses d’investissement sur les projets immobiliers structurants du ministère de l’intérieur. Cette mesure permettra l’établissement d’une vision d’ensemble des projets majeurs à venir et en assurera le financement à court et moyen termes. Elle favorisera la prévision des dépenses immobilières d’investissement du ministère au profit d’une meilleure programmation et conduite des opérations. Elle intégrera une estimation des dépenses de fonctionnement et des économies induites par ces investissements. Elle permettra de donner un cadre pluriannuel partagé pour les principales opérations immobilières du ministère, favorisant la lisibilité des autorisations annuelles de crédits décidées en lois de finances.

Pour la gendarmerie nationale en particulier, il est indispensable de fournir aux gendarmes et à leurs familles des conditions de logement décentes et conformes aux normes actuelles. A cette fin, un montant annuel de 200 millions d’euros sera affecté à la reconstruction de casernes et aux réhabilitations et restructurations de grande envergure et un montant annuel de 100 millions d’euros aux travaux de maintenance.

Par ailleurs, le ministère continue de programmer la restructuration des ensembles immobiliers de son administration centrale afin de rationaliser les surfaces occupées. L’installation des services « support » du ministère de l’intérieur dans une implantation domaniale dédiée, à l’horizon de la fin de l’année 2026, permettra de mettre fin à un bail coûteux (33 millions d’euros par an actuellement). Il convient également de préparer, d’accompagner et de tirer les conséquences sur le parc central des relocalisations de services hors de l’Ile-de-France et des grandes métropoles régionales (1 500 postes concernés). La combinaison de ces deux projets doit permettre d’optimiser les occupations de sites centraux et de concentrer les moyens sur l’entretien du patrimoine, qui restera occupé et densifié.

Le ministère de l’intérieur renforcera son partenariat avec les élus communaux pour proposer aux maires et aux adjoints au maire des formations à la fonction d’officier de police judiciaire.

Le regroupement de l’ensemble des services centraux de la direction générale de la sécurité intérieure (DGSI) sur un site unique constitue également une transformation majeure à l’appui des missions de ce service en matière de lutte contre le terrorisme et de défense des intérêts fondamentaux de la Nation. En dehors d’un gain immédiat d’espace et du renforcement des conditions de sécurité pour les agents, le nouveau site permettra de satisfaire de manière durable les besoins immobiliers de la DGSI, en intégrant les évolutions humaines et techniques à venir.

Focus : des moyens innovants pour protéger les territoires d’outre-mer

Les territoires d’outre-mer sont confrontés à des menaces, extérieures et intérieures, à des degrés divers : immigration clandestine, notamment à Mayotte ou en Guyane ; trafics divers, notamment de stupéfiants, à Mayotte, aux Antilles, à La Réunion ou en Guyane ; orpaillage illégal en Guyane ; pêche illicite non déclarée et non réglementée (INN) en Guyane ; enjeux de criminalité et de délinquance dans tous les territoires ultramarins. La présente loi devra permettre d’investir dans des moyens, tant matériels qu’humains, pour faire face à ces menaces.

Pour faire face aux menaces extérieures, l’émergence de « frontières intelligentes » est un enjeu majeur.

Seront ainsi déployés aux frontières des outre-mer de nouveaux outils technologiques pour lutter contre les trafics ou encore l’immigration irrégulière : des bagages X pour mieux lutter contre le trafic de stupéfiants et les flux financiers illégaux ; du matériel d’observation et de surveillance (jumelles à visée nocturne, caméras longue distance) ; des moyens nautiques supplémentaires ; des scanners à conteneurs dans les grands ports maritimes ou des scanners portatifs dans les gares maritimes ; des radars de surveillance, des scanners corporels (adaptés au phénomène des « mules ») et des équipes cynotechniques contribueront à une lutte plus efficace contre le trafic de stupéfiants. Le recours aux drones de surveillance sera développé.

En matière de lutte contre la délinquance, les territoires d’outre-mer bénéficieront de l’augmentation des effectifs de réservistes, des cadets de la police nationale et de la gendarmerie nationale dans les outre-mer, qui correspond à l’objectif de doublement de la présence des policiers et gendarmes sur la voie publique d’ici 2030. En matière de moyens financiers, le triplement des crédits du fonds interministériel de prévention de la délinquance et de la radicalisation (FIPDR) permettra de soutenir plus massivement l’effort d’équipement des communes pour leur police municipale et en dispositifs de vidéoprotection.

En matière d’ordre public, la création de onze nouvelles unités de forces mobiles renforcera la capacité à projeter des forces localement, mais aussi des matériels adaptés (blindés) pour faire face à des événements d’importance, notamment en matière d’ordre public.

3. Mieux prévenir les menaces et les crises futures

La loi d’orientation et de programmation dote les forces d’un cadre juridique et des outils numériques qui leur permettent de se concentrer sur l’essentiel de leurs missions, avec une fonction investigation revalorisée pour apporter des réponses plus rapides à nos concitoyens victimes et pour sanctionner plus efficacement les délinquants, grâce à la création d’assistants d’enquête de police et gendarmerie, à des moyens mis sur l’aboutissement d’une procédure numérique et à la remise à niveau des équipements de la police technique et scientifique.

Affronter les crises à venir oblige à informer nos concitoyens sur les risques et les moyens d’y faire face et à développer leur culture du risque. Il s’agit aussi de replacer le ministère de l’intérieur comme l’organisateur incontournable de la gestion de crise au sein d’une cellule interministérielle de crise (CIC) « augmentée ». S’agissant des moyens, l’ambition consiste à remettre à niveau les capacités (« plan COD », pacte capacitaire des services d’incendie et de secours prenant en compte une meilleure répartition des moyens proportionnés aux risques par un maillage territorial et des capacités équilibrés, communication de proximité par les préfectures, logistique de crise), renforcer les moyens nationaux (flotte aérienne, réseau radio du futur, formations militaires de la sécurité civile, service du déminage) et revaloriser le volontariat via la nouvelle prestation de fidélisation et de reconnaissance (NPFR) des sapeurs-pompiers volontaires, se doter des cadres juridiques et technologiques permettant de faire face aux grands événements à venir (coupe du monde de rugby et jeux olympiques) et renforcer notre réponse opérationnelle aux subversions violentes par la création d’unités très mobiles rapidement projetables en tout point du territoire.

Pour atteindre ces objectifs, les outils de formation des forces, comme annoncé dans le cadre du « Beauvau de la sécurité », seront remis à niveau : augmenter la formation initiale, la renforcer sur le volet judiciaire, augmenter le temps de formation continue, créer une véritable académie de police. Mais également accompagner les policiers et gendarmes, pour mieux tenir compte de la difficulté des conditions d’exercice du métier, et renforcer l’attractivité et les réseaux de soutien. Tirant le constat du nouveau contrat opérationnel auquel sont confrontés les sapeurs-pompiers comme principaux acteurs de la sécurité civile, la modernisation nécessaire de l’École nationale supérieure des officiers de sapeurs-pompiers sera engagée.

3.1. Pour faire face à la délinquance du quotidien, renforcer la fonction investigation

La réponse pénale constitue une attente forte des Français. Or la qualité des enquêtes incombe aux agents du ministère de l’intérieur. La filière investigation connaît par ailleurs une forte désaffection malgré un besoin croissant, en particulier dans la police : le nombre d’officiers de police judiciaire (OPJ) en police en poste aujourd’hui est de 17 000 contre un besoin estimé à 22 000 exerçants. Cette désaffectation s’explique notamment par la complexification de la procédure pénale, la crainte d’une mise en cause personnelle en cas de défaillance sur une procédure médiatique, etc. Des premières réponses ont été apportées pour rendre la filière plus attractive : les OPJ bénéficieront d’une accélération de carrière ; la prime qui leur est versée a été revalorisée de 20 % (de 1 080 euros à 1 296 euros par an) et elle sera réservée à compter de décembre 2022 à ceux qui sont sur un poste d’OPJ exerçant pour en renforcer l’incitation. La simplification de la procédure pénale reste un enjeu majeur pour l’attractivité et la performance de la filière investigation judiciaire. Alors que tous les acteurs de la chaîne pénale font le constat commun d’une crise de la filière judiciaire qui doit faire face non seulement à une judiciarisation et à des contentieux de masse croissants, mais aussi à une attente légitime de célérité et de qualité, et dans l’objectif de démultiplier le nombre d’OPJ sur le terrain, pour traiter mieux et plus rapidement les procédures, il nous faut mieux former, simplifier la procédure pénale et concentrer le temps des policiers et des gendarmes sur le cœur du métier d’investigation.

3.1.1. Former plus d’officiers de police judiciaire (OPJ)

L’ensemble des nouveaux policiers et gendarmes seront formés aux fonctions d’OPJ, en intégrant un socle commun à la formation initiale et en prévoyant le passage de l’examen à l’issue de la scolarité et de la période de stage (et non plus après trois ans). L’objectif est de disposer de 2 800 OPJ en 2023 – année de mise en place du nouveau dispositif – contre 1 200 en 2021. Cette formation élèvera le niveau juridique de l’ensemble des nouveaux policiers et gendarmes et valorisera ces fonctions, qui souffrent aujourd’hui d’un déficit d’image.

Pour cela, l’article 16 du code de procédure pénale évoluera de sorte à permettre aux jeunes policiers et gendarmes sortant d’école et ayant achevé leurs stages de passer immédiatement l’examen d’OPJ, sans attendre les trois années d’exercice prévues actuellement.

Enfin, le recours à la réserve opérationnelle sera également utilisé pour les services d’enquête avec les OPJ retraités.

3.1.2. Alléger le formalisme procédural et simplifier la procédure pénale

Le développement des logiciels de retranscription (de type speech to text) permettra d’alléger le formalisme écrit de la procédure pénale et ainsi opérer un gain de temps sur la retranscription d’actes tels que constatations, perquisitions, exploitations vidéo.

Le recours à la télécommunication audiovisuelle mérite d’être développé pour certains actes d’enquête, dont les auditions des victimes majeures dans des dossiers ciblés (atteintes aux personnes exclues), avec pour double objectif d’offrir un accueil numérique personnalisé rapide à la victime et de permettre un gain de temps au profit des actes d’investigation. Plusieurs articles du code de procédure pénale doivent donc être modifiés.

Par parallélisme avec ce qui se pratique pour les élèves officiers de la police et les élèves commissaires, la qualité d’agent de police judiciaire sera attribuée aux élèves officiers de la gendarmerie nationale durant leur scolarité en formation initiale afin qu’ils puissent être en posture active durant leurs stages en unité territoriale. Les prérogatives des agents de police judiciaire seront par ailleurs renforcées afin qu’ils puissent mieux concourir aux investigations conduites par les officiers de police judiciaire, sous le contrôle de ces derniers.

Des assistants d’enquête de police et de gendarmerie seront créés afin de recentrer les OPJ sur leur cœur de métier. Au total, sur dix ans, 3 273 assistants d’enquête pour la gendarmerie et 4 387 pour la police, avec pour objectif d’absorber 50 % du temps d’OPJ consacré à la procédure. Ces assistants d’enquête (qui ne seront pas un corps nouveau mais des agents de catégorie B habilités devant l’autorité judiciaire) assureront les tâches administratives liées aux investigations : ils pourront consulter les fichiers de police, réaliser les « avis » (avis avocat, avis famille, avis consulat, etc.), effectuer des convocations, rédiger certains actes comme des réquisitions auprès des opérateurs téléphoniques, sous le contrôle des OPJ et APJ. Pour ces missions, des articles du code de procédure pénale seront modifiés. D’autres missions leur seront confiées sans habilitation judiciaire particulière : gestion administrative et orientation des dossiers, gestion administrative du déroulé des gardes à vue, gestion des scellés, traitement des procédures « étrangers » avec les préfectures, etc. Pour les besoins de leurs différentes tâches, les assistants d’enquête pourront être mobilisés en dehors des heures habituelles de bureau. A cette fin, ils pourront effectuer des heures supplémentaires et des prises de service en horaires décalés.

Afin d’en simplifier la consultation et de faciliter les recherches simultanées dans les différents systèmes d’information, le ministère de l’intérieur engagera une réflexion sur la possibilité technique et juridique d’interconnecter les fichiers mis à la disposition des forces de sécurité, en particulier le fichier de traitement des antécédents judiciaires (TAJ), le fichier national des empreintes génétiques (FNAEG) et le fichier automatisé des empreintes digitales (FAED).

En complément, les moyens de la police technique et scientifique (PTS) sont renforcés : développer les outils permettant d’intégrer immédiatement des éléments de procédure en mobilité, moderniser les laboratoires (industrialisation des process analytiques simples, renouvellement permanent du parc analytique « industriel » à hauteur de 10 % par an, sanctuarisation du projet SMARTLAB 2022), adopter une démarche de système de management de la qualité et créer un nouveau laboratoire de police scientifique.

Les amendes forfaitaires délictuelles (AFD) sont étendues. Des travaux sont en cours pour qu’en cas de non-paiement de l’amende, en sus des méthodes de recouvrement aujourd’hui mises en œuvre, le ministère des comptes publics puisse saisir les sommes dues sur les revenus des personnes concernées.

Pour accompagner ces dispositions législatives, des moyens nouveaux pour l’Agence nationale de traitement automatisé des infractions (ANTAI) sont nécessaires afin de déployer sur les cinq années ces nouvelles amendes.

D’autres mesures de simplification, plus techniques, sont nécessaires pour rendre plus efficace le travail des OPJ au quotidien :

– supprimer la réquisition des services de police technique et scientifique par les services de la police nationale ;

– créer une disposition légale prévoyant la présomption d’habilitation des agents à accéder aux fichiers de police ;

– appliquer les techniques spéciales d’enquête au délit d’abus de faiblesse en bande organisée, afin de faciliter le travail des enquêteurs dans la lutte contre les dérives sectaires ;

– recourir aux techniques spéciales d’enquête pour les fugitifs recherchés pour des faits de criminalité organisée ;

– étendre les autorisations générales de réquisitions ;

– étendre la liste des actes que les enquêteurs sont autorisés à accomplir, avec l’autorisation du procureur de la République ou du juge d’instruction, lors des enquêtes sous pseudonyme.

Enfin, pour simplifier le travail des enquêteurs, les cadres d’enquête seront repensés, en lien avec le ministère de la justice.

3.1.3. Mieux intégrer le fonctionnement police-justice

Alors que la suppression du rappel à la loi par OPJ a été votée dans la loi n° 2021-1729 du 22 décembre 2021 pour la confiance dans l’institution judiciaire et que nous devons relever le défi de son efficace remplacement par des mesures alternatives, en particulier par l’avertissement pénal probatoire par le procureur ou son délégué créé par cette même loi, il nous apparaîtrait particulièrement cohérent et efficace de positionner des délégués du procureur dans les commissariats et les gendarmeries, gage de célérité et de crédibilité de la réponse pénale aux incivilités du quotidien.

Il s’agit également de permettre de rapprocher le travail concret des magistrats et des forces de sécurité intérieure. Grâce à une expérimentation en cours en 2022, des délégués du procureur ont commencé à se rendre dans plusieurs commissariats. Ce travail conjoint de délégués du procureur mais aussi de magistrats en commissariat permettra d’apporter des réponses pénales plus rapides et de construire un partenariat plus étroit sur certains types de faits et délits.

Enfin, la modernisation et la transformation de l’organisation de la police judiciaire sont engagées avec notamment la création de l’Office anti-stupéfiants (OFAST) le 1er janvier 2020, adossé à un plan national de lutte contre les stupéfiants. Afin de continuer à conforter la plus-value apportée par les offices, il s’agit désormais de renforcer leur coordination ainsi que leur dimensionnement.

3.2. Nous armer face aux crises de demain, hybrides et interministérielles

Les crises auxquelles nous ferons face dans les prochaines années seront de plus en plus inattendues (cyberattaques, perte d’alimentation électrique, crises majeures simultanées) et hybrides ; elles n’entreront plus dans les « cases » de la sécurité civile, de l’ordre public, etc. En particulier, la dépendance aux réseaux et aux nouvelles technologies renforce notre vulnérabilité collective. D’autre part, le réchauffement climatique va multiplier les risques pour nos concitoyens ; les attentes de nos concitoyens concernant la prévision et la gestion de ces risques vont donc légitimement croître. Demain, nous devrons mieux anticiper les menaces et les crises ; mieux informer et préparer nos concitoyens, pour renforcer la culture du risque ; mieux protéger les Français des risques naturels, technologiques ou encore des attaques malveillantes.

3.2.1. Anticiper et prévenir les risques

Afin de permettre au ministère de l’intérieur chargé de la gestion des crises de mieux piloter le « continuum de la sécurité » (civile ou publique) et d’influer sur les moyens d’agir en amont, dans l’objectif de réduire les risques à la source, l’anticipation des crises doit être étendue à l’ensemble des politiques de prévention face aux risques majeurs. Des mesures concrètes seront prises pour faire face à la crise climatique, face à laquelle les forces de l’ordre ont un rôle à jouer, notamment en renforçant leurs actions de prévention, de contrôle et de répression des atteintes à l’environnement, en augmentant leurs moyens financiers et effectifs dédiés et en assurant une formation et sensibilisation transversales de toutes les forces de police sur ce sujet et ses enjeux.

Pour ce faire, sera institutionnalisé un collège technique coprésidé par le ministère chargé de la gestion des crises et par le ministère chargé de la prévention des risques, sous l’égide du SGDSN et composé de représentants des ministères chargés de l’agriculture, de l’alimentation, de l’urbanisme, de l’environnement, de l’énergie et des transports, pour conduire les travaux d’étude d’impact en matière de gestion des crises sur les risques majeurs : réduction de la vulnérabilité, définition des dispositifs collectifs de protection, analyse de l’après-crise permettant d’identifier les conditions de la diminution du risque pour l’avenir dont le retour d’expérience permet de tirer les leçons d’une action et d’affiner la connaissance des phénomènes.

Une coopération plus structurée entre le ministère de l’intérieur, les opérateurs de l’Etat ayant un rôle dans la prévision des événements majeurs et les collectivités territoriales constitue également un axe de modernisation de la politique publique de la gestion des crises.

3.2.2. Bâtir un centre interministériel de crise 2.0

Le ministre de l’intérieur est le ministre de la gestion des crises sur le territoire national. Conformément à la circulaire du Premier ministre n° 6095/SG du 1er juillet 2019 relative à l’organisation gouvernementale pour la gestion des crises majeures, le Premier ministre s’appuie sur un dispositif gouvernemental dénommé « cellule interministérielle de crise » (CIC) et confie en principe la conduite opérationnelle de la crise au ministre de l’intérieur lorsque la crise a lieu sur le territoire national.

Pour appuyer la gestion de crise, un nouveau centre interministériel de crise devra être créé, plus grand, mieux équipé, avec une salle de situation intégrant l’ensemble des forces, armée en continu, et être doté d’un directeur permanent du centre de crise. Le directeur du centre de crise aura pour mission, lorsque la CIC n’est pas activée, de planifier, de recruter et de former les volontaires des ministères qui armeront les salles, de développer un outil intégré de gestion de crise des préfectures jusqu’à la CIC, d’organiser un pilotage des crises par la donnée. En appui, le développement d’outils et de réseaux à la pointe de la technologie, permettant des communications fluides entre ministères ainsi qu’avec les préfectures, nécessite des investissements continus et le développement d’applicatifs intégrés de gestion de crise, permettant d’associer tous les décideurs et de fournir une vision agglomérée des différents outils existants. Placé dans un bâtiment ad hoc, il doit comprendre les services qui y concourent dans leur diversité et pouvoir basculer en mode de gestion de crise à tout moment.

La CIC doit en conséquence être dotée d’un état-major permanent auquel s’adossent les états-majors de toutes les forces de sécurité intérieure. Cette nouvelle posture nécessite la construction de la CIC de demain, plus grande, plus connectée, plus résiliente, conçue avec le SGDSN à la suite d’un travail interministériel et dotée d’un outil intégré de gestion des crises allant du poste communal de sauvegarde (PCS) des communes jusqu’à la CIC en passant par les centres opérationnels départementaux (COD) et de zone (COZ). Ce service de la direction des crises devra rassembler tous les états-majors de toutes les directions générales du ministère de l’intérieur et être localisé place Beauvau.

La gestion des crises de demain implique le recours accru à l’intelligence artificielle et aux outils numériques d’aide à la décision pour exploiter la multitude de données numériques collectées auprès de toutes les forces de sécurité intérieure (FSI), des périmètres ministériels, des opérateurs privés et des réseaux sociaux. Cette approche intégrée de la gestion des données reste compatible avec le maintien d’une organisation en métiers des forces de sécurité intérieure, opérateurs et périmètres ministériels.

3.2.3. Professionnaliser et consolider la chaîne de la gestion des crises

La complexité des interactions, l’augmentation des menaces sur les systèmes d’information, les nouveaux risques liés au dérèglement climatique font craindre l’apparition de nouvelles crises plus graves, plus fréquentes, plus multiples et donc plus incertaines. Notre incapacité à y répondre de façon suffisamment efficace serait également facteur d’aggravation par l’enchaînement des phénomènes, la survenue de « crises dans la crise », menaçant l’ordre public et sapant l’autorité des pouvoirs publics. Cette situation serait alors susceptible de créer une crise de confiance du citoyen envers l’autorité chargée de le protéger, entraînant le pays dans une crise démocratique aux conséquences incontrôlables.

Est ainsi à redouter la conjonction de phénomènes pouvant engendrer des crises plus graves, plus soudaines, plus complexes et plus systémiques nécessitant d’adapter la réponse des pouvoirs publics.

Cette aggravation des crises, dans leur intensité comme dans leur fréquence, nécessite l’adaptation de nos organisations existantes, en lien avec le SGDSN, autour de plusieurs principes d’action :

– clarifier et renforcer les pouvoirs du préfet en cas de crise :

Acte positif du préfet de zone, décidé en anticipation ou en réaction à un phénomène d’une particulière gravité et affectant la sécurité des populations, l’autorisation donnée au représentant de l’Etat dans le département lui permet d’affirmer immédiatement l’unité de commandement sur l’ensemble des services et établissements publics de l’Etat, et d’éviter la gestion de crises en silo, pour les affaires directement liées à la crise.

– piloter les crises par la donnée :

Le pilotage de la crise par la donnée pourra également impliquer l’interopérabilité des données issues du maintien de l’ordre public, de la prévention des risques, des canaux d’alertes des différents ministères et opérateurs publics et privés et des informations provenant des réseaux sociaux.

– mettre à disposition de la CIC une plateforme de services assurés par le ministère de l’intérieur :

Ces services reposeraient sur une logistique de crise (chaîne interministérielle cohérente de logistique de crise avec stockage stratégique, manœuvre de ventilation sur le territoire national, distribution « au dernier kilomètre » permettant d’atteindre tous les citoyens) ; la communication de crise, en lien étroit avec le service d’information du gouvernement (SIG) ; les outils numériques de la gestion des crises pilotés par la direction générale de la sécurité civile et de la gestion des crises (DGSCGC) ainsi que la direction du numérique ; la formation des cadres dirigeants à la gestion des crises ; l’information du public en situation de phénomène majeur à travers la cellule interministérielle d’information du public et d’aide aux victimes (INFOPUBLIC) installée pour le compte du Premier ministre place Beauvau et qui relève de la DGSCGC pour sa gestion et son animation, avec l’appui du secrétariat général du ministère de l’intérieur pour les fonctions support.

3.2.4. Renforcer les préfets dans la gestion des crises

A la lumière des crises récentes, où l’autorité préfectorale a été en première ligne du fait de son expertise des situations exceptionnelles rencontrées, de sa capacité à incarner l’unité de l’action de l’Etat et du lien opérationnel avec les collectivités territoriales, il importe de renforcer le pilotage de la gestion des crises autour des préfets dans les territoires pour assurer une coordination pleine et entière de la gestion de crise : mise en sécurité des biens et des personnes, organisation des moyens de secours, fonctionnement des institutions et continuité des services publics, préservation de l’environnement.

Pouvoirs des préfets

En l’état, les dispositions relatives aux pouvoirs des préfets en période de crise dans l’ordonnancement juridique actuel sont peu mobilisées ou diversement interprétées. Une disposition générale au sein du code de la sécurité intérieure prévoit une autorité élargie du préfet sur l’ensemble des services déconcentrés des administrations civiles de l’Etat et établissements publics de l’Etat ayant un champ d’action territorial.

Rénovation des centres opérationnels départementaux (COD) des préfectures

Le centre opérationnel départemental (COD) constitue l’équipement immobilier support de référence pour la gestion locale de crise. Compte tenu de la vétusté de nombreux centres de crise départementaux et de leur inadaptation physique et technologique, une rénovation complète de l’ensemble des centres opérationnels départementaux de préfecture permettra de disposer de tous les atouts pour faire face à des situations de crise de toute nature. Cette mise à niveau implique des travaux de rénovation de grande ampleur (avec le cas échéant des relocalisations) ou des travaux d’équipement. D’après une enquête réalisée au second trimestre de l’année 2021, plus d’une cinquantaine de départements sont concernés, à des degrés divers. Les départements accueillant des épreuves des jeux olympiques seront traités en priorité. Le coût moyen de rénovation d’un COD est estimé à 400 000 euros. La DGSCGC assurera une prestation de conseil sur les équipements et les outils.

Renforcer les services communication des préfets

La diffusion d’informations, fondées ou non, est devenue instantanée avec le développement des réseaux sociaux. Les analyses développées par les décideurs, les décisions prises, voire les moyens déployés sont immédiatement discutés et critiqués. Il convient donc d’être en mesure d’apporter une parole à la fois rapide et d’un haut niveau de technicité et pour cela :

– renforcer les services de communication des préfectures ;

– attirer des experts de la communication à même d’assurer le porte-parolat du préfet, doter les services d’un budget propre et d’un bon niveau d’équipement technique ;

– renforcer drastiquement le plan de formation et le rendre obligatoire pour les préfets, les sous-préfets, les chargés de communication et les cadres du cabinet ou d’astreinte : prise en main et veille des réseaux sociaux, réflexes durant les astreintes, attitude à tenir en situation de crise.

Colonnes de renfort prefectorales

Pour bénéficier d’un appui immédiat dans la gestion de crises, des colonnes de renfort pourront être envoyées en préfecture, composées de différentes compétences en fonction des besoins : veille et communication, logistique, réserve préfectorale. Composée d’agents expérimentés (préfets et sous-préfets en retraite) et de cadres de l’administration territoriale de l’Etat volontaires, cette réserve préfectorale permet de préserver la réactivité d’équipes préfectorales par un renfort temporaire et de progresser de front sur plusieurs thématiques distinctes ou complémentaires dans une phase sensible.

3.2.5. Penser la gestion de l’après-crise

Au-delà de la protection des personnes et des biens, le ministère de l’intérieur se doit d’être présent sur l’ensemble du continuum de la crise et de gérer les suites immédiates de l’événement pour accélérer le retour à la normale. La prise en charge des situations immédiatement « post crise » a pour objectif le rétablissement des fonctions fondamentales pour les territoires (circulation, réseaux, etc.) et l’acheminement de moyens de première nécessité pour rétablir la situation (moyens zonaux et nationaux, chaîne logistique). A ce stade de la gestion de crise, le ministère de l’intérieur devra toujours disposer de la capacité d’agréger l’ensemble des compétences et des expertises. Il doit, au niveau des moyens nationaux, étendre la panoplie des outils et réponses à disposition pouvant être projetés (gestion des plans de secours, tentes, groupes électrogènes, moyens aériens renforcés, bâches, hôpital de campagne, engins de travaux publics, etc.).

Dans le droit fil de la loi n° 2021-1520 du 25 novembre 2021 visant à consolider notre modèle de sécurité civile et valoriser le volontariat des sapeurs-pompiers et les sapeurs-pompiers professionnels, dite loi Matras (qui conçoit le préfet comme directeur des opérations et non uniquement directeur des opérations de secours), les préfets disposeront de moyens opérationnels et pourront recourir aux personnels d’administrations (y compris agences, opérateurs et services qui ne sont pas en temps normal sous l’autorité du préfet, hors armée) et d’entreprises privées grâce au pouvoir de réquisition à leur disposition.

Des modalités de préfinancement par des fonds ad hoc de l’Etat, plus souples en première instance, seront proposées. La création d’un fonds de concours permanent, doté de fonds de l’Etat ou d’opérateurs d’assurances, pourrait être étudiée à cet effet pour assurer le paiement des prestations aux entreprises réquisitionnées, les premiers secours aux sinistrés ou le financement exceptionnel des moyens de l’Etat.

3.2.6. Développer la culture du risque chez nos concitoyens

Trop souvent le citoyen n’a pas connaissance du champ et de la nature des mesures de prévention et d’anticipation ou le rôle des autorités intervenantes. Or, « toute personne concourt par son comportement à la sécurité civile » (article L. 721-1 du code de la sécurité intérieure). Pour donner corps à ce principe, l’information sur les risques sera renforcée par une politique d’exercices réguliers, associant non seulement les élus locaux mais aussi, au maximum, la population. Le développement d’un citoyen acteur de sa mise en sécurité et de la protection d’autrui se comprend dans la complémentarité d’un volet de formation à la prévention des risques et aux comportements en cas d’événement et d’un volet d’une journée nationale de sensibilisation et de prise de conscience collective des enjeux. Ces deux volets doivent à terme permettre une gestion plus efficace de la crise par des comportements adaptés de la population.

Afin de renforcer cette culture de la prévention, conformément à la stratégie nationale de résilience, une « journée nationale » dédiée aux risques majeurs et aux gestes qui sauvent, sur le modèle déjà pratiqué au Japon, sera instaurée chaque année. L’ensemble de la population participera ainsi à un exercice grandeur nature de prévention d’une catastrophe naturelle ou technologique d’ampleur. Cette démarche va de pair avec une information sur les postures à adopter en cas de crise et les gestes qui sauvent, pour toute la population sans exception et dans tous les milieux (scolaire, professionnel, médico-social). Tous les jeunes et tous les actifs devront être formés aux gestes de premier secours en dix ans, avec une formation continue tout au long de la vie pour conserver les bons réflexes.

Les actions d’information prévues dans les administrations publiques, les établissements et entreprises privés ou les établissements d’enseignement intégreront notamment des exercices et seront organisées, dans toute la mesure du possible, à la date de la journée annuelle de la résilience prévue le 13 octobre.

Au-delà de cette information, il s’agira de renforcer le volontariat dans les associations agréées de sécurité civile, chez les sapeurs-pompiers et au travers des réserves communales de sécurité civile en multipliant les initiatives et les appels aux volontaires, grâce notamment au « brevet de secourisme » destiné aux jeunes et aux actifs.

Le déploiement du réseau FR-Alert, totalement opérationnel fin 2022, permet aussi de doter le ministère de l’intérieur d’un outil puissant de gestion de crise, qui viendra porter à haut niveau les moyens dont disposent les préfets pour alerter, informer et protéger les populations. FR-Alert représente une des ruptures technologiques majeures en matière de gestion et de communication de crise. Désormais, sans intermédiaire, la puissance publique peut s’adresser immédiatement et directement aux citoyens.

3.2.7. Renouveler la flotte d’hélicoptères, compléter la flotte aérienne pour plus de polyvalence

Le ministère de l’intérieur dispose de moyens aériens indispensables à la conduite de ses missions du quotidien et de l’exceptionnel. Il renforcera la cohérence de ces flottes ministérielles et le niveau de mutualisation. Cette mutualisation sera permise par une plus grande cohérence des gammes des machines achetées s’agissant des hélicoptères et devra viser une maintenance complètement mutualisée, des formations communes et une meilleure prise en compte des enjeux de sécurité aérienne. Un comité stratégique des moyens aériens permettra de traiter de manière transverse ces sujets et de s’assurer de la polyvalence des nouveaux achats envisagés. L’efficacité de ce comité sera évaluée à mi-LOPMI pour évaluer la nécessité de pousser plus loin la mutualisation des dispositifs.

S’agissant des moyens héliportés, le renouvellement des flottes sera conduit dans le respect des missions de sécurité civile, d’une part, et de sécurité publique, d’autre part, mais avec l’objectif d’une convergence des nouvelles machines, socle de l’interopérabilité et de la maintenance commune des flottes du ministère. Ainsi, les hélicoptères vieillissants des flottes du ministère seront remplacés dans les cinq prochaines années et au-delà, ce qui représente un effort d’investissement considérable (36 machines en cinq ans). Ils seront complétés par les dix hélicoptères de transports lourds (H 160), dont la livraison s’échelonnera jusqu’en 2026, destinés au transport des unités d’intervention spécialisées des forces de sécurité intérieure.

S’agissant des avions, la cible de la flotte d’avions bombardiers d’eau de type CL515 « Canadair » se situe à 16 appareils. Ainsi, l’achat et le renouvellement de la flotte des 12 avions CL415 « Canadair » par 16 avions bombardiers d’eau amphibie (ABE) du même type doivent être programmés pour faire face à ces enjeux. Parmi ces 16 ABE, 2 seront financés à 100 % dans le cadre du programme RescUE pour la création d’une flotte européenne. L’augmentation de la flotte par l’acquisition de 4 aéronefs supplémentaires devra s’accompagner de la création de postes de pilotes et copilotes constituant les équipages et d’un travail de fond sur les conditions d’exercice de ce métier et sur l’attractivité des postes au sein de la sécurité civile. Ainsi douze postes de personnels navigants devront être créés pour accompagner la mesure.

3.2.8. Bâtir le hub européen de sécurité civile à Nîmes

Parallèlement, alors que le réchauffement climatique accroît l’intensité du risque de feu de forêt et l’élargit à de nombreux territoires européens, il convient désormais d’envisager la flotte d’avions comme un outil à vocation nationale et le fer de lance d’une réponse européenne. L’Europe de la sécurité civile est une réalité opérationnelle. La France a montré son volontarisme et sa compétence en la matière. Ainsi, dans le cadre du mécanisme européen de protection civile, la France arme 18 des 118 modules européens. Être à la fois capable d’aller porter assistance et de recevoir, le cas échéant, une assistance de nos voisins européens constituait un défi désormais relevé. Mais l’approfondissement de ce mécanisme, auquel la DGSCGC continuera d’apporter toute son énergie, est un impératif face à l’intensification des crises, à leur multiplication et à leur caractère transfrontalier.

Ainsi, la base aérienne de Nîmes-Garons doit changer de dimension et devenir un pôle européen de sécurité civile. Dans ce cadre, elle peut devenir un véritable hub de sécurité civile permettant de rassembler, en un seul lieu, une partie des moyens existants et d’ériger un pôle de référence agrégeant les différentes fonctions aériennes et logistiques. A terme, Nîmes-Garons pourrait ainsi :

– accueillir les avions et le groupement hélicoptères de la DGSCGC ;

– héberger une part des réserves nationales ;

– regrouper l’ESCRIM (élément de sécurité civile rapide d’intervention médicalisée) actuellement basé au sein de l’unité d’instruction et d’intervention de la sécurité civile de Brignoles (UIISC 7) et du SDIS du Gard, en lien avec la métropole de Nîmes ;

– accueillir, à terme, une unité militaire de la sécurité civile ;

– agréger, dans une logique de cluster économique, des entreprises et des start-ups innovantes dans le domaine de la sécurité civile.

Cette « centralité nîmoise » viendra consolider un réseau territorial adossé à la fois à des bases hélicoptères permanentes rénovées et des pélicandromes capables, sur tout le territoire national et en tant que de besoin, de soutenir la projection des moyens de lutte contre les feux d’espaces naturels sur l’ensemble du territoire. Le volet européen, prioritairement orienté sur la lutte contre les feux de forêt, doit déboucher sur l’obtention d’importants crédits européens dans cette perspective. Des études de faisabilité devront être réalisées en ce sens.

3.2.9. Prépositionner des moyens outre-mer

Ce souci de cohérence territoriale, pour que chaque Français puisse être effectivement protégé, impose de positionner l’Etat comme le garant de la protection civile des territoires ultramarins. Les outre-mer constituent en effet un point de focalisation opérationnelle particulier en raison de leur exposition à des risques spécifiques (cyclones), à des risques extrêmes (sismique) et à d’importants défis logistiques. La question du pré-positionnement des moyens de la réserve nationale, sur la plaque Antilles-Guyane comme dans l’océan Indien, doit permettre aux autorités locales, en cas de crise majeure, de disposer des moyens de première réponse avant l’arrivée de secours nationaux ou internationaux (cf. focus ci-après).

Préparer cette réponse en identifiant les risques et en planifiant les procédures, prépositionner du matériel et des hommes, anticiper la projection de moyens de secours massifs en cas de catastrophes sont parmi les priorités de la DGSCGC pour les territoires ultramarins.

Les moyens zonaux, rattachés à d’autres ministères, pourraient aussi être formés et mobilisés en cas d’événement extrême, tels que les effectifs du ministère des armées. Dans le cas d’aléas qui affecteraient les sites de positionnement de moyens nationaux (de la sécurité civile ou d’autres acteurs français de la sécurité-défense), le stationnement temporaire de ces contingents sur des territoires localisés dans la région, français ou sous souveraineté d’autres états, pourrait apparaître comme une solution. Cette disposition entraînerait la signature d’accords bilatéraux ou multilatéraux et impliquerait des dynamiques interministérielles (ministère de l’intérieur, ministère de l’Europe et des affaires étrangères et ministère des armées).

3.2.10. Cofinancer les pactes capacitaires des SDIS

La qualité de la couverture territoriale de la sécurité civile passe par l’affirmation du pacte capacitaire et l’enracinement des états-majors interministériels de zone qui permettront à l’Etat, en concertation avec les collectivités territoriales, d’impulser une stratégie de rationalisation, de mutualisation et d’interopérabilité efficiente entre services nationaux et services d’incendie et de secours, dotés de moyens homogènes adaptés aux risques des territoires. La démarche de renforcement et de redéploiement des moyens pour les forces de secours prévue par la présente loi de programmation prendra en compte les spécificités insulaires et ultramarines.

Dans cet objectif, il conviendra, à la lumière du retour d’expérience des événements climatiques extrêmes de l’année 2022, d’encourager la réouverture, si nécessaire, de centres de secours là où le risque a évolué et de créer des centres de première intervention dotés d’une réponse de proximité spécifique dans les massifs exposés au risque de feux de forêts et d’espaces naturels.

De même, s’agissant d’un service public essentiel, l’inscription dans la loi de la subordination de toute fermeture d’un centre d’incendie et de secours à la consultation préalable du maire de la commune siège sera envisagée.

Le pacte capacitaire sera l’outil pour couvrir l’ensemble des départements, quelle que soit la surface de leur SDIS, avec des moyens technologiques optimisés, armés par des personnels formés et entraînés. Articulée autour des états-majors interministériels de zone consolidés, coordonnée par des systèmes d’information performants, la réponse de sécurité civile se fera ainsi plus souple et plus réactive. Le pacte capacitaire constitue ainsi un outil majeur de modernisation de la réponse opérationnelle de la sécurité civile ainsi que la garantie d’une couverture territoriale plus complète et plus efficiente. Il doit être articulé avec une augmentation durable de l’enveloppe d’aide à l’investissement structurant des services départementaux d’incendie et de secours.

Dans ce but, l’impulsion financière de l’Etat est cruciale et doit être ciblée sur des projets d’investissements stratégiques au sein des zones de défense et de sécurité. Des financements dédiés sont ainsi prévus pour créer un effet de levier et participer à l’effort de mutualisation des moyens exceptionnels entre SDIS, effort porteur d’économies collectives.

Le ministère de l’intérieur entame des négociations avec le ministère de l’économie et des finances afin d’exonérer du malus écologique les véhicules affectés aux services départementaux d’incendie et de secours et aux forces de sécurité intérieure. Il est envisagé de modifier le code général des impôts en ce sens.

3.3. Renforcer notre réponse opérationnelle face à la subversion violente

La mise en œuvre, à partir de 2007, de la révision générale des politiques publiques (RGPP) a conduit la DGPN et la DGGN à faire porter sur les unités de force mobile (UFM) l’effort des réductions d’effectifs demandé : pour la police nationale, en a résulté la réduction de l’effectif de chaque unité de compagnies républicaines de sécurité (CRS) (- 1 500 ETP entre 2007 et 2014) sans diminuer le nombre des unités (60) ; pour la gendarmerie nationale, la diminution du nombre des escadrons de gendarmerie mobile (de 123 à 108 entre 2007 et 2015) et la réduction de l’effectif de chaque unité (- 2 300 ETP entre 2007 et 2015), avec en parallèle une diminution des missions extérieures. Or, depuis quelques années, le maintien de l’ordre évolue face aux nouvelles subversions violentes : il ne s’agit plus seulement d’encadrer des manifestations revendicatives mais d’être capable de stopper des casseurs ou d’intervenir pour mettre fin à des affrontements violents entre bandes ou communautés, dans des temps très brefs et sous le regard des médias et des smartphones. A compter de 2017, le potentiel des deux forces a été progressivement renforcé (+ 600 ETP), mais les forces disponibles ne sont pas toujours suffisantes pour intervenir très rapidement en tout point du territoire.

3.3.1. Création de onze nouvelles unités de forces mobiles

Onze nouvelles unités de forces mobiles (UFM) seront créées à brève échéance, pour venir renforcer les dispositifs liés aux grands événements des années à venir (coupe du monde de rugby de 2023, jeux olympiques de 2024). Rapidement projetables, sur le modèle de la CRS 8 pour la police nationale et du dispositif d’intervention augmenté de la gendarmerie nationale (DIAG), y compris outre-mer, elles pourront faire face à des affrontements violents dans un temps très court, avec des moyens spécifiques. Ces nouvelles UFM permettront d’assurer les besoins en formation et une meilleure disponibilité opérationnelle pour couvrir l’ensemble des besoins sur le territoire.

3.3.2. Un investissement massif dans la formation des forces au maintien de l’ordre

Les effectifs chargés du maintien de l’ordre seront mieux formés : un centre de formation spécialisé en maintien de l’ordre en milieu urbain sera créé en région parisienne et, parallèlement, le centre d’entraînement des forces de Saint-Astier (Dordogne) sera rénové, en créant de nouveaux espaces d’entraînement et en se mettant en capacité d’accueillir davantage de stagiaires.

3.3.3. Des moyens exceptionnels pour organiser la sécurité des jeux olympiques

Vingt-cinq millions d’euros ont d’ores et déjà été prévus dans le cadre du plan de relance afin de financer des expérimentations technologiques de sécurité en vue des jeux olympiques et paralympiques de 2024 et de la coupe du monde de rugby de 2023. Plus largement, quatre types d’investissements doivent être réalisés dans la perspective des jeux olympiques :

– un plan cybersécurité, pour augmenter la résilience des services du ministère ;

– des moyens de lutte anti-drones pour Paris (cérémonie d’ouverture et épreuves) et les villes accueillant des épreuves. Il s’agit d’acquérir des équipements permettant la détection, le brouillage et la neutralisation des drones malveillants et de bâtir la capacité de mise en œuvre tout en s’assurant de leur parfaite intégration dans les dispositifs de protection et de sécurité aériennes mis en œuvre par les armées ;

– des moyens pour les centres de commandement de la préfecture de police et de la coordination nationale pour la sécurité des jeux olympiques (CNSJ) ;

– d’autres équipements, de nature diverse, permettant aux forces d’être parées à tous les risques dans la perspective de cet événement majeur.

Par ailleurs, dans la perspective des grands événements internationaux à venir, une attention particulière sera portée aux effectifs de la police aux frontières déployés aux frontières aériennes, afin d’atteindre les objectifs de temps d’attente définis par le comité interministériel du tourisme du 26 juillet 2017. Ces temps sont, au maximum, de trente minutes pour les ressortissants européens et de quarante-cinq minutes pour les non-européens.

3.3.4. Une lutte renforcée contre les groupuscules violents, notamment d’extrême droite et d’extrême gauche

La lutte contre les groupuscules violents, notamment d’extrême droite et d’extrême gauche, doit se poursuivre au cours des prochaines années. Le ministère de l’intérieur s’attachera à renforcer sa vigilance sur leur formation et leurs actions.

Une coordination entre les différents services de renseignement nationaux et européens sera mise en œuvre.

Les services de renseignement s’attacheront à suivre les membres des groupuscules dissous, et particulièrement les anciens membres des forces armées ou de sécurité intérieure impliqués dans des groupuscules violents.

Les services de police mettront à la disposition des élus locaux un guide méthodologique présentant les instruments juridiques mobilisables par l’autorité administrative et des conseils pratiques pour prévenir les troubles à l’ordre public susceptibles d’être causés par des groupes radicaux violents.

Le partenariat et les échanges avec l’autorité judiciaire seront renforcés pour lutter contre la reconstitution de groupuscules dissous.

3.4. Mieux sécuriser nos frontières

L’espace frontalier doit faire l’objet d’une gestion plus intégrée et mieux coordonnée, qui tire tous les bénéfices des moyens innovants de contrôle et de surveillance.

Permettre l’intervention des garde-frontières de FRONTEX

Une véritable intégration du corps des garde-frontières de FRONTEX à la gestion des frontières extérieures de la France nécessite de les doter de prérogatives alignées sur celles de la police aux frontières. L’article 82 du règlement UE 2019/1896 (Frontex) prévoit explicitement la possibilité pour un Etat membre « hôte » d’accueillir le déploiement de garde-frontières européens à ses frontières extérieures et de les faire bénéficier d’un port d’arme, de recourir à la force conformément au droit national et de leur laisser consulter ses bases de données nationales aux fins de surveillance des frontières.

Moyens innovants pour la surveillance des frontières

Les policiers seront dotés de moyens innovants pour opérer la surveillance des frontières :

– généralisation des drones de surveillance, dotés de matériels spécifiques (vision nocturne, dispositifs de détection thermique) ;

– caméras infra-rouges et thermiques ;

– mise en place de systèmes de lecture automatisée des plaques d’immatriculation (LAPI) sur les points de passage frontaliers afin de lutter contre les filières organisées ;

– moyens mobiles adaptés à l’environnement (motoneiges, buggys) ;

– généralisation des postes mobiles sous forme de véhicules équipés d’aubettes (moyens de contrôle documentaires et de détection de fraudes, actuellement expérimentés à la frontière belge).

La mission de contrôle aux frontières et certaines missions des CRA seront confiées à d’autres agents publics que des policiers. Les policiers ainsi libérés seraient redéployés dans des compagnies interdépartementales projetables aux frontières pour assurer les missions de surveillance humaines et éviter le recours aux forces mobiles non spécialisées.

Frontières fluides

Afin de rendre les contrôles aux frontières plus fluides, des outils modernes sont financés :

– recours systématique au sas PARAFE (système de passage automatisé aux frontières extérieures) ;

– généralisation des titres de voyage biométriques, avec reconnaissance mutuelle dans toute l’UE et capacité de contrôle des données biométriques associées ;

– mise en œuvre du règlement européen instaurant le système entrée-sortie (contrôle des ressortissants de pays-tiers en court séjour), avec prise systématique de biométrie et enregistrement du franchissement de frontière alimentant le fichier européen entrées/sorties (EES) ;

– utilisation de lunettes ou casques de réalité « augmentée » pour l’interrogation des fichiers.

Coopération européenne

Enfin, l’engagement dans la coopération européenne aux frontières sera concrétisé par :

– la création de nouvelles brigades mixtes de lutte contre l’immigration irrégulière (qui existent avec l’Allemagne et l’Italie) avec les policiers d’Etats frontaliers, appuyées par les technologies innovantes ;

– la mise à niveau de l’architecture des systèmes d’information français, afin de les rendre interopérables sur le modèle européen pour mettre en œuvre les règlements européens, tout en assurant la confidentialité des données et en veillant à leur ergonomie pour les forces (mission de la direction du numérique) ;

– la formation des agents de police étrangers en France dans la future académie de police ;

– la création d’un centre technique pluridisciplinaire chargé de la recherche & développement, piloté par les forces de sécurité intérieure et par la délégation ministérielle aux partenariats, aux stratégies et aux innovations de sécurité (DPSIS), tout en s’appuyant sur les directions du ministère.

Le Gouvernement étudiera l’opportunité d’une coopération transfrontalière opérationnelle entre la Corse et l’Italie, visant à améliorer la coordination des forces de police et des douanes françaises et italiennes, dans le but de lutter efficacement contre les phénomènes de braconnage et de pêche industrielle dans les espaces protégés et les réserves naturelles transfrontaliers.

Renforcer la protection de notre souveraineté à nos frontières à Mayotte

Le ministère de l’intérieur établira une nouvelle feuille de route relative à la protection des frontières du Département de Mayotte.

Le ministère s’engagera dans une nouvelle démarche tendant à définir les grandes orientations permettant de lutter contre l’immigration clandestine dans le Département de Mayotte.

Le ministère établira un état des lieux de la situation de la sécurité sur le territoire de Mayotte, notamment en raison de la progression de l’immigration clandestine.

Il appuiera notamment la tenue d’un nouveau recensement de la population, en association avec les services compétents de l’Institut national de la statistique et des études économiques.

Le ministère de l’intérieur déploiera l’ensemble des moyens budgétaires, logistiques et humains permettant de garantir la protection des frontières du Département de Mayotte.

Le bilan sera communiqué aux élus locaux et aux parlementaires élus à Mayotte et donnera lieu à une concertation.

Sur le fondement de cette concertation, le ministère s’engagera dans une démarche permettant la mise en œuvre des évolutions législatives et réglementaires nécessaires à la protection des frontières de Mayotte et à la lutte contre l’immigration clandestine.

3.5. Mieux former nos forces

Le système de formation des forces doit évoluer avec la complexité des enjeux, le développement de nouveaux outils et le regard que la société porte sur elles. En effet, le temps de formation initiale est aujourd’hui trop bref pour former complètement les policiers et gendarmes à ce qui les attend sur le terrain. Les outils de formation sont datés et peu mutualisés entre forces ; or aujourd’hui rien ne s’oppose à ce que des modules de formation continue soient ouverts à l’ensemble des forces. Le renforcement de la formation initiale et continue des policiers et des gendarmes nécessite de repenser les parcours des formations, de les rendre plus accessibles et de remettre à niveau les capacités de formation, en mutualisant les outils de la police et de la gendarmerie. Il s’agira d’intégrer des formations relatives à la déontologie et à l’éthique à partir de cas pratiques permettant de raisonner sur la déontologie « en actes ». La création d’un délit d’outrage sexiste et sexuel aggravé nécessite un accompagnement des forces de l’ordre et des magistrats. Les situations relevant du délit peuvent être difficiles à déterminer et le risque de requalification n’est pas à ignorer. Un renforcement de la formation sur cette infraction et les infractions concurrentes est donc indispensable afin de minimiser les risques de requalification.

Pour l’exécution de leurs missions, les forces de sécurité sont détentrices de prérogatives de puissance publique qui peuvent impacter les libertés individuelles. C’est la raison pour laquelle le code de la déontologie de la police nationale et de la gendarmerie nationale rassemble, entre autres, les règles déontologiques que doivent observer les forces de sécurité dans l’exercice de leurs fonctions. Clé de voûte de l’équilibre démocratique dans l’exercice de leurs missions par les forces de sécurité, ces dernières sont tenues de maîtriser ce code. Cela nécessite donc un renforcement des formations relatives à la déontologie mais aussi à l’éthique, dans le cadre tant des formations initiales que des formations continues.

S’agissant des sapeurs-pompiers professionnels, la cohérence et le maillage du dispositif de formation coproduit entre l’Etat et les collectivités territoriales seront renforcés, d’une part, par le développement d’une plateforme numérique permettant de dématérialiser et de fluidifier les processus administratifs, de mutualiser l’ingénierie pédagogique et de faire converger les outils de simulation et, d’autre part, par des investissements structurants et mutualisés au niveau supra-départemental. Au plan national, est prévue la mise en place d’un pôle d’excellence agrégeant les différentes forces de sécurité civile, intégré au réseau européen et délivrant des formations de haut niveau au sein du réseau des écoles de service public (RESP) ou de l’Institut national du service public (INSP).

3.5.1. Renforcer la formation initiale

Doublement du temps de formation initiale

La formation initiale des élèves policiers et gendarmes augmente de quatre mois, passant de huit à douze mois. Certaines thématiques seront approfondies au cours de la formation : déontologie, relation police/population, aspect rédactionnel des missions. Dans les deux forces, cela permettra de s’assurer que les compétences nécessaires sont acquises, soit par construction de nouveaux modules de formation, soit en densifiant ceux qui existent (maintien de l’ordre, déontologie, par exemple).

Par ailleurs, l’incorporation des élèves titulaires du concours d’entrée dans la police ou dans la gendarmerie se fera dans les six mois suivant le résultat du concours, afin d’éviter des délais d’incorporation trop longs qui entraînent la perte de certains titulaires du concours qui se réorientent.

Création de nouvelles écoles

Plusieurs nouvelles écoles et centres de formation seront créés d’ici 2027 :

– une école de formation cyber, présentée dans la première partie du présent rapport ;

– pour tirer la formation vers le haut, une académie de police sera installée, pour coordonner la formation des policiers, renforcer les outils de formation des nouvelles filières. Elle comprendra un pôle d’excellence pour l’investigation ;

– un centre de formation au maintien de l’ordre en conditions urbaines sera créé en Ile-de-France, pour former les forces mobiles ;

– une école de la police scientifique, dans le cadre de la consolidation d’une filière commune à la police nationale et à la gendarmerie nationale, avec une capacité d’accueil d’une centaine de stagiaires. La structure ad hoc remettra à plat la scolarité – formation initiale et continue – pour correspondre aux besoins en matière de PTS ;

– une école de police sera créée en Ile-de-France pour tenir compte des besoins liés aux campagnes de recrutement ;

– une nouvelle offre de formation interservices spécialisée en matière de renseignement est proposée à ses partenaires par la DGSI, ayant vocation à bénéficier aux personnels affectés à la DGSI, au service central du renseignement territorial (SCRT) de la DGPN, à la direction du renseignement de la préfecture de police (DRPP) et à la sous-direction de l’anticipation opérationnelle de la DGGN. Elle permettra de partager les compétences et d’harmoniser les pratiques professionnelles entre tous les agents, quel que soit leur statut (policiers, agents contractuels, gendarmes, agents administratifs), concourant à la mission de renseignement. Cette offre de formation sera construite par la DGSI et les services bénéficiaires concernés pour répondre à leurs besoins opérationnels. Elle fera l’objet d’échanges avec la coordination nationale du renseignement et de la lutte contre le terrorisme (CNRLT) et l’académie du renseignement. Elle pourra en outre bénéficier au service national du renseignement pénitentiaire (SNRP).

3.5.2. Mieux former tout au long de la carrière

Formation continue augmentée de 50 %

La formation continue sera augmentée de 50 % pour préserver l’adéquation entre les compétences et les missions tout au long de la carrière ; elle pourra avoir lieu dans des centres régionaux, mutualisés entre policiers et gendarmes pour ce qui concerne les formations techniques ou juridiques. La montée en puissance de la formation continue suppose de mettre à niveau la capacité de formation du ministère, qu’il s’agisse des formateurs, de l’immobilier, des équipements spécifiques (stands de tir) ou encore des outils de formation numérique, permettant de proposer aussi des modules en « distanciel ».

Les personnels administratifs, techniques et scientifiques bénéficieront pleinement de cet effort de formation, notamment sur le volet des formations techniques obligatoires. Les officiers supérieurs de la gendarmerie ayant vocation à occuper des responsabilités départementales suivront une scolarité de type « cycle d’études supérieures », destinée à tous ceux ayant réussi le concours de l’Ecole de guerre.

Dans une optique de rapprochement des forces et de rationalisation, les outils de formation continue seront mutualisés. Cette mutualisation ne saurait se faire ni au détriment des besoins spécifiques des unités en fonction de leur finalité opérationnelle, ni au détriment du volume horaire de ces formations.

Création de centres régionaux de formation

L’effort de rehaussement de la formation se traduira par la création de treize centres régionaux de formation et de centres spécialisés pour les gendarmes et les policiers, afin de faire face à la montée en puissance de la formation initiale et aux besoins augmentés de formation continue.

Les compagnies-écoles existantes seront rénovées et monteront en puissance : deux compagnies supplémentaires à l’école de Fontainebleau, restructuration du camp de Frileuse-Beynes et densification des compagnies de Dijon, Rochefort, Tulle et Châteaulin.

Recrutement de formateurs

Au total, 1 500 formateurs seront recrutés sur cinq ans :

– la gendarmerie nationale créera quinze compagnies d’instruction, armées par 255 ETP pour l’encadrement pédagogique et le soutien ;

– 266 formateurs seront recrutés dans les centres régionaux de formation de la gendarmerie nationale ;

– la police nationale recrutera 182 formateurs pour les écoles et 708 formateurs, ainsi que 77 moniteurs de tir et 21 psychologues.

Plan stands de tir

Pour répondre au besoin de formation accru des policiers et gendarmes en matière de tir, ainsi que des futurs réservistes, de nouveaux stands de tir seront adossés aux centres régionaux d’instruction. Des simulateurs de tir eux aussi partagés avec les policiers viendront compléter cette capacité accrue.

S’ouvrir vers l’international

L’excellence des policiers et gendarmes passe aussi par une meilleure capacité à communiquer en langue étrangère et à s’insérer dans les dispositifs de coopération européenne.

Le programme POLARIS (Gendarmerie – avec l’Espagne depuis 2018 – à ouvrir : Portugal, Allemagne) sera poursuivi et l’école nationale supérieure de police (ENSP) développera des stages à l’étranger pour les élèves, ainsi que le développement du réseau de formation dispensée aux cadres de police étrangers intégrés dans les promotions.

L’enseignement des langues sera également renforcé en formation initiale et continue, avec des outils de traduction instantanée, le développement de l’offre de formation à vocation régionale et le développement des plateformes de e-formation en vue des grands événements internationaux à venir. L’offre de formation en anglais sera densifiée, visant notamment une excellente capacité d’expression orale professionnelle à destination des cadres supérieurs, et plus généralement des cadres susceptibles d’être retenus pour des affectations à l’international, et assortie d’une sélection dans le cadre de la gestion prévisionnelle des compétences parmi un vivier identifié.

3.6. Des policiers et des gendarmes mieux accompagnés

L’action sociale constitue un levier majeur dans l’accompagnement des forces de sécurité intérieure dans l’exercice de leurs missions et dans leur fidélisation. Elle doit être une contrepartie à la modération salariale. La difficulté des conditions d’exercice du métier nécessite de disposer d’un accompagnement renforcé au quotidien et pas seulement en circonstances de crise. Les forces de l’ordre se voient assigner des objectifs ambitieux de présence sur la voie publique, de développement du contact avec leur environnement et de traitement des menaces et crises. Outre des conditions matérielles améliorées et une formation renforcée, l’accompagnement et la protection des fonctionnaires et militaires sont au cœur de la mission du ministère de l’intérieur. Mieux soutenir nos policiers et gendarmes dans leur santé physique et psychologique, notamment pour certaines catégories de personnels exposés, et mieux accompagner les familles, suppose un effort important pour la garde des enfants, la gestion des horaires atypiques ou encore la gestion des contraintes liées aux mobilités géographiques.

Les policiers et les gendarmes sont également accompagnés dans leurs demandes de mutation géographique lorsqu’ils demandent à se rapprocher de leur famille.

L’ensemble de la politique du ministère de l’intérieur sur ces sujets sera consigné dans son bilan social annuel, publié dans les douze mois suivant la clôture de l’année considérée.

3.6.1. Une refonte profonde de la fonction RH dans la police nationale

La rénovation de la politique des ressources humaines des policiers se fera autour de trois grands principes : la valorisation des compétences professionnelles au service des déroulements de carrière, l’affirmation de l’exigence managériale pour l’ensemble des niveaux de l’encadrement, la recherche d’une meilleure articulation entre gestion individualisée des personnels et besoins des services. Elle doit avoir pour ligne de conduite de tourner la fonction RH vers l’agent, alors que les rôles d’explication, de conseil ou d’accompagnement sont aujourd’hui insuffisamment investis par l’administration. L’organisation de la fonction RH de la police nationale, aux niveaux central et déconcentré, sera refondue.

La gestion des ressources humaines sera davantage déconcentrée, en positionnant un échelon de ressources humaines accessible pour tous les agents au niveau zonal, avec des fonctions d’accompagnement et de conseil, ainsi qu’en déléguant au niveau zonal les décisions administratives (actes de gestion).

Les carrières seront plus variées : approche de la carrière par le développement des compétences et de filières professionnelles attractives (exemple de l’investigation), mobilité externe exigée pour l’accès à certaines fonctions (commissaires et officiers), ouverture du corps des commissaires à des profils scientifiques, etc.

Un système d’information ressources humaines (SIRH) rénové, de même que l’instauration d’une politique de maîtrise des risques RH et de contrôle de qualité, améliorera le pilotage des effectifs et des schémas d’emploi, tout en donnant davantage de transparence sur les besoins, les postes disponibles et les compétences attendues. Un nouveau portail agent donnera à chaque agent, où qu’il soit, un accès aux ressources utiles à son déroulement de carrière.

3.6.2. Action sociale

Pour faciliter l’installation et le logement des fonctionnaires du ministère, un effort financier pour la réservation de logements auprès des bailleurs sociaux sera consenti : développement du stock de logements accessibles, utilisation accrue du parc de logement à la disposition de l’Etat (qui sera prévue dans les contrats de sécurité intégrée passés entre l’État et les collectivités territoriales), création d’une offre de colocation. Cet effort porte tout particulièrement sur les zones les plus tendues, notamment l’Ile-de-France, les grandes métropoles et les départements frontaliers.

L’augmentation de l’offre de garde d’enfants concourt également à l’objectif de mieux concilier vie privée et professionnelle : 200 nouvelles places en crèche seront réservées. L’offre de garde d’enfants en horaires atypiques sera développée dans de nouveaux territoires et bénéficiera notamment aux fonctionnaires travaillant de nuit.

3.6.3. Agir sur la qualité de vie au travail

Une action résolue doit également se déployer en faveur de la qualité de vie au travail, du soutien et du soin aux policiers et gendarmes.

Un réseau de nouveaux psychologues du travail, positionnés au niveau zonal, sera mis en place sur cinq ans. Formés à intervenir sur le fonctionnement des collectifs de travail, assistés de vingt réservistes expérimentés pour former des binômes, ils pourront effectuer des audits dans des services aux conditions de travail dégradées.

L’amélioration des conditions de restauration pour les policiers passera par l’harmonisation à la hausse des subventions ministérielles à la restauration administrative, par le développement d’une offre de restauration plus accessible pour les fonctionnaires en horaires atypiques et par la création, la rénovation ou l’équipement d’espaces sociaux de restauration.

Des budgets dédiés seront dégagés pour organiser des actions de cohésion et de prévention (séminaires de service, action de santé et bien-être, équipements sportifs, rencontres entre familles, etc.). Pour la gendarmerie, dans cette même logique de cohésion, les subventions aux cercles mixtes et à la dotation de fonctionnement des unités élémentaires augmenteront.

Les réservistes blessés en service seront indemnisés plus rapidement par les secrétariats généraux pour l’administration du ministère de l’intérieur (SGAMI), afin d’éviter des délais pouvant induire des situations sociales difficiles.

Le service de soutien psychologique opérationnel chargé du soutien individuel et d’actions de debriefing collectives sera renforcé, avec 29 postes supplémentaires dans tout le territoire aux niveaux central et zonal. Il en ira de même avec la médecine statutaire, qui sera renforcée de 10 postes pour assumer la montée en charge de la réserve opérationnelle, ainsi qu’avec la médecine du travail (13 postes supplémentaires). Pour améliorer le suivi des fonctionnaires travaillant de nuit, un complément de traitement sera instauré pour les personnels médicaux intervenant en horaires atypiques.

Le ministère de l’intérieur prendra les mesures qui s’imposent pour prévenir le risque de suicide au sein des forces de sécurité. Cet effort passera notamment par la détection précoce des situations de souffrance, par la communication et l’accès aux dispositifs d’accompagnement psychologique des agents fragilisés et par un travail commun avec les associations mobilisées sur la question du suicide au sein des forces de sécurité.

Un budget consacré à des actions de prévention des addictions sera programmé.

Les moyens dédiés à l’accompagnement à l’emploi des conjoints soumis à une obligation de mobilité seront renforcés à hauteur d’un million d’euros.

Focus : améliorer la résilience des outre-mer exposés à des risques naturels spécifiques

Les territoires ultramarins sont exposés à l’ensemble des risques naturels majeurs, à l’exception du risque d’avalanche.

La surveillance des risques spécifiques aux territoires, ainsi que la prévention en direction des populations, sont primordiales. Ainsi, la conduite de démarches interministérielles similaires à celles du plan séisme Antilles dans d’autres territoires d’outre-mer sera étudiée. Une telle démarche, qui devra être adaptée au contexte de risque local, aura pour objectif notamment le renforcement de la résilience des bâtiments de l’Etat et la qualité du suivi des points d’importance vitaux. La mise en œuvre d’une journée obligatoire de prévention des risques (« journée japonaise ») sera en outre particulièrement pertinente en outre-mer, sur des territoires surexposés aux risques naturels. Enfin, la création d’un partenariat entre service militaire adapté (SMA) et sécurité civile sera actée, pour renforcer la résilience des populations ultramarines confrontées à des événements extrêmes.

La capacité locale de gestion de crise dans les territoires ultramarins sera renforcée. Des moyens nationaux de sécurité civile, notamment aérotransportables, seront prépositionnés outre-mer, afin de fournir aux autorités locales des moyens de première réponse à la crise, avant l’arrivée de secours nationaux ou internationaux. Seront ainsi prépositionnés des détachements des formations militaires de la sécurité civile (FORMISC) en zone Antilles et dans l’océan Indien. De nouveaux sites de la réserve nationale seront créés à Mayotte, à La Réunion et en Guyane. Enfin, de nouveaux moyens en matière de planification, de formation et d’équipement des services d’incendie et de secours (SIS) seront alloués.

3.7. Crise migratoire

Afin de lutter contre l’immigration clandestine alimentée par un dévoiement du droit d’asile et de favoriser les reconduites à la frontière, le délai moyen de traitement d’un dossier par l’Office français de protection des réfugiés et apatrides (OFPRA) sera abaissé à 60 jours sur la durée de la présente loi de programmation et le nombre de places en centres de rétention administrative sera progressivement porté à 3 000.

Des cellules d’enquête, spécialisées et pluridisciplinaires, seront mises en place pour lutter contre la délinquance des mineurs non accompagnés dans les villes où leur présence est particulièrement importante, comme Paris, Rennes ou Nice, à l’image de la cellule mise en place à Bordeaux depuis 2019.

4. Programmation budgétaire

A titre indicatif, les crédits prévus dans le cadre de la loi d’orientation et de programmation du ministère de l’intérieur pourront être ventilés entre les missions et les programmes selon la répartition prévue au tableau ci-après.

Hors compte d’affectation spéciale « Pensions » (En millions d’euros) *

Cacher le tableau

		LFI 2022 + plan de relance		2023		2024		2025		2026		2027Total 2023-2027
	AE		CP	AE	CP		AE	CP	AE		CP	CP	CP	CP
Missión “Administration générale et territoriale de lÉtat” (hors programme “Vie politique”
Titre 2	1860		1860	2026	2026		2061	2061	2088		2088	2110	2136	10421
Hors Titre 2	1490		1473	1895	1598		2823	1810	1900		2361	2456	2752	10977
Total	3351		3333	3920	3623		4885	3872	3988		4449	4566	4888	21398
Programme “Administration terriotoriale de l¨Etat”
Titre 2	1319		1319	1433	1433		1457	1457	1476		1476	1492	1510	7 368
Hors Titre 2	606		555	768	557		617	565	627		574	588	604	2 888
Total	1925		1874	2201	1990		2074	2021	2103		2050	2080	2115	10 257
Programme “Conduite et pilotage des politiques de línterieur”
Titre2	541		541	592	592		605	605	612		612	619	625	3053
Hors titre 2	884		918	1127	1041		2206	1245	1273		1787	1867	2148	8088
Total	1425		1459	1719	1633		2811	1850	1885		2399	2486	2773	11141
Mission “Sécurités”
Titre2	11 490		11 490	12 165	12 165		12 563	12 563	12 773		12 773	12 869	12 982	63 353
Hors titre 2	4530		3423	4825	3608		4070	3769	5063		4054	4385	4607	20422
Total	16 020		14 913	16 990	15 773		16 633	16 332	17 837		16 827	17 254	17 589	83 275
Programme “Gemdar,eroe nationale”
Titre 2	4339		4339	4633	4633		4834	4834	4906		4906	4973	5027	24373
Hors titre 2	2181		1555	2013	1555		1845	1528	2495		1596	1838	1904	8422
Total	6520		5894	6646	6188		6678	6361	7401		6503	6811	6931	32794
Programme “Police nationale”
Titre2	7014		7014	7386	7386		7579	7579	7712		7712	7737	7795	38208
Hors tirtre 2	1805		1435	1869	1539		1756	1629	2041		1826	1826	2029	8849
Total	8819		8449	9255	8925		9335	9208	9753		9538	9563	9824	47058
Programme “Sécurité civile”
Titre2	137		137	146	146		151	151	155		155	160	161	772
Hors titre 2	492		382	868	439		364	507	419		523	611	560	2640
Total	629		519	1014	585		514	658	574		678	770	721	3412
Programme “Sécurité et éducation routières”
Hors titre 2	52		51	75	74		105	105	109		109	110	113	511
Total	52		51	75	74		105	105	109		109	110	113	511
Mission “Immigration, asile et intégration
Hors titre	2013		1931	2675	2009		1598	2058	1660		2074	2163	2163	10468
Total	2013		1931	2675	2009		1598	2058	1660		2074	2163	2163	10468
Compte d´affectation spéciale “Contrôle de la circulation et du stationnement routiers”: programmes “Structures et dispositifs de sécurité routière” et “Contrôle et modernisation de la politique de la circulatin et du stationnement routiers”
Hors titre 2	366		366	366	366		366	366	366		366	366	366	1831
TOTAL	366		366	366	366		366	366	366		366	366	366	1831
Agence nationale des titres sécurisés (taxes effectées)
Plafond de taxes affectées	241		241	263	263		286	286	298		298	314	287	1448
Total	241		241	263	263		286	286	298		298	314	287	1448
Total
Titre2	13 350		13 350	14 191	14 191		14 625	14 625	14 862		14 862	14 980	15 118	73 774
Hors titre 2	8 641		7 434	10 024	7 844		9 143	8 289	9 286		9 152	9 684	10 176	45 145
Total	21 991		20 784	24 215	22 034		23 768	22 914	24 148		24 014	24 664	25 294	118 920
Marches annuelles				+ 2 224	+1 250		+1 777	+2 130	+2 157		+3 230	+3 880	+4 510
Marches annuelles titre 2				+ 841	+ 841		+1 275	+1 275	+ 1 512		+ 1 512	+1 630	+1 768
Marches annualles hors titre 2				+1 383	+ 410		+ 502	+ 855	+ 646		+1 718	+2 250	+2 742
Dont marches annuelles LOPMI					+1 250			+2 130			+ 3 230	+ 3 880	+ 4 510

* La somme des arrondis peut différer de l’arrondi de la somme.

(1) Données Opinion Way pour le Club des experts de la sécurité de l’information et du numérique (décembre 2020 – janvier 2021).

(2) La réponse à ce constat sera traitée dans le troisième axe, consacré à la gestion de crise.

(3) La confiance police-population en 2021 : le décrochage des 18-24 ans, Cevipof.

(JOURNAL OFFICIEL DE LA POLYNESIE FRANÇAISE 10 Février 2023)

Fait à Paris, le 24 janvier 2023.

Par le Président de la République : EMMANUEL MACRON

La Première ministre, ÉLISABETH BORNE

Le ministre de l’économie, des finances et de la souveraineté industrielle et numérique, BRUNO LE MAIRE

Le ministre de l’intérieur et des outre-mer, GÉRALD DARMANIN

Le garde des sceaux, ministre de la justice, ÉRIC DUPOND-MORETTI

Le ministre de la transition écologique et de la cohésion des territoires, CHRISTOPHE BÉCHU

Le ministre de la santé et de la prévention, FRANÇOIS BRAUN

Le ministre délégué auprès du ministre de l’économie, des finances et de la souveraineté industrielle et numérique, chargé des comptes publics, GABRIEL ATTAL

Le ministre délégué auprès du ministre de l’économie, des finances et de la souveraineté industrielle et numérique, chargé de la transition numérique et des télécommunications, JEAN-NOËL BARROT

Le ministre délégué auprès du ministre de l’intérieur et des outre-mer, chargé des outre-mer, JEAN-FRANÇOIS CARENCO

Le ministre délégué auprès du ministre de la transition écologique et de la cohésion des territoires, chargé des transports, CLÉMENT BEAUNE

17Nov/24

Loi n° 2024-449 du 21 mai 2024

17 noviembre, 2024France, LoiCode Penal, Commerce electronique, DC Constitutionnel 2024-866, Derecho Informático, Directive 2000/31/CE, economie numérique, fichiers et libertés, informatique, Legislación francesa, Legislación nformática, Legislation Français, liberté communication, Loi 2004-575, Loi 86-1067, Reglamento (UE)2022/2065José Cuervo

Loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (Journal Officiel du 22 mai 2024)

Loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (1)

L’Assemblée nationale et le Sénat ont adopté,

Vu la décision du Conseil constitutionnel n° 2024-866 DC du 17 mai 2024 ;

Le Président de la République promulgue la loi dont la teneur suit :

Titre IER : PROTECTION DES MINEURS EN LIGNE (Articles 1 à 6)

Section 1 : Renforcement des pouvoirs de l’Autorité de régulation de la communication audiovisuelle et numérique en matière de protection en ligne des mineurs (Articles 1 à 3)

Article 1

I.-L’article 10 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi rédigé :

« Art. 10.-I.-L’Autorité de régulation de la communication audiovisuelle et numérique veille à ce que les contenus pornographiques mis à la disposition du public par un éditeur de service de communication au public en ligne, sous sa responsabilité éditoriale, ou fournis par un service de plateforme de partage de vidéos, au sens de l’article 2 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, ne soient pas accessibles aux mineurs.

«Elle établit et publie à cette fin, après avis de la Commission nationale de l’informatique et des libertés, un référentiel déterminant les exigences techniques minimales applicables aux systèmes de vérification de l’âge. Ces exigences portent sur la fiabilité du contrôle de l’âge des utilisateurs et sur le respect de leur vie privée. Ce référentiel est actualisé en tant que de besoin dans les mêmes conditions. L’Autorité de régulation de la communication audiovisuelle et numérique peut exiger des éditeurs et des fournisseurs de services mentionnés au premier alinéa du présent I qu’ils conduisent un audit des systèmes de vérification de l’âge qu’ils mettent en œuvre afin d’attester de la conformité de ces systèmes avec les exigences techniques définies par le référentiel. Ledit référentiel précise les modalités de réalisation et de publicité de cet audit, qui est confié à un organisme indépendant disposant d’une expérience avérée.

« L’éditeur de service de communication au public en ligne et le fournisseur d’un service de plateforme de partage de vidéos mentionnés au même premier alinéa prévoient l’affichage d’un écran ne comportant aucun contenu à caractère pornographique tant que l’âge de l’utilisateur n’a pas été vérifié.

« II.-L’Autorité de régulation de la communication audiovisuelle et numérique peut, le cas échéant après avis du président de la Commission nationale de l’informatique et des libertés, mettre en demeure les personnes mentionnées au premier alinéa du I qui permettent l’accès à un contenu pornographique de se conformer, dans un délai d’un mois, au référentiel mentionné au deuxième alinéa du même I. Elle rend publiques ces mises en demeure.

« Lorsque la personne ne se conforme pas à la mise en demeure à l’expiration de ce délai, l’Autorité de régulation de la communication audiovisuelle et numérique peut, après avis de la Commission nationale de l’informatique et des libertés, prononcer une sanction pécuniaire dans les conditions prévues à l’article 42-7 de la loi n° 86-1067 du 30 septembre 1986 précitée.

« Le montant de la sanction prend en compte la nature, la gravité et la durée du manquement, les avantages tirés de ce manquement et les manquements commis précédemment.

« La sanction prononcée ne peut excéder 150 000 euros ou 2 % du chiffre d’affaires mondial hors taxes réalisé au cours de l’exercice précédent, le plus élevé des deux montants étant retenu. Ce maximum est porté à 300 000 euros ou à 4 % du chiffre d’affaires mondial hors taxes, le plus élevé des deux montants étant retenu, en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première sanction est devenue définitive.

« Les sanctions pécuniaires sont recouvrées comme les créances de l’Etat étrangères à l’impôt et au domaine. »

II.-L’Autorité de régulation de la communication audiovisuelle et numérique établit et publie le référentiel mentionné au I de l’article 10 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, dans sa rédaction résultant de la présente loi, dans un délai de deux mois à compter de sa promulgation. Elle rend compte, dans le rapport d’activité mentionné au IV de l’article 10-1 de la loi n° 2004-575 du 21 juin 2004 précitée, des actualisations du référentiel et des audits des systèmes de vérification de l’âge mis en œuvre par les services concernés.

III.-Les personnes mentionnées au I de l’article 10 de la loi n° 2004-575 du 21 juin 2004 précitée dont le service permet l’accès à des contenus pornographiques mettent en œuvre un système de vérification de l’âge conforme aux caractéristiques techniques du référentiel mentionné au même I dans un délai de trois mois à compter de la publication du référentiel par l’Autorité de régulation de la communication audiovisuelle et numérique.

Article 2

I.-Après l’article 10 de la loi n° 2004-575 du 21 juin 2004 précitée, sont insérés des articles 10-1 et 10-2 ainsi rédigés :

« Art. 10-1.-I.-Lorsqu’une personne dont l’activité est de fournir un service de communication au public en ligne sous sa responsabilité éditoriale ou de fournir un service de plateforme de partage de vidéos permet à des mineurs d’avoir accès à un contenu pornographique en violation de l’article 227-24 du code pénal, l’Autorité de régulation de la communication audiovisuelle et numérique lui fait part de ses observations motivées par une lettre, remise par tout moyen propre à en établir la date de réception. A compter de la date de sa réception, le destinataire de cette lettre dispose d’un délai de quinze jours pour présenter ses observations.

« A l’expiration de ce délai, l’Autorité de régulation de la communication audiovisuelle et numérique peut mettre en demeure la personne mentionnée au premier alinéa du présent I de prendre, dans un délai de quinze jours, toute mesure de nature à empêcher l’accès des mineurs à ces contenus. L’Autorité de régulation de la communication audiovisuelle et numérique rend publique cette mise en demeure.

« II.-Lorsque la personne mentionnée au I ne se conforme pas à la mise en demeure à l’expiration du délai de quinze jours mentionné au second alinéa du même I, l’Autorité de régulation de la communication audiovisuelle et numérique peut prononcer une sanction pécuniaire dans les conditions prévues à l’article 42-7 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication.

« Le montant de la sanction prend en compte la nature, la gravité et la durée du manquement, les avantages tirés de ce manquement et les manquements commis précédemment.

« La sanction prononcée ne peut excéder 250 000 euros ou 4 % du chiffre d’affaires mondial hors taxes réalisé au cours de l’exercice précédent, le plus élevé des deux montants étant retenu. Ce maximum est porté à 500 000 euros ou à 6 % du chiffre d’affaires mondial hors taxes, le plus élevé des deux montants étant retenu, en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première sanction est devenue définitive.

« Les sanctions pécuniaires sont recouvrées comme les créances de l’Etat étrangères à l’impôt et au domaine.

« III.-En cas d’inexécution de la mise en demeure prévue au I du présent article, l’Autorité de régulation de la communication audiovisuelle et numérique peut notifier aux fournisseurs de services d’accès à internet ou aux fournisseurs de systèmes de résolution de noms de domaine mentionnés au II de l’article 12, par tout moyen propre à en établir la date de réception, les adresses électroniques des services de communication au public en ligne ou des services de plateforme de partage de vidéos ayant fait l’objet de la procédure prévue au I du présent article ainsi que celles des services qui reprennent le même contenu, en totalité ou de manière substantielle, et qui présentent les mêmes modalités d’accès. Ces fournisseurs doivent alors empêcher l’accès à ces adresses dans un délai de quarante-huit heures. Toutefois, en l’absence de mise à disposition des informations mentionnées aux I et II de l’article 1er-1, l’Autorité de régulation de la communication audiovisuelle et numérique peut procéder à la notification prévue au présent III sans avoir mis en œuvre la procédure prévue au I du présent article.

« Les utilisateurs des services de communication au public en ligne et des services de plateforme de partage de vidéos auxquels l’accès est empêché sont avertis par une page d’information de l’Autorité de régulation de la communication audiovisuelle et numérique indiquant les motifs de la mesure de blocage.

«L’Autorité de régulation de la communication audiovisuelle et numérique peut également notifier les adresses électroniques de ces services ainsi que celles des services qui reprennent le même contenu, en totalité ou de manière substantielle, et qui présentent les mêmes modalités d’accès aux moteurs de recherche ou aux annuaires, lesquels disposent d’un délai de quarante-huit heures afin de faire cesser le référencement des services concernés.

« Une copie des notifications adressées aux fournisseurs de services d’accès à internet, aux fournisseurs de systèmes de résolution de noms de domaine et aux moteurs de recherche ou aux annuaires est adressée simultanément à la personne dont l’activité est d’éditer le service de communication au public en ligne ou de fournir un service de plateforme de partage de vidéos concernée.

« Les mesures prévues au présent III sont prononcées pour une durée maximale de deux ans. Leur nécessité est réévaluée, d’office ou sur demande, au moins une fois par an. Lorsque les faits mentionnés au premier alinéa du I ne sont plus constitués, l’Autorité de régulation de la communication audiovisuelle et numérique avise sans délai les destinataires des notifications prévues au présent III de la levée de ces mesures.

« IV.-L’Autorité de régulation de la communication audiovisuelle et numérique rend public chaque année un rapport d’activité sur les conditions d’exercice et les résultats de son activité, qui précise notamment le nombre de décisions d’injonction, les suites qui y ont été données, les éventuelles décisions de justice prises sur les recours engagés contre ces décisions d’injonction et le nombre d’adresses électroniques qui ont fait l’objet d’une mesure de blocage d’accès ou de déréférencement. Ce rapport est remis au Gouvernement et au Parlement.

« V.-Sans préjudice des articles L. 521-1 et L. 521-2 du code de justice administrative, les personnes mentionnées aux I à III du présent article peuvent demander au président du tribunal administratif ou au magistrat délégué par celui-ci l’annulation des mesures mentionnées aux mêmes I à III dans un délai de cinq jours à compter de leur réception.

« Il est statué sur la légalité de la mesure de blocage ou de déréférencement dans un délai d’un mois à compter de la saisine. L’audience est publique.

« Les jugements rendus en application des deux premiers alinéas du présent V sont susceptibles d’appel dans un délai de dix jours à compter de leur notification. Dans ce cas, la juridiction d’appel statue dans un délai de trois mois à compter de sa saisine.

« VI.-Pour tout manquement aux obligations définies au III du présent article, l’Autorité de régulation de la communication audiovisuelle et numérique peut prononcer une sanction pécuniaire dans les conditions prévues à l’article 42-7 de la loi n° 86-1067 du 30 septembre 1986 précitée.

« Toutefois, aucune sanction ne peut être prononcée lorsque, en raison de motifs de force majeure ou d’impossibilité de fait qui ne lui sont pas imputables, la personne concernée est placée dans l’impossibilité de respecter l’obligation qui lui a été faite ou, lorsque la procédure prévue au V du présent article a été engagée, tant qu’elle n’a pas fait l’objet d’une décision devenue définitive.

« Le montant de la sanction prend en compte la nature, la gravité et la durée du manquement, les avantages tirés de ce manquement et les manquements commis précédemment.

« Le montant de la sanction ne peut excéder la somme de 75 000 euros ou 1 % du chiffre d’affaires mondial hors taxes réalisé au cours de l’exercice précédent, le plus élevé des deux montants étant retenu. Ce maximum est porté à 150 000 euros ou à 2 % du chiffre d’affaires mondial hors taxes, le plus élevé des deux montants étant retenu, en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première sanction est devenue définitive.

« Les sanctions pécuniaires sont recouvrées comme les créances de l’Etat étrangères à l’impôt et au domaine.

« VII.-Les agents de l’Autorité de régulation de la communication audiovisuelle et numérique peuvent, s’ils ont été spécialement habilités à cet effet par l’autorité et assermentés dans les conditions prévues au 2° du I de l’article 19 de la loi n° 86-1067 du 30 septembre 1986 précitée, constater par procès-verbal qu’un service de communication au public en ligne ou un service de plateforme de partage de vidéos permettant l’accès à des contenus pornographiques ne met pas en œuvre un système de vérification de l’âge conforme aux exigences techniques minimales du référentiel mentionné à l’article 10 de la présente loi ou permet à des mineurs d’avoir accès à un contenu pornographique en violation de l’article 227-24 du code pénal.

« VIII.-Les conditions d’application du présent article sont précisées par décret en Conseil d’Etat.

« Art. 10-2.-I.-Les articles 10 et 10-1 s’appliquent aux éditeurs de service de communication au public en ligne et aux fournisseurs de services de plateforme de partage de vidéos établis en France ou hors de l’Union européenne.

« II.-Lorsque les conditions mentionnées au a du paragraphe 4 de l’article 3 de la directive 2000/31/ CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (“ directive sur le commerce électronique ”) sont remplies et au terme de la procédure prévue au b du paragraphe 4 ou, le cas échéant, au paragraphe 5 du même article 3, les articles 10 et 10-1 de la présente loi s’appliquent également aux éditeurs de service de communication au public en ligne et aux fournisseurs de services de plateforme de partage de vidéos établis dans un autre Etat membre de l’Union européenne, trois mois après la publication de l’arrêté conjoint du ministre chargé de la culture et de la communication et du ministre chargé du numérique les désignant. L’Autorité de régulation de la communication audiovisuelle et numérique peut proposer aux ministres la désignation de ces personnes et fournit à l’appui tous les éléments de nature à justifier sa proposition. L’arrêté est pris après avis de l’Autorité de régulation de la communication audiovisuelle et numérique, sauf lorsqu’il fait suite à une proposition de l’Autorité portant sur chacun des fournisseurs désignés par cet arrêté. »

II.-L’article 23 de la loi n° 2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales est abrogé.

Article 3

Après l’article 6-6 de la loi n° 2004-575 du 21 juin 2004 précitée, il est inséré un article 6-8 ainsi rédigé :

« Art. 6-8. – I. – En cas d’inexécution de la mise en demeure prévue au II de l’article 6-7, l’Autorité de régulation de la communication audiovisuelle et numérique peut demander aux boutiques d’applications logicielles d’empêcher le téléchargement de l’application logicielle en cause. Ces boutiques disposent d’un délai de quarante-huit heures pour satisfaire cette demande.

« II. – En cas d’inexécution de la mise en demeure prévue au II de l’article 10 et au I de l’article 10-1 et dans l’hypothèse où l’éditeur du service de communication au public en ligne ou le fournisseur du service de plateforme de partage de vidéos concerné donne accès aux contenus pornographiques au moyen d’une application logicielle ou édite des applications qui reprennent ces contenus, en totalité ou de manière substantielle et selon les mêmes modalités d’accès, l’Autorité de régulation de la communication audiovisuelle et numérique peut demander aux boutiques d’applications logicielles d’empêcher le téléchargement des applications logicielles en cause. Ces boutiques disposent d’un délai de quarante-huit heures pour satisfaire cette demande.

« III. – Les mesures prévues aux I et II du présent article sont demandées pour une durée maximale de deux ans. Leur nécessité est réévaluée, d’office ou sur demande, au moins une fois par an. Lorsque les faits justifiant les demandes prévues aux mêmes I et II ne sont plus constitués, l’Autorité de régulation de la communication audiovisuelle et numérique avise sans délai les destinataires de celles-ci de la levée des mesures.

« IV. – Le fait pour une boutique d’applications logicielles de ne pas satisfaire aux obligations prévues aux I à III est puni d’une amende ne pouvant excéder 1 % du chiffre d’affaires mondial hors taxes réalisé au cours de l’exercice précédent.

« V. – Un décret en Conseil d’Etat, pris après avis de l’Autorité de régulation de la communication audiovisuelle et numérique, détermine les modalités d’application du présent article. »

Section 2 : Pénalisation du défaut d’exécution en vingt-quatre heures d’une demande de l’autorité administrative de retrait de contenu pédopornographique (Articles 4 à 6)

Article 4

La loi n° 2004-575 du 21 juin 2004 précitée est ainsi modifiée :

1° L’article 6-5 est abrogé ;

2° L’article 6-2 devient l’article 6-5 ;

3° L’article 6-2 est ainsi rétabli :

« Art. 6-2.-I.-Si un fournisseur de services d’hébergement n’a jamais fait l’objet d’une demande en application de l’article 6-1 en vue de retirer une image ou une représentation de mineurs présentant un caractère pornographique relevant de l’article 227-23 du code pénal, l’autorité administrative mentionnée à l’article 6-1 de la présente loi communique à ladite personne des informations sur les procédures et les délais applicables, au moins douze heures avant d’émettre la demande de retrait.

« II.-Si le fournisseur mentionné au I du présent article ne peut se conformer à une demande de retrait pour des motifs tenant à la force majeure ou à une impossibilité de fait qui ne lui sont pas imputables, y compris pour des raisons techniques ou opérationnelles objectivement justifiables, il informe de ces motifs, sans retard indu, l’autorité administrative qui a émis la demande de retrait.

« Le délai indiqué au deuxième alinéa de l’article 6-1 commence à courir dès que les motifs mentionnés au premier alinéa du présent II ont cessé d’exister.

« Si le fournisseur mentionné au I ne peut se conformer à une demande de retrait, au motif que cette dernière contient des erreurs manifestes ou ne contient pas suffisamment d’informations pour en permettre l’exécution, il informe de ces motifs, sans retard indu, l’autorité administrative qui a émis la demande de retrait et demande les éclaircissements nécessaires.

« Le délai indiqué au deuxième alinéa de l’article 6-1 commence à courir dès que le fournisseur de services d’hébergement a reçu ces éclaircissements.

« III.-Lorsqu’un fournisseur de services d’hébergement retire une image ou une représentation de mineurs présentant un caractère pornographique et relevant de l’article 227-23 du code pénal, il en informe dans les meilleurs délais le fournisseur de contenus, en précisant les motifs qui ont conduit au retrait de l’image ou de la représentation, la possibilité de solliciter la transmission d’une copie de l’injonction de retrait et les droits dont il dispose pour contester la demande de retrait devant la juridiction administrative compétente.

« Sur demande du fournisseur de contenus, le fournisseur de services d’hébergement transmet une copie de l’injonction de retrait.

« Les obligations prévues aux deux premiers alinéas du présent III ne s’appliquent pas lorsque l’autorité compétente qui a émis la demande de retrait décide qu’il est nécessaire et proportionné de ne pas divulguer d’informations pour ne pas entraver le bon déroulement des actions de prévention, de détection, de recherche et de poursuite des auteurs de l’infraction prévue à l’article 227-23 du code pénal.

« En pareil cas, l’autorité compétente informe le fournisseur de services d’hébergement de sa décision en précisant sa durée d’application, qui ne peut excéder six semaines à compter de ladite décision, et le fournisseur de services d’hébergement ne divulgue aucune information sur le retrait du contenu au fournisseur de ce dernier.

« Ladite autorité compétente peut prolonger cette période d’une nouvelle période de six semaines lorsque la non-divulgation continue d’être justifiée. En pareil cas, elle en informe le fournisseur de services d’hébergement. » ;

4° Après le même article 6-2, sont insérés des articles 6-2-1 et 6-2-2 ainsi rédigés :

« Art. 6-2-1.-I.-Le fait, pour les fournisseurs de services d’hébergement, de ne pas retirer les images ou les représentations de mineurs présentant un caractère pornographique relevant de l’article 227-23 du code pénal dans un délai de vingt-quatre heures à compter de la réception de la demande de retrait prévue à l’article 6-1 de la présente loi est puni d’un an d’emprisonnement et de 250 000 euros d’amende.

« Lorsque l’infraction définie au premier alinéa du présent I est commise de manière habituelle par une personne morale, le montant de l’amende peut être porté à 4 % de son chiffre d’affaires mondial hors taxes réalisé au cours de l’exercice précédent.

« II.-Les personnes morales déclarées responsables pénalement, dans les conditions prévues à l’article 121-2 du code pénal, des infractions définies au I du présent article encourent, outre l’amende suivant les modalités prévues à l’article 131-38 du code pénal, les peines prévues aux 2° et 9° de l’article 131-39 du même code. L’interdiction prévue au 2° du même article 131-39 est prononcée pour une durée maximale de cinq ans et porte sur l’activité professionnelle dans l’exercice ou à l’occasion de laquelle l’infraction a été commise.

« Art. 6-2-2.-I.-Sans préjudice des articles L. 521-1 et L. 521-2 du code de justice administrative, les fournisseurs de services d’hébergement et les fournisseurs de contenus concernés par une demande, faite en application de l’article 6-1 de la présente loi, de retrait d’une image ou d’une représentation de mineurs présentant un caractère pornographique relevant de l’article 227-23 du code pénal ainsi que la personnalité qualifiée mentionnée à l’article 6-1 de la présente loi peuvent demander au président du tribunal administratif ou au magistrat délégué par celui-ci l’annulation de cette demande, dans un délai de quarante-huit heures à compter soit de sa réception, soit, s’agissant du fournisseur de contenus, du moment où il est informé par le fournisseur de services d’hébergement du retrait du contenu.

« II.-Il est statué sur la légalité de l’injonction de retrait dans un délai de soixante-douze heures à compter de la saisine. L’audience est publique.

« III.-Les jugements rendus en application du I du présent article sur la légalité de la décision sont susceptibles d’appel dans un délai de dix jours à compter de leur notification. Dans ce cas, la juridiction d’appel statue dans un délai d’un mois à compter de sa saisine.

« IV.-Les modalités d’application du présent article sont précisées par décret en Conseil d’Etat. »

Article 5

I. – A titre expérimental, pour une durée de deux ans à compter de l’entrée en vigueur du décret prévu au présent article, l’autorité administrative peut, lorsque les nécessités de la lutte contre la diffusion des images de tortures ou d’actes de barbarie relevant de l’article 222-1 du code pénal le justifient, demander à toute personne dont l’activité est d’éditer un service de communication au public en ligne ou aux fournisseurs de services d’hébergement de retirer les contenus qui contreviennent manifestement au même article 222-1. Elle en informe simultanément les fournisseurs de services d’accès à internet.

En l’absence de retrait de ces contenus dans un délai de vingt-quatre heures, l’autorité administrative peut notifier aux fournisseurs de services d’hébergement la liste des adresses électroniques des services de communication au public en ligne contrevenant audit article 222-1. Ces personnes doivent alors empêcher sans délai l’accès à ces adresses. Toutefois, en l’absence de mise à disposition par la personne dont l’activité est d’éditer un service de communication au public en ligne des informations mentionnées au III de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, l’autorité administrative peut procéder à la notification prévue à la première phrase du présent alinéa sans avoir préalablement demandé le retrait des contenus dans les conditions prévues à la première phrase du premier alinéa.

L’autorité administrative transmet les demandes de retrait et la liste mentionnées, respectivement, aux premier et deuxième alinéas à une personnalité qualifiée, désignée en son sein par l’Autorité de régulation de la communication audiovisuelle et numérique pour la durée de son mandat au sein de cette autorité. La personnalité qualifiée s’assure de la régularité des demandes de retrait et des conditions d’établissement, de mise à jour, de communication et d’utilisation de la liste. Si elle constate une irrégularité, elle peut à tout moment recommander à l’autorité administrative d’y mettre fin. Si l’autorité administrative ne suit pas cette recommandation, la personnalité qualifiée peut saisir la juridiction administrative compétente, en référé ou sur requête.

L’autorité administrative peut également notifier les adresses électroniques dont les contenus contreviennent à l’article 222-1 du code pénal aux moteurs de recherche ou aux annuaires, lesquels prennent toute mesure utile destinée à faire cesser le référencement du service de communication au public en ligne. La procédure prévue au troisième alinéa du présent I est applicable.

II. – A. – Si un fournisseur de services d’hébergement n’a jamais fait l’objet d’une demande en application du I du présent article de retirer une image de tortures ou d’actes de barbarie relevant de l’article 222-1 du code pénal, l’autorité administrative mentionnée au I du présent article communique à ladite personne des informations sur les procédures et les délais applicables, au moins douze heures avant d’émettre la demande de retrait.

B. – Si le fournisseur mentionné au A du présent II ne peut se conformer à une demande de retrait pour des motifs tenant à la force majeure ou à une impossibilité de fait qui ne sont lui pas imputables, y compris pour des raisons techniques ou opérationnelles objectivement justifiables, il informe de ces motifs, sans retard indu, l’autorité administrative qui a émis la demande de retrait. Après examen de ces motifs, l’autorité administrative peut enjoindre au fournisseur mentionné au même A de se conformer à la demande de retrait.

Le délai indiqué au deuxième alinéa du I commence à courir dès que les motifs mentionnés au premier alinéa du présent B ont cessé d’exister.

Si le fournisseur mentionné au A ne peut se conformer à une demande de retrait, au motif que cette dernière contient des erreurs manifestes ou ne contient pas suffisamment d’informations pour en permettre l’exécution, il informe de ces motifs, sans retard indu, l’autorité administrative qui a émis la demande de retrait et demande les éclaircissements nécessaires.

Le délai indiqué au deuxième alinéa du I commence à courir dès que le fournisseur de services d’hébergement a reçu ces éclaircissements.

C. – Lorsqu’un fournisseur de services d’hébergement retire une image de tortures ou d’actes de barbarie relevant de l’article 222-1 du code pénal, il en informe, dans les meilleurs délais, le fournisseur de contenus, en précisant les motifs qui ont conduit au retrait de l’image, la possibilité de solliciter la transmission d’une copie de l’injonction de retrait et les droits dont il dispose pour contester la demande de retrait devant la juridiction administrative compétente.

Sur demande du fournisseur de contenus, le fournisseur de services d’hébergement transmet une copie de l’injonction de retrait.

Les obligations prévues aux deux premiers alinéas du présent C ne s’appliquent pas lorsque l’autorité compétente qui a émis la demande de retrait décide qu’il est nécessaire et proportionné de ne pas divulguer d’informations pour ne pas entraver le bon déroulement des actions de prévention, de détection, de recherche et de poursuite des auteurs de l’infraction prévue à l’article 222-1 du code pénal.

En pareil cas, l’autorité compétente informe le fournisseur de services d’hébergement de sa décision en précisant sa durée d’application, qui ne peut excéder six semaines à compter de ladite décision, et le fournisseur de services d’hébergement ne divulgue aucune information sur le retrait du contenu au fournisseur de ce dernier.

Ladite autorité compétente peut prolonger cette période d’une nouvelle période de six semaines lorsque la non-divulgation continue d’être justifiée. En pareil cas, elle en informe le fournisseur de services d’hébergement.

III. – A. – Sans préjudice des articles L. 521-1 et L. 521-2 du code de justice administrative, les fournisseurs de services d’hébergement et les fournisseurs de contenus concernés par une demande, faite en application du I du présent article, de retrait d’une image de tortures ou d’actes de barbarie relevant de l’article 222-1 du code pénal ainsi que la personnalité qualifiée mentionnée au I du présent article peuvent demander au président du tribunal administratif ou au magistrat délégué par celui-ci l’annulation de cette demande, dans un délai de quarante-huit heures à compter soit de sa réception, soit, s’agissant du fournisseur de contenus, du moment où il est informé par le fournisseur de services d’hébergement du retrait du contenu.

B. – Il est statué sur la légalité de l’injonction de retrait dans un délai de soixante-douze heures à compter de la saisine. L’audience est publique.

C. – Les jugements rendus en application du A du II sur la légalité de la décision sont susceptibles d’appel dans un délai de dix jours à compter de leur notification. Dans ce cas, la juridiction d’appel statue dans un délai d’un mois à compter de sa saisine.

IV. – Les modalités d’application du présent article sont précisées par décret.

V. – Au plus tard trois mois avant son terme, le Gouvernement remet au Parlement un rapport d’évaluation de l’expérimentation afin de déterminer l’opportunité de son éventuelle pérennisation. Ce rapport porte notamment sur le nombre de signalements effectués auprès de l’autorité administrative, le nombre de demandes de retrait, le nombre de sollicitations du ministère public, le nombre de sanctions prononcées et les difficultés constatées, notamment en matière de caractérisation des contenus en cause.

Article 6

Dans un délai de six mois à compter de la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport sur l’extension des compétences de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, selon la procédure prévue à l’article 6-1 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, au retrait des contenus présentant des traitements inhumains et dégradants, des viols et des situations d’inceste.

Titre II : PROTECTION DES CITOYENS DANS L’ENVIRONNEMENT NUMÉRIQUE (Articles 7 à 25)

Article 7

L’article L. 312-9 du code de l’éducation est ainsi modifié :

1° Après le mot : « numériques », la fin du dernier alinéa est ainsi rédigée : « et de l’intelligence artificielle, de tous types de contenus générés par ceux-ci et des réseaux sociaux ainsi qu’aux dérives et aux risques liés à ces outils et aux contenus générés par l’intelligence artificielle ainsi qu’à la lutte contre la désinformation. » ;

2° Sont ajoutés quatre alinéas ainsi rédigés :

« Cette attestation est obligatoire pour tous les élèves à l’issue de la première année de collège et doit être renouvelée à l’issue de la dernière année de collège.

« Afin de renforcer et de valoriser la culture numérique professionnelle des membres du personnel enseignant et d’éducation, les membres volontaires peuvent également bénéficier d’une attestation de leurs compétences numériques professionnelles.

« Une information annuelle sur l’apprentissage de la citoyenneté numérique est dispensée au début de chaque année scolaire aux représentants légaux des élèves par un membre de l’équipe pédagogique. Elle comprend notamment des messages d’information relatifs au temps d’utilisation des écrans par les élèves et à l’âge des utilisateurs, une sensibilisation à l’exposition des mineurs aux contenus illicites et à la lutte contre la diffusion de contenus haineux en ligne, une sensibilisation contre la manipulation d’ordre commercial et les risques d’escroquerie en ligne, une sensibilisation à l’usage des dispositifs de signalement des contenus illicites mis à disposition par les plateformes, une sensibilisation à l’interdiction du harcèlement commis dans l’espace numérique ainsi qu’un renvoi aux différentes plateformes et services publics susceptibles de les accompagner.

« Cette formation inclut une sensibilisation aux violences sexistes et sexuelles commises par l’utilisation d’un service de communication au public en ligne ou par le biais d’un support numérique ou électronique. »

Article 8

Le deuxième alinéa de l’article L. 611-8 du code de l’éducation est complété par une phrase ainsi rédigée : « Elle comporte également une sensibilisation à la citoyenneté numérique, aux droits et aux devoirs liés à l’utilisation d’internet et des réseaux sociaux, à la prévention des violences sexistes et sexuelles commises par l’utilisation d’un service de communication au public en ligne ou par le biais d’un support numérique ou électronique et à l’usage des dispositifs de signalement de contenus illicites mis à disposition par les plateformes. »

Article 9

Le Gouvernement remet au Parlement, dans un délai d’un an à compter de la promulgation de la présente loi, un rapport sur les actions de prévention et de sensibilisation au harcèlement, y compris au cyberharcèlement, mises en place dans les établissements scolaires.

Ce rapport évalue la possibilité de rendre obligatoire une session annuelle de sensibilisation aux enjeux de harcèlement, dont le cyberharcèlement.

Il évalue également la façon dont la lutte contre le harcèlement, dont le cyberharcèlement, est incluse dans la formation initiale et la formation continue de l’ensemble des personnels des établissements scolaires.

Article 10

[Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2024-866 DC du 17 mai 2024.]

Article 11

[Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2024-866 DC du 17 mai 2024.]

Article 12

Après l’article 1er de la loi n° 2004-575 du 21 juin 2004 précitée, il est inséré un article 1er-3 ainsi rédigé :

« Art. 1 -3. – Les producteurs mentionnés à l’article L. 132-23 du code de la propriété intellectuelle qui produisent des contenus à caractère pornographique simulant la commission d’un crime ou d’un délit mentionné au deuxième alinéa du présent article affichent un message avertissant l’utilisateur du caractère illégal des comportements ainsi représentés. Ce message, visible avant tout accès par voie électronique audit contenu puis pendant toute la durée de visionnage, est clair, lisible et compréhensible.

« Le premier alinéa du présent article est applicable aux infractions prévues aux paragraphes 1 et 3 de la section 3 du chapitre II du titre II du livre II du code pénal.

« Le contenu et les modalités de présentation du message prévu au premier alinéa du présent article sont précisés par un décret pris après avis de l’Autorité de régulation de la communication audiovisuelle et numérique.

« Tout manquement à l’obligation prévue au présent article est puni d’un an d’emprisonnement et de 75 000 euros d’amende.

« Tout contenu qui ne fait pas l’objet du message prévu au présent article est illicite au sens du paragraphe h de l’article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques). »

Article 13

Après l’article 6-1 de la loi n° 2004-575 du 21 juin 2004 précitée, il est inséré un article 6-1-1 A ainsi rédigé :

« Art. 6-1-1 A.-Les fournisseurs de services d’hébergement définis au 2 du I de l’article 6 agissent promptement pour retirer tout contenu pornographique signalé par une personne représentée dans ce contenu comme étant diffusé en violation de l’accord de cession de droits ou pour rendre l’accès à celui-ci impossible, lorsque ce signalement est notifié conformément à l’article 16 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques). »

Article 14

I.-La loi n° 86-1067 du 30 septembre 1986 précitée est ainsi modifiée :

1° A la première phrase du premier alinéa du III de l’article 33-1, après la référence : « 43-5 », sont insérés les mots : « ou mentionnés au second alinéa de l’article 43-2 » ;

2° L’article 33-3 est complété par un III ainsi rédigé :

« III.-Par dérogation aux I et II, les services de médias audiovisuels à la demande relevant de la compétence de la France en application des articles 43-4 et 43-5 ou mentionnés au second alinéa de l’article 43-2 peuvent être diffusés sans formalité préalable. » ;

3° Au premier alinéa de l’article 42, après le mot : « audiovisuelle », sont insérés les mots : «, les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne » ;

4° Après le même premier alinéa, il est inséré un alinéa ainsi rédigé :

« Les éditeurs et les distributeurs de services de communication audiovisuelle, les opérateurs de réseaux satellitaires et les prestataires techniques auxquels ces personnes recourent peuvent être mis en demeure de respecter les obligations imposées par les dispositions prises sur le fondement de l’article 215 du traité sur le fonctionnement de l’Union européenne portant sur l’interdiction de diffusion de contenus de services de communication audiovisuelle. » ;

5° Le premier alinéa de l’article 42-10 est ainsi modifié :

a) A la première phrase, après le mot : « loi », sont insérés les mots : « ou de la réglementation européenne prise sur le fondement de l’article 215 du traité sur le fonctionnement de l’Union européenne portant sur l’interdiction de diffusion de contenus de services de communication audiovisuelle » ;

b) A la seconde phrase, après le mot : « satellitaire », sont insérés les mots : «, une personne dont l’activité est d’offrir un accès à des services de communication au public en ligne », après le mot : « télévision », sont insérés les mots : « ou d’un service de médias audiovisuels à la demande » et, après le mot : « France », sont insérés les mots : « ou mentionné au second alinéa de l’article 43-2 » ;

6° L’article 43-2 est complété par un alinéa ainsi rédigé :

« Les articles 1er, 15,42,42-1,42-7 et 42-10 sont applicables aux services de télévision et aux services de médias audiovisuels à la demande diffusés en France et ne relevant pas de la compétence d’un autre Etat membre de l’Union européenne, d’un autre Etat partie à l’accord sur l’Espace économique européen ou d’un autre Etat partie à la convention européenne sur la télévision transfrontière du 5 mai 1989. » ;

7° Au II de l’article 43-7, après le mot : « sens », sont insérés les mots : « du premier alinéa ».

II.-L’article 11 de la loi n° 2004-575 du 21 juin 2004 précitée est ainsi rédigé :

« Art. 11.-I.-L’Autorité de régulation de la communication audiovisuelle et numérique peut mettre en demeure les personnes dont l’activité est d’éditer un service de communication au public en ligne mentionnées au I de l’article 1er-1 et les fournisseurs de services d’hébergement définis au 2 du I de l’article 6 de retirer les contenus ou de faire cesser la diffusion des contenus qui contreviennent aux dispositions prises sur le fondement de l’article 215 du traité sur le fonctionnement de l’Union européenne portant sur l’interdiction de diffusion de contenus provenant des personnes visées par les sanctions. La personne destinataire de la mise en demeure dispose d’un délai de soixante-douze heures pour présenter ses observations.

« II.-A l’expiration de ce délai, si les contenus n’ont pas été retirés ou si leur diffusion n’a pas cessé, l’autorité peut notifier aux fournisseurs de services d’accès à internet ou aux fournisseurs de systèmes de résolution de noms de domaine définis au II de l’article 12 de la présente loi la liste des adresses électroniques des personnes ayant fait l’objet d’une mise en demeure en application du I du présent article, afin qu’ils empêchent, dans un délai fixé par l’Autorité de régulation de la communication audiovisuelle et numérique, l’accès à ces adresses. Toutefois, en l’absence d’éléments d’identification des personnes dont l’activité est d’éditer un service de communication au public en ligne mentionnées au I de l’article 1er-1 et des fournisseurs de services d’hébergement définis au 2 du I de l’article 6, l’autorité peut procéder à cette notification sans avoir préalablement demandé le retrait ou la cessation de la diffusion des contenus dans les conditions prévues au I du présent article.

« L’autorité peut également notifier les adresses électroniques dont les contenus contreviennent au même I aux moteurs de recherche ou aux annuaires, lesquels prennent toute mesure utile destinée à faire cesser leur référencement.

« III.-L’autorité peut agir soit d’office, soit sur saisine du ministère public ou de toute personne physique ou morale.

« IV.-En cas de méconnaissance de l’obligation de retirer les contenus ou de faire cesser la diffusion des contenus mentionnés au I du présent article, l’autorité peut prononcer à l’encontre de l’auteur de ce manquement, dans les conditions prévues à l’article 42-7 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, une sanction pécuniaire dont le montant, fixé en fonction de la gravité du manquement, ne peut excéder 4 % du chiffre d’affaires mondial hors taxes réalisé au cours du dernier exercice clos calculé sur une période de douze mois ou, en l’absence de chiffre d’affaires, 250 000 euros. Ce maximum est porté à 6 % du chiffre d’affaires mondial hors taxes en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive ou, en l’absence de chiffre d’affaires, à 500 000 euros. La méconnaissance de l’obligation d’empêcher l’accès aux adresses notifiées ou de prendre toute mesure utile destinée à faire cesser le référencement du service de communication au public en ligne en application du second alinéa du II du présent article peut être sanctionnée dans les mêmes conditions. Dans ce dernier cas, l’amende ne peut excéder 1 % du chiffre d’affaires hors taxes réalisé au cours du dernier exercice clos calculé sur une période de douze mois ou, en l’absence de chiffre d’affaires, 75 000 euros. Ce maximum est porté à 2 % du chiffre d’affaires mondial hors taxes en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive ou, en l’absence de chiffre d’affaires, à 150 000 euros.

« Lorsque sont prononcées, à l’encontre de la même personne, une amende administrative en application du présent article et une amende pénale en application de l’article 459 du code des douanes en raison des mêmes faits, le montant global des amendes prononcées ne dépasse pas le maximum légal le plus élevé des sanctions encourues.

« V.-Les modalités d’application du présent article sont précisées par décret en Conseil d’Etat. »

Article 15

L’article 226-8 du code pénal est ainsi modifié :

1° Le premier alinéa est ainsi modifié :

a) Le mot : « publier » est remplacé par les mots : « porter à la connaissance du public ou d’un tiers » ;

b) Est ajoutée une phrase ainsi rédigée : « Est assimilé à l’infraction mentionnée au présent alinéa et puni des mêmes peines le fait de porter à la connaissance du public ou d’un tiers, par quelque voie que ce soit, un contenu visuel ou sonore généré par un traitement algorithmique et représentant l’image ou les paroles d’une personne, sans son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un contenu généré algorithmiquement ou s’il n’en est pas expressément fait mention. » ;

2° Après le même premier alinéa, il est inséré un alinéa ainsi rédigé :

« Ces peines sont portées à deux ans d’emprisonnement et à 45 000 euros d’amende lorsque les délits prévus au présent article ont été réalisés en utilisant un service de communication au public en ligne. » ;

3° Au second alinéa, les mots : « le délit prévu par l’alinéa précédent est » sont remplacés par les mots : « les délits prévus au présent article sont ».

Article 16

I.-Le code pénal est ainsi modifié :

1° L’article 131-35-1 est ainsi rétabli :

« Art. 131-35-1.-I.-Pour les délits mentionnés au II, le tribunal peut ordonner à titre de peine complémentaire la suspension des comptes d’accès à des services en ligne ayant été utilisés pour commettre l’infraction. Le présent alinéa s’applique aux comptes d’accès aux services de plateforme en ligne définis au 4 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.

« La suspension est prononcée pour une durée maximale de six mois ; cette durée est portée à un an lorsque la personne est en état de récidive légale.

« Pendant l’exécution de la peine, il est interdit à la personne condamnée d’utiliser les comptes d’accès aux services de plateforme en ligne ayant fait l’objet de la suspension ainsi que de créer de nouveaux comptes d’accès à ces mêmes services.

« La décision de condamnation mentionnée au premier alinéa du présent I est signifiée aux fournisseurs de services concernés. A compter de cette signification et pour la durée d’exécution de la peine complémentaire, ces derniers procèdent au blocage des comptes faisant l’objet d’une suspension et peuvent mettre en œuvre, dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, des mesures strictement nécessaires et proportionnées permettant de procéder au blocage des autres comptes d’accès à leur service éventuellement détenus par la personne condamnée et d’empêcher la création de nouveaux comptes par la même personne.

« Le fait, pour le fournisseur, de ne pas procéder au blocage des comptes faisant l’objet d’une suspension est puni de 75 000 euros d’amende.

« Pour l’exécution de la peine complémentaire mentionnée au premier alinéa du présent I et par dérogation au troisième alinéa de l’article 702-1 du code de procédure pénale, la première demande de relèvement de cette peine peut être portée par la personne condamnée devant la juridiction compétente à l’expiration d’un délai de trois mois à compter de la décision initiale de condamnation.

« II.-Les délits pour lesquels la peine complémentaire mentionnée au I du présent article est encourue sont :

« 1° Les délits prévus aux articles 222-33,222-33-2,222-33-2-1,222-33-2-2 et 222-33-2-3 et au deuxième alinéa de l’article 222-33-3 ;

« 2° Les délits prévus aux articles 225-4-13,225-5 et 225-6 ;

« 3° Les délits prévus aux articles 226-1 à 226-2-1,226-4-1,226-8 et 226-8-1 ;

« 4° Les délits prévus aux articles 227-22 à 227-24 ;

« 5° Le délit prévu à l’article 223-1-1 ;

« 6° Les délits de provocation prévus aux articles 211-2,223-13,227-18 à 227-21 et 412-8 et au deuxième alinéa de l’article 431-6 ;

« 7° Les délits prévus aux articles 413-13 et 413-14 ;

« 8° Le délit prévu à l’article 421-2-5 ;

« 9° Les délits prévus aux articles 431-1,433-3 et 433-3-1 ;

« 10° Le délit prévu à l’article 223-15-2 ;

« 11° Les délits prévus aux articles 24 et 24 bis, aux deuxième et troisième alinéas de l’article 32 et aux troisième et quatrième alinéas de l’article 33 de la loi du 29 juillet 1881 sur la liberté de la presse ;

« 12° Le délit prévu à l’article L. 2223-2 du code de la santé publique. » ;

2° L’article 131-6 est ainsi modifié :

a) Après le 12°, il est inséré un 12° bis ainsi rédigé :

« 12° bis L’interdiction, pour une durée maximale de six mois, d’utiliser les comptes d’accès à des services de plateforme en ligne définis au 4 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ayant été utilisés pour commettre l’infraction, si la personne a été condamnée pour une infraction mentionnée au II de l’article 131-35-1 du présent code ; »

b) Au dernier alinéa, après la référence : « 12° », est insérée la référence : «, 12° bis » ;

3° Après le 13° de l’article 132-45, il est inséré un 13° bis ainsi rédigé :

« 13° bis S’abstenir, pour une durée maximale de six mois, d’utiliser les comptes d’accès à des services de plateforme en ligne définis au 4 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ayant été utilisés pour commettre l’infraction, si la personne a été condamnée pour une infraction mentionnée au II de l’article 131-35-1 du présent code ; »

4° Le premier alinéa de l’article 434-41 est complété par les mots : « ou d’interdiction d’utiliser les comptes d’accès résultant de la peine complémentaire prévue à l’article 131-35-1 du présent code ».

II.-Le code de procédure pénale est ainsi modifié :

1° Après le 20° de l’article 41-2, il est inséré un 21° ainsi rédigé :

« 21° Ne pas utiliser, pour une durée maximale de six mois, les comptes d’accès à des services de plateforme en ligne définis au 4 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ayant été utilisés pour commettre l’infraction. Le présent 21° s’applique aux infractions prévues au II de l’article 131-35-1 du code pénal. » ;

2° A la quatrième phrase du vingt-neuvième alinéa du même article 41-2, les mots : « vingt-cinquième à vingt-septième » sont remplacés par les mots : « vingt-sixième à vingt-huitième » ;

3° Après le 18° de l’article 138, il est inséré un 19° ainsi rédigé :

« 19° Pour les infractions mentionnées au II de l’article 131-35-1 du code pénal, ne pas utiliser les comptes d’accès à des services de plateforme en ligne définis au 4 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ayant été utilisés pour commettre l’infraction. Cette interdiction est prononcée pour une durée maximale de six mois. »

III.-Le code de la justice pénale des mineurs est ainsi modifié :

1° Après le 7° de l’article L. 112-2, il est inséré un 7° bis ainsi rédigé :

« 7° bis Une interdiction, pour une durée maximale de six mois, d’utiliser les comptes d’accès à des services de plateforme en ligne définis au 4 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ayant été utilisés pour commettre une des infractions mentionnées au II de l’article 131-35-1 du code pénal. Le juge des enfants, le tribunal pour enfants, le juge d’instruction ou le juge des libertés et de la détention adresse à la victime un avis l’informant de cette mesure ; si la victime est partie civile, cet avis est également adressé à son avocat ; »

2° Au deuxième alinéa de l’article L. 323-1, la référence : « 7° » est remplacée par la référence : « 7° bis » ;

3° Après le 14° de l’article L. 331-2, il est inséré un 16° ainsi rédigé :

« 16° Pour les infractions mentionnées au II de l’article 131-35-1 du code pénal, ne pas utiliser les comptes d’accès à des services de plateforme en ligne définis au 4 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ayant été utilisés pour commettre l’infraction. Cette interdiction est prononcée pour une durée maximale de six mois. Le juge des enfants, le tribunal pour enfants, le juge d’instruction ou le juge des libertés et de la détention adresse à la victime un avis l’informant de cette mesure ; si la victime est partie civile, cet avis est également adressé à son avocat. » ;

4° A la seconde phrase du cinquième alinéa de l’article L. 422-4, le mot : « vingt-huitième » est remplacé par le mot : « trentième ».

Article 17

L’article 312-10 du code pénal est complété par trois alinéas ainsi rédigés :

« La peine d’emprisonnement est portée à sept ans d’emprisonnement et à 100 000 euros d’amende lorsque le chantage est exercé par un service de communication au public en ligne :

« 1° Au moyen d’images ou de vidéos à caractère sexuel ;

« 2° En vue d’obtenir des images ou des vidéos à caractère sexuel. »

Article 18

[Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2024-866 DC du 17 mai 2024.]

Article 19

[Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2024-866 DC du 17 mai 2024.]

Article 20

L’article 131-5-1 du code pénal est complété par un 9° ainsi rédigé :

« 9° Le stage de sensibilisation au respect des personnes dans l’espace numérique et à la prévention des infractions commises en ligne, dont le cyberharcèlement. »

Article 21

Après l’article 226-8 du code pénal, il est inséré un article 226-8-1 ainsi rédigé :

« Art. 226-8-1. – Est puni de deux ans d’emprisonnement et de 60 000 euros d’amende le fait de porter à la connaissance du public ou d’un tiers, par quelque voie que ce soit, un montage à caractère sexuel réalisé avec les paroles ou l’image d’une personne, sans son consentement. Est assimilé à l’infraction mentionnée au présent alinéa et puni des mêmes peines le fait de porter à la connaissance du public ou d’un tiers, par quelque voie que ce soit, un contenu visuel ou sonore à caractère sexuel généré par un traitement algorithmique et reproduisant l’image ou les paroles d’une personne, sans son consentement.

« Lorsque le délit prévu au premier alinéa est commis par la voie de la presse écrite ou audiovisuelle, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables.

« Les peines prévues au même premier alinéa sont portées à trois ans d’emprisonnement et à 75 000 euros d’amende lorsque la publication du montage ou du contenu généré par un traitement algorithmique a été réalisée en utilisant un service de communication au public en ligne. »

Article 22

Le deuxième alinéa de l’article L. 611-8 du code de l’éducation est complété par une phrase ainsi rédigée : « Elle comporte également une sensibilisation aux addictions comportementales au numérique. »

Article 23

I.-Le titre II du livre III du code des postes et des communications électroniques est complété par un article L. 136 ainsi rétabli :

« Art. L. 136.-Il est institué une réserve citoyenne du numérique ayant pour objet de concourir à la transmission des valeurs de la République, au respect de l’ordre public, à la lutte contre la haine dans l’espace numérique et à des missions d’éducation, d’inclusion et d’amélioration de l’information en ligne.

« La réserve citoyenne du numérique fait partie de la réserve civique prévue par la loi n° 2017-86 du 27 janvier 2017 relative à l’égalité et à la citoyenneté. Elle est régie par le présent code et, pour autant qu’ils n’y sont pas contraires, par les articles 1er à 5 de la loi n° 2017-86 du 27 janvier 2017 précitée.

« Tout membre de la réserve citoyenne du numérique qui acquiert, dans l’exercice de sa mission, la connaissance d’un délit ou qui constate l’existence d’un contenu illicite, au sens du paragraphe h de l’article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), est tenu d’en aviser sans délai le procureur de la République et de transmettre à ce magistrat tous les renseignements qui y sont relatifs.

« L’autorité de gestion ainsi que les conditions d’admission et de fonctionnement de la réserve citoyenne du numérique sont fixées par décret en Conseil d’Etat.

« Les périodes d’emploi au titre de la réserve citoyenne du numérique n’ouvrent droit à aucune indemnité ou allocation. »

II.-Après le 6° de l’article 1er de la loi n° 2017-86 du 27 janvier 2017 relative à l’égalité et à la citoyenneté, dans sa rédaction résultant de l’ordonnance n° 2022-1336 du 19 octobre 2022 relative aux droits sociaux des personnes détenues, il est inséré un 7° ainsi rédigé :

« 7° La réserve citoyenne du numérique prévue à l’article L. 136 du code des postes et des communications électroniques. »

Article 24

L’article 12 de la loi n° 2004-575 du 21 juin 2004 précitée est ainsi rédigé :

« Art. 12.-I.-Lorsque l’un de ses agents spécialement désignés et habilités à cette fin constate qu’un service de communication au public en ligne est manifestement conçu pour réaliser des opérations constituant une des infractions mentionnées aux articles 226-4-1,226-18 et 323-1 du code pénal et à l’article L. 163-4 du code monétaire et financier ou l’escroquerie, au sens de l’article 313-1 du code pénal, et consistant à mettre en ligne ou à diriger l’utilisateur vers une interface dont les caractéristiques sont de nature à créer la confusion avec l’interface en ligne d’un service existant et à inciter ainsi l’utilisateur de cette interface, à son préjudice ou au préjudice d’un tiers, à fournir des données à caractère personnel ou à verser une somme d’argent, l’autorité administrative met en demeure la personne dont l’activité est d’éditer le service de communication au public en ligne en cause, sous réserve qu’elle ait mis à disposition les informations mentionnées à l’article 1er-1 de la présente loi, de cesser les opérations constituant l’infraction constatée. Elle l’informe également des mesures conservatoires mentionnées au deuxième alinéa du présent I prises à son encontre et l’invite à lui adresser ses observations dans un délai de cinq jours à compter de la notification de ces mesures.

« Simultanément, l’autorité administrative notifie l’adresse électronique du service concerné aux fournisseurs de navigateurs internet, au sens du 11 de l’article 2 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques), aux fins de la mise en œuvre de mesures conservatoires.

« La personne destinataire d’une notification prend sans délai, à titre conservatoire, toute mesure utile consistant à afficher un message avertissant l’utilisateur du risque de préjudice encouru en cas d’accès à cette adresse. Ce message est clair, lisible, unique et compréhensible et permet aux utilisateurs d’accéder à un site internet officiel défini par le décret mentionné au VI du présent article.

« Ces mesures conservatoires sont mises en œuvre pendant une durée de sept jours à compter de leur notification.

« Lorsque l’autorité administrative, le cas échéant après avoir pris connaissance des observations de la personne dont l’activité est d’éditer le service de communication au public en ligne en cause, estime que le constat mentionné au premier alinéa du présent I n’est plus valable, elle demande sans délai à la personne destinataire d’une telle notification de mettre fin aussitôt aux mesures conservatoires.

« II.-Lorsque la personne dont l’activité est d’éditer le service de communication au public en ligne en cause n’a pas mis à disposition les informations mentionnées à l’article 1er-1, lorsque celles-ci ne permettent pas de la contacter ou lorsqu’au terme du délai mentionné au premier alinéa du I du présent article, le cas échéant après que cette personne a fait valoir ses observations, il apparaît que le constat mentionné au même premier alinéa est toujours valable, l’autorité administrative peut, par une décision motivée, enjoindre aux fournisseurs de services d’accès à internet ou aux fournisseurs de systèmes de résolution de noms de domaine de prendre sans délai toute mesure utile destinée à empêcher l’accès à l’adresse de ce service pour une durée maximale de trois mois. Dans les mêmes conditions, elle peut enjoindre aux fournisseurs de navigateurs internet, au sens du 11 de l’article 2 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 précité, d’afficher sans délai un message clair, lisible, unique et compréhensible avertissant les utilisateurs qui tentent d’accéder au service concerné du préjudice encouru, subordonnant l’accès à ce service à une confirmation explicite de l’utilisateur et lui permettant d’accéder au site internet officiel défini par le décret mentionné au VI du présent article, pour une durée maximale de trois mois.

« Les utilisateurs des services de communication au public en ligne dont l’accès est empêché en application des mesures mentionnées au premier alinéa du présent II sont dirigés vers une page d’information indiquant les motifs de la décision de l’autorité administrative et mentionnant le site internet officiel défini par le décret mentionné au VI.

« Au terme de la durée prescrite au premier alinéa du présent II, la mesure prise sur le fondement du même premier alinéa peut être prolongée de six mois au plus. Une prolongation supplémentaire de six mois peut être décidée.

« Pour l’application dudit premier alinéa, on entend par fournisseur de systèmes de résolution de noms de domaine toute personne mettant à disposition un service permettant la traduction d’un nom de domaine en un numéro unique identifiant un appareil connecté à internet.

« Les décisions prises en application des premier et troisième alinéas du présent II sont notifiées par l’autorité administrative, sous la réserve mentionnée au premier alinéa du I, à la personne dont l’activité est d’éditer le service de communication au public en ligne en cause.

« L’autorité administrative peut également notifier les adresses électroniques dont les contenus contreviennent au même I aux moteurs de recherche ou aux annuaires, lesquels prennent toute mesure utile destinée à faire cesser leur référencement.

« L’autorité administrative peut à tout instant demander aux fournisseurs mentionnés au premier alinéa du présent II de mettre fin aux mesures mentionnées au même premier alinéa lorsque le constat sur lequel elles étaient fondées n’est plus valable.

« III.-L’autorité administrative transmet sans délai les demandes mentionnées aux I et II ainsi que les adresses électroniques des services de communication en ligne concernés à une personnalité qualifiée désignée en son sein par la Commission nationale de l’informatique et des libertés pour la durée de son mandat au sein de cette commission. La personnalité qualifiée s’assure du caractère justifié des mesures et des conditions d’établissement, de mise à jour, de communication et d’utilisation de la liste des adresses électroniques concernées. Elle peut saisir le collège de la Commission nationale de l’informatique et des libertés lorsque l’enjeu le justifie. Elle peut, à tout moment, enjoindre à l’autorité administrative de mettre fin aux mesures qu’elle a prises sur le fondement des mêmes I et II.

« Lorsque la personne dont l’activité est d’éditer le service de communication au public en ligne en cause saisit la personnalité qualifiée d’un recours administratif dans les conditions fixées par le décret mentionné au VI, la mesure prise sur le fondement des I ou II est suspendue pendant la durée de l’instruction de ce recours par la personnalité qualifiée.

« La personnalité qualifiée rend public chaque année un rapport d’activité, annexé au rapport public prévu à l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, qui comporte des éléments relatifs notamment :

« 1° Au nombre et aux motifs des mesures conservatoires demandées en application du I du présent article ;

« 2° Au nombre, aux motifs et à la nature des mesures demandées en application du II ;

« 3° Au nombre d’adresses de services de communication au public en ligne concernées ;

« 4° Au nombre et à la nature des recommandations formulées à l’égard de l’autorité administrative ;

« 5° Au nombre de recours administratifs dont elle a été saisie, aux délais moyens d’instruction de ces recours et aux issues qui leur ont été réservées ;

« 6° Aux moyens nécessaires à l’amélioration de ses conditions d’exercice.

« IV.-Les adresses électroniques des services de communication au public en ligne faisant l’objet des demandes mentionnées aux I et II sont rendues publiques par l’autorité administrative dans un format ouvert soixante-douze heures après l’envoi de la notification ou de l’injonction, dans une liste unique mise à jour régulièrement.

« V.-Tout manquement aux obligations définies au présent article par la personne destinataire d’une notification ou d’une injonction de l’autorité administrative est puni des peines prévues au C du III de l’article 6.

« VI.-Les modalités d’application du présent article, notamment la désignation de l’autorité administrative compétente ainsi que le contenu et les modalités de présentation des messages d’avertissement mentionnés aux I et II, sont précisées par un décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés. »

Article 25

I. – Après l’article 15-1 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, il est inséré un article 15-2 ainsi rédigé :

« Art. 15-2. – L’Autorité de régulation de la communication audiovisuelle et numérique veille à l’adoption, par les services de très grandes plateformes en ligne, au sens du i de l’article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques), des chartes prévues au II de l’article 25 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique.

« Elle publie un bilan périodique de l’application et de l’effectivité de ces chartes. A cette fin, elle recueille auprès de ces services, dans les conditions fixées à l’article 19 de la présente loi, toutes les informations nécessaires à l’élaboration de ce bilan. »

II. – Les services de très grandes plateformes en ligne, au sens du i de l’article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques), adoptent des chartes de suivi et de soutien des modérateurs de contenus en ligne qui ont notamment pour objet :

1° De fournir une formation complète aux modérateurs pour les préparer aux défis liés à leur travail de modération de contenus en ligne ;

2° De sensibiliser les modérateurs aux risques pour leur santé mentale et de les informer des ressources de soutien disponibles ;

3° De mettre en place un programme de soutien psychologique accessible à tous les modérateurs et de prévoir la possibilité de séances individuelles avec des professionnels de la santé mentale pour discuter de leurs expériences et des émotions liées à leur travail ;

4° De prévoir une rotation des tâches pour éviter de surcharger les modérateurs avec des contenus difficiles et éprouvants ;

5° D’encourager la formation de groupes de soutien entre les modérateurs, où ils pourront partager leurs expériences, s’entraider et se soutenir mutuellement ;

6° D’élaborer des politiques de bien-être au travail spécifiquement adaptées aux besoins des modérateurs, qui visent à assurer un environnement de travail sain et favorable à leur santé mentale ;

7° De reconnaître publiquement et régulièrement le travail effectué par les modérateurs pour assurer la sécurité et la qualité des contenus en ligne et récompenser leur contribution positive à la protection de tous les usagers des plateformes de services en ligne ;

8° De respecter la confidentialité des échanges entre les modérateurs et les professionnels de soutien psychologique, sauf en cas de signalement de situations critiques nécessitant une intervention appropriée ;

9° De procéder régulièrement à une évaluation de l’efficacité des programmes de suivi et de soutien en prenant en compte les commentaires et les suggestions des modérateurs.

Titre III : RENFORCER LA CONFIANCE ET LA CONCURRENCE DANS L’ÉCONOMIE DE LA DONNÉE (Articles 26 à 39)

Chapitre Ier : Pratiques commerciales déloyales entre entreprises sur le marché de l’informatique en nuage (Articles 26 à 27)

Article 26

I. – La section 2 du chapitre II du titre IV du livre IV du code de commerce est complétée par un article L. 442-12 ainsi rédigé :

« Art. L. 442-12. – I. – Pour l’application du présent article, on entend par :

« 1° “Service d’informatique en nuage” : un service numérique fourni à un client qui permet un accès par réseau en tout lieu et à la demande à un ensemble partagé de ressources informatiques configurables, modulables et variables de nature centralisée, distribuée ou fortement distribuée, qui peuvent être rapidement mobilisées et libérées avec un minimum d’efforts de gestion ou d’interaction avec le fournisseur de services ;

« 2° “Avoir d’informatique en nuage” : un avantage octroyé par un fournisseur de services d’informatique en nuage à un client, défini au 3° du présent I, utilisable sur ses différents services, sous la forme d’un montant de crédits offerts ou d’une quantité de services offerts ;

« 3° “Client” : une personne physique ou morale qui a noué une relation contractuelle avec un fournisseur de services d’informatique en nuage dans le but d’utiliser un ou plusieurs de ses services d’informatique en nuage ;

« 4° “Autopréférence” : le fait, pour un fournisseur de services d’informatique en nuage qui fournit également des logiciels, de fournir un logiciel à un client par le biais des services d’un fournisseur de services d’informatique en nuage tiers dans des conditions tarifaires et fonctionnelles qui diffèrent sensiblement de celles dans lesquelles le fournisseur fournit ce même logiciel par le biais de son propre service d’informatique en nuage, lorsque ces différences de tarifs et de fonctionnalités ne sont pas justifiées.

« II. – Un fournisseur de services d’informatique en nuage ne peut octroyer un avoir d’informatique en nuage à une personne exerçant des activités de production, de distribution ou de services que pour une durée limitée.

« L’octroi d’un avoir d’informatique en nuage ne peut être assorti d’une condition d’exclusivité, de quelque nature que ce soit, du bénéficiaire vis-à-vis du fournisseur de cet avoir.

« Un décret en Conseil d’Etat précise les modalités d’application du présent II, notamment les différents types d’avoirs d’informatique en nuage. Il définit pour chacun d’eux une durée de validité maximale, qui ne peut excéder un an, y compris si l’octroi de cet avoir est renouvelé.

« III. – Toute conclusion d’un contrat en violation du II est punie d’une amende administrative, dont le montant ne peut excéder 200 000 euros pour une personne physique et un million d’euros pour une personne morale. Le maximum de l’amende encourue est porté à 400 000 euros pour une personne physique et deux millions d’euros pour une personne morale en cas de réitération du manquement dans un délai de deux ans à compter de la date à laquelle la première décision de sanction est devenue définitive.

« IV. – Il est interdit à toute personne de subordonner la vente d’un produit ou d’un service à la conclusion concomitante d’un contrat de fourniture de services d’informatique en nuage dès lors que celle-ci constitue une pratique commerciale déloyale au sens de l’article L. 121-1 du code de la consommation.

« V. – L’Autorité de la concurrence peut, soit d’office, soit à la demande du ministre chargé du numérique ou de toute personne morale concernée, se saisir de tout signalement effectué vis-à-vis des pratiques d’autopréférence. Elle les sanctionne ou adopte toute mesure nécessaire, le cas échéant, sur le fondement des titres II et VI du présent livre. L’Autorité de la concurrence dispose, pour la mise en œuvre de ces dispositions, des pouvoirs qui lui sont reconnus au titre V du présent livre. »

II. – Dans un délai de dix-huit mois à compter de la promulgation de la présente loi, l’Autorité de la concurrence remet au Parlement et au Gouvernement un rapport présentant son activité au titre de la pratique d’autopréférence et des améliorations procédurales ou législatives éventuelles.

Article 27

I. – Pour l’application du présent article et des chapitres II et IV du présent titre, on entend par :

1° « Service d’informatique en nuage » : le service défini au 1° du I de l’article L. 442-12 du code de commerce ;

2° « Frais de transfert de données » : les frais facturés par un fournisseur de services d’informatique en nuage à un client pour l’extraction, par un réseau, des données de ce client depuis l’infrastructure du fournisseur de services d’informatique en nuage vers les systèmes d’un autre fournisseur ou vers une infrastructure sur site ;

3° « Frais de changement de fournisseur » : les frais, autres que les frais de service standard ou les pénalités de résiliation anticipée, imposés par un fournisseur de services d’informatique en nuage à un client pour les actions réalisées pour changer de fournisseur en passant au système d’un fournisseur différent ou à une infrastructure sur site, y compris les frais de transfert des données ;

4° « Client » : le client défini au 3° du I du même article L. 442-12.

II. – Il est interdit à tout fournisseur de services d’informatique en nuage de facturer, dans le cadre des contrats qu’il conclut avec un client, des frais de transfert de données définis au I du présent article dans le cadre d’un changement de fournisseur supérieurs aux coûts supportés par le fournisseur et directement liés à ce changement.

III. – Il est interdit à tout fournisseur de services d’informatique en nuage de facturer, dans le cadre des contrats qu’il conclut avec un client, des frais de changement de fournisseur, autres que ceux mentionnés au 2° du I, supérieurs aux coûts supportés par le fournisseur et directement liés à ce changement.

IV. – Il est interdit à tout fournisseur de services d’informatique en nuage de facturer, dans le cadre des contrats qu’il conclut avec un client, des frais de transfert de données supérieurs aux coûts supportés par chaque fournisseur et directement liés à ce transfert lorsque ce client recourt de manière simultanée à plusieurs fournisseurs de services.

V. – Pour l’application des règles énoncées au II, les frais de transfert de données doivent être facturés dans le respect d’un montant maximal de tarification fixé par arrêté du ministre chargé du numérique après proposition de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.

VI. – Après consultation publique, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse adopte des lignes directrices portant sur les coûts susceptibles d’être pris en compte dans la détermination des frais de changement de fournisseur de services d’informatique en nuage mentionnés au III et des frais de transfert de données mentionnés au IV.

VII. – Les fournisseurs de services d’informatique en nuage communiquent aux clients et aux potentiels clients de façon claire et compréhensible, notamment avant la signature du contrat, des informations sur les frais de transfert de données et de changement de fournisseur, y compris sur la nature et le montant de ces frais. Ils informent leurs clients de toute évolution relative à ces informations pendant toute la durée du contrat.

Pour les contrats conclus à compter de la promulgation de la présente loi, la nature et le montant de ces frais éventuels doivent être mentionnés dans le contrat.

Pour les contrats en cours à la date de la promulgation de la présente loi, les fournisseurs de services d’informatique en nuage informent expressément leurs clients de la nature et du montant des frais de transfert de données et de changement de fournisseur qui leur sont imputables dans le cadre du contrat.

VIII. – Les obligations définies au présent article ne s’appliquent pas aux services suivants :

1° Les services d’informatique en nuage dont la majorité des caractéristiques principales ont été conçues sur mesure pour répondre aux besoins spécifiques d’un client particulier ou dont tous les composants ont été développés pour les besoins d’un client spécifique et qui ne sont pas offerts à grande échelle sur le plan commercial par l’intermédiaire du catalogue de services du fournisseur de services d’informatique en nuage ;

2° Les services d’informatique en nuage fournis en tant que version non destinée à la production à des fins d’essai et d’évaluation et pour une durée limitée.

Avant la conclusion d’un contrat, le fournisseur de services indique au client potentiel si les services fournis relèvent des 1° ou 2° du présent VIII.

Chapitre II : Interopérabilité des services d’informatique en nuage (Articles 28 à 30)

Article 28

I. – Pour l’application du présent chapitre, on entend par :

1° « Actifs numériques » : tous les éléments au format numérique, y compris les applications, sur lesquels le client d’un service d’informatique en nuage a un droit d’utilisation, indépendamment de la relation contractuelle que le client a avec le service d’informatique en nuage qu’il a l’intention de quitter ;

2° « Équivalence fonctionnelle » : le rétablissement, sur la base des données exportables et des actifs numériques du client, d’un niveau minimal de fonctionnalité dans l’environnement d’un nouveau service d’informatique en nuage du même type de service après le changement de fournisseur, lorsque le service de destination fournit des résultats sensiblement comparables en réponse à la même entrée pour les fonctionnalités partagées fournies au client en application d’un accord contractuel ;

3° « Données exportables » : les données d’entrée et de sortie, y compris les métadonnées, générées directement ou indirectement ou cogénérées par le client par l’utilisation du service d’informatique en nuage, à l’exclusion de tout actif ou des données du fournisseur de services d’informatique en nuage ou d’un tiers, lorsque cet actif ou ces données sont protégés au titre de la propriété intellectuelle ou du secret des affaires.

II. – Les fournisseurs de services d’informatique en nuage assurent la conformité de leurs services aux exigences essentielles :

1° D’interopérabilité, dans des conditions sécurisées, avec les services du client ou avec ceux fournis par d’autres fournisseurs de services d’informatique en nuage pour le même type de service ;

2° De portabilité des actifs numériques et des données exportables, dans des conditions sécurisées, vers les services du client ou vers ceux fournis par d’autres fournisseurs de services d’informatique en nuage couvrant le même type de service ;

3° De mise à disposition gratuite aux clients et aux fournisseurs de services tiers désignés par ces utilisateurs à la fois d’interfaces de programmation d’applications nécessaires à la mise en œuvre de l’interopérabilité et de la portabilité mentionnées aux 1° et 2° du présent II et d’informations suffisamment détaillées sur le service d’informatique en nuage concerné pour permettre aux clients ou aux services de fournisseurs tiers de communiquer avec ce service, à l’exception des services qui relèvent des services mentionnés au III de l’article 29.

Article 29

I. – L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse précise les règles et les modalités de mise en œuvre des exigences mentionnées au II de l’article 28, notamment par l’édiction de spécifications d’interopérabilité et de portabilité. Elle peut, à cet effet, demander à un ou plusieurs organismes de normalisation de lui faire des propositions.

Pour l’édiction de ces spécifications, l’autorité mentionnée au premier alinéa du présent I fait la distinction entre, d’une part, les services correspondant à des ressources informatiques modulables et variables limitées à des éléments d’infrastructure tels que les serveurs, les réseaux et les ressources virtuelles nécessaires à l’exploitation de l’infrastructure, sans donner accès aux services, logiciels et applications d’exploitation qui sont stockés, traités ou déployés sur ces éléments d’infrastructure, et, d’autre part, les autres services d’informatique en nuage. Elle veille également à la bonne articulation de ces spécifications avec celles édictées par les autorités compétentes des autres Etats membres de l’Union européenne ou figurant au sein des codes de conduite européens relatifs aux services d’informatique en nuage.

II. – Lorsque les exigences mentionnées au II de l’article 28 sont précisées dans les conditions définies au I du présent article, les fournisseurs de services d’informatique en nuage assurent la conformité de leurs services à ces exigences et à ces modalités.

Ils publient et mettent à jour régulièrement une offre de référence technique d’interopérabilité précisant les conditions de mise en conformité de leurs services avec les exigences mentionnées au II de l’article 28, précisées, le cas échéant, par les décisions de l’autorité mentionnée au I du présent article.

III. – Les fournisseurs de services d’informatique en nuage dont les services correspondent à des ressources informatiques modulables et variables limitées à des éléments d’infrastructure tels que les serveurs, les réseaux et les ressources virtuelles nécessaires à l’exploitation de l’infrastructure, sans donner accès ni aux services, ni aux logiciels, ni aux applications d’exploitation qui sont stockés, traités ou déployés sur ces éléments d’infrastructure, prennent les mesures raisonnables en leur pouvoir afin de faciliter une équivalence fonctionnelle dans l’utilisation du service de destination, lorsqu’il couvre le même type de fonctionnalités.

IV. – Les obligations définies au premier alinéa du II et au III ne s’appliquent pas aux services d’informatique en nuage dont la majorité des caractéristiques principales ont été conçues sur mesure pour répondre aux besoins spécifiques d’un client particulier ou dont tous les composants ont été développés pour les besoins d’un client spécifique et qui ne sont pas offerts à grande échelle sur le plan commercial par l’intermédiaire du catalogue de services du fournisseur de services d’informatique en nuage.

Les obligations définies à l’article 28 et au présent article ne s’appliquent pas aux services d’informatique en nuage fournis en tant que version non destinée à la production à des fins d’essai et d’évaluation pour une durée limitée.

Avant la conclusion d’un contrat, le fournisseur de services indique au client potentiel si les exemptions aux obligations prévues à l’article 28 et au présent article s’appliquent aux services fournis.

V. – Les conditions d’application du présent article et le délai de précision des règles et des modalités de mise en œuvre des exigences mentionnées au II de l’article 28 sont précisés par un décret pris après avis de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.

Article 30

I. – L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut, de manière proportionnée aux besoins liés à l’accomplissement de ses missions et sur la base d’une décision motivée :

1° Recueillir auprès des personnes physiques ou morales fournissant des services d’informatique en nuage les informations ou les documents nécessaires pour s’assurer du respect par ces personnes des obligations mentionnées aux articles 27 à 29 ;

2° Procéder à des enquêtes auprès de ces mêmes personnes.

Ces enquêtes sont menées dans les conditions prévues aux II à IV de l’article L. 32-4 et à l’article L. 32-5 du code des postes et des communications électroniques.

L’autorité veille à ce que les informations recueillies en application du présent article ne soient pas divulguées lorsqu’elles sont protégées par l’un des secrets mentionnés aux articles L. 311-5 à L. 311-8 du code des relations entre le public et l’administration.

II. – En cas de désaccord sur le respect par le fournisseur de services d’informatique en nuage des interdictions et des obligations mentionnées aux II à IV et VII de l’article 27, au II de l’article 28 et aux II et III de l’article 29 de la présente loi, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut être saisie du différend dans les conditions prévues à l’article L. 36-8 du code des postes et des communications électroniques.

Sa décision est motivée et précise les conditions équitables, d’ordre technique et financier, de mise en œuvre des interdictions et des obligations mentionnées aux II à IV et VII de l’article 27, au II de l’article 28 et aux II et III de l’article 29 de la présente loi.

III. – L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut, soit d’office, soit à la demande du ministre chargé du numérique, d’une organisation professionnelle, d’une association agréée d’utilisateurs ou de toute personne physique ou morale concernée, sanctionner les manquements aux obligations mentionnées aux articles 27 à 29 qu’elle constate de la part d’un fournisseur de services d’informatique en nuage.

Ce pouvoir de sanction est exercé dans les conditions prévues à l’article L. 36-11 du code des postes et des communications électroniques. Par dérogation aux quatrième à dixième alinéas du III du même article L. 36-11, la formation restreinte de l’autorité mentionnée à l’article L. 130 du même code peut prononcer à l’encontre du fournisseur de services d’informatique en nuage en cause une sanction pécuniaire dont le montant est proportionné à la gravité du manquement et aux avantages qui en sont tirés, sans pouvoir excéder 3 % du chiffre d’affaires mondial hors taxes réalisé au cours du dernier exercice clos. Ce taux est porté à 5 % en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive.

IV. – Le président de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse saisit l’Autorité de la concurrence des abus de position dominante et des pratiques entravant le libre exercice de la concurrence dont il pourrait avoir connaissance dans le secteur de l’informatique en nuage. Cette saisine s’effectue dans les conditions prévues à l’article L. 36-10 du code des postes et des communications électroniques.

Chapitre III : Protection des données stratégiques et sensibles sur le marché de l’informatique en nuage (Articles 31 à 32)

Article 31

I. – Lorsque les administrations de l’Etat, ses opérateurs dont la liste est annexée au projet de loi de finances ainsi que les groupements d’intérêt public comprenant les administrations ou les opérateurs mentionnés précédemment et dont la liste est fixée par décret en Conseil d’Etat ont recours à un service d’informatique en nuage fourni par un prestataire privé pour la mise en œuvre de systèmes ou d’applications informatiques, ils respectent les dispositions du présent article.

Si le système ou l’application informatique concerné traite de données d’une sensibilité particulière, définies au II, qu’elles soient à caractère personnel ou non, et si leur violation est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle, l’administration de l’Etat, ses opérateurs et les groupements mentionnés au présent I veillent à ce que le service d’informatique en nuage fourni par le prestataire privé mette en œuvre des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d’Etats tiers non autorisé par le droit de l’Union européenne ou d’un Etat membre.

II. – Sont qualifiées de données d’une sensibilité particulière au sens du I :

1° Les données qui relèvent de secrets protégés par la loi, notamment au titre des articles L. 311-5 et L. 311-6 du code des relations entre le public et l’administration ;

2° Les données nécessaires à l’accomplissement des missions essentielles de l’Etat, notamment la sauvegarde de la sécurité nationale, le maintien de l’ordre public et la protection de la santé et de la vie des personnes.

III. – Lorsque, à la date d’entrée en vigueur du présent article, l’administration de l’Etat, son opérateur ou le groupement mentionné au I a déjà engagé un projet nécessitant le recours à un service d’informatique en nuage, cette administration, cet opérateur ou ce groupement peut solliciter une dérogation au présent article.

IV. – Le I est applicable au groupement mentionné à l’article L. 1462-1 du code de la santé publique.

V. – Dans un délai de six mois à compter de la promulgation de la présente loi, un décret en Conseil d’Etat précise les modalités d’application du présent article, notamment les critères de sécurité et de protection, y compris en termes de détention du capital, des données mentionnés au I. Ce décret précise également les conditions dans lesquelles une dérogation motivée et rendue publique peut être accordée sous la responsabilité du ministre dont relève le projet déjà engagé et après validation par le Premier ministre, sans que cette dérogation puisse excéder dix-huit mois à compter de la date à laquelle une offre de services d’informatique en nuage acceptable est disponible en France, et fixe éventuellement les critères selon lesquels une telle offre peut être considérée comme acceptable.

VI. – Dans un délai de dix-huit mois à compter la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport évaluant les moyens supplémentaires pouvant être pris afin de rehausser le niveau de la protection collective face aux risques et aux menaces que les législations extraterritoriales peuvent faire peser sur les données qualifiées d’une sensibilité particulière par le présent article ainsi que sur les données de santé à caractère personnel. Ce rapport évalue également l’opportunité et la faisabilité de soumettre les fournisseurs de services d’informatique en nuage établis en dehors de l’Union européenne à un audit de chiffrement certifié par l’Agence nationale de la sécurité des systèmes d’information.

Article 32

I.-L’article L. 1111-8 du code de la santé publique est ainsi modifié :

1° Le II est ainsi modifié :

a) La seconde phrase du premier alinéa est supprimée ;

b) Il est ajouté un alinéa ainsi rédigé :

« Si l’hébergeur de données mentionnées au premier alinéa du I conserve des données dans le cadre d’un service d’archivage électronique, il est soumis à l’obligation mentionnée au premier alinéa du présent II. » ;

2° Le IV est ainsi rédigé :

« IV.-La nature des prestations d’hébergement mentionnées aux II et III du présent article, les rôles et les responsabilités de l’hébergeur et des personnes physiques ou morales pour le compte desquelles les données de santé à caractère personnel sont conservées, les obligations de l’hébergeur en matière de stockage de ces données sur le territoire d’un Etat membre de l’Union européenne ou partie à l’accord sur l’Espace économique européen ainsi que les stipulations devant figurer dans le contrat mentionné au I, y compris concernant les mesures prises face aux risques de transfert de ces données ou d’accès non autorisé à celles-ci par des Etats tiers à l’Union européenne ou à l’Espace économique européen, sont précisés par un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés et des conseils nationaux des ordres des professions de santé. »

II.-Le b du 1° du I entre en vigueur à une date fixée par décret, qui ne peut être postérieure au 1er juillet 2025.

Chapitre IV : Transparence sur le marché de l’informatique en nuage (Articles 33 à 35)

Article 33

I. – Les fournisseurs de services d’informatique en nuage publient et tiennent à jour sur leur site internet les informations suivantes :

1° Les informations relatives aux juridictions compétentes eu égard à l’infrastructure déployée pour le traitement des données dans le cadre de leurs différents services ;

2° Une description générale des mesures techniques, organisationnelles et contractuelles mises en œuvre par le fournisseur de services d’informatique en nuage afin d’empêcher tout accès non autorisé aux données à caractère non personnel détenues dans l’Union européenne ou le transfert de ces données par des Etats tiers, dans les cas où ce transfert ou cet accès est contraire au droit européen ou au droit national.

Les sites internet mentionnés au premier alinéa du présent I sont mentionnés dans les contrats de tous les services d’informatique en nuage offerts par les fournisseurs de services d’informatique en nuage.

II. – Les fournisseurs de services d’informatique en nuage publient des informations sur l’empreinte environnementale de leurs services, notamment en matière d’empreinte carbone, de consommation d’eau et de consommation d’énergie.

III. – Un décret précise le contenu, les modalités d’application et les délais de mise en œuvre de l’obligation mentionnée au II ainsi que les seuils d’activité en deçà desquels les fournisseurs de services d’informatique en nuage n’y sont pas assujettis.

Article 34

Le code des postes et des communications électroniques est ainsi modifié :

1° L’article L. 32 est complété par un 34° ainsi rédigé :

« 34° Services d’informatique en nuage.

« On entend par service d’informatique en nuage un service numérique, fourni à un client, qui permet un accès par réseau en tout lieu et à la demande à un ensemble partagé de ressources informatiques configurables, modulables et variables partagées et de nature centralisée, distribuée ou fortement distribuée, qui peuvent être rapidement mobilisées et libérées avec un minimum d’efforts de gestion ou d’interaction avec le fournisseur de services. » ;

2° Au 2° ter du I de l’article L. 32-4, les mots : « et des fournisseurs de systèmes d’exploitation » sont remplacés par les mots : «, des fournisseurs de systèmes d’exploitation et des fournisseurs de services d’informatique en nuage » ;

3° Au 8° de l’article L. 36-6, les mots : « et des services de communications électroniques, » sont remplacés par les mots : « des services de communications électroniques et des services d’informatique en nuage » ;

4° L’article L. 36-11 est ainsi modifié :

a) A la première phrase du premier alinéa, après le mot : « exploitation, », sont insérés les mots : « des fournisseurs de services d’informatique en nuage, » ;

b) Le I est ainsi modifié :

-au premier alinéa, après le mot : « exploitation, », sont insérés les mots : « un fournisseur de services d’informatique en nuage, » ;

-au sixième alinéa, après le mot : « réseaux, », sont insérés les mots : « le fournisseur de services d’informatique en nuage, » ;

c) A la première phrase du II, après le mot : « exploitation, », sont insérés les mots : « un fournisseur de services d’informatique en nuage, » ;

d) A la première phrase du dixième alinéa du III, les mots : « ou du fournisseur de système d’exploitation » sont remplacés par les mots : «, du fournisseur de systèmes d’exploitation ou du fournisseur de services d’informatique en nuage ».

Article 35

I. – Les I à III de l’article L. 442-12 du code de commerce, dans sa rédaction résultant de l’article 26, les articles 27 à 30 et l’article 33 de la présente loi s’appliquent aux fournisseurs de services d’informatique en nuage établis en France ou hors de l’Union européenne.

II. – Lorsque les conditions mentionnées au a du paragraphe 4 de l’article 3 de la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique ») sont remplies et au terme de la procédure prévue au b du paragraphe 4 ou, le cas échéant, au paragraphe 5 du même article 3, les I à III de l’article L. 442-12 du code de commerce, dans sa rédaction résultant de l’article 26, les articles 27 à 30 et l’article 33 de la présente loi s’appliquent également aux fournisseurs de services d’informatique en nuage établis dans un autre Etat membre de l’Union européenne, dans un délai qui ne peut être supérieur à un an à compter de la publication de l’arrêté du ministre chargé du numérique. L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut proposer au ministre la désignation de ces personnes et fournit à l’appui tous les éléments de nature à justifier sa proposition. L’arrêté est pris après avis de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, sauf lorsqu’il fait suite à une proposition de l’Autorité portant sur chacun des fournisseurs désignés par cet arrêté.

Chapitre V : Régulation des services d’intermédiation de données (Articles 36 à 39)

Article 36

L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse est l’autorité compétente en matière de services d’intermédiation de données, en application de l’article 13 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données).

L’autorité est consultée sur les projets de lois et de décrets relatifs aux services d’intermédiation de données. Elle est associée, à la demande du ministre chargé du numérique, à la préparation de la position française dans les négociations internationales dans le domaine des services d’intermédiation de données. Elle participe, à la demande du même ministre, à la représentation française dans les organisations internationales et européennes compétentes en ce domaine.

Afin de veiller à une application coordonnée et cohérente de la réglementation, l’autorité participe au comité européen de l’innovation dans le domaine des données institué à l’article 29 du même règlement et coopère avec les autorités compétentes des autres Etats membres de l’Union européenne et avec la Commission européenne.

Article 37

1° Recueillir auprès des personnes physiques ou morales fournissant des services d’intermédiation de données les informations ou les documents nécessaires pour s’assurer du respect par ces personnes des exigences définies au chapitre III du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) ou dans les actes délégués pris pour son application ;

2° Procéder auprès des mêmes personnes à des enquêtes dans les conditions prévues aux II à IV de l’article L. 32-4 et à l’article L. 32-5 du code des postes et des communications électroniques.

Elle veille à ce que les informations recueillies en application du présent article ne soient pas divulguées lorsqu’elles sont protégées par l’un des secrets mentionnés aux articles L. 311-5 à L. 311-8 du code des relations entre le public et l’administration.

II. – L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut se saisir d’office ou être saisie par toute personne physique ou morale concernée, notamment par le ministre chargé des communications électroniques, par une organisation professionnelle ou par une association agréée d’utilisateurs, des manquements aux exigences énoncées au chapitre III du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité de la part d’un prestataire de services d’intermédiation de données.

Elle exerce son pouvoir de sanction dans les conditions prévues à l’article L. 36-11 du code des postes et des communications électroniques.

Par dérogation au sixième alinéa du I du même article L. 36-11, le prestataire de services d’intermédiation de données qui a fait l’objet, de la part de l’autorité, d’une mise en demeure consécutive à un manquement aux exigences mentionnées au chapitre III du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité doit s’y conformer dans un délai maximal de trente jours.

Par dérogation aux quatrième à dixième alinéas du III de l’article L. 36-11 du code des postes et des communications électroniques, la formation restreinte de l’autorité mentionnée à l’article L. 130 du même code peut prononcer à l’encontre du prestataire de services d’intermédiation de données en cause l’une des sanctions suivantes :

1° Une sanction pécuniaire dont le montant tient compte des critères fixés à l’article 34 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité, sans pouvoir excéder 3 % du chiffre d’affaires mondial hors taxes du dernier exercice clos, ce taux étant porté à 5 % en cas de nouvelle violation de la même obligation. A défaut d’activité permettant de déterminer ce plafond, la sanction ne peut excéder un montant de 150 000 euros, porté à 375 000 euros en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive ;

2° La suspension de la fourniture du service d’intermédiation de données ;

3° La cessation de la fourniture du service d’intermédiation de données, dans le cas où le prestataire n’aurait pas remédié à des manquements graves ou répétés malgré l’envoi d’une mise en demeure en application du troisième alinéa du présent II.

Article 38

L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse saisit, avant toute décision, la Commission nationale de l’informatique et des libertés des pratiques des prestataires de services d’intermédiation de données de nature à soulever des questions liées à la protection des données à caractère personnel et tient compte de ses observations éventuelles.

Dans des conditions fixées par décret, cette autorité tient compte, le cas échéant, des observations éventuelles du président de la Commission nationale de l’informatique et des libertés lorsqu’elle traite :

1° Des demandes formulées par les prestataires de services d’intermédiation de données en application du paragraphe 9 de l’article 11 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) ;

2° Des réclamations des personnes physiques ou morales ayant recours aux services d’intermédiation de données relatives au champ d’application du même règlement.

L’autorité informe le président de la Commission nationale de l’informatique et des libertés de toute procédure ouverte en application de l’article 37 de la présente loi. Elle lui communique, dans des conditions fixées par décret, toute information utile lui permettant de formuler ses observations éventuelles sur les questions liées à la protection des données à caractère personnel dans un délai de quatre semaines à compter de sa saisine. Le cas échéant, l’autorité tient la commission informée des suites données à la procédure.

La Commission nationale de l’informatique et des libertés communique à l’autorité les faits dont elle a connaissance dans le cadre de sa mission de contrôle du respect des exigences en matière de protection des données à caractère personnel et qui pourraient constituer des manquements des services d’intermédiation de données à leurs obligations prévues au chapitre III du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité.

Article 39

A la première phrase du cinquième alinéa de l’article L. 130 du code des postes et des communications électroniques, la première occurrence du mot : « et » est remplacée par le signe : «, » et sont ajoutés les mots : « ainsi que dans celles prévues au second alinéa du III de l’article 30 et aux quatre derniers alinéas du II de l’article 37 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique ».

Titre IV : ASSURER LE DÉVELOPPEMENT EN FRANCE DE L’ÉCONOMIE DES JEUX À OBJETS NUMÉRIQUES MONÉTISABLES DANS UN CADRE PROTECTEUR (Articles 40 à 41)

Article 40

I. – A titre expérimental et pour une durée de trois ans à compter de la promulgation de la présente loi, sont autorisés les jeux proposés par l’intermédiaire d’un service de communication au public en ligne qui permettent l’obtention, reposant sur un mécanisme faisant appel au hasard, par les joueurs majeurs ayant consenti un sacrifice financier, d’objets numériques monétisables, à l’exclusion de l’obtention de tout gain monétaire, sous réserve que ces objets ne puissent être cédés à titre onéreux, directement ou indirectement par l’intermédiaire de toute personne physique ou morale, ni à l’entreprise de jeux qui les a émis, ni à une personne physique ou morale agissant de concert avec elle.

Constituent des objets numériques monétisables, au sens du premier alinéa du présent I, les éléments de jeu qui confèrent aux seuls joueurs un ou plusieurs droits associés au jeu et qui sont susceptibles d’être cédés, directement ou indirectement, à titre onéreux à des tiers.

Un décret en Conseil d’Etat, pris après avis de l’Autorité nationale des jeux et après consultation des associations représentatives des élus locaux et des filières du jeu d’argent et de hasard et du jeu vidéo, détermine les conditions dans lesquelles, par dérogation au même premier alinéa, d’autres récompenses que les objets numériques monétisables peuvent être attribuées à titre accessoire.

Ce décret détermine notamment la nature de ces récompenses, à l’exclusion de l’obtention de toute récompense en monnaie ayant cours légal. Il définit également les critères de plafonnement applicables à l’attribution de ces récompenses, y compris la proportion maximale de ces récompenses que l’entreprise de jeux à objets numériques monétisables peut attribuer à l’ensemble des participants à un même jeu au cours d’une année civile. Cette proportion maximale ne peut pas être supérieure à 25 % du chiffre d’affaires issu de l’activité de jeux à objets numériques monétisables de cette entreprise pour ce jeu au cours de cette même année civile, dans la limite d’un plafond annuel fixé par joueur.

Les entreprises de jeux à objets numériques monétisables s’assurent de l’intégrité, de la fiabilité et de la transparence des opérations de jeu et de la protection des mineurs. Elles veillent à interdire le jeu aux mineurs et à prévenir le jeu excessif ou pathologique, les activités frauduleuses ou criminelles ainsi que le blanchiment de capitaux et le financement du terrorisme.

II. – La liste des catégories de jeux autorisées à titre expérimental dans les conditions prévues au présent article est fixée par un décret en Conseil d’Etat pris après avis de l’Autorité nationale des jeux, dont les observations tiennent compte notamment des risques de développement d’offres illégales de jeux en ligne, et après consultation des associations représentatives des élus locaux et des filières du jeu d’argent et de hasard et du jeu vidéo.

III. – Dans un délai de dix-huit mois à compter de la promulgation de la présente loi, le Gouvernement remet au Parlement, en lien avec l’Autorité nationale des jeux, un bilan d’étape de l’expérimentation prévue au I. Ce bilan comprend des éléments relatifs notamment au développement du marché des jeux à objets numériques monétisables, à l’évaluation de l’impact économique sur les différents types de jeux, notamment sur les filières du jeu d’argent et de hasard et du jeu vidéo, à l’évaluation de l’impact sanitaire de cette expérimentation ainsi qu’à l’évaluation de l’efficacité des mesures prises par les entreprises de jeux à objets numériques monétisables pour protéger les joueurs et pour lutter contre le blanchiment de capitaux et le financement du terrorisme.

IV. – Au plus tard six mois avant la fin de l’expérimentation, le Gouvernement remet au Parlement un rapport d’évaluation des effets de cette expérimentation, proposant les suites à lui donner.

Article 41

I. – A. – Toute personne morale qui entend proposer au public une offre de jeux définie à l’article 40 la déclare préalablement à l’Autorité nationale des jeux.

B. – Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés et de l’Autorité nationale des jeux, fixe les informations que l’entreprise de jeux à objets numériques monétisables doit déclarer à cette autorité pour que celle-ci puisse s’assurer que le jeu appartient à la catégorie des jeux à objets numériques monétisables au sens de l’article 40 et que son exploitation est compatible avec le respect par l’entreprise des obligations mentionnées au I du même article 40 et au présent article.

C. – L’Autorité nationale des jeux fixe les modalités de dépôt et le contenu du dossier de déclaration.

L’Autorité nationale des jeux est informée sans délai par l’entreprise de jeux à objets numériques monétisables de toute modification substantielle concernant un élément du dossier de déclaration.

D. – L’offre de jeux ne peut être proposée au public que si le siège social de l’entreprise est établi soit dans un Etat membre de l’Union européenne, soit dans un autre Etat partie à l’accord sur l’Espace économique européen ayant conclu avec la France une convention contenant une clause d’assistance administrative en vue de lutter contre la fraude et l’évasion fiscales. L’entreprise désigne la ou les personnes, domiciliées en France, qui en sont responsables.

II. – Les entreprises de jeux à objets numériques monétisables sont tenues d’empêcher la participation des mineurs, même émancipés, à un jeu à titre onéreux. A cette fin, elles ont recours à un dispositif de vérification de l’âge conforme au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ainsi qu’à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Elles mettent également en place sur l’interface de jeu un message avertissant que ce jeu est interdit aux mineurs.

III. – La participation à un jeu à objets numériques monétisables à titre onéreux est subordonnée à la création, à la demande expresse du joueur, d’un compte de joueur. Ce compte ne peut être ouvert sans vérification préalable de la majorité et de l’identité du joueur. L’entreprise de jeux à objets numériques monétisables met en œuvre tout moyen utile afin de procéder à cette vérification.

L’entreprise de jeux à objets numériques monétisables ne peut ouvrir qu’un seul compte par joueur.

Un décret en Conseil d’Etat, pris après avis de l’Autorité nationale des jeux, précise les modalités d’ouverture, de gestion et de clôture des comptes des joueurs par l’entreprise de jeu.

IV. – Les objets numériques monétisables de jeu émis par une entreprise de jeux, définis à l’article 40, ne peuvent être acquis à titre onéreux ni par cette entreprise, directement ou par personne interposée, ni par une société qu’elle contrôle, au sens de l’article L. 233-16 du code de commerce.

V. – En vue de lui permettre d’exercer ses missions, les entreprises tiennent à la disposition de l’Autorité nationale des jeux les données relatives aux joueurs, aux événements de jeu et aux opérations financières associées.

L’autorité peut utiliser ces données afin de rechercher et d’identifier tout fait commis par un joueur susceptible de constituer une fraude ou de relever du blanchiment de capitaux ou du financement du terrorisme.

Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés et de l’Autorité nationale des jeux, précise la liste de ces données, leur format et les modalités de leur transmission ainsi que les modalités des contrôles réalisés par l’Autorité nationale des jeux à partir de ces données.

VI. – Les jeux à objets numériques monétisables ayant pour support des compétitions ou des manifestations sportives ne peuvent être proposés que sous réserve de respecter le droit d’exploitation prévu au premier alinéa de l’article L. 333-1 du code du sport et qu’avec l’accord des organisateurs des compétitions ou des manifestations sportives concernées.

VII. – Les fédérations délégataires au sens de l’article L. 131-14 du code du sport, le cas échéant en coordination avec les ligues professionnelles qu’elles ont créées, édictent des règles ayant pour objet d’interdire aux acteurs des compétitions ou manifestations sportives dont la liste est fixée par décret de :

1° Participer, directement ou par personne interposée, à des jeux à objets numériques monétisables ayant pour support des compétitions ou des manifestations sportives de leur discipline ;

2° Céder, directement ou par personne interposée, des objets numériques monétisables représentant un élément associé à l’une des compétitions ou des manifestations de leur discipline ;

3° Communiquer à des tiers des informations privilégiées, obtenues à l’occasion de leur profession ou de leurs fonctions, qui sont inconnues du public et qui sont susceptibles d’être utilisées dans des jeux à objets numériques monétisables ayant pour support des compétitions ou des manifestations sportives de leur discipline.

VIII. – A. – Une entreprise de jeux à objets numériques monétisables ayant pour support des courses hippiques réelles ne peut organiser de tels jeux que sur les courses figurant au calendrier prévu à l’article 5-1 de la loi du 2 juin 1891 ayant pour objet de réglementer l’autorisation et le fonctionnement des courses de chevaux.

B. – Avant d’utiliser les données des courses hippiques mentionnées au A du présent VIII, l’entreprise conclut un contrat avec la société organisatrice des courses française ou étrangère ou son mandataire. Ce contrat ne peut comporter de clause d’exclusivité au profit d’une entreprise particulière.

Le contrat prévu au premier alinéa du présent B doit stipuler que l’utilisation des données des courses hippiques par une entreprise de jeux à objets numériques monétisables respecte les valeurs découlant des obligations de service public incombant aux sociétés mères prévues par décret.

C. – Les sociétés mères des courses de chevaux intègrent au sein du code des courses de leur spécialité des dispositions ayant pour objet d’empêcher les jockeys et les entraîneurs de :

1° Participer, directement ou par personne interposée, à des jeux à objets numériques monétisables qui reposent sur des courses hippiques auxquelles ils participent ;

2° Céder, directement ou par personne interposée, des objets numériques monétisables qui reposent sur des courses hippiques auxquelles ils participent ;

IX. – Les interdictions et les restrictions prévues aux articles L. 320-12 et L. 320-14 du code de la sécurité intérieure s’appliquent aux communications commerciales en faveur d’une entreprise de jeux à objets numériques monétisables autorisée à titre expérimental sur le fondement de l’article 40 de la présente loi.

La méconnaissance des interdictions et des restrictions mentionnées au premier alinéa du présent IX est passible des peines prévues à l’article L. 324-8-1 du code de la sécurité intérieure.

Les associations dont l’objet statutaire comporte la lutte contre les addictions et qui sont régulièrement déclarées depuis au moins cinq ans à la date des faits peuvent exercer les droits reconnus à la partie civile pour les infractions prévues au deuxième alinéa du présent IX. Peuvent exercer les mêmes droits les associations de consommateurs mentionnées à l’article L. 621-1 du code de la consommation ainsi que les associations familiales mentionnées aux articles L. 211-1 et L. 211-2 du code de l’action sociale et des familles.

X. – L’Autorité nationale des jeux peut, par une décision motivée, prescrire à une entreprise de jeux à objets numériques monétisables le retrait de toute communication commerciale incitant, directement ou indirectement, au jeu des mineurs ou comportant une incitation à des pratiques excessives du jeu.

XI. – L’entreprise de jeux à objets numériques monétisables prévient les comportements de jeu excessif ou pathologique, notamment par la mise en place de mécanismes d’auto-exclusion et de dispositifs d’autolimitation des dépenses et du temps de jeu, selon les modalités fixées par un décret en Conseil d’Etat pris après avis de l’Autorité nationale des jeux.

Elle met également à la disposition du joueur, de manière permanente et aisément accessible, une synthèse des données relatives à son activité de jeu en vue de permettre la maîtrise de celle-ci.

XII. – L’entreprise de jeux à objets numériques monétisables est tenue de n’adresser aucune communication commerciale aux mineurs ou aux titulaires d’un compte bénéficiant d’une mesure d’auto-exclusion applicable aux jeux qu’elle exploite.

XIII. – Les communications commerciales effectuées par une personne exerçant une activité d’influence commerciale par voie électronique, définie à l’article 1er de la loi n° 2023-451 du 9 juin 2023 visant à encadrer l’influence commerciale et à lutter contre les dérives des influenceurs sur les réseaux sociaux, dont l’objet est de promouvoir, de façon directe ou indirecte, l’offre d’une entreprise de jeux à objets numériques monétisables ou cette entreprise elle-même ne sont autorisées que sur les plateformes en ligne offrant la possibilité technique d’exclure de l’audience dudit contenu tous les utilisateurs âgés de moins de dix-huit ans, si ce mécanisme d’exclusion est effectivement activé par lesdites personnes.

XIV. – Il est interdit à toute entreprise de jeux à objets numériques monétisables ainsi qu’à toute personne physique ou morale agissant de concert avec elle de consentir aux joueurs des prêts en monnaie ayant cours légal ou en actifs numériques, au sens de l’article L. 54-10-1 du code monétaire et financier, ou de mettre en place directement ou indirectement des dispositifs permettant aux joueurs de s’accorder entre eux des prêts en monnaie ayant cours légal ou en actifs numériques, au sens du même article L. 54-10-1, en vue de permettre l’achat d’objets numériques monétisables ou des autres récompenses éventuellement attribuées et fixées par le décret en Conseil d’Etat mentionné au I de l’article 40 de la présente loi.

Les services de communication au public en ligne sur lesquels les entreprises de jeux à objets numériques monétisables proposent une offre de jeux à objets numériques monétisables ne peuvent contenir aucune publicité en faveur d’une entreprise susceptible de consentir des prêts aux joueurs ou de permettre le prêt entre joueurs, ni aucun lien vers un site proposant une telle offre de prêt.

XV. – L’entreprise de jeux à objets numériques monétisables informe les joueurs des risques liés au jeu excessif ou pathologique par un message de mise en garde défini par un arrêté du ministre chargé de la santé pris après avis de l’Autorité nationale des jeux. Les modalités techniques d’affichage du message sont fixées par l’Autorité nationale des jeux.

XVI. – A. – Les entreprises de jeux à objets numériques monétisables sont assujetties aux obligations prévues aux sections 2 à 7 du chapitre Ier et au chapitre II du titre VI du livre V du code monétaire et financier et par les dispositions européennes directement applicables en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme, y compris les règlements européens portant mesures restrictives pris en application des articles 75 ou 215 du traité sur le fonctionnement de l’Union européenne ainsi que par les dispositions prises en application du même article 215 à d’autres fins.

L’Autorité nationale des jeux contrôle le respect par les entreprises des obligations mentionnées au premier alinéa du présent A.

L’Autorité nationale des jeux évalue les risques présentés par les entreprises ainsi que les résultats des actions menées par ces entreprises en matière de lutte contre la fraude et contre le blanchiment de capitaux et le financement du terrorisme. Elle peut leur adresser des prescriptions à ce sujet.

L’Autorité nationale des jeux adapte de manière proportionnée les modalités, l’intensité et la fréquence de ses contrôles sur pièces et sur place en fonction des risques identifiés. Elle tient compte des caractéristiques techniques du jeu à objets numériques monétisables.

Tout manquement par les entreprises de jeux à objets numériques monétisables aux obligations mentionnées au premier alinéa du présent A peut donner lieu aux sanctions prévues à l’article L. 561-40 du code monétaire et financier, à l’exception de celle prévue du 4° du I du même article L. 561-40.

La Commission nationale des sanctions prévue à l’article L. 561-38 du même code est saisie des manquements constatés par l’Autorité nationale des jeux et prononce, le cas échéant, la sanction adéquate ou les sanctions adéquates.

B. – Le présent XVI entre en vigueur dix-huit mois après la promulgation de la présente loi.

XVII. – L’Autorité nationale des jeux contrôle le respect par les entreprises de jeux à objets numériques monétisables de leurs obligations légales et réglementaires. Elle lutte contre les offres illégales de tels jeux, sans préjudice de son action de lutte contre les offres illégales de jeux d’argent et de hasard, telles que les offres de jeu de casino en ligne. Elle tient compte des caractéristiques techniques des jeux à objets numériques monétisables. Elle veille également au respect de l’objectif d’une exploitation équilibrée des différents types de jeux afin d’éviter la déstabilisation économique des différentes filières. Elle peut s’appuyer, pour mener ses contrôles, le cas échéant, sur tout signalement d’un manquement aux obligations légales et réglementaires qui s’imposent aux entreprises de jeux à objets numériques monétisables.

XVIII. – Le collège de l’Autorité nationale des jeux prend les décisions relatives aux jeux à objets numériques monétisables.

Dans les mêmes conditions que celles fixées à l’article 37 de la loi n° 2010-476 du 12 mai 2010 relative à l’ouverture à la concurrence et à la régulation du secteur des jeux d’argent et de hasard en ligne, le collège peut donner délégation au président ou, en cas d’absence ou d’empêchement de celui-ci, à un autre de ses membres pour prendre les décisions à caractère individuel relevant de sa compétence.

XIX. – Pour l’accomplissement des missions qui lui sont confiées, l’Autorité nationale des jeux peut recueillir toute information et tout document nécessaire en la possession des entreprises de jeux à objets numériques monétisables et entendre toute personne susceptible de contribuer à son information.

Les fonctionnaires et les agents de l’Autorité nationale des jeux mentionnés au II de l’article 42 de la loi n° 2010-476 du 12 mai 2010 précitée mènent les enquêtes administratives permettant le contrôle du respect par les entreprises de leurs obligations. Dans ce cadre, ils peuvent demander aux entreprises de jeux à objets numériques monétisables toute information ou tout document utile. Ils ont accès, en présence de la personne que l’entreprise désigne à cet effet, aux locaux qu’elle utilise à des fins professionnelles, à l’exclusion de la partie de ces locaux servant, le cas échéant, de domicile. Ils y procèdent à toute constatation et peuvent se faire remettre à cette occasion copie de tout document utile.

Dans l’exercice de ces pouvoirs d’enquête, le secret professionnel ne peut leur être opposé par les entreprises de jeux à objets numériques monétisables. Les enquêtes administratives donnent lieu à l’établissement d’un procès-verbal.

Dans le but de constater qu’une offre de jeux à objets numériques monétisables est proposée par une personne qui n’a pas procédé à la déclaration prévue au I du présent article ou qu’il est fait la promotion d’une telle offre, ces fonctionnaires et ces agents peuvent également, sans en être pénalement responsables :

1° Participer sous une identité d’emprunt à des échanges électroniques sur un site de jeux à objets numériques monétisables, notamment à une session de jeu en ligne. L’utilisation d’une identité d’emprunt est sans incidence sur la régularité des constatations effectuées ;

2° Extraire, acquérir ou conserver par ce moyen les éléments de preuve et les données sur les personnes susceptibles d’être les auteurs de ces infractions ainsi que sur les comptes bancaires utilisés ;

3° Extraire, transmettre en réponse à une demande expresse, acquérir ou conserver des contenus illicites.

A peine de nullité, ces actes ne peuvent avoir pour effet d’inciter autrui à commettre une infraction.

Les conditions dans lesquelles les fonctionnaires et les agents mentionnés au présent XIX procèdent aux constatations prévues au 1° et aux actes prévus au 3° sont précisées par un décret en Conseil d’Etat pris après avis de l’Autorité nationale des jeux.

XX. – L’Autorité nationale des jeux peut à tout moment, à l’issue d’une procédure contradictoire, lorsque l’entreprise de jeux à objets numériques monétisables méconnaît ses obligations légales, notamment celles prévues au dernier alinéa du I de l’article 40 ou au II du présent article, interdire la poursuite de cette exploitation ou l’assortir de conditions qu’elle détermine.

XXI. – Dans l’exercice de ses missions de contrôle des jeux à objets numériques monétisables, l’Autorité nationale des jeux coopère avec les autorités mentionnées à l’article 39-1 de la loi n° 2010-476 du 12 mai 2010 précitée, dans les conditions prévues au même article 39-1.

XXII. – En vue du contrôle du respect de leurs obligations par les entreprises de jeux à objets numériques monétisables, le président de l’Autorité peut conclure, au nom de l’Etat, des conventions avec les autorités de régulation des jeux d’autres Etats membres de l’Union européenne ou d’autres Etats parties à l’accord sur l’Espace économique européen pour échanger les résultats des analyses et des contrôles réalisés par ces autorités et par elle-même à l’égard des entreprises de jeux à objets numériques monétisables.

XXIII. – La commission des sanctions de l’Autorité nationale des jeux est chargée de prononcer les sanctions mentionnées au XXV du présent article à l’encontre des entreprises de jeux à objets numériques monétisables.

XXIV. – A. – Sans préjudice de l’article L. 561-38 du code monétaire et financier, la commission des sanctions de l’Autorité nationale des jeux peut prononcer des sanctions à l’encontre d’une entreprise de jeux à objets numériques monétisables dans les conditions prévues à l’article 43 de la loi n° 2010-476 du 12 mai 2010 précitée.

B. – Sans préjudice des compétences de la Commission nationale des sanctions prévues à l’article L. 561-38 du code monétaire et financier, le collège de l’Autorité nationale des jeux peut décider l’ouverture d’une procédure de sanction à l’encontre d’une entreprise de jeu à objets numériques monétisables ayant manqué ou manquant à ses obligations légales ou réglementaires ou ayant méconnu ou méconnaissant une prescription qui lui a été adressée. Il notifie alors les griefs aux entreprises en cause et en saisit la commission des sanctions.

C. – Préalablement à cette notification, lorsqu’une entreprise de jeux à objets numériques monétisables manque à ses obligations légales ou réglementaires ou méconnaît une prescription qui lui a été adressée, le président de l’Autorité nationale des jeux peut la rappeler à ses obligations ou, si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, prononcer à son égard une mise en demeure de se mettre en conformité dans un délai qu’il fixe. Ce délai peut être fixé à vingt-quatre heures en cas d’urgence. Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure. Le président peut demander au collège de l’Autorité nationale des jeux de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l’objet de la même publicité.

D. – La commission des sanctions de l’Autorité nationale des jeux peut, avant de prononcer les sanctions prévues au XXV du présent article, entendre toute personne dont l’audition lui paraît utile. Les conditions de communication à un tiers d’une pièce mettant en jeu le secret des affaires sont définies par un décret en Conseil d’Etat.

XXV. – A. – La commission des sanctions de l’Autorité nationale des jeux peut prononcer à l’encontre des entreprises de jeux à objets numériques monétisables, en fonction de la gravité du manquement, une des sanctions suivantes :

1° L’avertissement ;

2° La suspension à titre provisoire, pour une durée maximale de trois mois, de l’exploitation du jeu ;

3° L’interdiction, pour une durée maximale de trois ans, de l’exploitation du jeu ou de l’ensemble des jeux concernés ;

4° L’interdiction, pour une durée maximale de trois ans, pour l’exploitant d’exercer une activité d’exploitation de jeux à objets numériques monétisables.

B. – Le V de l’article 43 de la loi n° 2010-476 du 12 mai 2010 précitée est applicable aux entreprises de jeux à objets numériques monétisables et à leurs activités d’exploitation de ces jeux.

C. – Lorsqu’une entreprise de jeux à objets numériques monétisables communique des informations inexactes, refuse de fournir les informations demandées ou fait obstacle au déroulement de l’enquête menée par les fonctionnaires ou les agents habilités en application du XIX du présent article, la commission des sanctions peut prononcer une sanction pécuniaire d’un montant qui ne peut excéder 100 000 euros.

D. – Le X de l’article 43 de la loi n° 2010-476 du 12 mai 2010 précitée est applicable aux entreprises de jeux à objets numériques monétisables faisant l’objet des sanctions mentionnées aux A et B du présent XXV.

XXVI. – L’article 44 de la loi n° 2010-476 du 12 mai 2010 précitée est applicable aux sanctions susceptibles d’être prononcées en application du XXV du présent article à l’encontre des entreprises de jeux à objets numériques monétisables.

XXVII. – Les peines prévues au I de l’article 56 de la loi n° 2010-476 du 12 mai 2010 précitée sont applicables aux personnes physiques et morales ayant offert ou proposé au public une offre de jeux à objets numériques monétisables sans avoir préalablement déposé la déclaration prévue au I du présent article.

Quiconque fait de la publicité, par quelque moyen que ce soit, en faveur d’un site proposant au public une offre de jeux à objets numériques monétisables illégale est puni d’une amende de 100 000 euros. Le tribunal peut porter le montant de l’amende au quadruple du montant des dépenses publicitaires consacrées à l’activité illégale.

XXVIII. – Le président de l’Autorité nationale des jeux adresse à l’entreprise dont l’offre de jeux à objets numériques monétisables en ligne est accessible sur le territoire français et qui ne s’est pas déclarée ou à la personne qui fait de la publicité en faveur d’une offre de jeux à objets numériques monétisables en ligne proposée par une entreprise qui ne s’est pas déclarée une mise en demeure de cesser cette activité. Cette mise en demeure, qui peut être notifiée par tout moyen propre à en établir la date de réception, rappelle les dispositions de la présente loi et invite son destinataire à présenter ses observations dans un délai de cinq jours.

Le président de l’Autorité nationale des jeux adresse aux personnes mentionnées au 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique une copie des mises en demeure adressées aux personnes mentionnées au premier alinéa du présent XXVIII. Il enjoint à ces mêmes personnes de prendre toute mesure pour empêcher l’accès à ces contenus illicites et les invite à présenter leurs observations dans un délai de cinq jours. La mise en demeure et l’injonction leur sont notifiées par tout moyen propre à en établir la date de réception.

Lorsque tous les délais mentionnés aux deux premiers alinéas du présent XXVIII sont échus, le président de l’Autorité nationale des jeux notifie aux personnes mentionnées au 1 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 précitée ainsi qu’à toute personne exploitant un moteur de recherche ou un annuaire les adresses électroniques des interfaces en ligne dont les contenus sont illicites et leur ordonne de prendre toute mesure utile destinée à en empêcher l’accès ou à faire cesser leur référencement, dans un délai qu’il détermine et qui ne peut être inférieur à cinq jours.

Pour l’application du troisième alinéa du présent XXVIII, une interface en ligne s’entend de tout logiciel, y compris un site internet, une partie de site internet ou une application, exploité par un professionnel ou pour son compte et permettant aux utilisateurs finaux d’accéder aux biens ou aux services qu’il propose.

Le non-respect des mesures ordonnées en application du même troisième alinéa est puni des peines mentionnées au B du V de l’article 6 de la loi n° 2004-575 du 21 juin 2004 précitée. Le président de l’Autorité nationale des jeux peut également être saisi par le ministère public et par toute personne physique ou morale ayant intérêt à agir afin qu’il mette en œuvre les pouvoirs qui lui sont confiés en application du présent article.

XXIX. – A compter du 30 décembre 2024, le XIV du présent article est ainsi rédigé :

« XIV. – Il est interdit à toute entreprise de jeux à objets numériques monétisables ainsi qu’à toute personne physique ou morale agissant de concert avec elle de consentir aux joueurs des prêts en monnaie ayant cours légal ou en crypto-actifs ou de mettre en place, directement ou indirectement, des dispositifs permettant aux joueurs de s’accorder entre eux des prêts en monnaie ayant cours légal ou en crypto-actifs en vue de permettre l’achat d’objets numériques monétisables ou des autres récompenses éventuellement attribuées et fixées par le décret en Conseil d’Etat mentionné au I de l’article 40 de la présente loi.

« Pour l’application du présent XIV, sont entendus comme crypto-actifs ceux relevant du champ d’application du règlement (UE) 2023/1114 du Parlement européen et du Conseil du 31 mai 2023 sur les marchés de crypto-actifs, et modifiant les règlements (UE) n° 1093/2010 et (UE) n° 1095/2010 et les directives 2013/36/UE et (UE) 2019/1937 et autres qu’un jeton se référant à un ou des actifs au sens du 7 du paragraphe 1 de l’article 3 du même règlement ou qu’un jeton utilitaire au sens du 9 du même paragraphe 1. »

Titre V : PERMETTRE À L’ÉTAT D’ANALYSER PLUS EFFICACEMENT L’ÉVOLUTION DES MARCHÉS NUMÉRIQUES (Articles 42 à 43)

Article 42

Le I de l’article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique est ainsi modifié :

1° Les quatre dernières phrases du cinquième alinéa sont supprimées ;

2° La première phrase de l’avant-dernier alinéa est complétée par les mots : «, notamment à des fins de recherches contribuant à la détection, à la détermination et à la compréhension des risques systémiques dans l’Union, au sens du paragraphe 1 de l’article 34 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques) » ;

3° Avant le dernier alinéa, il est inséré un alinéa ainsi rédigé :

« Dans le cadre de ses activités d’expérimentation et de recherche publique mentionnées aux cinquième et sixième alinéas, le service mentionné au premier alinéa intervient en tant que responsable de traitement, au sens de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Ce service peut mettre en œuvre auprès des opérateurs de plateforme mentionnés au même premier alinéa, des partenaires de ces plateformes et de leurs sous-traitants, des fournisseurs de systèmes d’exploitation permettant le fonctionnement des éventuelles applications de ces opérateurs et des fournisseurs de systèmes d’intelligence artificielle des méthodes de collecte automatisée de données publiquement accessibles, y compris lorsque l’accès à ces données nécessite la connexion à un compte, dans le respect des droits des bénéficiaires du service concerné et en préservant la sécurité des services de ces opérateurs ainsi que l’accès aux données de ces opérateurs stockées ou traitées sur ses propres terminaux. Cette mise en œuvre s’effectue nonobstant les conditions générales d’utilisation ou les licences des services des opérateurs concernés ou de leurs applications mettant les données visées à la disposition du public. Ce service met en œuvre des méthodes de collecte de données publiquement accessibles strictement nécessaires et proportionnées, qui sont précisées par un décret en Conseil d’Etat pris après avis public motivé de la Commission nationale de l’informatique et des libertés. Les données collectées dans le cadre des activités d’expérimentation mentionnées au cinquième alinéa du présent article sont détruites à l’issue des travaux, et au plus tard neuf mois après leur collecte. Les données collectées dans le cadre des activités de recherche publique mentionnées au sixième alinéa sont détruites à l’issue des travaux, et au plus tard cinq ans après leur collecte. » ;

4° Au dernier alinéa, le mot : « avant-dernier » est remplacé par le mot : « sixième ».

Article 43

Le II de l’article L. 324-2-1 du code du tourisme est ainsi modifié :

1° Le premier alinéa est ainsi modifié :

a) Après le mot : « commune », la fin de la première phrase est ainsi rédigée : « ou l’établissement public de coopération intercommunale qui le demande a accès, jusqu’au 31 décembre de l’année suivant celle au cours de laquelle un meublé de tourisme a été mis en location, aux données d’activité définies par décret en Conseil d’Etat, notamment celles de nature à lui permettre de contrôler le respect des obligations prévues au même article L. 324-1-1 ou pouvant être utiles à la conduite d’une politique publique de tourisme et de logement. » ;

b) La deuxième phrase est ainsi rédigée : « Ces données sont mises à la disposition de la commune ou de l’établissement public de coopération intercommunale par l’organisme public unique chargé de recueillir ces données, qui lui sont transmises de manière électronique, sous un format standardisé, par les personnes mentionnées au I du présent article. » ;

c) La dernière phrase est complétée par les mots : « et est informée par l’organisme public unique lorsqu’un meublé déclaré comme résidence principale du loueur a été loué plus de cent vingt jours au cours d’une même année civile » ;

d) Est ajoutée une phrase ainsi rédigée : « Les données gérées par l’organisme public unique sont agrégées et rendues accessibles pour une durée maximale et dans des conditions fixées par décret en Conseil d’Etat. » ;

2° Le dernier alinéa est ainsi modifié :

a) Les mots : « précise la fréquence et les modalités techniques de transmission des informations mentionnées au premier alinéa du présent II » sont remplacés par les mots : « désigne l’organisme public unique mentionné au premier alinéa du présent II et détermine la nature des données mentionnées au même premier alinéa, leur durée de conservation, les délais de réponse ainsi que la fréquence et les modalités techniques de leur transmission » ;

b) A la fin, les mots : « de la personne mentionnée au I à répondre aux demandes des communes » sont remplacés par les mots : « des personnes mentionnées au I à satisfaire à leur obligation de transmission de données à ce même organisme unique ».

Titre VI : RENFORCER LA GOUVERNANCE DE LA RÉGULATION DU NUMÉRIQUE (Article 44)

Article 44

Après l’article 7 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, il est inséré un article 7-1 ainsi rédigé :

« Art. 7-1. – Dans l’exercice de ses missions, le coordinateur pour les services numériques mentionné au paragraphe 2 de l’article 49 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) peut, dans le cadre d’une convention, recourir à l’assistance technique du service administratif de l’Etat mentionné à l’article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique, notamment pour toute question liée aux analyses de données, aux codes sources, aux programmes informatiques, aux traitements algorithmiques ou à l’audit des algorithmes.

« Le service administratif mentionné au même article 36 peut, pour des travaux relevant de son domaine d’expertise, proposer son assistance technique au coordinateur pour les services numériques pour la conduite des missions de ce dernier.

« Le coordinateur pour les services numériques veille à associer le service administratif aux missions de coopération relatives au développement de l’expertise et des capacités de l’Union européenne en matière d’évaluation des questions systémiques et émergentes mentionnées à l’article 64 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité.

« Lorsqu’il est sollicité ou qu’il propose son assistance technique au titre du présent article, le service administratif conduit ses travaux en toute indépendance. Il assure la confidentialité des informations recueillies dans le cadre de l’exercice de ses missions et limite leur utilisation aux seules fins nécessaires à ses missions.

« La convention mentionnée au premier alinéa du présent article précise les modalités de la coopération entre le coordinateur pour les services numériques et le service administratif ainsi que les conditions propres à garantir la confidentialité des informations qu’ils se transmettent. »

Titre VII : CONTRÔLE DES OPÉRATIONS DE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL EFFECTUÉES PAR LES JURIDICTIONS DANS L’EXERCICE DE LEUR FONCTION JURIDICTIONNELLE (Articles 45 à 47)

Article 45

Le titre Ier du livre Ier du code de justice administrative est complété par un chapitre V ainsi rédigé :

« Chapitre V.- « Contrôle des opérations de traitement de données à caractère personnel effectuées par les juridictions administratives dans l’exercice de leur fonction juridictionnelle

« Art. L. 115-1. – I. – Le Conseil d’Etat est chargé du contrôle des opérations de traitement des données à caractère personnel effectuées dans l’exercice de leur fonction juridictionnelle :

« 1° Par les juridictions administratives, sous réserve de l’article L. 453-1 du code de l’organisation judiciaire pour le Conseil supérieur de la magistrature et de l’article L. 111-18 du code des juridictions financières pour les juridictions régies par ce même code ;

« 2° Par le Tribunal des conflits.

« II. – Ce contrôle est exercé, en toute indépendance, par une autorité constituée d’un membre du Conseil d’Etat, élu par l’assemblée générale pour une durée de trois ans, renouvelable une fois.

« III. – L’autorité de contrôle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ainsi qu’à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

« Elle est saisie des réclamations relatives aux opérations de traitement de données à caractère personnel soumises à son contrôle.

« IV. – Pour l’exercice de ses missions, l’autorité de contrôle dispose des pouvoirs mentionnés à l’article 58 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et aux articles 20, 21 et 22 de la loi n° 78-17 du 6 janvier 1978 précitée, à l’exception de ceux relatifs au prononcé d’une astreinte ou d’une amende. Pour l’application des mêmes articles 20, 21 et 22, l’autorité de contrôle exerce indistinctement les compétences dévolues au président et à la formation restreinte de la commission mentionnée à l’article 8 de la même loi. Le secret ne peut lui être opposé.

« Elle dispose des ressources humaines, matérielles et techniques nécessaires à l’exercice de ses fonctions, fournies par le Conseil d’Etat.

« Les agents mis à la disposition de l’autorité de contrôle sont astreints au secret pour les faits, actes ou renseignements dont ils ont eu connaissance en raison de leurs fonctions, sous peine des sanctions prévues aux articles 226-13 et 413-10 du code pénal.

« V. – L’autorité de contrôle adresse au vice-président du Conseil d’Etat et transmet au Parlement un rapport public annuel. Ce rapport établit un bilan de son activité. Il peut comporter des observations et des recommandations relatives à son domaine d’intervention.

« VI. – Un décret en Conseil d’Etat précise les modalités d’application du présent article. »

Article 46

I.-Le titre V du livre IV du code de l’organisation judiciaire est complété par un chapitre III ainsi rédigé :

« Chapitre III.- « Contrôle des opérations de traitement des données à caractère personnel effectuées par les juridictions judiciaires et leur ministère public dans l’exercice de leur fonction juridictionnelle

« Art. L. 453-1.-I.-La Cour de cassation est chargée du contrôle des opérations de traitement des données à caractère personnel effectuées, dans l’exercice de leur fonction juridictionnelle, par les juridictions judiciaires et par leur ministère public ainsi que par le Conseil supérieur de la magistrature dans l’exercice de ses fonctions disciplinaires.

« II.-Ce contrôle est exercé, en toute indépendance, par une autorité constituée d’un magistrat hors hiérarchie de la Cour de cassation, élu par l’assemblée des magistrats hors hiérarchie de ladite Cour pour une durée de trois ans, renouvelable une fois.

« III.-L’autorité de contrôle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE (règlement général sur la protection des données) ainsi qu’à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

« Elle est saisie des réclamations relatives aux opérations de traitement de données à caractère personnel soumises à son contrôle.

« IV.-Pour l’exercice de ses missions, l’autorité de contrôle dispose des pouvoirs mentionnés à l’article 58 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et aux articles 20,21 et 22 de la loi n° 78-17 du 6 janvier 1978 précitée, à l’exception de ceux relatifs au prononcé d’une astreinte ou d’une amende. Pour l’application des mêmes articles 20,21 et 22, l’autorité de contrôle exerce indistinctement les compétences dévolues au président et à la formation restreinte de la commission mentionnée à l’article 8 de la même loi. Le secret ne peut lui être opposé.

« Elle dispose des ressources humaines, matérielles et techniques nécessaires à l’exercice de ses fonctions, fournies par la Cour de cassation.

« Les agents mis à la disposition de l’autorité de contrôle sont astreints au secret pour les faits, les actes ou les renseignements dont ils ont eu connaissance en raison de leurs fonctions, sous peine des sanctions prévues aux articles 226-13 et 413-10 du code pénal.

« V.-L’autorité de contrôle adresse au premier président et au procureur général près la Cour de cassation et transmet au Parlement un rapport public annuel. Ce rapport établit un bilan de son activité. Il peut comporter des observations et des recommandations relatives à son domaine d’intervention.

« VI.-Un décret en Conseil d’Etat précise les modalités d’application du présent article.

« Art. L. 453-2.-La Cour de cassation connaît des recours formés par toute personne physique ou morale contre une décision de l’autorité de contrôle qui lui fait grief.

« La Cour de cassation connaît également des recours formés par toute personne concernée en cas d’abstention de l’autorité de contrôle de traiter une réclamation ou d’informer son auteur, dans un délai de trois mois, de l’état de l’instruction ou de l’issue de cette réclamation.

« Un décret en Conseil d’Etat précise les modalités d’application du présent article. »

II.-Le V de l’article 19 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est complété par les mots : « et leur ministère public ».

Article 47

Le chapitre Ier du titre Ier du livre Ier du code des juridictions financières est complété par une section 6 ainsi rédigée :

« Section 6.- « Contrôle des opérations de traitement des données à caractère personnel effectuées par les juridictions régies par le présent code dans l’exercice de leur fonction juridictionnelle

« Art. L. 111-18. – I. – La Cour des comptes est chargée du contrôle des opérations de traitement de données à caractère personnel effectuées, dans l’exercice de leur fonction juridictionnelle, par les juridictions régies par le présent code et par leur ministère public.

« II. – Ce contrôle est exercé, en toute indépendance, par une autorité constituée d’un magistrat de la Cour des comptes, élu par la chambre du conseil pour une durée de trois ans, renouvelable une fois.

« III. – L’autorité de contrôle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ainsi qu’à la loi n° 78-17 du 16 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

« Elle est saisie des réclamations relatives aux opérations de traitement de données à caractère personnel soumises à son contrôle.

« Elle dispose des ressources humaines, matérielles et techniques nécessaires à l’exercice de ses fonctions, fournies par la Cour des comptes.

« V. – L’autorité de contrôle adresse au premier président de la Cour des comptes et transmet au Parlement un rapport public annuel. Ce rapport établit un bilan de son activité. Il peut comporter des observations et des recommandations relatives à son domaine d’intervention.

« VI. – Un décret en Conseil d’Etat précise les modalités d’application du présent article. »

Titre VIII : ADAPTATIONS DU DROIT NATIONAL (Articles 48 à 64)

Chapitre Ier : Mesures d’adaptation de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (Articles 48 à 51)

Article 48

I.-La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi modifiée :

1° Après l’article 1er, sont insérés des articles 1er-1 et 1er-2 ainsi rédigés :

« Art. 1-1.-I.-Les personnes dont l’activité est d’éditer un service de communication au public en ligne mettent à la disposition du public, dans un standard ouvert :

« 1° S’il s’agit de personnes physiques, leurs nom, prénoms, domicile et numéro de téléphone et, si elles sont assujetties aux formalités d’inscription au registre du commerce et des sociétés ou au registre national des entreprises en tant qu’entreprise du secteur des métiers et de l’artisanat, le numéro de leur inscription ;

« 2° S’il s’agit de personnes morales, leur dénomination ou leur raison sociale et leur siège social, leur numéro de téléphone et, s’il s’agit d’entreprises assujetties aux formalités d’inscription au registre du commerce et des sociétés ou au registre national des entreprises en tant qu’entreprise du secteur des métiers et de l’artisanat, le numéro de leur inscription, leur capital social et l’adresse de leur siège social ;

« 3° Le nom du directeur ou du codirecteur de la publication, au sens de l’article 93-2 de la loi n° 82-652 du 29 juillet 1982 sur la communication audiovisuelle et, le cas échéant, celui du responsable de la rédaction ;

« 4° Le nom, la dénomination ou la raison sociale, l’adresse et le numéro de téléphone du fournisseur de services d’hébergement ;

« 5° Le cas échéant, le nom, la dénomination ou la raison sociale et l’adresse des personnes physiques ou morales qui assurent, même à titre gratuit, le stockage de données traitées directement par elles dans le cadre de l’édition du service.

« II.-Les personnes éditant à titre non professionnel un service de communication au public en ligne peuvent ne tenir à la disposition du public, pour préserver leur anonymat, que le nom, la dénomination ou la raison sociale et l’adresse du fournisseur de services d’hébergement, sous réserve d’avoir communiqué à ce fournisseur les éléments d’identification personnelle mentionnés au I du présent article.

« Les fournisseurs de services d’hébergement sont assujettis au secret professionnel, dans les conditions prévues aux articles 226-13 et 226-14 du code pénal, pour tout ce qui concerne la divulgation de ces éléments d’identification personnelle ou de toute information permettant d’identifier la personne concernée. Ce secret professionnel n’est pas opposable à l’autorité judiciaire.

« III.-Toute personne nommée ou désignée dans un service de communication au public en ligne dispose d’un droit de réponse, sans préjudice des demandes de correction ou de suppression du message qu’elle peut adresser au service.

« La demande d’exercice du droit de réponse est adressée au directeur de la publication ou, lorsque la personne éditant à titre non professionnel a conservé l’anonymat, au fournisseur de services d’hébergement, qui la transmet sans délai au directeur de la publication. Elle est présentée dans un délai de trois mois à compter de la mise à la disposition du public du message justifiant cette demande.

« Le directeur de la publication est tenu d’insérer dans les trois jours de leur réception les réponses de toute personne nommée ou désignée dans le service de communication au public en ligne, sous peine d’une amende de 3 750 euros, sans préjudice des autres peines et dommages et intérêts auxquels le message pourrait donner lieu.

« Les conditions d’insertion de la réponse sont celles prévues à l’article 13 de la loi du 29 juillet 1881 sur la liberté de la presse. La réponse est gratuite.

« Un décret en Conseil d’Etat fixe les modalités d’application du présent III.

« IV.-Les associations mentionnées aux articles 48-1 à 48-6 de la loi du 29 juillet 1881 sur la liberté de la presse peuvent également exercer le droit de réponse prévu au III du présent article dans le cas où des imputations susceptibles de porter atteinte à l’honneur ou à la réputation d’une personne ou d’un groupe de personnes en raison de leur sexe, de leur handicap, de leur orientation sexuelle ou identité de genre, vraie ou supposée, de leur appartenance ou de leur non-appartenance à une prétendue race, une ethnie, une nation ou une religion déterminée sont diffusées sur un service de communication au public en ligne.

« Si les imputations concernent des personnes considérées individuellement, l’association ne peut exercer le droit de réponse que si elle justifie avoir reçu leur accord.

« Aucune association ne peut requérir la diffusion d’une réponse en application du présent IV lorsqu’a été diffusée une réponse à la demande d’une des associations remplissant les conditions précitées.

« V.-Les chapitres IV et V de la loi du 29 juillet 1881 sur la liberté de la presse sont applicables aux services de communication au public en ligne et la prescription est acquise dans les conditions prévues à l’article 65 de la même loi.

« Art. 1-2.-Est puni d’un an d’emprisonnement et de 75 000 euros d’amende le fait, pour une personne physique ou le dirigeant de droit ou de fait d’une personne morale dont l’activité est d’éditer un service de communication au public en ligne, de ne pas respecter les I et II de l’article 1er-1.

« Les personnes morales peuvent être déclarées pénalement responsables des manquements aux mêmes I et II, dans les conditions prévues à l’article 121-2 du code pénal. Elles encourent une peine d’amende, suivant les modalités prévues à l’article 131-38 du même code, ainsi que les peines mentionnées aux 2° et 9° de l’article 131-39 dudit code. L’interdiction mentionnée au 2° du même article 131-39 est prononcée pour une durée de cinq ans au plus et porte sur l’activité professionnelle dans l’exercice ou à l’occasion de laquelle l’infraction a été commise. » ;

2° L’intitulé du chapitre II du titre Ier est ainsi rédigé : « Les fournisseurs de services intermédiaires » ;

3° Au même chapitre II, est insérée une section 1 intitulée : « Définitions et obligations relatives aux fournisseurs de services intermédiaires » et comprenant les articles 5 à 6 ;

4° Après l’article 5, il est inséré un article 5-1 ainsi rédigé :

« Art. 5-1.-I.-On entend par “ services de la société de l’information ” les services définis au b du paragraphe 1 de l’article 1er de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information.

« II.-On entend par “ services intermédiaires ” les services de la société de l’information définis au paragraphe g de l’article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques). » ;

5° L’article 6 est ainsi rédigé :

« Art. 6.-I.-1. On entend par fournisseur d’un “ service d’accès à internet ” toute personne fournissant un service de simple transport, défini au i du paragraphe g de l’article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), dont l’activité consiste à offrir un accès à des services de communication au public en ligne.

« 2. On entend par fournisseur de “ services d’hébergement ” toute personne fournissant les services définis au iii du même paragraphe g.

« 3. On entend par “ moteur de recherche en ligne ” un service défini au paragraphe j du même article 3.

« 4. On entend par “ plateforme en ligne ” un service défini au paragraphe i dudit article 3.

« 5. On entend par “ service de réseaux sociaux en ligne ” un service défini au paragraphe 7 de l’article 2 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques).

« 6. On entend par “ boutique d’applications logicielles ” un service défini au paragraphe 14 du même article 2.

« 7. On entend par “ application logicielle ” tout produit ou service défini au paragraphe 15 dudit article 2.https://www.informatica-juridica.com/reglamento/reglamento-ue-2022-2065-del-parlamento-europeo-y-del-consejo-de-19-de-octubre-de-2022/

« II.-Les personnes dont l’activité consiste à fournir un service intermédiaire au sens du paragraphe g de l’article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité ne sont pas des producteurs, au sens de l’article 93-3 de la loi n° 82-652 du 29 juillet 1982 sur la communication audiovisuelle.

« III.-A.-Les personnes dont l’activité consiste à fournir un service d’accès à internet informent leurs abonnés de l’existence de moyens techniques permettant de restreindre l’accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens sans surcoût. Un décret, pris après avis de la Commission nationale de l’informatique et des libertés, précise les fonctionnalités minimales et les caractéristiques techniques auxquelles ces moyens répondent, compte tenu de la nature de l’activité de ces personnes.

« Les personnes mentionnées au premier alinéa du présent A informent également leurs abonnés de l’existence de moyens de sécurisation permettant de prévenir les manquements à l’obligation définie à l’article L. 336-3 du code de la propriété intellectuelle.

« B.-Dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les fournisseurs de services d’accès à internet informent également leurs abonnés de la quantité de données consommées dans le cadre de la fourniture d’accès au réseau et indiquent l’équivalent des émissions de gaz à effet de serre correspondant.

« Les équivalents d’émissions de gaz à effet de serre correspondant à la consommation de données sont établis suivant une méthodologie mise à disposition par l’Agence de l’environnement et de la maîtrise de l’énergie.

« C.-Les fournisseurs de services d’accès à internet informent leurs abonnés de l’interdiction de procéder, en France métropolitaine et dans les collectivités régies par l’article 73 de la Constitution, à des opérations de vente à distance, d’acquisition, d’introduction en provenance d’un autre Etat membre de l’Union européenne ou d’importation en provenance de pays tiers de produits du tabac manufacturé dans le cadre d’une vente à distance ainsi que des sanctions légalement encourues pour de tels actes.

« Tout manquement à cette obligation est puni d’un an d’emprisonnement et de 250 000 euros d’amende.

« Les personnes morales peuvent être déclarées pénalement responsables de cette infraction dans les conditions prévues à l’article 121-2 du code pénal. Elles encourent une peine d’amende, suivant les modalités prévues à l’article 131-38 du même code, ainsi que les peines mentionnées aux 2° et 9° de l’article 131-39 dudit code. L’interdiction mentionnée au 2° du même article 131-39 est prononcée pour une durée de cinq ans au plus et porte sur l’activité professionnelle dans l’exercice ou à l’occasion de laquelle l’infraction a été commise.

« D.-Lorsque les fournisseurs de services d’accès à internet invoquent, à des fins publicitaires, la possibilité qu’ils offrent de télécharger des fichiers dont ils ne sont pas les fournisseurs, ils font figurer dans cette publicité une mention facilement identifiable et lisible rappelant que le piratage nuit à la création artistique.

« IV.-A.-Les personnes dont l’activité consiste à fournir des services d’hébergement concourent à la lutte contre la diffusion de contenus constituant les infractions mentionnées aux articles 211-2,222-33,222-33-1-1,222-33-2 à 222-33-2-3,222-39,223-13,225-4-13,225-5,225-6,227-18 à 227-21,227-22 à 227-24,412-8,413-13,413-14,421-2-5,431-6,433-3,433-3-1,521-1-2 et 521-1-3 et au deuxième alinéa de l’article 222-33-3 du code pénal ainsi qu’aux cinquième, septième et huitième alinéas de l’article 24 et à l’article 24 bis de la loi du 29 juillet 1881 sur la liberté de la presse.

« A ce titre, elles informent promptement les autorités compétentes de toutes les activités illicites mentionnées au premier alinéa du présent A qui leur sont signalées et qu’exercent les destinataires de leurs services.

« Tout manquement à cette obligation d’information est puni d’un an d’emprisonnement et de 250 000 euros d’amende.

« Les personnes morales peuvent être déclarées pénalement responsables de cette infraction, dans les conditions prévues à l’article 121-2 du code pénal. Elles encourent une peine d’amende, suivant les modalités prévues à l’article 131-38 du même code, ainsi que les peines mentionnées aux 2° et 9° de l’article 131-39 dudit code. L’interdiction mentionnée au 2° du même article 131-39 est prononcée pour une durée de cinq ans au plus et porte sur l’activité professionnelle dans l’exercice ou à l’occasion de laquelle l’infraction a été commise.

« B.-Les personnes qui fournissent des services d’hébergement procurent aux personnes qui éditent un service de communication au public en ligne des moyens techniques permettant à celles-ci de satisfaire aux conditions d’identification prévues au I de l’article 1er-1 de la présente loi.

« C.-La méconnaissance de l’obligation d’informer immédiatement les autorités compétentes prévue à l’article 18 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité est punie d’un an d’emprisonnement et de 250 000 euros d’amende.

« Lorsque l’infraction prévue au premier alinéa du présent C est commise de manière habituelle par une personne morale, le montant de l’amende peut être porté à 6 % de son chiffre d’affaires mondial hors taxes pour l’exercice précédant la sanction.

« V.-A.-Dans les conditions fixées aux II bis à III bis de l’article L. 34-1 du code des postes et des communications électroniques, les personnes dont l’activité consiste à fournir des services d’accès à internet ou des services d’hébergement détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires.

« Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, définit les données mentionnées au premier alinéa du présent A et détermine la durée et les modalités de leur conservation.

« B.-Tout manquement aux obligations mentionnées au A du présent V est puni d’un an d’emprisonnement et de 250 000 euros d’amende. Le fait de ne pas déférer à la demande d’une autorité judiciaire d’obtenir communication des éléments mentionnés au même A est puni des mêmes peines.

« Les personnes morales peuvent être déclarées pénalement responsables de ces infractions dans les conditions prévues à l’article 121-2 du code pénal. Elles encourent une peine d’amende, suivant les modalités prévues à l’article 131-38 du même code, ainsi que les peines mentionnées aux 2° et 9° de l’article 131-39 dudit code. L’interdiction mentionnée au 2° du même article 131-39 est prononcée pour une durée de cinq ans au plus et porte sur l’activité professionnelle dans l’exercice ou à l’occasion de laquelle l’infraction a été commise.

« VI.-Toute plateforme en ligne dont l’activité sur le territoire français dépasse un seuil de nombre de connexions déterminé par décret, qu’elle soit ou non établie sur le territoire français, met en œuvre des procédures et des moyens humains et technologiques proportionnés permettant, lorsqu’elle a une activité de stockage de contenus, de conserver temporairement les contenus qui lui ont été signalés comme contraires aux dispositions mentionnées au A du IV du présent article et qu’elle a retirés ou rendus inaccessibles, aux fins de les mettre à la disposition de l’autorité judiciaire pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales.

« La durée et les modalités de conservation de ces contenus sont définies par un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés.

« VII.-Le fait, pour toute personne, de présenter aux personnes dont l’activité consiste à fournir des services d’hébergement un contenu ou une activité comme étant illicite dans le but d’en obtenir le retrait ou d’en faire cesser la diffusion, alors qu’elle sait cette information inexacte, est puni d’un an d’emprisonnement et de 15 000 euros d’amende. »

II.-Au 5° de l’article L. 222-16-1 du code de la consommation, les mots : « au I de » sont remplacés par le mot : « à ».

Article 49

La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi modifiée :

1° Au chapitre II du titre Ier, est insérée une section 2 intitulée : « Dispositions relatives à la lutte contre les contenus terroristes et pédopornographiques » et comprenant les articles 6-1 à 6-2-2, tel qu’il résulte de l’article 4 de la présente loi ;

2° L’article 6-1 est ainsi modifié :

a) A la première phrase du premier alinéa, les mots : « mentionnée au III de l’article 6 de la présente loi » sont remplacés par les mots : « dont l’activité est d’éditer un service de communication au public en ligne » et les mots : « personnes mentionnées au 2 du I du même article 6 » sont remplacés par les mots : « fournisseurs de services d’hébergement » ;

b) A la fin de la seconde phrase du même premier alinéa, les mots : « personnes mentionnées au 1 du I de l’article 6 de la présente loi » sont remplacés par les mots : « fournisseurs de services d’accès à internet » ;

c) Le deuxième alinéa est ainsi modifié :

-à la première phrase, les mots : « personnes mentionnées au même 1 » sont remplacés par les mots : « fournisseurs de services d’accès à internet » ;

-à la dernière phrase, les mots : « mentionnée au III du même article 6 des informations mentionnées à ce même III » sont remplacés par les mots : « dont l’activité est d’éditer un service de communication au public en ligne des informations mentionnées à l’article 1er-1 de la présente loi » ;

d) Au dernier alinéa, les mots : « au 1 du VI » sont remplacés par les mots : « au C du III » ;

3° Au second alinéa du II de l’article 6-1-3, le taux : « 4 % » est remplacé par le taux : « 6 % » ;

4° Le second alinéa des I et II de l’article 6-1-5 est complété par une phrase ainsi rédigée : « L’audience est publique. »

Article 50

La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi modifiée :

1° Au chapitre II du titre Ier, est insérée une section 3 intitulée : « Dispositions relatives à l’intervention de l’autorité judiciaire » et comprenant les articles 6-3 à 6-5, tels qu’ils résultent du 2° du présent article et de l’article 4 de la présente loi ;

2° Les articles 6-3 et 6-4 sont ainsi rédigés :

« Art. 6-3.-Le président du tribunal judiciaire, statuant selon la procédure accélérée au fond, peut prescrire à toute personne susceptible d’y contribuer toutes les mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne.

« Il détermine les personnes ou les catégories de personnes auxquelles une demande peut être adressée par l’autorité administrative dans les conditions prévues à l’article 6-4.

« Art. 6-4.-Lorsqu’une décision judiciaire exécutoire a ordonné une mesure propre à empêcher l’accès à un service de communication au public en ligne dont le contenu relève des infractions mentionnées au A du IV de l’article 6, l’autorité administrative, saisie le cas échéant par toute personne intéressée, peut demander aux personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne, aux fournisseurs de services d’hébergement ou à toute personne ou catégorie de personnes visée par cette décision judiciaire, pour une durée ne pouvant excéder celle restant à courir pour les mesures ordonnées par cette décision, d’empêcher l’accès à tout service de communication au public en ligne qu’elle a préalablement identifié comme reprenant le contenu du service mentionné par ladite décision, en totalité ou de manière substantielle.

« Dans les mêmes conditions et pour la même durée, l’autorité administrative peut demander à l’exploitant d’un service reposant sur le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus proposés ou mis en ligne par des tiers de faire cesser le référencement des adresses électroniques donnant accès aux services de communication au public en ligne mentionnés au premier alinéa du présent article.

« L’autorité administrative tient à jour une liste des services de communication au public en ligne mentionnés au même premier alinéa qui ont fait l’objet d’une demande de blocage d’accès en application dudit premier alinéa ainsi que des adresses électroniques donnant accès à ces services et met cette liste à la disposition des annonceurs, de leurs mandataires et des services mentionnés au 2° du II de l’article 299 du code général des impôts. Ces services de communication au public en ligne sont inscrits sur cette liste pour la durée restant à courir des mesures ordonnées par l’autorité judiciaire. Pendant toute la durée de l’inscription sur ladite liste, les annonceurs, leurs mandataires et les services mentionnés au même 2° qui entretiennent des relations commerciales, notamment pour pratiquer des insertions publicitaires, avec les services de communication au public en ligne figurant sur cette liste sont tenus de rendre publique sur leur site internet, au moins une fois par an, l’existence de ces relations et de les mentionner dans leur rapport annuel, s’ils sont tenus d’en adopter un.

« Lorsqu’il n’est pas procédé au blocage ou au déréférencement desdits services, le président du tribunal judiciaire, statuant selon la procédure accélérée au fond, peut prescrire toute mesure destinée à faire cesser l’accès aux contenus de ces services. » ;

3° Au second alinéa de l’article 6-4-2, après le mot : « publique », sont insérés les mots : «, du code du sport ».

Article 51

La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi modifiée :

1° Au chapitre II du titre Ier, est insérée une section 4 intitulée : « Coordinateur pour les services numériques et coopération entre les autorités compétentes » et comprenant les articles 7 à 9-2, tels qu’ils résultent des 2° à 6° du présent article ;

2° L’article 7 est ainsi rédigé :

« Art. 7.-Les autorités compétentes désignées en application de l’article 49 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques) sont :

« 1° L’Autorité de régulation de la communication audiovisuelle et numérique ;

« 2° L’autorité administrative chargée de la concurrence et de la consommation ;

« 3° La Commission nationale de l’informatique et des libertés.

« L’Autorité de régulation de la communication audiovisuelle et numérique est désignée coordinateur pour les services numériques, au sens du même article 49, sans préjudice des compétences de chacune des autorités administratives compétentes qui concourent à la mise en œuvre du même règlement. » ;

3° Après le même article 7, sont insérés des articles 7-2 à 7-4 ainsi rédigés :

« Art. 7-2.-Le coordinateur pour les services numériques veille à ce que les autorités mentionnées à l’article 7 de la présente loi coopèrent étroitement et se prêtent mutuellement assistance, dans le cadre de l’application du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), de manière cohérente et efficace.

« Ces autorités peuvent se communiquer librement les informations dont elles disposent et se consulter mutuellement aux fins de l’accomplissement de leurs missions respectives au titre du même règlement, sans que ni le secret des affaires, ni le secret de l’instruction, ni la protection des données personnelles y fassent obstacle.

« Lorsque, à l’occasion de l’exercice de ses compétences au titre de la présente section, l’une de ces autorités constate des faits qui relèvent de la compétence d’une autre, elle l’en informe et lui transmet les informations correspondantes.

« Les modalités de mise en œuvre du présent article sont précisées par voie de convention entre ces mêmes autorités.

« Art. 7-3.-Le coordinateur pour les services numériques siège au comité européen des services numériques mentionné à l’article 61 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques). Lorsque les questions examinées par le comité relèvent de la compétence d’une autre autorité que celle désignée à l’article 7 de la présente loi en tant que coordinateur pour les services numériques, l’autorité compétente concernée participe au comité aux côtés du coordinateur.

« Aux fins d’exercer les compétences prévues aux articles 63,64 et 65 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité, le coordinateur pour les services numériques exerce une mission de veille et d’analyse des risques systémiques mentionnés à l’article 34 du même règlement sur le territoire national.

« Art. 7-4.-Il est créé un réseau national de coordination de la régulation des services numériques.

« Le réseau est composé de :

« 1° L’Autorité de régulation de la communication audiovisuelle et numérique ;

« 2° La Commission nationale de l’informatique et des libertés ;

« 3° L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse ;

« 4° L’Autorité de la concurrence ;

« 5° L’Agence nationale de la sécurité des systèmes d’information ;

« 6° L’Autorité des relations sociales des plateformes d’emploi ;

« 7° Les services de l’Etat compétents.

« La liste des services de l’Etat membres du réseau national de coordination de la régulation des services numériques est définie par décret.

« Le réseau national de coordination de la régulation des services numériques est chargé d’assurer les échanges d’informations et d’encourager la coordination entre ses membres. Il veille aux synergies des travaux des instances mentionnées au présent article en matière de régulation des services de la société de l’information, dans le respect de leurs attributions respectives et, le cas échéant, de leur indépendance.

« Il promeut une vision globale de la régulation des services numériques qui intègre les enjeux d’équité, de protection, d’innovation et de compétitivité. Il anime des réflexions et travaux d’analyses comparées sur les pratiques de régulation des autres Etats membres de l’Union européenne.

« Ce réseau se réunit au moins trois fois par an. Il est présidé pour une durée de dix-huit mois et de façon alternative par les ministres chargés du numérique et de la culture. Le premier exercice de la présidence est assuré par le ministre chargé du numérique. Le secrétariat du réseau est assuré par les services du ministère chargé du numérique.

« L’ordre du jour des réunions est proposé par le secrétariat du réseau et peut être complété par ses membres.

« Les travaux du réseau font l’objet de comptes rendus proposés par son secrétariat et approuvés par ses membres. Le réseau peut mettre en place des groupes de travail associant, sur une base volontaire, des représentants de ses membres en vue de conduire le partage de réflexions sur des thématiques particulières.

« Le réseau peut solliciter l’observatoire de la haine en ligne mentionné à l’article 16 de la loi n° 2020-766 du 24 juin 2020 visant à lutter contre les contenus haineux sur internet et le service administratif de l’Etat mentionné à l’article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique, en vue de conduire toute analyse destinée à apporter un éclairage sur des questions relevant de ses missions. » ;

4° Après l’article 8, sont insérés des articles 8-1 et 8-2 ainsi rédigés :

« Art. 8-1.-L’Autorité de régulation de la communication audiovisuelle et numérique veille, dans les conditions prévues à la présente section, au respect :

« 1° Par les personnes dont l’activité consiste à fournir un service intermédiaire, des obligations prévues aux paragraphes 1 et 5 de l’article 9, aux paragraphes 1 et 5 de l’article 10 et aux articles 11 à 15 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques) ;

« 2° Par les personnes dont l’activité consiste à fournir un service d’hébergement, des obligations prévues aux articles 16 et 17 du même règlement ;

« 3° Par les personnes dont l’activité consiste à fournir un service de plateforme en ligne, à l’exception des microentreprises ou des petites entreprises au sens de l’article 19 dudit règlement, des obligations prévues :

« a) Aux articles 20 à 24 du même règlement ;

« b) A l’article 25 du même règlement, à l’exception des pratiques mentionnées au 1° de l’article L. 133-1 du code de la consommation ;

« c) Aux a à c du paragraphe 1 et au paragraphe 2 de l’article 26, à l’article 27 et au paragraphe 1 de l’article 28 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité.

« Art. 8-2.-L’Autorité de régulation de la communication audiovisuelle et numérique analyse les rapports de transparence des fournisseurs de plateformes en ligne relevant de sa compétence, conformément à l’article 56 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), publiés en application des articles 15 et 24 du même règlement. Cette analyse fait l’objet d’un rapport annuel remis au Parlement. » ;

5° Après l’article 9, sont insérés des articles 9-1 et 9-2 ainsi rédigés :

« Art. 9-1.-I.-Pour l’accomplissement de ses missions, l’Autorité de régulation de la communication audiovisuelle et numérique peut :

« 1° Exercer auprès des fournisseurs de services intermédiaires mentionnés à l’article 8-1 ou auprès de toute autre personne mentionnée au paragraphe 1 de l’article 51 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques) les pouvoirs d’enquête et d’exécution prévus au même article 51, dans les conditions prévues à la présente section ;

« 2° Recueillir, auprès de tout fournisseur de services intermédiaires qui propose un service sur le territoire national, les informations nécessaires à l’élaboration des demandes d’examen mentionnées aux articles 58 ou 65 du même règlement.

« II.-Pour la recherche et la constatation des manquements aux obligations mentionnées à l’article 8-1 de la présente loi ou pour l’application des articles 57,60,66 ou 69 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité, les agents habilités et assermentés de l’Autorité de régulation de la communication audiovisuelle et numérique peuvent procéder, de 6 heures à 21 heures, à des inspections dans tout lieu, local, enceinte, installation ou établissement utilisé par un fournisseur de services intermédiaires pour les besoins de son activité commerciale, industrielle, artisanale ou libérale, afin d’examiner, de saisir, de prendre ou d’obtenir des copies d’informations, sous quelque forme et sur quelque support de stockage que ce soit.

« Le procureur de la République territorialement compétent en est préalablement informé.

« Lorsqu’il y a lieu de soupçonner que les informations relatives à un manquement aux obligations prévues par le même règlement sont conservées dans des lieux, des locaux, des enceintes, des installations ou des établissements partiellement ou entièrement affectés au domicile privé, la visite ne peut se dérouler qu’avec l’autorisation du juge des libertés et de la détention du tribunal judiciaire dans le ressort duquel sont situés les locaux à visiter, dans les conditions prévues au III du présent article.

« III.-Le responsable de ces lieux, de ces locaux, de ces enceintes, de ces installations ou de ces établissements est informé de son droit d’opposition à la visite.

« Lorsqu’il exerce ce droit, la visite ne peut se dérouler qu’avec l’autorisation du juge des libertés et de la détention du tribunal judiciaire dans le ressort duquel sont situés les locaux à visiter. Toutefois, lorsque l’urgence, la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la visite peut avoir lieu sur autorisation préalable du juge des libertés et de la détention sans que le responsable mentionné au premier alinéa du présent III en ait été informé. Dans ce cas, ce responsable ne peut s’opposer à la visite. La visite s’effectue sous l’autorité et le contrôle du juge des libertés et de la détention qui l’a autorisée, en présence de l’occupant des lieux ou de son représentant, qui peut se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des personnes chargées de procéder au contrôle.

« L’ordonnance ayant autorisé la visite est exécutoire au seul vu de la minute. Elle mentionne que le juge ayant autorisé la visite peut être saisi à tout moment d’une demande de suspension ou d’arrêt de cette visite. Elle indique le délai et la voie de recours applicables. Elle peut faire l’objet, suivant les règles prévues par le code de procédure civile, d’un appel devant le premier président de la cour d’appel.

« IV.-Il est dressé un procès-verbal des vérifications et des visites menées en application du présent article ; le cas échéant, la liste des documents saisis lui est annexée. Ce procès-verbal est dressé contradictoirement lorsque les vérifications et les visites sont effectuées sur place ou sur convocation.

« Les documents saisis en application du II sont restitués sur décision du procureur de la République, d’office ou sur requête, dans un délai de six mois à compter de la visite.

« V.-A.-Pour l’application du présent article, l’Autorité de régulation de la communication audiovisuelle et numérique peut :

« 1° Enjoindre au fournisseur concerné de mettre fin à un ou plusieurs manquements aux obligations mentionnées à l’article 8-1 dans un délai déterminé et prononcer une astreinte dans les conditions prévues au III de l’article 9-2 ;

« 2° Enjoindre au fournisseur concerné de prendre toute mesure corrective de nature structurelle ou comportementale proportionnée au manquement et nécessaire pour faire cesser effectivement le manquement ;

« 3° Adopter des injonctions à caractère provisoire lorsque le manquement constaté paraît susceptible de créer un dommage grave.

« Elle peut aussi saisir l’autorité judiciaire afin que cette dernière ordonne les mesures mentionnées aux 1° à 3° du présent A.

« Elle peut également constater qu’il n’y a plus lieu de statuer.

« B.-Pour l’application du I, l’Autorité de régulation de la communication audiovisuelle et numérique peut accepter des engagements proposés par les fournisseurs de services intermédiaires de nature à mettre un terme au manquement constaté.

« La proposition d’engagements des fournisseurs de services intermédiaires est suffisamment détaillée, notamment en ce qui concerne le calendrier et la portée de leur mise en œuvre ainsi que leur durée, pour permettre à l’Autorité de régulation de la communication audiovisuelle et numérique de procéder à son évaluation.

« L’autorité peut, de sa propre initiative ou sur demande du fournisseur concerné, modifier les engagements qu’elle a acceptés ou y mettre fin si l’un des faits sur lesquels la décision d’engagements repose a subi un changement important ou si cette décision repose sur des informations incomplètes, inexactes ou trompeuses communiquées par le fournisseur ou par toute autre personne mentionnée au 1° du I.

« VI.-A.-Dans les conditions prévues au premier alinéa du paragraphe 3 de l’article 51 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité, l’Autorité de régulation de la communication audiovisuelle et numérique peut enjoindre au fournisseur concerné, dans les meilleurs délais, de :

« 1° Soumettre un plan d’action établissant les mesures nécessaires pour mettre fin au manquement ;

« 2° Veiller à ce que ces mesures soient prises ;

« 3° Rendre un rapport sur les mesures prises.

« B.-Dans les conditions prévues aux troisième et quatrième alinéas du même paragraphe 3, elle peut saisir l’autorité judiciaire afin que cette dernière ordonne une mesure de restriction temporaire de l’accès au service du fournisseur concerné, mentionnée audit paragraphe 3.

« Un décret en Conseil d’Etat fixe les modalités d’application du présent article et précise les voies de recours contre les mesures prononcées en application du V et du présent VI.

« Art. 9-2.-I.-A.-L’Autorité de régulation de la communication audiovisuelle et numérique peut mettre le fournisseur concerné en demeure de se conformer, le cas échéant dans le délai qu’elle fixe, aux obligations mentionnées à l’article 8-1.

« B.-Lorsque le fournisseur concerné ne défère pas aux demandes de l’autorité dans le cadre d’une enquête conduite en application des I à III de l’article 9-1, ladite autorité peut prononcer une injonction de satisfaire à ces mesures, qui peut être assortie d’une astreinte dans les conditions prévues au III du présent article.

« II.-Lorsque le fournisseur concerné ne se conforme pas à la mise en demeure ou à l’injonction qui lui est adressée en application du I du présent article ou ne satisfait pas aux mesures prises en application des V et VI de l’article 9-1, l’Autorité de régulation de la communication audiovisuelle et numérique peut, dans les conditions prévues à l’article 42-7 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, prononcer une sanction pécuniaire.

« Le montant de la sanction pécuniaire ainsi que celui de l’astreinte dont est assortie éventuellement la mise en demeure ou l’injonction prennent en considération :

« 1° La nature, la gravité et la durée du manquement ;

« 2° Le fait que le manquement a été commis de manière intentionnelle ou par négligence ;

« 3° Les manquements commis précédemment par le fournisseur ;

« 4° La situation financière du fournisseur ;

« 5° La coopération du fournisseur avec les autorités compétentes ;

« 6° La nature et la taille du fournisseur ;

« 7° Le degré de responsabilité du fournisseur, en tenant compte des mesures techniques et organisationnelles prises par ce fournisseur pour se conformer au règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques).

« III.-La sanction pécuniaire prononcée en application du II du présent article ne peut excéder 6 % du chiffre d’affaires mondial hors taxes de l’exercice précédant la sanction. Par dérogation, le montant de la sanction prononcée en cas de refus de déférer aux demandes du régulateur dans le cadre d’une enquête conduite en application des I à III de l’article 9-1 ne peut excéder 1 % du chiffre d’affaires mondial hors taxes de l’exercice précédant la sanction.

« Le montant maximal de l’astreinte prévue au I du présent article ne peut excéder, par jour, 5 % du chiffre d’affaires mondial hors taxes journalier moyen du fournisseur concerné sur l’exercice précédant l’astreinte, calculé à compter de la date spécifiée dans la décision de l’Autorité de régulation de la communication audiovisuelle et numérique.

« IV.-L’Autorité de régulation de la communication audiovisuelle et numérique peut rendre publiques les mises en demeure, les injonctions et les sanctions qu’elle prononce. Elle détermine dans sa décision les modalités de cette publication, qui tiennent compte de la gravité du manquement. Elle peut également ordonner l’insertion de ces mises en demeure, injonctions et sanctions dans des publications, journaux et supports qu’elle désigne, aux frais des fournisseurs faisant l’objet de la mise en demeure, de l’injonction ou de la sanction.

« Les sanctions pécuniaires sont recouvrées comme les créances de l’Etat étrangères à l’impôt et au domaine. »

Chapitre II : Modification du code de la consommation (Article 52)

Article 52

Le code de la consommation est ainsi modifié :

1° L’article liminaire est ainsi modifié :

a) Le 15° est ainsi rédigé :

« 15° Plateforme en ligne : une plateforme en ligne au sens du i de l’article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché intérieur des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques) ; »

b) Sont ajoutés des 17° et 18° ainsi rédigés :

« 17° Moteur de recherche en ligne : un moteur de recherche en ligne au sens du j de l’article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité ;

« 18° Comparateur en ligne : tout service de communication au public en ligne consistant en la fourniture d’informations permettant la comparaison des prix et des caractéristiques de biens et de services proposés par des professionnels ; »

2° L’article L. 111-7 est ainsi modifié :

a) Le I est abrogé ;

b) Le II est ainsi modifié :

-au premier alinéa, les mots : « opérateur de plateforme » sont remplacés par les mots : « fournisseur de place de marché en ligne ou de comparateur » ;

-au 1°, les mots : « référencement, de classement » sont remplacés par les mots : « classement ainsi que, s’agissant des comparateurs en ligne, de référencement » ;

-au cinquième alinéa, les mots : « opérateurs de plateforme » sont remplacés par les mots : « personnes mentionnées au premier alinéa » ;

-à l’avant-dernier alinéa, les mots : « opérateur de plateforme en ligne dont l’activité consiste en la fourniture d’informations permettant la comparaison des prix et des caractéristiques de biens et de services proposés par des professionnels » sont remplacés par les mots : « fournisseur de comparateur en ligne » ;

-au dernier alinéa, les mots : « l’opérateur de plateforme en ligne » sont remplacés par les mots : « les personnes mentionnées au premier alinéa » ;

3° L’article L. 111-7-1 est abrogé ;

4° Au premier alinéa de l’article L. 111-7-2, les mots : « aux articles L. 111-7 et L. 111-7-1 » sont remplacés par les mots : « à l’article L. 111-7 » ;

5° Au premier alinéa de l’article L. 111-7-3, les mots : « opérateurs de plateformes en ligne mentionnés à l’article L. 111-7 du présent code » sont remplacés par les mots : « fournisseurs de plateformes en ligne, de moteurs de recherche en ligne et de comparateurs en ligne » ;

6° A la première phrase du second alinéa de l’article L. 112-8, le mot : « plateforme » est remplacé par le mot : « interface » ;

7° Le titre III du livre Ier est complété par un chapitre III ainsi rédigé :

« Chapitre III

« Obligations des fournisseurs de plateformes en ligne

« Art. L. 133-1.-Est puni d’un emprisonnement de deux ans et d’une amende de 300 000 euros, dont le montant peut être porté, de manière proportionnée aux avantages tirés du délit, à 6 % du chiffre d’affaires mondial hors taxes réalisé au cours de l’exercice précédent pour une personne morale, le fait pour un fournisseur de places de marché :

« 1° De méconnaître ses obligations relatives à la conception, à l’organisation ou à l’exploitation d’une interface en ligne, en violation de l’article 25 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques) ;

« 2° De ne pas respecter :

« a) Les obligations de traçabilité des professionnels utilisant leurs plateformes en ligne prévues à l’article 30 du même règlement ;

« b) Les obligations de conception de l’interface en ligne prévues à l’article 31 dudit règlement ;

« c) Les obligations relatives au droit à l’information des consommateurs prévues à l’article 32 du même règlement.

« Art. L. 133-2.-En cas d’infraction aux dispositions de l’article L. 133-1, l’autorité administrative chargée de la concurrence et de la consommation peut, après en avoir avisé le procureur de la République, demander à la juridiction civile d’enjoindre à l’auteur des pratiques de se mettre en conformité. Le juge peut assortir son injonction d’une astreinte journalière ne pouvant excéder un montant de 5 % du chiffre d’affaires mondial hors taxes journalier moyen réalisé par le fournisseur de services concerné au cours du dernier exercice clos.

« Dans ce cas, l’injonction précise les modalités d’application de l’astreinte encourue, notamment sa date d’applicabilité, sa durée et son montant. Le montant de l’astreinte est proportionné à la gravité des manquements constatés et tient compte notamment de l’importance du trouble causé.

« L’astreinte journalière court à compter du jour suivant l’expiration du délai imparti au professionnel pour se mettre en conformité avec la mesure notifiée.

« En cas d’inexécution, totale ou partielle, ou d’exécution tardive, le juge procède, après une procédure contradictoire, à la liquidation de l’astreinte.

« Art. L. 133-3.-Les personnes physiques coupables des délits punis à l’article L. 133-1 encourent également, à titre de peine complémentaire, l’interdiction, suivant les modalités prévues à l’article 131-27 du code pénal, soit d’exercer une fonction publique ou d’exercer l’activité professionnelle ou sociale dans l’exercice ou à l’occasion de l’exercice de laquelle l’infraction a été commise, soit d’exercer une profession commerciale ou industrielle, de diriger, d’administrer, de gérer ou de contrôler à un titre quelconque, directement ou indirectement, pour leur propre compte ou pour le compte d’autrui, une entreprise commerciale ou industrielle ou une société commerciale.

« Ces interdictions d’exercice ne peuvent excéder une durée de cinq ans. Elles peuvent être prononcées cumulativement.

« Les personnes morales déclarées responsables pénalement, dans les conditions prévues à l’article 121-2 du même code, des délits punis à l’article L. 133-1 du présent code encourent, outre l’amende suivant les modalités prévues à l’article 131-38 du code pénal, les peines prévues aux 2° à 9° de l’article 131-39 du même code.

« L’interdiction mentionnée au 2° du même article 131-39 porte sur l’activité dans l’exercice ou à l’occasion de l’exercice de laquelle l’infraction a été commise. Les peines prévues aux 2° à 7° dudit article 131-39 ne peuvent être prononcées que pour une durée de cinq ans au plus. » ;

8° Au premier alinéa de l’article L. 224-42-4, les mots : « opérateur de plateforme en ligne, au sens de l’article L. 111-7, proposant gratuitement aux utilisateurs finals un outil de comparaison et d’évaluation » sont remplacés par les mots : « fournisseur de comparateur en ligne » ;

9° Après l’article L. 511-7, il est inséré un article L. 511-7-1 ainsi rédigé :

« Art. L. 511-7-1.-Les agents sont habilités à rechercher et à constater les infractions des fournisseurs de plateforme en ligne dont l’établissement principal est situé en France ou dont le représentant légal est établi en France aux dispositions du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques) mentionnées à l’article L. 133-1 du présent code.

« Ils disposent, à cet effet, des pouvoirs définis à la section 1, aux sous-sections 1 à 5 de la section 2 ainsi qu’à la section 3 du chapitre II du présent titre. » ;

10° Le chapitre II du titre Ier du livre V est complété par une section 4 ainsi rédigée :

« Section 4

« Dispositions spécifiques aux plateformes en ligne

« Art. L. 512-66.-Pour la mise en œuvre des contrôles administratifs en vue de la recherche et de la constatation des infractions aux dispositions du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), les agents habilités agissent dans les conditions prévues par les dispositions combinées du paragraphe 4 de l’article 49 et du paragraphe 2 de l’article 50 du même règlement.

« Art. L. 512-67.-Pour l’accès aux données des fournisseurs de plateformes en ligne mentionnées à l’article 40 du règlement mentionné à l’article L. 512-66 du présent code, les agents habilités exercent leurs pouvoirs dans les conditions prévues aux paragraphes 1 à 3 de l’article 40 du même règlement.

« Art. L. 512-68.-Les agents habilités peuvent coopérer, dans l’exercice de leurs missions, avec les agents du coordinateur des services numériques mentionné à l’article 7-2 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. A ce titre, ils peuvent se communiquer les informations et les documents détenus ou recueillis dans l’exercice de leurs missions respectives, sans que les dispositions de l’article 11 du code de procédure pénale ou celles relatives au secret professionnel ne leur soient opposables. » ;

11° L’article L. 521-3-1 est ainsi modifié :

a) Au premier alinéa, après le mot : « produits », sont insérés les mots : « et des services » et, après la référence : « L. 521-1 », sont insérés les mots : « ou à une mesure prise en application des articles L. 521-7, L. 521-16, L. 521-17, L. 521-20 et L. 521-23 » ;

b) Au 1°, les mots : « opérateurs de plateformes en ligne au sens du I de l’article L. 111-7 » sont remplacés par les mots : « fournisseurs de plateformes en ligne, de moteurs de recherche en ligne, de comparateurs en ligne ou d’agrégateurs de contenus » ;

c) Au a du 2°, les mots : « personnes relevant du I de l’article L. 111-7 du présent code » sont remplacés par les mots : « fournisseurs de plateformes en ligne, de moteurs de recherche en ligne ou de comparateurs en ligne » ;

d) Le dernier alinéa est ainsi rédigé :

« Une interface en ligne s’entend au sens de la définition qui en est donnée au paragraphe m de l’article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques). » ;

12° Au premier alinéa de l’article L. 524-3, les mots : « au 8 du I de l’article 6 » sont remplacés par les mots : « à l’article 6-3 » ;

13° La section 2 du chapitre Ier du titre III du livre V est complétée par un article L. 531-7 ainsi rédigé :

« Art. L. 531-7.-Pour la mise en œuvre du règlement mentionné à l’article L. 512-66 dans les conditions fixées au présent titre, toute fourniture d’informations inexactes, incomplètes ou trompeuses, toute absence de réponse, toute non-rectification d’informations inexactes, incomplètes ou trompeuses ou tout manquement à l’obligation de se soumettre, sous réserve des recours applicables, à une opération de visite et de saisie est puni de la sanction prévue à l’article L. 531-1. Le montant de l’amende est toutefois plafonné à 1 % du chiffre d’affaires mondial hors taxes au cours de l’exercice précédent la date des faits pour une personne morale. » ;

14° A l’article L. 532-5, les mots : « au 1 du VI » sont remplacés par les mots : « au C du IV ».

Chapitre III : Modification du code de commerce (Article 53)

Article 53

Le livre IV du code de commerce est ainsi modifié :

1° La première phrase de l’article L. 420-7 est ainsi modifiée :

a) Après la référence : « L. 420-5 », sont insérés les mots : «, dans le règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) » ;

b) Les mots : « 81 et 82 du traité instituant la Communauté européenne » sont remplacés par les mots : « 101 et 102 du traité sur le fonctionnement de l’Union européenne » ;

2° Le titre V est complété par des articles L. 450-11 et L. 450-12 ainsi rédigés :

« Art. L. 450-11.-L’Autorité de la concurrence, le ministre chargé de l’économie et les fonctionnaires qu’il a désignés ou habilités conformément à l’article L. 450-1 sont les autorités nationales chargées de faire appliquer les règles mentionnées au paragraphe 6 de l’article 1er du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques).

« Art. L. 450-12.-Pour l’application des articles 101 à 103 du traité sur le fonctionnement de l’Union européenne, le ministre chargé de l’économie, les fonctionnaires qu’il a désignés ou habilités conformément au présent livre et l’Autorité de la concurrence disposent des pouvoirs respectifs qui leur sont reconnus au présent livre et par le règlement (CE) n° 139/2004 du Conseil du 20 janvier 2004 relatif au contrôle des concentrations entre entreprises (“ le règlement CE sur les concentrations ”) et par le règlement (CE) n° 1/2003 du Conseil du 16 décembre 2002 relatif à la mise en œuvre des règles de concurrence prévues aux articles 81 et 82 du traité. Les règles de procédure prévues par ces textes leur sont applicables.

« Pour l’application des articles 107 et 108 du traité sur le fonctionnement de l’Union européenne, le ministre chargé de l’économie et les fonctionnaires qu’il a désignés ou habilités conformément à l’article L. 450-1 du présent code disposent des pouvoirs qui leur sont reconnus au présent titre.

« Le ministre chargé de l’économie, les fonctionnaires qu’il a désignés ou habilités conformément au présent livre et l’Autorité de la concurrence disposent des pouvoirs respectifs qui leur sont reconnus au présent livre pour la mise en œuvre des dispositions suivantes du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) :

« 1° Le paragraphe 2 de l’article 22 ;

« 2° Les paragraphes 3,4 et 7 à 10 de l’article 23 ;

« 3° Les paragraphes 6 et 7 de l’article 38. » ;

3° Le second alinéa du II de l’article L. 462-9 est ainsi modifié :

a) Au début, est ajoutée la mention : « III.-» ;

b) A la première phrase, les mots : « de ce règlement » sont remplacés par les mots : « du règlement (CE) n° 1/2003 du Conseil du 16 décembre 2022 mentionné au II » ;

4° Après l’article L. 462-9-1, il est inséré un article L. 462-9-2 ainsi rédigé :

« Art. L. 462-9-2.-L’Autorité de la concurrence ainsi que le ministre chargé de l’économie et les fonctionnaires que ce dernier a désignés ou habilités conformément au présent livre sont les autorités nationales compétentes pour la mise en œuvre de l’article 27 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques). » ;

5° L’article L. 490-9 est ainsi rédigé :

« Art. L. 490-9.-Le ministre chargé de l’économie ou son représentant est compétent pour adresser à la Commission européenne une demande d’ouverture d’une enquête de marché en application de l’article 41 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques). »

Chapitre IV : Mesures d’adaptation de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication (Article 54)

Article 54

I.-La loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication est ainsi modifiée :

1° A la première phrase du cinquième alinéa de l’article 14, les mots : « opérateurs de plateforme en ligne, au sens de l’article L. 111-7 du code de la consommation » sont remplacés par les mots : « fournisseurs de plateformes en ligne, au sens du paragraphe i de l’article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), les moteurs de recherche en ligne, au sens du paragraphe j du même article 3, et les plateformes de partage de vidéos, au sens des cinq derniers alinéas de l’article 2 de la présente loi » ;

2° Au 12° de l’article 18, les mots : « codes de bonne conduite ayant pour objet de réduire de manière significative les communications sur les services de médias audiovisuels et sur les services édités par les opérateurs de plateforme en ligne, au sens de l’article L. 111-7 du code de la consommation, ayant un impact négatif sur l’environnement » sont remplacés par les mots : « “ contrats climats ” élaborés en application de l’article 14 » ;

3° A l’intitulé du chapitre Ier du titre IV, les mots : « mentionnées à l’article L. 163-1 du code électoral » sont supprimés ;

4° L’article 58 est ainsi modifié :

a) A la fin de la première phrase du premier alinéa, les mots : « opérateurs de plateforme en ligne mentionnés au premier alinéa de l’article L. 163-1 du code électoral » sont remplacés par les mots : « fournisseurs de plateformes en ligne au sens du paragraphe i de l’article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), aux moteurs de recherche en ligne, au sens du paragraphe j du même article 3, et aux fournisseurs de services de plateformes de partage de vidéos, au sens du 8 de l’article 2 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) » ;

b) Le deuxième alinéa est supprimé ;

c) Le dernier alinéa est ainsi rédigé :

« L’Autorité de régulation de la communication audiovisuelle et numérique publie un bilan périodique de l’application des mesures prises par les très grandes plateformes et les très grands moteurs de recherche, au sens de l’article 33 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité, en vue de lutter contre la diffusion de fausses informations susceptibles de troubler l’ordre public ou d’altérer la sincérité de l’un des scrutins mentionnés au premier alinéa de l’article 33-1-1 de la présente loi. Ce bilan est établi sur la base des informations communiquées par la Commission européenne concernant les mesures adoptées par ces acteurs pour évaluer et atténuer le risque systémique de désinformation en application des articles 34 et 35 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité et pour se conformer à leurs engagements en matière de désinformation pris pour l’application de l’article 45 du même règlement, des audits indépendants prévus à l’article 37 dudit règlement ainsi que des informations rendues publiques par ces acteurs en application de l’article 42 du même règlement ou recueillies auprès d’eux dans les conditions prévues à l’article 19 de la présente loi ou à l’article 40 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité. » ;

5° L’article 60 est complété par un IV ainsi rédigé :

« IV.-L’Autorité de régulation de la communication audiovisuelle et numérique veille, dans les conditions prévues à la section 4 du chapitre II du titre Ier de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, au respect, par les services de plateforme de partage de vidéos dont l’établissement principal est situé en France ou dont le représentant légal est établi en France, des obligations mentionnées à la même section 4. »

II.-A la fin du A du III de l’article 42 de la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République, la date : « 31 décembre 2023 » est remplacée par la date : « 17 février 2024 ».

Chapitre V : Mesures d’adaptation de la loi relative à la lutte contre la manipulation de l’information (Article 55)

Article 55

Les articles 11, 13 et 14 de la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information sont abrogés.

Chapitre VI : Mesures d’adaptation du code électoral (Article 56)

Article 56

L’article L. 163-1 du code électoral est ainsi modifié :

1° Le premier alinéa est ainsi rédigé :

« Pendant les trois mois précédant le premier jour du mois d’élections générales et jusqu’à la date du tour de scrutin où celles-ci sont acquises, les très grandes plateformes en ligne et les très grands moteurs de recherche en ligne, au sens de l’article 33 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), sont tenus, au regard de l’intérêt général attaché à l’information éclairée des citoyens en période électorale et à la sincérité du scrutin, de mettre à la disposition de l’utilisateur au sein du registre prévu à l’article 39 du même règlement : » ;

2° Au début des 1° et 2°, les mots : « De fournir à l’utilisateur » sont supprimés ;

3° Au début du 3°, les mots : « De rendre public » sont supprimés ;

4° L’avant-dernier alinéa est supprimé.

Chapitre VII : Mesures d’adaptation de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Articles 57 à 60)

Article 57

La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifiée :

1° L’article 8 est ainsi modifié :

a) Au début, il est ajouté un I A ainsi rédigé :

« I A.-La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante. » ;

b) La première phrase du premier alinéa du I est supprimée ;

c) Après le même I, il est inséré un I bis ainsi rédigé :

« I bis.-Elle est l’autorité compétente au sens de l’article 26 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données), pour l’application du chapitre IV du même règlement. Elle veille, à ce titre, au respect des règles mentionnées au titre IV bis de la présente loi et dispose des pouvoirs mentionnés à l’article 20-1. Ses membres et les agents de ses services habilités dans les conditions définies au second alinéa de l’article 10 peuvent constater les manquements aux exigences énoncées au chapitre IV du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité. » ;

2° Le premier alinéa de l’article 16 est complété par une phrase ainsi rédigée : « Elle est également compétente pour prendre les mesures et prononcer les sanctions à l’encontre des organisations altruistes en matière de données reconnues qui ne respectent pas les exigences énoncées au chapitre IV du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) ainsi qu’à l’encontre des plateformes en ligne qui ne respectent pas les obligations issues du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques) mentionnées à l’article 124-5 de la présente loi. » ;

3° Après l’article 20, il est inséré un article 20-1 ainsi rédigé :

« Art. 20-1.-I.-Pour l’exercice des missions relevant de la Commission nationale de l’informatique et des libertés en application du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données), les membres et les agents habilités dans les conditions définies au second alinéa de l’article 10 de la présente loi peuvent obtenir communication de tous les documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support. Le secret ne peut leur être opposé. Ils peuvent, à cette fin, adresser aux personnes de contact, au sens du g du 4 de l’article 19 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité, une demande motivée pour obtenir, dans le délai fixé par la demande et qui ne peut être inférieur à sept jours, les informations requises pour vérifier le respect des exigences énoncées au chapitre IV du même règlement.

« II.-Lorsqu’il est constaté qu’une organisation altruiste en matière de données reconnue ne respecte pas les exigences énoncées au chapitre IV du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité, le président de la Commission nationale de l’informatique et des libertés notifie ces constatations à l’organisation concernée et lui donne la possibilité de répondre dans un délai de trente jours à compter de la réception de la notification.

« III.-Si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, le président de la Commission nationale de l’informatique et des libertés peut, après avoir émis la notification prévue au II du présent article, mettre en demeure une organisation altruiste en matière de données reconnue de se conformer, dans le délai qu’il fixe, aux exigences énoncées au chapitre IV du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité.

« Le président peut demander qu’il soit justifié de la mise en conformité dans un délai qu’il fixe. Ce délai peut être fixé à vingt-quatre heures en cas d’urgence. Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.

« Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l’objet de la même publicité.

« IV.-Lorsque l’organisation altruiste en matière de données reconnue ne respecte pas les obligations résultant du chapitre IV du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé la notification prévue au II du présent article ou après avoir prononcé à son encontre la mise en demeure prévue au III, saisir la formation restreinte de la commission en vue du prononcé, après une procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :

« 1° L’une des sanctions énoncées au 5 de l’article 24 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité ;

« 2° Une amende administrative dont le montant tient compte des critères fixés à l’article 34 du même règlement et ne peut excéder les plafonds prévus au 4 de l’article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE (règlement général sur la protection des données). » ;

4° Après le titre IV, il est inséré un titre IV bis ainsi rédigé :

« Titre IV BIS.- « DISPOSITIONS RELATIVES À L’ALTRUISME EN MATIÈRE DE DONNÉES

« Art. 124-1.-La Commission nationale de l’informatique et des libertés, en tant qu’autorité compétente pour l’enregistrement des organisations altruistes en matière de données, au sens de l’article 23 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données), tient et met à jour le registre public national des organisations altruistes en matière de données reconnues mentionné à l’article 17 du même règlement.

« Art. 124-2.-En tant que responsable du registre mentionné à l’article 124-1, la Commission nationale de l’informatique et des libertés traite, dans les conditions fixées à l’article 19 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité, les demandes d’enregistrement formées par les personnes qui remplissent les conditions fixées à l’article 18 du même règlement.

« Un décret en Conseil d’Etat précise les modalités de la procédure d’enregistrement.

« Art. 124-3.-Conformément à l’article 27 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité, la Commission nationale de l’informatique et des libertés reçoit et instruit toute réclamation formée par des personnes physiques et morales relevant du champ d’application du chapitre IV du même règlement. Dans un délai raisonnable, elle informe la personne physique ou morale concernée de l’issue réservée à la réclamation et de son droit de former un recours juridictionnel. »

Article 58

[Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel n° 2024-866 DC du 17 mai 2024.]

Article 59

I.-La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifiée :

1° Après le I de l’article 8, il est inséré un I ter ainsi rédigé :

« I ter.-Elle est l’une des autorités compétentes au sens de l’article 49 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques) et pour son application. Elle veille, à ce titre, au respect des règles mentionnées au titre IV ter de la présente loi. Elle participe au comité européen des services numériques mentionné à l’article 61 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité dans les conditions prévues à l’article 7-3 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. » ;

2° Après le titre IV, il est inséré un titre IV ter ainsi rédigé :

« Titre IV TER.- « DISPOSITIONS APPLICABLES AUX FOURNISSEURS DE PLATEFORMES EN LIGNE RELEVANT DU RÈGLEMENT (UE) 2022/2065 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 19 OCTOBRE 2022 RELATIF À UN MARCHÉ UNIQUE DES SERVICES NUMÉRIQUES ET MODIFIANT LA DIRECTIVE 2000/31/ CE (RÈGLEMENT SUR LES SERVICES NUMÉRIQUES)

« Art. 124-4.-Le présent titre s’applique sans préjudice des autres dispositions de la présente loi et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE (règlement général sur la protection des données).

« Art. 124-5.-La Commission nationale de l’informatique et des libertés, en tant qu’autorité compétente au sens de l’article 49 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), veille au respect par les fournisseurs de plateformes en ligne qui ont leur établissement principal en France ou dont le représentant légal réside ou est établi en France des obligations énoncées :

« 1° Au d du 1 de l’article 26 du même règlement, relatives à l’information des destinataires du service concernant la publicité présentée sur leurs interfaces en ligne ;

« 2° Au 3 du même article 26, relatives à l’interdiction de présentation de publicités fondées sur le profilage sur la base de catégories de données à caractère personnel mentionnées au I de l’article 6 de la présente loi ;

« 3° Au 2 de l’article 28 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité, relatives à l’interdiction de la présentation aux mineurs de publicités fondées sur le profilage.

« Elle dispose à ce titre, à l’égard de ces fournisseurs de plateformes en ligne et de toute autre personne agissant pour les besoins de son activité et susceptible de disposer d’informations relatives à un éventuel manquement, des pouvoirs prévus aux articles 19,20,22 et 22-1 de la présente loi. » ;

3° La section 2 du chapitre II du titre Ier est ainsi modifiée :

a) L’intitulé est ainsi rédigé : « Pouvoirs d’enquête » ;

b) Le III de l’article 19 est ainsi modifié :

-à la première phrase du premier alinéa, après l’année : « 2016 », sont insérés les mots : «, du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques) » ;

-la même première phrase est complétée par les mots : « avant de procéder à la saisie de ceux se rapportant à un manquement susceptible de faire l’objet d’une sanction ou d’une mesure correctrice en application de la section 3 du présent chapitre » ;

-après ladite première phrase, est insérée une phrase ainsi rédigée : « Le procureur de la République ou, s’il a autorisé la visite en application du présent article, le juge des libertés et de la détention est informé de la saisie par tout moyen et peut s’y opposer. » ;

-au début de la deuxième phrase du même premier alinéa, le mot : « Ils » est remplacé par les mots : « Ces membres et agents » ;

-avant la dernière phrase dudit premier alinéa, est insérée une phrase ainsi rédigée : « Ils peuvent demander à tout membre du personnel ou à tout représentant du responsable de traitement ou du fournisseur de plateformes en ligne et à toute autre personne agissant pour les besoins de son activité de fournir des explications sur toute information relative à une infraction présumée et enregistrer leurs réponses, avec leur consentement, à l’aide de tout moyen technique. » ;

-le dernier alinéa est remplacé par deux alinéas ainsi rédigés :

« Il est dressé procès-verbal des vérifications et des visites menées en application du présent article ; le cas échéant, la liste des documents saisis lui est annexée. Ce procès-verbal est dressé contradictoirement lorsque les vérifications et les visites sont effectuées sur place ou sur convocation.

« Les documents saisis en application du présent III sont restitués sur décision du procureur de la République, d’office ou sur requête, dans un délai de six mois à compter de la visite ou, en cas d’engagement d’une procédure visant au prononcé des mesures correctrices et des sanctions prévues à la section 3 du présent chapitre, dans un délai de six mois à compter de la décision rendue par la formation restreinte ou par son président. Si des poursuites sont engagées, la restitution est soumise à l’article 41-4 du code de procédure pénale. » ;

4° L’article 20 est ainsi modifié :

a) Le II devient le III, le III devient le IV et le IV devient le VI ;

b) Le II est ainsi rétabli :

« II.-Pour l’exercice des missions relevant de la Commission nationale de l’informatique et des libertés en application du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), son président peut accepter des engagements proposés par les fournisseurs de plateformes en ligne et de nature à garantir la conformité du service avec les obligations prévues à l’article 124-5 de la présente loi.

« La proposition d’engagements des fournisseurs de plateforme en ligne est suffisamment détaillée, notamment en ce qui concerne le calendrier et la portée de leur mise en œuvre ainsi que leur durée, pour permettre à la Commission nationale de l’informatique et des libertés de procéder à son évaluation.

« Au terme de cette évaluation, le président de la Commission nationale de l’informatique et des libertés peut décider de rendre contraignants tout ou partie de ces engagements, pour une période donnée qui ne peut dépasser la durée proposée par le fournisseur de plateformes en ligne.

« Un décret en Conseil d’Etat précise la procédure selon laquelle de tels engagements sont proposés au président de la commission, puis acceptés ou rendus contraignants par celui-ci. » ;

c) Le III, tel qu’il résulte du a du présent 4°, est ainsi modifié :

-le premier alinéa est ainsi rédigé :

« III.-Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi ou lorsque le fournisseur de plateformes en ligne ne respecte pas les obligations résultant de l’article 124-5 de la présente loi ou ses engagements pris au titre du II du présent article, le président de la Commission nationale de l’informatique et des libertés peut le rappeler à ses obligations légales ou, si le manquement constaté est susceptible de faire l’objet d’une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu’il fixe. Le responsable de traitement ou son sous-traitant ne respectant pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi peut être mis en demeure : » ;

-au sixième alinéa, la référence : « II » est remplacée par la référence : « III » ;

d) Au premier alinéa du IV, tel qu’il résulte du a du présent 4°, la référence : « II » est remplacée par la référence : « III » ;

e) Après le IV, tel qu’il résulte du a du présent 4°, il est inséré un V ainsi rédigé :

« V.-Lorsque le fournisseur de plateformes en ligne ne respecte pas les obligations résultant de l’article 124-5 de la présente loi ou ses engagements pris au titre du II du présent article, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après avoir prononcé à son encontre une ou plusieurs des mesures correctrices prévues au III, saisir la formation restreinte de la commission en vue du prononcé, après une procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :

« 1° Un rappel à l’ordre ;

« 2° Une injonction de mettre en conformité le service avec les obligations prévues au présent chapitre. Cette injonction est assortie d’un délai d’exécution qui ne peut être inférieur à trois jours. Elle peut être assortie d’une astreinte dont le montant journalier ne peut excéder 5 % des revenus ou du chiffre d’affaires mondial journalier moyen du fournisseur de plateformes en ligne concerné au cours de l’exercice précédent et qui prend effet au terme du délai d’exécution ;

« 3° Une amende administrative ne pouvant excéder 6 % du chiffre d’affaires mondial du fournisseur de plateformes en ligne réalisé au cours de l’exercice précédent.

« Dans le cadre de l’application de l’article 124-5, toute inexécution des demandes de la Commission nationale de l’informatique et des libertés émises en application de l’article 19 ainsi que la transmission d’informations inexactes, incomplètes ou trompeuses est susceptible de faire l’objet des mesures prévues aux 2° et 3° du présent V. Toutefois, le montant maximal de l’amende administrative est ramené à 1 % du chiffre d’affaires mondial.

« Ces mesures sont précédées, lorsqu’elles ne visent pas le responsable de traitement ou le fournisseur de plateformes en ligne lui-même, d’un rappel à l’ordre comportant les informations prévues au dernier alinéa du 2 de l’article 51 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité. » ;

f) Après le premier alinéa du VI, tel qu’il résulte du a du présent 4°, sont insérés trois alinéas ainsi rédigés :

« Lorsque la formation restreinte a été saisie et que le manquement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, son président peut également adopter, après une procédure contradictoire et selon des modalités précisées par décret en Conseil d’Etat, une injonction à caractère provisoire. Cette injonction peut porter sur toute mesure de nature à mettre fin au manquement et être assortie d’une astreinte dont le montant, qui ne peut excéder 100 000 euros par jour de retard à compter de la date figurant dans l’injonction, est fixé en tenant compte de la nature, de la gravité et de la durée du manquement allégué ainsi que des avantages tirés de ce manquement et des manquements commis précédemment.

« L’injonction ainsi adoptée et, le cas échéant, l’astreinte dont elle est assortie prennent fin au plus tard à la date à laquelle se prononce la formation restreinte ou son président sur le fondement du présent article et des articles 21,22 et 23 ou, dans le cas prévu à l’article 22-1, à la date à laquelle sont engagées des poursuites.

« Les astreintes sont liquidées par la formation restreinte, qui en fixe le montant définitif, et recouvrées comme les créances de l’Etat étrangères à l’impôt et au domaine. » ;

5° Au premier alinéa de l’article 22, les mots : « au III » sont remplacés par les mots : « aux IV et V » ;

6° Le deuxième alinéa de l’article 22-1 est ainsi modifié :

a) Les mots : « 1°, 2° et 7° du III » sont remplacés par les mots : « 1°, 2° et 7° du IV et 1° et 2° du V » ;

b) Les mots : « même III » sont remplacés par les mots : « IV et au 3° du V du même article 20 » ;

c) Les mots : « au 2° dudit III » sont remplacés par les mots : « au 2° des IV et V dudit article 20 » ;

7° L’article 28 est ainsi modifié :

a) Au deuxième alinéa, la référence : « II » est remplacée par la référence : « III » ;

b) A la première phrase du dernier alinéa, la référence : « III » est remplacée par la référence : « IV ».

II.-Au second alinéa de l’article 226-16 du code pénal, la référence : « III » est remplacée par la référence : « IV ».

Article 60

Le I de l’article 3 de la loi n° 78-17 du 6 janvier 1978 précitée est complété par un alinéa ainsi rédigé :

« Les titres Ier et II de la présente loi s’appliquent notamment aux traitements de données à caractère personnel de personnes qui se trouvent sur le territoire français par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union européenne lorsque ces traitements sont liés au suivi du comportement de ces personnes au sein de l’Union européenne, notamment par la collecte de leurs données à caractère personnel en vue de leur rapprochement avec des données liées à leur activité en ligne. »

Chapitre VIII : Mesures d’adaptation de la loi n° 47-585 du 2 avril 1947 relative au statut des entreprises de groupage et de distribution des journaux et publications périodiques (Article 61)

Article 61

Le II de l’article 15 de la loi n° 47-585 du 2 avril 1947 relative au statut des entreprises de groupage et de distribution des journaux et publications périodiques est ainsi modifié :

1° A la première phrase du premier alinéa, les mots : « opérateurs de plateformes en ligne mentionnés au I de l’article L. 111-7 du code de la consommation qui proposent » sont remplacés par les mots : « personnes physiques ou morales proposant, à titre professionnel, un service de communication au public en ligne reposant sur » ;

2° A la même première phrase, après les mots : « le référencement », sont insérés les mots : «, au moyen d’algorithmes informatiques, » ;

3° A ladite première phrase, les mots : « au II du même article L. 111-7 » sont remplacés par les mots : « à l’article L. 111-7 du code de la consommation » ;

4° Le début de la seconde phrase du même premier alinéa est ainsi rédigé : « Elles établissent chaque année des éléments statistiques, qu’elles rendent … (le reste sans changement). » ;

5° Le second alinéa est ainsi rédigé :

« Les agents mentionnés à l’article L. 511-3 du code de la consommation sont habilités à rechercher et à constater les manquements au présent article dans les conditions prévues à l’article L. 511-7 du code de la consommation et peuvent mettre en œuvre l’injonction prévue à l’article L. 521-1 du même code. »

Chapitre IX : Mesures d’adaptation de la loi n° 2017-261 du 1er mars 2017 visant à préserver l’éthique du sport, à renforcer la régulation et la transparence du sport professionnel et à améliorer la compétitivité des clubs, du code de la propriété intellectuelle, de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique et du code pénal (Article 62)

Article 62

I.-L’article 24 de la loi n° 2017-261 du 1er mars 2017 visant à préserver l’éthique du sport, à renforcer la régulation et la transparence du sport professionnel et à améliorer la compétitivité des clubs est ainsi modifié :

1° Les mots : « opérateurs de plateformes en ligne définis à l’article L. 111-7 du code de la consommation » sont remplacés par les mots : « fournisseurs de plateformes en ligne, au sens du paragraphe i de l’article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), les moteurs de recherche, au sens du paragraphe j du même article 3, les plateformes de partage de vidéos, au sens des septième à dernier alinéas de l’article 2 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication » ;

2° Les deux occurrences des mots : « éditeurs de services » sont remplacées par les mots : « personnes dont l’activité consiste à éditer un service » ;

3° Les mots : « définis au III de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique » sont supprimés ;

4° Les mots : « du même article 6 » sont remplacés par les mots : « de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique » ;

5° La dernière occurrence du mot : « définis » est remplacée par le mot : « défini ».

II.-Au début du II des articles L. 137-2 et L. 219-2 du code de la propriété intellectuelle, les mots : « Les 2 et 3 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ne sont pas applicables » sont remplacés par les mots : « Le paragraphe 1 de l’article 6 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques) n’est pas applicable ».

III.-A la seconde phrase du premier alinéa de l’article L. 131-4 du code de la propriété intellectuelle, les mots : « la participation » sont remplacés par les mots : « une rémunération appropriée et ».

IV.-Au premier alinéa du I de l’article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique, les mots : « des opérateurs de plateforme en ligne définis à l’article L. 111-7 du code de la consommation » sont remplacés par les mots : « de toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de plateforme essentiel, défini à l’article 2 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) ou un service de communication au public en ligne reposant sur le traitement de contenus, de biens ou de services, au moyen d’algorithmes informatiques ».

V.-L’article 323-3-2 du code pénal est ainsi modifié :

1° Le I est ainsi modifié :

a) Les mots : « un opérateur de plateforme en ligne mentionné à l’article L. 111-7 du code de la consommation » sont remplacés par les mots : « une personne dont l’activité consiste à fournir un service de plateforme en ligne mentionné au 4 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique » ;

b) Les mots : « cette dernière » sont remplacés par les mots : « ce service » ;

c) Les mots : « VI de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique » sont remplacés par les mots : « V du même article 6 » ;

2° Au II, les mots : « de ces plateformes » sont remplacés par les mots : « d’un fournisseur de plateformes en ligne ».

Chapitre X : Dispositions transitoires et finales (Articles 63 à 64)

Article 63

I. – Dans les conditions prévues à l’article 38 de la Constitution, le Gouvernement est autorisé à prendre par voie d’ordonnance toutes mesures relevant du domaine de la loi afin :

1° De procéder, le cas échéant, aux adaptations nécessaires à l’application de la présente loi à Saint-Barthélemy, Saint-Martin et Saint-Pierre-et-Miquelon ;

2° D’étendre l’application des dispositions de la présente loi, avec les adaptations nécessaires, en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, pour celles de ces dispositions qui relèvent de la compétence de l’Etat ;

3° De rendre applicables en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna, à Saint-Barthélemy et à Saint-Pierre-et-Miquelon, avec les adaptations nécessaires, dans les matières relevant de la compétence de l’Etat, les dispositions du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données), du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) et du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques).

II. – L’ordonnance prévue au I est prise dans un délai de six mois à compter de la promulgation de la présente loi. Un projet de loi de ratification est déposé devant le Parlement dans un délai de trois mois à compter de la publication de l’ordonnance.

Article 64

I.-L’article 2 entre en vigueur le 1er janvier 2024. Toutefois, les procédures déjà engagées au 31 décembre 2023 restent régies par l’article 23 de la loi n° 2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales dans sa rédaction antérieure à la présente loi.

II.-Le I de l’article 6-8 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique entre en vigueur un an après la date d’entrée en vigueur mentionnée au I de l’article 7 de la loi n° 2023-566 du 7 juillet 2023 visant à instaurer une majorité numérique et à lutter contre la haine en ligne.

III.-Le IV de l’article 12 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, dans sa rédaction résultant de l’article 24 de la présente loi, entre en vigueur le 1er janvier 2025.

IV.-Les articles 27 à 30 et le I de l’article 33 de la présente loi ne s’appliquent que jusqu’au 12 janvier 2027.

V.-Le 5° du I de l’article 48, les articles 49,50,51 à l’exception des 1° à 3°, l’article 52, l’article 54 à l’exception du II et les articles 55,56,59 et 62 entrent en vigueur le 17 février 2024.

VI.-L’article 43 entre en vigueur à une date fixée par décret, et au plus tard un an après la promulgation de la présente loi.

VII.-A compter de l’entrée en vigueur de l’article 3 de la loi organique n° 2023-1058 du 20 novembre 2023 relative à l’ouverture, à la modernisation et à la responsabilité du corps judiciaire, le II de l’article L. 453-1 du code de l’organisation judiciaire est ainsi rédigé :

« II.-Ce contrôle est exercé, en toute indépendance, par une autorité constituée d’un conseiller ou d’un président de chambre à la Cour de cassation ou d’un avocat général ou d’un premier avocat général à la Cour de cassation, élu par l’assemblée des magistrats du troisième grade de la cour, à l’exclusion des auditeurs, des conseillers référendaires et des avocats généraux référendaires, pour une durée de trois ans, renouvelable une fois. »

La présente loi sera exécutée comme loi de l’Etat.

Fait à Paris, le 21 mai 2024.

Emmanuel Macron, Par le Président de la République

Le Premier ministre, Gabriel Attal

Le ministre de l’économie, des finances et de la souveraineté industrielle et numérique, Bruno Le Maire

Le ministre de l’intérieur et des outre-mer, Gérald Darmanin

La ministre de la culture, Rachida Dati

Le garde des sceaux, ministre de la justice, Éric Dupond-Moretti

La secrétaire d’État auprès du ministre de l’économie, des finances et de la souveraineté industrielle et numérique, chargée du numérique, Marina Ferrari

—————————————————————-

(1) Travaux préparatoires : loi n° 2024-449.

Sénat :

Projet de loi n° 593 (2022-2023) ;

Rapport de MM. Patrick Chaize et Loïc Hervé, au nom de la commission spéciale, n° 777 (2022-2023) ;

Texte de la commission n° 778 (2022-2023) ;

Discussion les 4 et 5 juillet 2023 et adoption, après engagement de la procédure accélérée, le 5 juillet 2023 (TA n° 156, 2022-2023).

Assemblée nationale :

Projet de loi, adopté par le Sénat, n° 1514 rect. ;

Rapport de M. Paul Midy, Mme Louise Morel, Mme Anne Le Hénanff, Mme Mireille Clapot et M. Denis Masséglia, au nom de la commission spéciale, n° 1674 ;

Discussion les 4, 5, 9, 10, 11 et 13 octobre 2023 et adoption, après engagement de la procédure accélérée, le 17 octobre 2023 (TA n° 175).

Sénat :

Projet de loi, modifié par l’Assemblée nationale, n° 51 (2023-2024) ;

Rapport de MM. Patrick Chaize et Loïc Hervé, au nom de la commission mixte paritaire, n° 469 (2023-2024) ;

Texte de la commission n° 470 (2023-2024) ;

Discussion et adoption le 2 avril 2024 (TA n° 103, 2023-2024).

Assemblée nationale :

Rapport de M. Paul Midy, Mme Louise Morel, M. Denis Masséglia et Mme Mireille Clapot, au nom de la commission mixte paritaire, n° 2404 ;

Discussion et adoption le 10 avril 2024 (TA n° 286).

Conseil constitutionnel :

Décision n° 2024-866 DC du 17 mai 2024 publiée au Journal officiel de ce jour.

17Nov/24

Décision n° 2024-866 DC du 17 mai 2024

17 noviembre, 2024Decisión, FranciaCode pénal, Constitution, Declaration 1789, Declaration droits de l´home et de citoyen, Derecho Informático, Legislación francesa, Legislación Informatica, Loi 2004-575, Loi 21 juin 2004, loi 6 janvier 1978, loi 78-17 du 6 janvier, Reglament (UE) 2016/679José Cuervo

Décision n° 2024-866 DC du 17 mai 2024

LE CONSEIL CONSTITUTIONNEL A ÉTÉ SAISI, dans les conditions prévues au deuxième alinéa de l’article 61 de la Constitution, de la loi visant à sécuriser et à réguler l’espace numérique, sous le n° 2024-866 DC, le 17 avril 2024, par Mme Marine LE PEN, M. Franck ALLISIO, Mme Bénédicte AUZANOT, MM. Philippe BALLARD, Christophe BARTHÈS, José BEAURAIN, Christophe BENTZ, Mmes Sophie BLANC, Pascale BORDES, MM. Jorys BOVET, Jérôme BUISSON, Frédéric CABROLIER, Victor CATTEAU, Sébastien CHENU, Roger CHUDEAU, Mmes Caroline COLOMBIER, Annick COUSIN, Nathalie DA CONCEICAO CARVALHO, MM. Grégoire de FOURNAS, Hervé de LÉPINAU, Jocelyn DESSIGNY, Mmes Edwige DIAZ, Sandrine DOGOR-SUCH, M. Nicolas DRAGON, Mme Christine ENGRAND, MM. Frédéric FALCON, Thibaut FRANÇOIS, Mme Stéphanie GALZY, MM. Frank GILETTI, Yoann GILLET, Christian GIRARD, José GONZALEZ, Mmes Florence GOULET, Géraldine GRANGIER, MM. Daniel GRENON, Michel GUINIOT, Jordan GUITTON, Mme Marine HAMELET, MM. Timothée HOUSSIN, Laurent JACOBELLI, Mme Catherine JAOUEN, M. Alexis JOLLY, Mmes Hélène LAPORTE, Laure LAVALETTE, Julie LECHANTEUX, Gisèle LELOUIS, Christine LOIR, M. Aurélien LOPEZ-LIGUORI, Mme Marie-France LORHO, MM. Philippe LOTTIAUX, Alexandre LOUBET, Matthieu MARCHIO, Mme Alexandra MASSON, MM. Bryan MASSON, Kévin MAUVIEUX, Nicolas MEIZONNET, Mmes Joëlle MÉLIN, Yaël MENACHE, MM. Thomas MÉNAGÉ, Serge MULLER, Mmes Mathilde PARIS, Caroline PARMENTIER, M. Kévin PFEFFER, Mme Lisette POLLET, M. Stéphane RAMBAUD, Mme Angélique RANC, M. Julien RANCOULE, Mmes Laurence ROBERT-DEHAULT, Béatrice ROULLAUD, Anaïs SABATINI, MM. Alexandre SABATOU, Emeric SALMON, Philippe SCHRECK, Emmanuel TACHÉ de la PAGERIE, Jean-Philippe TANGUY, Michaël TAVERNE et Antoine VILLEDIEU, députés.

Il a également été saisi le 19 avril 2024, par Mmes Mathilde PANOT, Nadège ABOMANGOLI, MM. Laurent ALEXANDRE, Gabriel AMARD, Mmes Ségolène AMIOT, Farida AMRANI, M. Rodrigo ARENAS, Mme Clémentine AUTAIN, MM. Ugo BERNALICIS, Christophe BEX, Carlos Martens BILONGO, Manuel BOMPARD, Idir BOUMERTIT, Louis BOYARD, Aymeric CARON, Sylvain CARRIÈRE, Florian CHAUCHE, Mme Sophia CHIKIROU, MM. Hadrien CLOUET, Éric COQUEREL, Alexis CORBIÈRE, Jean-François COULOMME, Mme Catherine COUTURIER, MM. Hendrik DAVI, Sébastien DELOGU, Mmes Alma DUFOUR, Karen ERODI, Martine ÉTIENNE, M. Emmanuel FERNANDES, Mmes Sylvie FERRER, Caroline FIAT, M. Perceval GAILLARD, Mmes Raquel GARRIDO, Clémence GUETTÉ, M. David GUIRAUD, Mmes Mathilde HIGNET, Rachel KEKE, MM. Andy KERBRAT, Bastien LACHAUD, Maxime LAISNEY, Arnaud LE GALL, Antoine LÉAUMENT, Mmes Élise LEBOUCHER, Charlotte LEDUC, M. Jérôme LEGAVRE, Mmes Sarah LEGRAIN, Murielle LEPVRAUD, Élisa MARTIN, Pascale MARTIN, MM. William MARTINET, Frédéric MATHIEU, Damien MAUDET, Mmes Marianne MAXIMI, Manon MEUNIER, M. Jean-Philippe NILOR, Mmes Danièle OBONO, Nathalie OZIOL, MM. René PILATO, François PIQUEMAL, Thomas PORTES, Loïc PRUD’HOMME, Jean-Hugues RATENON, Sébastien ROME, François RUFFIN, Aurélien SAINTOUL, Michel SALA, Mmes Danielle SIMONNET, Ersilia SOUDAIS, Anne STAMBACH-TERRENOIR, Andrée TAURINYA, M. Matthias TAVEL, Mme Aurélie TROUVÉ, MM. Paul VANNIER, Léo WALTER, Mmes Cyrielle CHATELAIN, Christine ARRIGHI, Lisa BELLUCO, MM. Karim BEN CHEIKH, Charles FOURNIER, Mme Marie-Charlotte GARIN, M. Jérémie IORDANOFF, Mme Julie LAERNOES, MM. Benjamin LUCAS-LUNDY, Sébastien PEYTAVIE, Mme Marie POCHON, M. Jean-Claude RAUX, Mmes Sandra REGOL, Sandrine ROUSSEAU, Eva SAS, Sabrina SEBAIHI, M. Aurélien TACHÉ, Mme Sophie TAILLÉ-POLIAN et M. Nicolas THIERRY, députés.

Au vu des textes suivants :

la Constitution ;

l’ordonnance n° 58-1067 du 7 novembre 1958 portant loi organique sur le Conseil constitutionnel ;

le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

le code de justice administrative ;

le code pénal ;

le code des postes et des communications électroniques ;

le code des relations entre le public et l’administration ;

le code de la sécurité intérieure ;

la loi du 29 juillet 1881 sur la liberté de la presse ;

la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ;

la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique ;

le règlement du 11 mars 2022 sur la procédure suivie devant le Conseil constitutionnel pour les déclarations de conformité à la Constitution ;

Au vu des pièces suivantes :

les observations produites par la présidente de la commission spéciale du Sénat chargée d’examiner le projet de loi visant à sécuriser et réguler l’espace numérique et M. Loïc HERVÉ, sénateur, enregistrées le 23 avril 2024 ;

les observations produites par M. Boris VALLAUD et plusieurs députés autres que les auteurs des saisines, enregistrées le 24 avril 2024 ;

les observations du Gouvernement, enregistrées le 13 mai 2024 ;

Après avoir entendu les députés représentant les auteurs de la seconde saisine ;

Et après avoir entendu les rapporteurs ;

LE CONSEIL CONSTITUTIONNEL S’EST FONDÉ SUR CE QUI SUIT :

1. Les députés requérants défèrent au Conseil constitutionnel la loi visant à sécuriser et à réguler l’espace numérique. Ils contestent la conformité à la Constitution de son article 19. Les députés auteurs de la première saisine critiquent également la procédure d’adoption de cet article. Les députés auteurs de la seconde saisine critiquent en outre la procédure d’adoption de l’article 1er et la conformité à la Constitution de l’article 17 ainsi que de certaines dispositions des articles 1er, 2, 4, 5, 10, 23, 40, 41 et 42.

– Sur certaines dispositions de l’article 1er :

2. Le paragraphe I de l’article 1er de la loi déférée réécrit l’article 10 de la loi du 21 juin 2004 mentionnée ci-dessus afin de prévoir notamment que, pour garantir que les contenus pornographiques mis en ligne ne soient pas accessibles aux mineurs, l’Autorité de régulation de la communication audiovisuelle et numérique, d’une part, établit un référentiel relatif aux systèmes de vérification de l’âge devant être mis en œuvre par les éditeurs de service de communication au public en ligne et les fournisseurs de service de plateforme de partage de vidéos et, d’autre part, peut exiger de ceux-ci qu’ils fassent réaliser des audits de ces systèmes pour s’assurer de leur conformité à ce référentiel.

3. Les députés auteurs de la seconde saisine soutiennent que, en renvoyant à une autorité administrative le soin d’établir ce référentiel, sans préciser les modalités selon lesquelles l’âge des utilisateurs sera vérifié, et en lui permettant d’exiger la conduite d’audits, sans garantir l’indépendance des organismes qui en seront chargés ni fixer les conditions de leur réalisation, le législateur aurait méconnu l’étendue de sa compétence et privé de garanties légales le droit au respect de la vie privée.

4. Ils font valoir en outre que le Gouvernement aurait induit en erreur les parlementaires sur la fiabilité et l’applicabilité de certaines méthodes d’anonymisation des systèmes de vérification d’âge. Il en résulterait, selon eux, une méconnaissance des exigences de clarté et de sincérité du débat parlementaire.

5. En premier lieu, aux termes de l’article 6 de la Déclaration des droits de l’homme et du citoyen de 1789 : « La loi est l’expression de la volonté générale ». Aux termes du premier alinéa de l’article 3 de la Constitution : « La souveraineté nationale appartient au peuple qui l’exerce par ses représentants ». Ces dispositions imposent le respect des exigences de clarté et de sincérité du débat parlementaire.

6. La circonstance que certains ministres aient pu présenter, lors de leurs interventions à l’Assemblée nationale, la méthode de double anonymisation comme fiable et prête à être mise en œuvre alors que d’autres méthodes pourraient trouver à s’appliquer aux systèmes de vérification de l’âge est sans incidence sur la procédure d’adoption de l’article 1er dès lors que ces différentes méthodes ont pu être débattues.

7. Dès lors, le grief tiré de l’irrégularité de la procédure d’adoption des dispositions contestées doit être écarté.

8. En deuxième lieu, l’article 34 de la Constitution dispose : « La loi fixe les règles concernant … les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ».

9. En vertu de l’article 21 de la Constitution et sous réserve de son article 13, le Premier ministre exerce le pouvoir réglementaire à l’échelon national. Ces dispositions ne font pas obstacle à ce que le législateur confie à une autorité de l’État autre que le Premier ministre le soin de fixer des normes permettant de mettre en œuvre une loi dès lors que cette habilitation ne concerne que des mesures de portée limitée tant par leur champ d’application que par leur contenu. Une telle attribution de compétence n’a pas pour effet de dispenser l’autorité réglementaire du respect des exigences constitutionnelles.

10. Selon le paragraphe I de l’article 10 de la loi du 21 juin 2004, dans sa rédaction résultant de l’article 1er de la loi déférée, l’Autorité de régulation de la communication audiovisuelle et numérique veille à ce que les contenus pornographiques mis à la disposition du public par un éditeur de service de communication au public en ligne ou fournis par un service de plateforme de partage de vidéos ne soient pas accessibles aux mineurs.

11. Les dispositions contestées prévoient que, à cette fin, cette autorité établit et publie un référentiel relatif aux systèmes de vérification de l’âge devant être mis en œuvre par certains éditeurs et fournisseurs de services en ligne et qu’elle peut exiger de ceux-ci la conduite d’un audit de ces systèmes.

12. D’une part, ces dispositions ont pour seul objet de confier à cette autorité le soin d’établir un référentiel fixant les exigences techniques minimales applicables aux systèmes de vérification de l’âge que doivent mettre en œuvre les éditeurs et fournisseurs de services en ligne pour empêcher les mineurs d’accéder à des contenus pornographiques et prévoyant les conditions de réalisation et de publicité des audits qu’elle peut imposer. Elles ont ainsi un objet et un champ d’application précisément circonscrits.

13. D’autre part, le législateur a pu, sans méconnaître sa compétence, confier à une autorité administrative le soin d’établir un référentiel déterminant des exigences techniques portant sur la fiabilité du contrôle de l’âge des utilisateurs et sur le respect de leur vie privée, et précisant les modalités de réalisation et de publicité des audits.

14. Dès lors, les dispositions contestées ne méconnaissent ni l’article 21 de la Constitution ni son article 34.

15. Par conséquent, le deuxième alinéa du paragraphe I de l’article 10 de la loi du 21 juin 2004, qui ne méconnaît pas non plus le droit au respect de la vie privée ni aucune autre exigence constitutionnelle, est conforme à la Constitution.

– Sur certaines dispositions de l’article 2 :

16. Le paragraphe I de l’article 2 insère notamment au sein de la loi du 21 juin 2004 un article 10-1 afin de prévoir en particulier que, lorsqu’un service de communication au public en ligne ou un service de plateforme de partage de vidéos permet à des mineurs d’avoir accès à des contenus pornographiques, l’Autorité de régulation de la communication audiovisuelle et numérique peut, sous certaines conditions, prononcer des mesures de blocage ou de déréférencement.

17. Les députés auteurs de la seconde saisine reprochent à ces dispositions de permettre à cette autorité de prononcer de telles mesures pour une durée excessive, alors que les contenus en cause ne présenteraient en eux-mêmes aucun caractère illicite. Ils dénoncent en outre la brièveté du délai dans lequel est enserré le recours spécifique en annulation contre cette décision. Il en résulterait une atteinte disproportionnée à la liberté d’expression et de communication. Pour les mêmes motifs, ces dispositions méconnaîtraient également le droit à un procès équitable et le principe de légalité des délits et des peines.

18. Aux termes de l’article 11 de la Déclaration de 1789 : « La libre communication des pensées et des opinions est un des droits les plus précieux de l’homme : tout citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté dans les cas déterminés par la loi ». En l’état actuel des moyens de communication et eu égard au développement généralisé des services de communication au public en ligne ainsi qu’à l’importance prise par ces services pour la participation à la vie démocratique et l’expression des idées et des opinions, ce droit implique la liberté d’accéder à ces services et de s’y exprimer.

19. L’article 34 de la Constitution dispose : « La loi fixe les règles concernant … les droits civiques et les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ». Sur ce fondement, il est loisible au législateur d’édicter des règles concernant l’exercice du droit de libre communication et de la liberté de parler, d’écrire et d’imprimer. Il lui est aussi loisible, à ce titre, d’instituer des dispositions destinées à faire cesser des abus de l’exercice de la liberté d’expression et de communication qui portent atteinte à l’ordre public et aux droits des tiers. Cependant, la liberté d’expression et de communication est d’autant plus précieuse que son exercice est une condition de la démocratie et l’une des garanties du respect des autres droits et libertés. Il s’ensuit que les atteintes portées à l’exercice de cette liberté doivent être nécessaires, adaptées et proportionnées à l’objectif poursuivi.

20. Selon le paragraphe I de l’article 10-1 de la loi du 21 juin 2004, dans sa rédaction issue de l’article 2 de la loi déférée, lorsqu’une personne dont l’activité est de fournir un service de communication au public en ligne ou un service de plateforme de partage de vidéos permet à des mineurs d’avoir accès à un contenu pornographique en violation de l’article 227-24 du code pénal, l’Autorité de régulation de la communication audiovisuelle et numérique peut la mettre en demeure de prendre toute mesure de nature à empêcher l’accès à ce contenu.

21. En cas d’inexécution de la mise en demeure, le paragraphe III de l’article 10-1 permet à cette autorité de demander aux fournisseurs de services d’accès à internet ou aux fournisseurs de systèmes de résolution des noms de domaine d’empêcher l’accès aux adresses électroniques litigieuses, dans un délai de quarante-huit heures, ainsi qu’aux moteurs de recherche ou aux annuaires de faire cesser, dans le même délai, le référencement des services concernés.

22. Les dispositions contestées prévoient que ces mesures peuvent être prononcées pour une durée maximale de deux ans et que les personnes intéressées peuvent en demander l’annulation au président du tribunal administratif dans un délai de cinq jours à compter de leur réception.

23. En premier lieu, en permettant à l’autorité administrative d’ordonner des mesures de blocage et de déréférencement, le législateur a souhaité renforcer la lutte contre l’accès des mineurs à des contenus à caractère pornographique en ligne. Il a ainsi entendu mettre en œuvre l’exigence constitutionnelle de protection de l’intérêt supérieur de l’enfant et poursuivi l’objectif de valeur constitutionnelle de prévention des atteintes à l’ordre public.

24. En deuxième lieu, si ces mesures peuvent être prononcées pour une durée maximale de deux ans, elles ne s’appliquent qu’à des sites internet permettant à des mineurs d’avoir accès à un contenu pornographique en violation de l’article 227-24 du code pénal, qui incrimine le fait soit de fabriquer, de transporter, de diffuser un message à caractère pornographique, soit de faire commerce d’un tel message, lorsque ce message est susceptible d’être vu ou perçu par un mineur. En outre, l’autorité administrative compétente ne peut ordonner de telles mesures qu’après avoir adressé à la personne exploitant le ou les sites litigieux des observations motivées, à compter desquelles celle-ci dispose d’un délai de quinze jours pour présenter ses propres observations, puis une mise en demeure, restée infructueuse, de prendre, dans un délai de quinze jours, toute mesure de nature à empêcher cet accès.

25. Par ailleurs, il résulte des dispositions contestées que la nécessité de ces mesures doit être réévaluée lorsque la personne intéressée en fait la demande et, y compris d’office, au moins une fois par an. L’autorité administrative compétente est tenue d’en donner mainlevée lorsque les faits en considération desquels ces mesures ont été ordonnées ne sont plus constitués.

26. Dès lors, la durée maximale des mesures de blocage et de déréférencement que peut prononcer l’autorité administrative n’est pas disproportionnée au regard de l’objectif poursuivi par le législateur.

27. En dernier lieu, ces mesures, qui peuvent faire l’objet de recours en référé sur le fondement des articles L. 521-1 et L. 521-2 du code de justice administrative, sont également susceptibles, en application des dispositions contestées, d’être critiquées par la voie d’un recours spécifique en annulation qui doit être formé devant le président du tribunal administratif dans un délai de cinq jours. Celui-ci est alors tenu de statuer sur la légalité de la mesure de blocage ou de déréférencement dans un délai d’un mois. En cas d’appel, la juridiction d’appel est tenue de statuer dans un délai de trois mois.

28. Ainsi, ces dispositions permettent qu’il soit statué dans de brefs délais sur la légalité de ces mesures.

29. Il résulte de tout ce qui précède que le grief tiré de la méconnaissance de la liberté d’expression et de communication doit être écarté.

30. Par ailleurs, les mesures de blocage et de déréférencement, qui visent à prévenir l’accès à des contenus pornographiques par des mineurs, ne constituent pas des sanctions ayant le caractère d’une punition, mais des mesures de police administrative. Le grief tiré de la méconnaissance du principe de légalité des délits et des peines ne peut dès lors qu’être écarté.

31. Par conséquent, le dernier alinéa du paragraphe III de l’article 10-1 de la loi du 21 juin 2004 et le premier alinéa de son paragraphe V, qui ne méconnaissent pas non plus le droit à un procès équitable ni aucune autre exigence constitutionnelle, sont conformes à la Constitution.

– Sur certaines dispositions de l’article 4 :

32. Le 4 ° de l’article 4 insère notamment un nouvel article 6-2-2 au sein de la loi du 21 juin 2004 afin de prévoir une voie de recours spécifique contre l’injonction administrative adressée à un éditeur d’un service de communication au public en ligne ou à un fournisseur de services d’hébergement de retirer un contenu à caractère pédopornographique.

33. Les députés auteurs de la seconde saisine dénoncent la brièveté du délai de recours ouvert aux fournisseurs de services d’hébergement ou de contenus pour contester une telle mesure ainsi que du délai imparti au juge pour statuer. Il en résulterait une méconnaissance du droit à un recours juridictionnel effectif ainsi que des droits de la défense et du droit à un procès équitable. Pour les mêmes motifs, le législateur aurait en outre privé de garanties légales la liberté d’expression et de communication.

34. Selon l’article 16 de la Déclaration de 1789 : « Toute société dans laquelle la garantie des droits n’est pas assurée, ni la séparation des pouvoirs déterminée, n’a point de Constitution ». Il résulte de cette disposition qu’il ne doit pas être porté d’atteinte substantielle au droit des personnes intéressées d’exercer un recours effectif devant une juridiction et que doit être assuré le respect des droits de la défense.

35. En application des articles 6-1 et 6-2-1 de la loi du 21 juin 2004, l’autorité administrative peut enjoindre, sous peine de poursuites pénales, aux éditeurs d’un service de communication au public en ligne et aux fournisseurs de services d’hébergement de retirer une image ou une représentation de mineurs qui présente un caractère pornographique relevant de l’article 227-23 du code pénal.

36. Les dispositions contestées prévoient que, sans préjudice des articles L. 521-1 et L. 521-2 du code de justice administrative, l’injonction de retrait de contenus à caractère pédopornographique peut faire l’objet d’un recours en annulation devant le président du tribunal administratif dans un délai de quarante-huit heures. Il est statué sur la légalité de cette injonction dans un délai de soixante-douze heures à compter de la saisine du juge.

37. En premier lieu, en adoptant ces dispositions, le législateur a entendu garantir qu’il soit rapidement statué sur la légalité des injonctions de retrait d’un contenu à caractère pédopornographique. Ce faisant, il a non seulement poursuivi l’objectif de valeur constitutionnelle de sauvegarde de l’ordre public mais aussi cherché à protéger la liberté d’expression et de communication.

38. En second lieu, d’une part, le délai de recours de quarante-huit heures court seulement à compter, s’agissant des fournisseurs de services d’hébergement, de la réception de l’injonction et, s’agissant des fournisseurs de contenus, du moment où ils sont informés par le fournisseur de services d’hébergement de l’exécution de cette mesure. À cet égard, le paragraphe III de l’article 6-2 de la loi du 21 juin 2004 prévoit que le fournisseur de contenus est, sauf exception, informé par le fournisseur de services d’hébergement des motifs de l’injonction de retrait, de la possibilité d’en solliciter une copie et de son droit de former un recours en annulation.

39. D’autre part, le délai de soixante-douze heures imparti au juge administratif, qui permet qu’il soit statué rapidement sur la légalité de l’injonction de retrait, ne fait pas obstacle à ce que les fournisseurs de services d’hébergement ou de contenus puissent pendant ce délai présenter tous éléments à l’appui de leur requête. Au surplus, en cas d’appel, la juridiction d’appel statue dans un délai d’un mois.

40. Ainsi, en prévoyant de tels délais de recours et de jugement, les dispositions contestées n’opèrent pas une conciliation déséquilibrée entre le droit à un recours juridictionnel effectif et les exigences constitutionnelles précitées. Elles ne méconnaissent pas non plus les droits de la défense. Le grief tiré de la méconnaissance de l’article 16 de la Déclaration de 1789 doit, dès lors, être écarté.

41. Par conséquent, les paragraphes I et II de l’article 6-2-2 de la loi du 21 juin 2004, qui ne méconnaissent pas non plus la liberté d’expression et de communication ni aucune autre exigence constitutionnelle, sont conformes à la Constitution.

– Sur certaines dispositions de l’article 5 :

42. Le paragraphe III de l’article 5 prévoit notamment une voie de recours spécifique contre l’injonction que l’autorité administrative peut, à titre expérimental, adresser à un éditeur d’un service de communication au public en ligne ou à un fournisseur de services d’hébergement pour exiger le retrait d’images de tortures ou d’actes de barbarie.

43. Les députés auteurs de la seconde saisine dénoncent la brièveté du délai de recours ouvert aux fournisseurs de services d’hébergement ou de contenus pour contester une telle mesure ainsi que du délai imparti au juge pour statuer. Il en résulterait une méconnaissance du droit à un recours juridictionnel effectif ainsi que des droits de la défense et du droit à un procès équitable. Pour les mêmes motifs, le législateur aurait en outre privé de garanties légales la liberté d’expression et de communication.

44. Ils reprochent par ailleurs à ces dispositions de ne pas avoir déterminé les dispositions applicables aux procédures et instances encore en cours au terme de l’expérimentation. Il en résulterait une méconnaissance de l’article 34 de la Constitution et de l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi ainsi qu’une atteinte à la liberté d’expression et aux droits de la défense.

45. L’article 5 de la loi déférée prévoit que, à titre expérimental et pour une durée de deux ans, l’autorité administrative peut enjoindre aux éditeurs d’un service de communication au public en ligne et aux fournisseurs de services d’hébergement de retirer les contenus qui contreviennent manifestement à l’article 222-1 du code pénal incriminant les tortures et les actes de barbarie.

46. Les dispositions contestées prévoient que, sans préjudice des articles L. 521-1 et L. 521-2 du code de justice administrative, l’injonction de retrait d’images de tortures ou d’actes de barbarie peut faire l’objet d’un recours en annulation devant le président du tribunal administratif dans un délai de quarante-huit heures. Il est statué sur la légalité de cette injonction dans un délai de soixante-douze heures à compter de la saisine du juge.

47. En premier lieu, en adoptant ces dispositions, le législateur a entendu garantir qu’il soit rapidement statué sur la légalité des injonctions de retrait d’images de tortures ou d’actes de barbarie. Ce faisant, il a non seulement poursuivi l’objectif de valeur constitutionnelle de sauvegarde de l’ordre public mais aussi cherché à protéger la liberté d’expression et de communication.

48. En second lieu, d’une part, le délai de recours de quarante-huit heures court seulement à compter, s’agissant des fournisseurs de services d’hébergement, de la réception de l’injonction et, s’agissant des fournisseurs de contenus, du moment où ils sont informés par le fournisseur de services d’hébergement de l’exécution de cette mesure. À cet égard, le C du paragraphe II de l’article 5 prévoit que le fournisseur de contenus est, sauf exception, informé par le fournisseur de services d’hébergement des motifs de l’injonction de retrait, de la possibilité d’en solliciter une copie et de son droit de former un recours en annulation.

49. D’autre part, le délai de soixante-douze heures imparti au juge administratif, qui permet qu’il soit statué rapidement sur la légalité de l’injonction de retrait, ne fait pas obstacle à ce que les fournisseurs de services d’hébergement ou de contenus puissent pendant ce délai présenter tous éléments à l’appui de leur requête. Au surplus, en cas d’appel, la juridiction d’appel statue dans un délai d’un mois.

50. Ainsi, en prévoyant de tels délais de recours et de jugement, les dispositions contestées n’opèrent pas une conciliation déséquilibrée entre le droit à un recours juridictionnel effectif et les exigences constitutionnelles précitées. Elles ne méconnaissent pas non plus les droits de la défense. Le grief tiré de la méconnaissance des exigences précitées de l’article 16 de la Déclaration de 1789 doit, dès lors, être écarté.

51. Par ailleurs, il ne saurait être reproché au législateur de ne pas avoir déterminé les dispositions susceptibles de s’appliquer au terme de l’expérimentation, dans l’hypothèse où elle ne serait pas pérennisée, dès lors qu’en l’absence de dispositions contraires, les règles de droit commun seraient alors applicables.

52. Il résulte de ce qui précède que les dispositions du A et B du paragraphe III de l’article 5, qui ne sont pas entachées d’incompétence négative et qui ne méconnaissent pas non plus l’objectif de valeur constitutionnelle d’accessibilité et d’intelligibilité de la loi, ni le droit à un procès équitable, ni la liberté d’expression et de communication, ni aucune autre exigence constitutionnelle, sont conformes à la Constitution.

– Sur l’article 10 :

53. L’article 10 prévoit un objectif de généralisation de l’identité numérique pour les Français et la remise d’un rapport au Parlement.

54. Les députés auteurs de la seconde saisine soutiennent que ces dispositions seraient dépourvues de portée normative et, par suite, contraires à l’article 6 de la Déclaration de 1789. En permettant, selon eux, de multiplier les vérifications d’identité sur internet, elles méconnaîtraient également le droit au respect de la vie privée.

55. Aux termes de la dernière phrase du premier alinéa de l’article 45 de la Constitution : « Sans préjudice de l’application des articles 40 et 41, tout amendement est recevable en première lecture dès lors qu’il présente un lien, même indirect, avec le texte déposé ou transmis ». Il appartient au Conseil constitutionnel de déclarer contraires à la Constitution les dispositions qui sont introduites en méconnaissance de cette règle de procédure. Selon une jurisprudence constante, il s’assure dans ce cadre de l’existence d’un lien entre l’objet de l’amendement et celui de l’une au moins des dispositions du texte déposé sur le bureau de la première assemblée saisie. Il ne déclare des dispositions contraires à l’article 45 de la Constitution que si un tel lien, même indirect, ne peut être identifié. Il apprécie l’existence de ce lien après avoir décrit le texte initial puis, pour chacune des dispositions déclarées inconstitutionnelles, les raisons pour lesquelles elle doit être regardée comme dépourvue de lien même indirect avec celui-ci. Dans ce cas, le Conseil constitutionnel ne préjuge pas de la conformité du contenu de ces dispositions aux autres exigences constitutionnelles.

56. La loi déférée, qui comporte soixante-quatre articles répartis en huit titres, a pour origine un projet de loi déposé le 10 mai 2023 sur le bureau du Sénat, première assemblée saisie. Ce projet comportait trente-six articles répartis en huit titres.

57. Son titre Ier comprenait des dispositions visant à confier à l’Autorité de régulation de la communication audiovisuelle et numérique la mission d’élaborer un référentiel pour les systèmes de vérification de l’âge en vue de l’accès à des contenus pornographiques, à renforcer les pouvoirs d’injonction et de sanction de cette autorité à l’égard des éditeurs de service de communication au public en ligne, des fournisseurs d’accès à internet et des moteurs de recherche en cas d’accès à de tels contenus par des mineurs et à sanctionner pénalement la méconnaissance d’une injonction de retrait de contenus pédopornographiques. Son titre II comportait des dispositions visant à étendre les compétences de l’Autorité de régulation de la communication audiovisuelle et numérique pour la mise en œuvre des mesures restrictives européennes à l’égard de certains opérateurs, à instaurer, en cas de condamnation pour certaines infractions, une peine complémentaire de suspension du compte d’accès à une plateforme en ligne utilisé pour les commettre et à prévoir le déploiement d’un filtre national de cybersécurité à destination du grand public. Son titre III comprenait des dispositions visant à réguler certaines pratiques commerciales sur le marché des services d’informatique en nuage, à établir pour les fournisseurs de tels services l’obligation d’assurer les conditions de la portabilité et de l’interopérabilité de leurs services avec des services tiers, à renvoyer à l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse le soin de préciser les règles et modalités de mise en œuvre des obligations faites à ces fournisseurs, à confier à cette autorité le rôle d’autorité compétente en matière de régulation des services d’intermédiation de données, à lui attribuer de nouveaux pouvoirs et à assurer l’articulation entre ses missions et celles relevant de la compétence de la Commission nationale de l’informatique et des libertés. Son titre IV habilitait le Gouvernement à prendre par voie d’ordonnance des mesures tendant à encadrer le développement des jeux à objets numériques monétisables. Son titre V comprenait des dispositions visant à renforcer les capacités de collecte des données des services de l’État et à généraliser un dispositif de centralisation des données de location de meublés de tourisme devant être transmises aux communes par les opérateurs de plateformes numériques. Son titre VI comportait des dispositions permettant au coordinateur pour les services numériques de bénéficier de l’assistance technique de certains services de l’État. Son titre VII comprenait des dispositions visant à créer une autorité de contrôle de certaines opérations de traitement au sein, respectivement, du Conseil d’État, de la Cour de cassation et de la Cour des comptes. Son titre VIII comportait des dispositions prévoyant diverses mesures d’adaptation du droit national au nouveau cadre établi par les règlements européens sur les services et marchés numériques ainsi que sur la gouvernance des données.

58. L’article 10 de la loi déférée prévoit, d’une part, que l’État se fixe l’objectif que, au 1er janvier 2027, 100 % des Français puissent avoir accès à une identité numérique gratuite et, d’autre part, que, dans un délai de six mois à compter de la promulgation de la loi, le Gouvernement remet au Parlement un rapport sur les moyens d’y parvenir.

59. Introduites en première lecture, ces dispositions ne présentent pas de lien, même indirect, avec celles de l’article 6 du projet de loi initial qui prévoyaient le déploiement d’un filtre national de cybersécurité permettant d’alerter les internautes du risque de préjudice encouru en cas d’accès à un site internet manifestement conçu pour la commission de certaines infractions. Elles ne présentent pas non plus de lien, même indirect, avec aucune autre des dispositions qui figuraient dans le projet de loi déposé sur le bureau du Sénat.

60. Dès lors, sans qu’il soit besoin de se prononcer sur les griefs et sans que le Conseil constitutionnel ne préjuge de la conformité du contenu de ces dispositions aux autres exigences constitutionnelles, il y a lieu de constater que, adoptées selon une procédure contraire à la Constitution, elles lui sont donc contraires.

– Sur l’article 17 :

61. L’article 17 complète l’article 312-10 du code pénal afin d’aggraver les peines encourues en cas de chantage à caractère sexuel exercé par le biais d’un service de communication au public en ligne.

62. Les députés auteurs de la seconde saisine reprochent au législateur de ne pas avoir différencié les peines encourues pour la répression de ces faits de celles prévues par l’article 312-11 du code pénal lorsque l’auteur du chantage a mis sa menace à exécution. Il en résulterait une méconnaissance du principe de proportionnalité des peines.

63. L’article 8 de la Déclaration de 1789 dispose : « La loi ne doit établir que des peines strictement et évidemment nécessaires, et nul ne peut être puni qu’en vertu d’une loi établie et promulguée antérieurement au délit, et légalement appliquée ». L’article 61 de la Constitution ne confère pas au Conseil constitutionnel un pouvoir général d’appréciation et de décision de même nature que celui du Parlement. Si la nécessité des peines attachées aux infractions relève du pouvoir d’appréciation du législateur, il incombe au Conseil constitutionnel de s’assurer de l’absence de disproportion manifeste entre l’infraction et la peine encourue.

64. En application de l’article 312-10 du code pénal, le chantage est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende.

65. Les dispositions contestées prévoient que les peines encourues au titre de ce délit sont portées à sept ans d’emprisonnement et 100 000 euros d’amende lorsque le chantage est exercé par le biais d’un service de communication au public en ligne au moyen d’images ou de vidéos à caractère sexuel ou dans le but d’obtenir de telles images ou vidéos.

66. Au regard de la nature des comportements réprimés, le législateur n’a pas institué des peines manifestement disproportionnées. À cet égard, est indifférente la circonstance que les peines encourues en application des dispositions contestées soient identiques à celles prévues par l’article 312-11 du code pénal lorsque l’auteur du chantage a mis sa menace à exécution.

67. Le grief tiré de la méconnaissance du principe de proportionnalité des peines doit donc être écarté.

68. Par conséquent, les trois derniers alinéas de l’article 312-10 du code pénal, qui ne méconnaissent aucune autre exigence constitutionnelle, sont conformes à la Constitution.

– Sur l’article 19 :

69. L’article 19 insère au sein du code pénal les articles 222-33-1-2 et 222-33-1-3 en vue de réprimer le délit d’outrage en ligne et de prévoir l’application à ce délit de la procédure de l’amende forfaitaire.

70. Les députés auteurs de la première saisine font tout d’abord valoir que cet article aurait été introduit en première lecture selon une procédure contraire à l’article 45 de la Constitution. Ils soutiennent ensuite, rejoints par les députés auteurs de la seconde saisine, que le délit d’outrage en ligne qu’il crée porterait à la liberté d’expression et de communication une atteinte qui ne serait pas nécessaire dans la mesure où les faits qu’il punit sont déjà susceptibles d’être réprimés en application de nombreuses qualifications pénales existantes. Selon eux, cette atteinte ne serait pas non plus adaptée ni proportionnée à l’objectif poursuivi par le législateur, dès lors, d’une part, que le champ d’application de ce délit ne serait pas suffisamment circonscrit et, d’autre part, que la nécessité d’apprécier l’infraction en considération du « ressenti » de la victime ferait naître une incertitude sur la licéité des comportements incriminés. Ils critiquent en outre l’imprécision de la circonstance aggravante du délit tenant à la commission des faits sur un mineur. Pour ces mêmes motifs, les députés requérants reprochent à ces dispositions de méconnaître également le principe de légalité des délits et des peines. Ils estiment enfin qu’en permettant d’appliquer la procédure de l’amende forfaitaire au délit d’outrage en ligne, alors que les éléments constitutifs de ce délit ne peuvent être aisément constatés, ces dispositions méconnaîtraient le principe d’égalité devant la justice.

71. Aux termes de l’article 11 de la Déclaration de 1789 : « La libre communication des pensées et des opinions est un des droits les plus précieux de l’homme : tout citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté dans les cas déterminés par la loi ». En l’état actuel des moyens de communication et eu égard au développement généralisé des services de communication au public en ligne ainsi qu’à l’importance prise par ces services pour la participation à la vie démocratique et l’expression des idées et des opinions, ce droit implique la liberté d’accéder à ces services et de s’y exprimer.

72. L’article 34 de la Constitution dispose : « La loi fixe les règles concernant … les droits civiques et les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques ». Sur ce fondement, il est loisible au législateur d’instituer des incriminations réprimant les abus de l’exercice de la liberté d’expression et de communication qui portent atteinte à l’ordre public et aux droits des tiers. Cependant, la liberté d’expression et de communication est d’autant plus précieuse que son exercice est une condition de la démocratie et l’une des garanties du respect des autres droits et libertés. Il s’ensuit que les atteintes portées à l’exercice de cette liberté doivent être nécessaires, adaptées et proportionnées à l’objectif poursuivi.

73. L’article 222-33-1-2 du code pénal, dans sa rédaction issue de l’article 19 de la loi déférée, punit d’un an d’emprisonnement et de 3 750 euros d’amende le fait de diffuser en ligne tout contenu qui soit porte atteinte à la dignité d’une personne ou présente à son égard un caractère injurieux, dégradant ou humiliant, soit crée à son encontre une situation intimidante, hostile ou offensante.

74. Il résulte des travaux préparatoires que, en adoptant ces dispositions, le législateur a entendu lutter contre des faits susceptibles de constituer des abus de l’exercice de la liberté d’expression et de communication qui portent atteinte à l’ordre public et aux droits des tiers.

75. Toutefois, en premier lieu, la législation comprend déjà plusieurs infractions pénales permettant de réprimer des faits susceptibles de constituer de tels abus, y compris lorsqu’ils sont commis par l’utilisation d’un service de communication au public en ligne.

76. En particulier, l’article 32 de la loi du 29 juillet 1881 mentionnée ci-dessus réprime la diffamation, définie comme toute allégation ou imputation d’un fait portant atteinte à l’honneur ou à la considération de la personne auquel le fait est imputé, lorsqu’elle est commise publiquement. L’article 33 de la même loi réprime l’injure, définie comme toute expression outrageante, termes de mépris ou invective qui ne renferme l’imputation d’aucun fait, lorsqu’elle est proférée publiquement. L’article 222-13 du code pénal réprime les violences, y compris psychologiques, ayant entraîné une incapacité de travail inférieure ou égale à huit jours ou n’ayant entraîné aucune incapacité de travail lorsqu’elles sont commises dans certaines circonstances. L’article 222-33 du même code réprime notamment le fait d’imposer à une personne, de façon répétée, des propos ou comportements à connotation sexuelle ou sexiste qui soit portent atteinte à sa dignité en raison de leur caractère dégradant ou humiliant, soit créent à son encontre une situation intimidante, hostile ou offensante. L’article 222-33-2 réprime le fait de harceler une personne par des propos ou comportements répétés ayant pour objet ou pour effet une dégradation de ses conditions de vie se traduisant par une altération de sa santé physique ou mentale. L’article 222-33-1-1 réprime le fait d’imposer à une personne tout propos ou comportement à connotation sexuelle ou sexiste qui porte atteinte à sa dignité en raison de son caractère dégradant ou humiliant, ou qui crée à son encontre une situation intimidante, hostile ou offensante, lorsque ce fait est commis dans certaines circonstances. L’article 222-16 réprime notamment les envois réitérés de messages malveillants émis par la voie des communications électroniques. L’article 226-1 réprime le fait, au moyen d’un procédé quelconque, de porter atteinte à l’intimité de la vie privée d’une personne en captant, fixant, enregistrant ou transmettant des paroles, des images ou la localisation de cette personne sans son consentement.

77. Si le législateur a prévu que le délit d’outrage en ligne ne peut s’appliquer dans les cas où les faits sont constitutifs des délits de menaces, d’atteintes sexuelles, de harcèlement moral et d’injures présentant un caractère discriminatoire, les dispositions contestées permettent ainsi de réprimer des comportements susceptibles d’entrer dans le champ des autres délits précités.

78. En second lieu, d’une part, en incriminant le simple fait de diffuser en ligne tout contenu transmis au moyen d’un service de plateforme en ligne, d’un service de réseaux sociaux en ligne ou d’un service de plateformes de partage de vidéo, au sens des dispositions auxquelles elles renvoient, les dispositions contestées n’exigent pas que le comportement outrageant soit caractérisé par des faits matériels imputables à la personne dont la responsabilité peut être engagée. D’autre part, en prévoyant que le délit est constitué dès lors que le contenu diffusé soit porte atteinte à la dignité de la personne ou présente à son égard un caractère injurieux, dégradant ou humiliant, soit crée à son encontre une situation intimidante, hostile ou offensante, les dispositions contestées font dépendre la caractérisation de l’infraction de l’appréciation d’éléments subjectifs tenant à la perception de la victime. Elles font ainsi peser une incertitude sur la licéité des comportements réprimés.

79. Il résulte de ce qui précède que les dispositions contestées portent une atteinte à l’exercice de la liberté d’expression et de communication qui n’est pas nécessaire, adaptée et proportionnée.

80. Dès lors, sans qu’il soit besoin d’examiner les autres griefs, le quatrième alinéa de l’article 19 est contraire à la Constitution. Il en est de même, par voie de conséquence, du reste de cet article, qui en est inséparable.

– Sur certaines dispositions de l’article 23 :

81. Le paragraphe I de l’article 23 rétablit l’article L. 136 du code des postes et des communications électroniques afin d’instituer une réserve citoyenne du numérique. Le troisième alinéa de ce dernier article prévoit que ses membres, lorsqu’ils ont connaissance d’un délit ou qu’ils constatent un contenu illicite, en avisent sans délai le procureur de la République et lui transmettent tous les renseignements qui y sont relatifs.

82. Les députés auteurs de la seconde saisine reprochent à ces dispositions de charger des personnes qui ne sont pas dépositaires de l’autorité publique de dénoncer des actes illicites relevant d’un champ excessivement large. Il en résulterait selon eux une méconnaissance du « principe de sûreté » et du droit au respect de la vie privée.

83. La liberté proclamée par l’article 2 de la Déclaration de 1789 implique le droit au respect de la vie privée.

84. Si le champ des délits et des contenus illicites visés par les dispositions contestées est étendu, ces dernières se bornent à prévoir que les membres de la réserve citoyenne du numérique doivent aviser le procureur de la République des faits dont ils ont connaissance dans l’exercice de leur mission et lui transmettent les informations qui y sont relatives. Elles n’ont ainsi ni pour objet ni pour effet de leur confier des prérogatives ou des moyens particuliers de collecte de données à caractère personnel, ni de déroger aux garanties prévues en la matière par le règlement du 27 avril 2016 mentionné ci-dessus et la loi du 6 janvier 1978 mentionnée ci-dessus.

85. Dès lors, le grief tiré de la méconnaissance du droit au respect de la vie privée doit être écarté.

86. Par conséquent, le troisième alinéa de l’article L. 136 du code des postes et des communications électroniques, qui ne méconnaît pas non plus la liberté individuelle ni aucune autre exigence constitutionnelle, est conforme à la Constitution.

– Sur certaines dispositions des articles 40 et 41 :

87. Le paragraphe I de l’article 40 prévoit notamment que, pour une durée de trois ans, peuvent être autorisés certains jeux en ligne faisant appel au hasard et permettant l’obtention, contre un sacrifice financier, d’objets numériques monétisables. L’article 41 prévoit les obligations applicables aux opérateurs qui proposent au public de telles offres de jeux ainsi que les pouvoirs de l’Autorité nationale des jeux en la matière.

88. Les députés auteurs de la seconde saisine reprochent à ces dispositions d’instituer un régime dérogatoire pour ces jeux alors qu’ils seraient similaires aux jeux d’argent et de hasard en ligne, régis par les articles L. 320-1 et L. 320-5 du code de la sécurité intérieure, et devraient selon eux être soumis au même régime afin notamment de protéger la santé et l’ordre public. Il en résulterait une méconnaissance du principe d’égalité devant la loi.

89. Aux termes de l’article 6 de la Déclaration de 1789, la loi « doit être la même pour tous, soit qu’elle protège, soit qu’elle punisse ». Le principe d’égalité ne s’oppose ni à ce que le législateur règle de façon différente des situations différentes, ni à ce qu’il déroge à l’égalité pour des raisons d’intérêt général, pourvu que, dans l’un et l’autre cas, la différence de traitement qui en résulte soit en rapport direct avec l’objet de la loi qui l’établit.

90. L’article L. 320-1 du code de la sécurité intérieure pose le principe de l’interdiction des jeux d’argent et de hasard, sous réserve de ceux pouvant, par dérogation, être autorisés en application de l’article L. 320-6 du même code.

91. Selon le premier alinéa du paragraphe I de l’article 40 de la loi déférée, sont autorisés, à titre temporaire et sous certaines conditions, les jeux proposés par l’intermédiaire d’un service de communication au public en ligne qui permettent l’obtention, reposant sur un mécanisme faisant appel au hasard, par les joueurs majeurs ayant consenti un sacrifice financier, d’objets numériques monétisables, à l’exclusion de l’obtention de tout gain monétaire.

92. Les dispositions contestées précisent que ces objets numériques monétisables sont des éléments de jeu qui confèrent aux seuls joueurs un ou plusieurs droits associés au jeu et sont susceptibles d’être cédés, directement ou indirectement, à titre onéreux à des tiers.

93. Ces dispositions instaurent une différence de traitement entre les opérateurs de jeu selon que l’offre de jeu relève du régime institué pour les jeux à objets numériques monétisables ou de celui des jeux d’argent et de hasard.

94. Il ressort des travaux préparatoires que, en adoptant les dispositions contestées, le législateur a entendu autoriser temporairement, en les encadrant, certains jeux vidéo intégrant la vente aux joueurs d’éléments de jeu dont l’obtention fait intervenir une part de hasard.

95. Si les jeux à objets numériques monétisables constituent une opération qui, comme les jeux d’argent et de hasard, exige un sacrifice financier des participants et repose sur un mécanisme faisant appel au hasard, ils s’en distinguent cependant par la spécificité du gain susceptible d’être obtenu qui n’est pas un gain monétaire direct mais prend la forme d’un élément même du jeu pouvant ensuite être cédé à titre onéreux à des tiers.

96. Dès lors, la différence de traitement résultant des dispositions contestées, qui est fondée sur une différence de situation, est en rapport avec l’objet de la loi. Le grief tiré de la méconnaissance du principe d’égalité devant la loi doit donc être écarté.

97. Par conséquent, le deuxième alinéa du paragraphe I de l’article 40 de la loi déférée ainsi que les mots « définie à l’article 40 » figurant au A du paragraphe I de l’article 41 de la même loi, qui ne méconnaissent aucune autre exigence constitutionnelle, sont conformes à la Constitution.

– Sur certaines dispositions de l’article 42 :

98. L’article 42 modifie le paragraphe I de l’article 36 de la loi du 25 octobre 2021 mentionnée ci-dessus afin d’élargir les prérogatives dont bénéficie le service de l’État mentionné à cet article pour collecter automatiquement certaines données auprès des opérateurs de plateforme.

99. Les députés auteurs de la seconde saisine soutiennent que, en renvoyant au pouvoir réglementaire le soin de préciser les modalités d’application de cette collecte, et en s’abstenant de la subordonner à l’accord des personnes concernées, le législateur aurait méconnu l’étendue de sa compétence et privé de garanties légales le droit au respect de la vie privée.

100. La liberté proclamée par l’article 2 de la Déclaration de 1789 implique le droit au respect de la vie privée. Par suite, la collecte, l’enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d’intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif.

101. En application de l’article 36 de la loi du 25 octobre 2021, un service de l’État désigné par décret en Conseil d’État peut apporter son expertise et son appui aux autorités administratives indépendantes et aux autorités publiques indépendantes qui interviennent dans la régulation des opérateurs de plateforme en ligne. Dans ce cadre, ce service est doté de prérogatives lui permettant de procéder à des opérations de collecte automatisée de données accessibles sur ces plateformes.

102. Les dispositions contestées de l’article 42 complètent ces dispositions pour préciser, d’une part, que la finalité relative aux activités de recherche publique que peut conduire ce service de l’État inclut, notamment, les recherches contribuant à la détection, à la détermination et à la compréhension des risques systémiques liés aux activités des fournisseurs de très grandes plateformes en ligne et moteurs de recherche dans l’Union européenne. D’autre part, elles prévoient que des opérations de collecte automatisée de données peuvent être mises en œuvre non plus seulement dans le cadre des activités d’expérimentation de ce service, mais aussi, désormais, dans le cadre de ses activités de recherche publique. Par ailleurs, elles prévoient que ces opérations de collecte peuvent être réalisées auprès tant des opérateurs de plateforme en ligne que des partenaires de ces plateformes et de leurs sous-traitants, des fournisseurs de systèmes d’exploitation permettant le fonctionnement des éventuelles applications de ces opérateurs et des fournisseurs de systèmes d’intelligence artificielle.

103. En premier lieu, en adoptant les dispositions contestées, le législateur a entendu renforcer les moyens des autorités administratives indépendantes et des autorités publiques indépendantes qui interviennent dans la régulation des opérateurs de plateforme en ligne. Ce faisant, il a poursuivi un objectif d’intérêt général.

104. En deuxième lieu, les opérations de collecte ne sont autorisées que pour des finalités limitativement énumérées tenant à l’expérimentation d’outils techniques en relation avec la régulation des opérateurs de plateforme en ligne et à la recherche publique.

105. En troisième lieu, les méthodes de collecte automatisée ne peuvent porter que sur des données publiquement accessibles, dans le respect des droits des bénéficiaires du service concerné.

106. En quatrième lieu, d’une part, ce service ne peut mettre en œuvre que des méthodes de collecte strictement nécessaires et proportionnées. À cet égard, le législateur a pu, sans méconnaître l’étendue de sa compétence, renvoyer le soin de préciser ces méthodes à un décret en Conseil d’État pris après avis public motivé de la Commission nationale de l’informatique et des libertés.

107. D’autre part, le cinquième alinéa du paragraphe I de l’article 36 de la loi du 25 octobre 2021 prévoit que, dans le cadre de ses activités d’expérimentation visant à développer des outils techniques pour la régulation des opérateurs de plateforme, le service de l’État n’utilise aucun système de reconnaissance faciale des contenus. Sauf à méconnaître le droit au respect de la vie privée des utilisateurs des plateformes, les dispositions du septième alinéa du paragraphe I de ce même article, dans sa rédaction résultant de l’article 42 de la loi déférée, doivent également s’entendre comme excluant le recours à un tel système de reconnaissance faciale dans le cadre des activités de recherche publique de ce service.

108. En cinquième lieu, les données collectées dans le cadre des activités d’expérimentation sont détruites à l’issue des travaux, et au plus tard neuf mois après leur collecte, et celles collectées dans le cadre des activités de recherche publique sont détruites à l’issue des travaux, et au plus tard cinq ans après leur collecte.

109. En dernier lieu, si les données recueillies par le service de l’État peuvent faire l’objet de traitements automatisés de données à caractère personnel, le législateur n’a pas entendu déroger aux garanties apportées par le règlement du 27 avril 2016 et la loi du 6 janvier 1978, relatives notamment aux pouvoirs de la Commission nationale de l’informatique et des libertés, qui s’appliquent aux traitements en cause. Par suite, il appartient aux autorités compétentes, dans le respect de ces garanties et sous le contrôle de la juridiction compétente, de s’assurer que la collecte, l’enregistrement, la conservation, la consultation, la communication, la contestation et la rectification des données de ce traitement seront mis en œuvre de manière adéquate et proportionnée à l’objectif poursuivi.

110. Il résulte de tout ce qui précède que, sous la réserve énoncée au paragraphe 107, les dispositions contestées ne portent pas une atteinte disproportionnée au droit au respect de la vie privée.

111. Par conséquent, les mots « notamment à des fins de recherches contribuant à la détection, à la détermination et à la compréhension des risques systémiques dans l’Union, au sens du paragraphe 1 de l’article 34 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) » figurant à la première phrase du sixième alinéa du paragraphe I de l’article 36 de la loi du 25 octobre 2021 ainsi que, sous la réserve énoncée au paragraphe 107, le septième alinéa du paragraphe I de l’article 36 de la loi du 25 octobre 2021, qui ne méconnaissent aucune autre exigence constitutionnelle, sont conformes à la Constitution.

– Sur d’autres dispositions :

. En ce qui concerne la place de certaines dispositions dans la loi déférée :

112. L’article 11 prévoit la mise en place d’un service agrégeant, en vue de simplifier les démarches administratives, l’accès à l’ensemble des services publics, notamment au moyen de l’identité numérique régalienne, développée par le ministère de l’intérieur.

113. Introduites en première lecture, ces dispositions ne présentent pas de lien, même indirect, avec celles, précitées, de l’article 6 du projet de loi initial.

114. L’article 18 prévoit, à titre expérimental, la mise en place de dispositifs conventionnels de médiation de certains litiges de communication en ligne.

115. Introduites en première lecture, ces dispositions ne présentent pas de lien, même indirect, avec celles, précitées, de l’article 1er du projet de loi initial, qui visaient à confier à l’Autorité de régulation de la communication audiovisuelle et numérique la mission d’élaborer un référentiel pour les systèmes de vérification de l’âge en vue de l’accès à des contenus pornographiques, ni avec celles de son article 24, relatives à l’intervention de l’autorité judiciaire pour faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne.

116. L’article 58 modifie le deuxième alinéa de l’article L. 311-8 du code des relations entre le public et l’administration afin de prévoir la saisine du comité du secret statistique lorsque l’administration envisage de refuser de faire droit à certaines demandes de consultation de documents administratifs.

117. Introduites en première lecture, ces dispositions ne présentent pas de lien, même indirect, avec celles de l’article 10 du projet de loi initial, qui renvoyaient à l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse le soin de préciser les règles et modalités de mise en œuvre de certaines obligations faites aux fournisseurs de services d’informatique en nuage, ni avec celles de son article 16, qui élargissaient les prérogatives des services de l’État pour collecter automatiquement certaines données auprès des opérateurs de plateforme.

118. Ces dispositions ne présentent pas non plus de lien, même indirect, avec aucune autre des dispositions qui figuraient dans le projet de loi déposé sur le bureau du Sénat.

119. Sans que le Conseil constitutionnel ne préjuge de la conformité du contenu de ces dispositions aux autres exigences constitutionnelles, il y a lieu de constater que, adoptées selon une procédure contraire à la Constitution, elles lui sont donc contraires.

. En ce qui concerne certaines dispositions de l’article 64 :

120. Le paragraphe I de l’article 64 est relatif à l’entrée en vigueur de l’article 2.

121. Le principe de non-rétroactivité des peines et des sanctions garanti par l’article 8 de la Déclaration de 1789 fait obstacle à l’application rétroactive de dispositions permettant d’infliger des sanctions ayant le caractère d’une punition.

122. La première phrase du paragraphe I de l’article 64 de la loi déférée prévoit que son article 2 entre en vigueur le 1er janvier 2024.

123. Or, les paragraphes II et VI de l’article 10-1 de la loi du 21 juin 2004, dans sa rédaction issue de l’article 2 de la loi déférée, permettent à l’Autorité de régulation de la communication audiovisuelle et numérique de prononcer des sanctions pécuniaires à l’encontre des personnes dont l’activité est de fournir un service de communication au public en ligne ou un service de plateforme de partage de vidéos, lorsqu’elles ne se conforment pas à une mise en demeure de prendre toute mesure de nature à empêcher l’accès des mineurs à des contenus pornographiques, ainsi qu’à l’encontre des fournisseurs d’accès à internet, des fournisseurs de systèmes de résolution des noms de domaine, des moteurs de recherche et des annuaires, lorsque ces derniers manquent à leur obligation de mettre en œuvre les mesures de blocage et de déréférencement prononcées par cette autorité.

124. Ces sanctions ayant le caractère d’une punition, elles ne sauraient être prononcées à raison d’agissements antérieurs à l’entrée en vigueur des dispositions nouvelles.

125. Sous la réserve énoncée au paragraphe précédent, la première phrase du paragraphe I de l’article 64, qui ne méconnaît aucune autre exigence constitutionnelle, est conforme à la Constitution.

– Sur les autres dispositions :

126. Le Conseil constitutionnel n’a soulevé d’office aucune autre question de conformité à la Constitution et ne s’est donc pas prononcé sur la constitutionnalité des autres dispositions que celles examinées dans la présente décision.

LE CONSEIL CONSTITUTIONNEL DÉCIDE :

Article 1er. – Sont contraires à la Constitution les articles 10, 11, 18, 19 et 58 de la loi visant à sécuriser et à réguler l’espace numérique.

Article 2. – Sous les réserves énoncées ci-dessous, sont conformes à la Constitution les dispositions suivantes :

sous la réserve énoncée au paragraphe 107, le septième alinéa du paragraphe I de l’article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique, dans sa rédaction résultant de l’article 42 de la loi déférée ;

sous la réserve énoncée au paragraphe 124, la première phrase du paragraphe I de l’article 64 de la loi déférée.

Article 3. – Sont conformes à la Constitution :

le deuxième alinéa du paragraphe I de l’article 10 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, dans sa rédaction résultant de l’article 1er de la loi déférée ;

le dernier alinéa du paragraphe III et le premier alinéa du paragraphe V de l’article 10-1 de la loi du 21 juin 2004, dans sa rédaction issue de l’article 2 de la loi déférée ;

les paragraphes I et II de l’article 6-2-2 de la loi du 21 juin 2004, dans sa rédaction issue de l’article 4 de la loi déférée ;

les A et B du paragraphe III de l’article 5 de la loi déférée ;

les trois derniers alinéas de l’article 312-10 du code pénal, dans sa rédaction résultant de l’article 17 de la loi déférée ;

le troisième alinéa de l’article L. 136 du code des postes et des communications électroniques, dans sa rédaction résultant de l’article 23 de la loi déférée ;

le deuxième alinéa du paragraphe I de l’article 40 de la loi déférée ainsi que les mots « définie à l’article 40 » figurant au A du paragraphe I de l’article 41 de la même loi ;

les mots « notamment à des fins de recherches contribuant à la détection, à la détermination et à la compréhension des risques systémiques dans l’Union, au sens du paragraphe 1 de l’article 34 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) » figurant à la première phrase du sixième alinéa du paragraphe I de l’article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique, dans sa rédaction résultant de l’article 42 de la loi déférée.

Article 4. – Cette décision sera publiée au Journal officiel de la République française.

Jugé par le Conseil constitutionnel dans sa séance du 17 mai 2024, où siégeaient : M. Laurent FABIUS, Président, Mme Jacqueline GOURAULT, M. Alain JUPPÉ, Mmes Corinne LUQUIENS, Véronique MALBEC, MM. Jacques MÉZARD, François PILLET, Michel PINAULT et François SÉNERS.

Rendu public le 17 mai 2024.

(JORF n°0117 du 22 mai 2024)

15Nov/24

Resolución A/RES/70/125, de 16 de diciembre, de la Asamblea General de las Naciones Unidas

15 noviembre, 2024ONU, ResoluciónAgenda 2030, Agenda Acción Addis Abeba, Agenda de Túnez, Brechas digitales, Carta Naciones Unidas, Conferencia Mundial Derechos Humanos, Cumbre Mundial Sociedad Información, Declaración Universal Derechos Humanos, Derechos Civiles y Políticos, Desarrollo Sostenible, Pacto Internacional, Resolución 68/302, Resolución 69/313, Resolución 70/1, Resoluciones ONU, UNESCOJosé Cuervo

Resolución de la Asamblea General de las Naciones Unidas sobre el examen de la Cumbre Mundial sobre la Sociedad de la Información (A/RES/70/125) (2015);

Naciones Unidas A/RES/70/125

Asamblea General, 1 de febrero de 2016. Septuagésimo período de sesiones

Resolución aprobada por la Asamblea General el 16 de diciembre de 2015 70/125. Documento final de la reunión de alto nivel de la Asamblea General sobre el examen general de la aplicación de los resultados de la Cumbre Mundial sobre la Sociedad de la Información

La Asamblea General

Aprueba el siguiente documento final de la reunión de alto nivel de la Asamblea General sobre el examen general de la aplicación de los resultados de la Cumbre Mundial sobre la Sociedad de la Información en su septuagésimo período de sesiones:

Documento final de la reunión de alto nivel de la Asamblea General sobre el examen general de la aplicación de los resultados de la Cumbre Mundial sobre la Sociedad de la Información

Nosotros, los Ministros y jefes de las delegaciones que participan en la reunión plenaria de alto nivel de la Asamblea General sobre el examen general de la aplicación de los resultados de la Cumbre Mundial sobre la Sociedad de la Información, celebrada en Nueva York los días 15 y 16 de diciembre de 2015,

Recordando la solicitud que figura en el párrafo 111 de la Agenda de Túnez para la Sociedad de la Información (1) de que la Asamblea General realizara un examen global de la aplicación de los resultados de la Cumbre Mundial sobre la Sociedad de la Información en 2015, y a este respecto, reafirmando la función de la Asamblea en este proceso y reafirmando también que la Asamblea, en su resolución 68/302, de 31 de julio de 2014, decidió que ese examen general concluiría con una reunión de alto nivel de la Asamblea de dos días de duración, que iría precedida de un proceso preparatorio intergubernamental que tuviera en cuenta de manera significativa las aportaciones de todas las partes interesadas pertinentes,

Acogiendo con beneplácito los diversos aportes constructivos de los gobiernos, el sector privado, la sociedad civil, las organizaciones internacionales, las comunidades técnica y académica y todos los demás interesados pertinentes para hacer un balance de los progresos realizados en la aplicación de los resultados de la Cumbre Mundial sobre la Sociedad de la Información y suplir las posibles carencias en materia de tecnologías de la información y las comunicaciones y abordar las esferas en que es necesario seguir haciendo hincapié, y hacer frente a desafíos, como la reducción de la brecha digital y el aprovechamiento de las tecnologías de la información y las comunicaciones para el desarrollo,

Basándose, entre otros aportes pertinentes, en el examen decenal de la Cumbre Mundial sobre la Sociedad de la Información llevado a cabo por la Comisión de Ciencia y Tecnología para el Desarrollo en mayo de 2015, y su documento final, titulado Implementing WSIS Outcomes: A Ten-Year Review; el evento de examen decenal que acogió la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura titulado “Hacia las sociedades del conocimiento para la paz y el desarrollo sostenible” en febrero de 2013, en que participaron múltiples interesados, y su declaración final titulada Information and Knowledge for All: an expanded vision and a renewed commitment; y el evento de alto nivel de examen de la Cumbre Mundial, en que participaron múltiples interesados, acogido y coordinado por la Unión Internacional de Telecomunicaciones y organizado por la Unión Internacional de Telecomunicaciones, la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura, la Conferencia de las Naciones Unidas sobre Comercio y Desarrollo y el Programa de las Naciones Unidas para el Desarrollo en junio de 2014, y sus documentos finales, la declaración del examen decenal de la Cumbre Mundial relativa a la aplicación de los resultados de la Cumbre Mundial y la visión del examen decenal de la Cumbre Mundial después de 2015, ambos aprobados por consenso,

Reafirmando resolución 70/1 de la Asamblea General, de 25 de septiembre de 2015, titulada “Transformar nuestro mundo: la Agenda 2030 para el Desarrollo Sostenible”, en que adoptó un conjunto amplio, de gran alcance y centrado en las personas de Objetivos de Desarrollo Sostenible y metas conexas que son universales y transformativos, su compromiso de trabajar sin descanso a fin de conseguir la plena implementación de la Agenda a más tardar en 2030, su reconocimiento de que la erradicación de la pobreza en todas sus formas y dimensiones, incluida la pobreza extrema, es el mayor desafío a que se enfrenta el mundo y constituye un requisito indispensable para el desarrollo sostenible, y su compromiso de lograr el desarrollo sostenible en sus tres dimensiones —económica, social y ambiental— de forma equilibrada e integrada, aprovechando los logros de los Objetivos de Desarrollo del Milenio y procurando abordar los asuntos pendientes,

Reafirmando también su resolución 69/313, de 27 de julio de 2015, relativa a la Agenda de Acción de Addis Abeba de la Tercera Conferencia Internacional sobre la Financiación para el Desarrollo, que es parte integrante de la Agenda 2030 para el Desarrollo Sostenible (2) y sirve de apoyo, complemento y contexto para las metas relativas a los medios de aplicación de la Agenda con políticas y medidas concretas, y en la cual se reafirma el firme compromiso político de hacer frente al problema de la financiación y de la creación de un entorno propicio a todos los niveles para el desarrollo sostenible, en un espíritu de alianza y solidaridad mundiales,

1. Reafirmamos nuestro deseo y compromiso comunes con la visión de la Cumbre Mundial sobre la Sociedad de la Información de construir una sociedad de la información centrada en la persona, integradora y orientada al desarrollo, en que todos puedan crear, consultar, utilizar y compartir información y conocimientos, para que las personas, las comunidades y los pueblos puedan aprovechar plenamente sus posibilidades de promover su desarrollo sostenible y mejorar su calidad de vida, sobre la base de los propósitos y principios de la Carta de las Naciones Unidas y respetando plenamente y defendiendo la Declaración Universal de Derechos Humanos (3).

2. Reafirmamos asimismo nuestro compromiso con la Declaración de Principios de Ginebra ( )el Plan de Acción de Ginebra y sus líneas de acción (4), el Compromiso de Túnez y la Agenda de Túnez para la Sociedad de la Información (1), y reconocemos la necesidad de que los gobiernos, el sector privado, la sociedad civil, las organizaciones internacionales, las comunidades técnicas y académicas y todos los demás interesados pertinentes sigan trabajando de consuno para aplicar la visión de la Cumbre Mundial sobre la Sociedad de la Información después de 2015.

3. Reafirmamos, además, el valor y los principios de la cooperación y la participación de múltiples interesados que han caracterizado el proceso de la Cumbre Mundial de la Sociedad de la Información desde sus inicios, reconociendo que la participación, la asociación y la cooperación efectivas de los gobiernos, el sector privado, la sociedad civil, las organizaciones internacionales, las comunidades técnica y académica y todos los demás interesados pertinentes, en el marco de sus funciones y responsabilidades respectivas, en particular con una representación equilibrada de los países en desarrollo, ha sido y sigue siendo vital para el desarrollo de la sociedad de la información.

4. Acogemos con beneplácito la evolución y difusión notables que han tenido las tecnologías de la información y las comunicaciones, apoyadas por las contribuciones de los sectores público y privado, tecnologías que han penetrado casi todos los rincones del planeta, generado nuevas oportunidades de interacción social, facilitado nuevos modelos empresariales y contribuido al crecimiento económico y al desarrollo en todos los demás sectores, y observamos al mismo tiempo los problemas singulares y emergentes que se presentan relacionados con su evolución y difusión.

5. Reconocemos que la mayor conectividad, innovación y acceso a las tecnologías de la información y las comunicaciones ha desempeñado una función esencial a los efectos de facilitar los progresos en relación con los Objetivos de Desarrollo del Milenio, y solicitamos que exista una estrecha armonización entre el proceso de la Cumbre Mundial sobre la Sociedad de la Información y la Agenda 2030 para el Desarrollo Sostenible (2), resaltando la contribución intersectorial de la tecnología de la información y las comunicaciones a los Objetivos de Desarrollo Sostenible y la erradicación de la pobreza, y observando que el acceso a las tecnologías de la información y las comunicaciones se ha convertido también en un indicador de desarrollo y en una aspiración en y por sí misma.

6. Expresamos nuestra preocupación, sin embargo, porque todavía persisten importantes brechas digitales, por ejemplo, entre países y dentro de ellos y entre mujeres y hombres, que deben resolverse, entre otras cosas, fortaleciendo los entornos normativos y la cooperación internacional para mejorar la asequibilidad, el acceso, la educación, la creación de capacidad, el multilingüismo, la preservación cultural, la inversión y la financiación adecuada. Además, reconocemos que existe una brecha entre los géneros como parte de la brecha digital, y alentamos a todas las partes interesadas a que aseguren la plena participación de las mujeres en la sociedad de la información y que tengan acceso a las nuevas tecnologías, especialmente las tecnologías de la información y las comunicaciones para el desarrollo.

7. Reconocemos que debe prestarse especial atención a resolver los singulares desafíos emergentes que presentan las tecnologías de la información y las comunicaciones en todos los países, en particular en los países en desarrollo, incluidos los países africanos, los países menos adelantados, los países en desarrollo sin litoral, los pequeños Estados insulares en desarrollo y los países de ingresos medianos, así como los países y los territorios sometidos a ocupación extranjera, los países en situaciones de conflicto, los países que han salido de un conflicto y los países afectados por los desastres naturales. Debería prestarse especial atención también a resolver las dificultades específicas que presentan las tecnologías de la información y las comunicaciones para los niños, los jóvenes, las personas con discapacidad, las personas de edad, los pueblos indígenas, los refugiados y los desplazados internos, los migrantes y las comunidades remotas y rurales.

8. Reafirmamos que la gobernanza de Internet debería seguir ajustándose a las disposiciones establecidas en los documentos finales de las cumbres celebradas en Ginebra y Túnez.

9. Reafirmamos, además, que los mismos derechos de los que las personas gozan fuera de línea también deben ser protegidos en línea. Ponemos de relieve que el progreso hacia la visión de la Cumbre Mundial sobre la Sociedad de la Información debería considerarse no solo una función del desarrollo económico y la propagación de las tecnologías de la información y las comunicaciones, sino también una función de los progresos realizados en lo que respecta a la realización de los derechos humanos y las libertades fundamentales.

10. Generar confianza y seguridad en la utilización de las tecnologías de la información y las comunicaciones para el desarrollo sostenible también debería ser una prioridad, especialmente habida cuenta de las crecientes dificultades que se presentan, como el abuso de las tecnologías de la información y las comunicaciones para actividades perniciosas, desde el acoso hasta los delitos y el terrorismo.

11. Reiteramos nuestro compromiso con los usos positivos de Internet y otras tecnologías de la información y las comunicaciones, así como con la adopción de las acciones pertinentes y las medidas preventivas que se recogen en la legislación contra los usos abusivos de esas tecnologías mencionados en las dimensiones éticas de la sociedad de la información de la Declaración de Principios de Ginebra y del Plan de Acción de Ginebra. También reconocemos la importancia de la ética, establecida en la línea de acción C10 del Plan de Acción, en la construcción de la sociedad de la información y el fortalecimiento del papel de las tecnologías de la información y las comunicaciones como facilitadoras del desarrollo.

1. Las tecnologías de la información y las comunicaciones para el desarrollo

12. Nos comprometemos a aprovechar el potencial de las tecnologías de la información y las comunicaciones para lograr cumplir la Agenda 2030 para el Desarrollo Sostenible y otros objetivos de desarrollo convenidos internacionalmente, observando que esas tecnologías pueden acelerar el progreso en relación con los 17 Objetivos de Desarrollo Sostenible. Por consiguiente, exhortamos a todos los gobiernos, el sector privado, la sociedad civil, las organizaciones internacionales, las comunidades técnica y académica, y todos los demás interesados pertinentes a integrar las tecnologías de la información y las comunicaciones en sus enfoques para la aplicación de los Objetivos, y solicitamos a las entidades de las Naciones Unidas encargadas de facilitar las líneas de acción de la Cumbre Mundial sobre la Sociedad de la Información que examinen sus informes y planes de trabajo para apoyar la aplicación de la Agenda 2030.

13. Reconocemos con satisfacción que el considerable aumento de la conectividad, la utilización, la creación y la innovación que se ha producido en el último decenio ha creado nuevas tecnologías para impulsar la erradicación de la pobreza y lograr mejoras económicas, sociales y ambientales. Por ejemplo, la banda ancha fija e inalámbrica, la Internet móvil, los teléfonos inteligentes y las tabletas, la informática en la nube, los datos abiertos, los medios de comunicación social y los macrodatos apenas estaban comenzando a desarrollarse cuando aprobó la Agenda de Túnez, y ahora se consideran importantes elementos que facilitan el desarrollo sostenible.

14. Reafirmamos que la expansión y la utilización de las tecnologías de la información y las comunicaciones debe seguir constituyendo un elemento y resultado centrales del proceso de la Cumbre Mundial sobre la Sociedad de la Información. Nos sentimos muy alentados porque se calcula que el número de contratos de telefonía móvil ha aumentado de 2.200 millones en 2005 a 7.100 millones en 2015, y que para finales de 2015 se prevé que 3.200 millones de personas tengan acceso a Internet, más del 43% del total de la población mundial, y de los cuales 2.000 serán de países en desarrollo. También observamos que las suscripciones a servicios de banda ancha fija han alcanzado una tasa de penetración de casi el 10%, en comparación con el 3,4% en 2005, y que la banda ancha móvil sigue siendo el segmento de mayor crecimiento del mercado, con tasas de crecimiento que continúan siendo de dos dígitos y que alcanzaron el 47% en 2015, un valor que aumentó 12 veces desde 2007.

15. Observamos que la economía digital es una parte importante y cada vez mayor de la economía mundial, y que la conectividad de las tecnologías de la información y las comunicaciones guarda relación con el aumento del producto interno bruto. Las tecnologías de la información y las comunicaciones han creado una nueva generación de empresas, innovadores y empleos, y si bien alteran y vuelven obsoletas otras tecnologías, y también han aumentado en general la eficiencia, el acceso a los mercados y la creatividad en todos los sectores. Reconocemos la importancia crítica de ampliar la participación de todos los países, en particular los países en desarrollo, en la economía digital.

16. También reconocemos que las tecnologías de la información y las comunicaciones están contribuyendo a que aumenten las prestaciones sociales y la inclusión, ofreciendo nuevos canales para que los ciudadanos, las empresas y los gobiernos compartan e incrementen sus conocimientos, y participen en las decisiones que afectan a su vida y su labor. Según lo previsto en las líneas de acción de la Cumbre Mundial sobre la Sociedad de la Información, hemos presenciado avances importantes en la esfera gubernamental, facilitados por las tecnologías de la información y las comunicaciones, en particular en la esfera de los servicios públicos, la educación, la atención de la salud y el empleo, así como en la agricultura y la ciencia, y un número mayor de personas tienen acceso a servicios y datos que previamente quizás no hubieran podido obtenerse o que hubieran sido inasequibles.

17. Al mismo tiempo, reconocemos que las tecnologías de la información y las comunicaciones están modificando radicalmente la forma en que las personas y las comunidades interactúan, consumen y utilizan su tiempo, lo que tiene consecuencias nuevas e imprevistas en el ámbito social y de la salud, de las cuales muchas son positivas y algunas suscitan preocupaciones.

18. Reconocemos que las tecnologías de la información y las comunicaciones han pasado a ser importantes en lo que respecta a la respuesta a los desastres y la respuesta humanitaria y reafirmamos además que tienen un papel que desempeñar en lo relativo a mejorar y desarrollar sistemas de alerta temprana para amenazas múltiples, y en la esfera de la preparación, la respuesta, la recuperación, la rehabilitación y la reconstrucción. También alentamos a aumentar las inversiones en materia de innovación y desarrollo tecnológico para la investigación a largo plazo sobre amenazas múltiples orientada a la búsqueda de soluciones en la gestión del riesgo de desastres.

19. Reconocemos que las tecnologías de la información y las comunicaciones también constituyen cada vez más un medio para apoyar la diversidad de expresiones culturales y las industrias culturales y creativas, que crecen rápidamente, y afirmamos que es preciso aplicar estrategias integrales y prácticas en materia digital para preservar el patrimonio cultural y acceder a la información registrada digitalmente en todas sus formas.

20. Reconocemos además que el creciente uso de las tecnologías de la información y las comunicaciones genera ciertos beneficios ambientales, pero que también impone ciertos costos para el medio ambiente, que pretendemos reducir.

Acogemos con beneplácito la oportunidad que ofrece la energía sostenible de desvincular el crecimiento de las tecnologías de la información y las comunicaciones de los factores que contribuyen al cambio climático, y también observamos el valor catalizador de esas tecnologías para el despliegue de la energía renovable, la eficiencia energética, los conceptos de ciudad inteligente y ciudad resiliente y la prestación de servicios facilitados por Internet, entre otras opciones, para la reducción de la contaminación. Sin embargo, reconocemos que debemos alentar la adopción de nuevas medidas para mejorar la eficiencia de recursos de las tecnologías de la información y las comunicaciones, y reutilizar, reciclar y eliminar de forma segura los desechos electrónicos.

1.1. Eliminación de las brechas digitales

21. A pesar de lo logrado en el decenio anterior en materia de conectividad de la tecnología de la información y las comunicaciones, expresamos nuestra preocupación por el hecho de que sigan existiendo muchas formas de brecha digital entre los países y dentro de ellos y entre las mujeres y los hombres. Observamos que las brechas suelen estar estrechamente vinculadas a los niveles de educación y a las desigualdades existentes, y reconocemos que pueden producirse nuevas brechas en el futuro, con la consiguiente desaceleración del desarrollo sostenible. Reconocemos que, hasta 2015, solo alrededor del 43% de la población mundial tenía acceso a Internet, solo el 41% de las mujeres tenía acceso a Internet, y un 80% estimado de los contenidos en línea estaba disponible en solo uno de diez idiomas. Los pobres son los más excluidos de los beneficios de la tecnología de la información y las comunicaciones.

22. Además, expresamos preocupación por el hecho de que sigan existiendo brechas digitales entre los países desarrollados y en desarrollo, y que muchos países en desarrollo carezcan de acceso asequible a las tecnologías de la información y las comunicaciones. En 2015, solo el 34% de los hogares de los países en desarrollo tiene acceso a Internet, con variaciones importantes por país, en comparación con más del 80% en los países desarrollados. Esto significa que las dos terceras partes de los hogares de los países en desarrollo no tienen acceso a Internet.

23. Afirmamos nuestro compromiso de salvar las brechas digitales y de conocimientos, y reconocemos que nuestro enfoque debe ser multidimensional e incluir una evolución del concepto de lo que constituye acceso, haciendo hincapié en la calidad de ese acceso. Reconocemos que la velocidad, la estabilidad, la asequibilidad, el idioma, el contenido local, y la accesibilidad para las personas con discapacidad son ahora elementos básicos de la calidad, y que la conexión de banda ancha de alta velocidad es ya un factor facilitador del desarrollo sostenible.

Reconocemos, además, que las diferencias entre la competencia de las personas tanto para utilizar como para crear tecnologías de la información y las comunicaciones representan una brecha de conocimientos que perpetúa la desigualdad. Observamos, también, la ambición de pasar de las “sociedades de la información” a las “sociedades del conocimiento”, en las que la información no solo se crea y difunde, sino que se la pone al servicio del desarrollo humano.

Reconocemos que esas brechas pueden cambiar con la innovación tecnológica y de los servicios, e instamos a todos los interesados, en particular a las entidades de las Naciones Unidas que facilitan las líneas de acción de la Cumbre Mundial sobre la Sociedad de la Información, a que, en el marco de su mandato y con los recursos existentes, sigan colaborando para analizar periódicamente la naturaleza de las brechas digitales, estudiar estrategias para superarlas, y poner sus conclusiones a disposición de la comunidad internacional.

24. Subrayamos la necesidad de seguir desarrollando el contenido y los servicios locales en una variedad de idiomas y formatos que sean accesibles para todas las personas, que también necesitan aptitudes y capacidades, entre ellas, medios de comunicación, información, y alfabetización digital para hacer uso de las tecnologías de la información y las comunicaciones y seguir perfeccionándolas. Por lo tanto, reconocemos la importancia vital de los principios del multilingüismo en la sociedad de la información para asegurar la diversidad lingüística, cultural e histórica de todas las naciones. Reconocemos asimismo el valor de la variedad de soluciones de tecnología de la información y las comunicaciones interoperables y asequibles, entre ellas, modelos como programas informáticos patentados, de código abierto, y gratuitos.

25. Por otra parte, pedimos que se aumente considerablemente el acceso a las tecnologías de la información y las comunicaciones y alentamos a todas las partes interesadas a que se esfuercen por proporcionar acceso universal y asequible a Internet para todos. Acogemos con beneplácito los esfuerzos desplegados por todos los interesados en la búsqueda de esos objetivos, entre ellos la labor que se está realizando en el marco de la Agenda Conectar 2020 para el Desarrollo Mundial de las Telecomunicaciones/TIC, aprobada en la Conferencia de Plenipotenciarios de la Unión Internacional de Telecomunicaciones en 2014.

26. Reconocemos también la existencia de brechas en los usos y la alfabetización digitales y la necesidad de superarlas.

27. Recalcamos nuestra preocupación por que solo el 41% de las mujeres tiene acceso a Internet, y ponemos de relieve la brecha digital entre los géneros, que persiste en el acceso y el uso de las tecnologías de la información y las comunicaciones por las mujeres, incluso en la educación, el empleo y otras esferas del desarrollo económico y social. Reconocemos que la eliminación de la brecha digital entre los géneros y la consecución del quinto Objetivo de Desarrollo Sostenible sobre la igualdad entre los géneros son actividades que se refuerzan mutuamente, y nos comprometemos a incorporar la perspectiva de género en el proceso de la Cumbre Mundial sobre la Sociedad de la Información, entre otras cosas mediante un énfasis renovado en las cuestiones de género en la aplicación y el seguimiento de las líneas de acción, con el apoyo de las entidades pertinentes de las Naciones Unidas, entre ellas la Entidad de las Naciones Unidas para la Igualdad de Género y el Empoderamiento de las Mujeres (ONU-Mujeres). Pedimos que se adopten medidas inmediatas para lograr la igualdad entre los géneros entre los usuarios de Internet para 2020, especialmente mediante la mejora sustancial de la educación de las mujeres y las niñas y su participación en las tecnologías de la información y las comunicaciones, como usuarias, creadoras de contenido, empleadas, empresarias, innovadoras y dirigentes. Reafirmamos nuestro compromiso de asegurar la plena participación de las mujeres en el proceso de adopción de decisiones referentes a las tecnologías de la información y las comunicaciones.

1.2 Entorno propicio

28. Reconocemos que ciertas políticas han contribuido sustancialmente a la superación de las brechas digitales y al valor de las tecnologías de la información y las comunicaciones para el desarrollo sostenible, y nos comprometemos a seguir identificando y aplicando las prácticas mejores y nuevas para el establecimiento y funcionamiento de estructuras de educación, innovación e inversión para las tecnologías de la información y las comunicaciones.

29. Reconocemos la importancia que reviste la libre circulación de información y conocimientos, a medida que aumenta la cantidad de información distribuida en todo el mundo y que el papel de las comunicaciones cobra aún más importancia.

Reconocemos que la incorporación de las tecnologías de la información y las comunicaciones en los programas de estudios escolares, el libre acceso a los datos, el fomento de la competencia, la creación de sistemas jurídicos y reglamentarios transparentes, previsibles, independientes y no discriminatorios, el pago proporcional de impuestos y derechos de licencia, el acceso a la financiación, la facilitación de las alianzas entre el sector público y el sector privado, la cooperación entre múltiples interesados, las estrategias nacionales y regionales en materia de banda ancha, la asignación eficiente del espectro de frecuencia radiofónica, los modelos de participación en la infraestructura, los enfoques basados en la comunidad y las instalaciones de acceso público han facilitado en muchos países la consecución de grandes beneficios en lo que respecta a la conectividad y el desarrollo sostenible.

30. Reconocemos que la falta de acceso a tecnologías y servicios asequibles y fiables sigue siendo un problema grave en muchos países en desarrollo, especialmente los países de África, los países menos adelantados, los países en desarrollo sin litoral, y los pequeños Estados insulares en desarrollo y los países de ingresos medianos, así como los países en situaciones de conflicto, los países que salen de un conflicto y los países afectados por desastres naturales. Se debe hacer todo lo posible para reducir el precio de las tecnologías de la información y las comunicaciones y del acceso a la conexión de banda ancha, teniendo presente que puede ser necesario efectuar intervenciones deliberadas, entre otras cosas mediante actividades de investigación y desarrollo y la transferencia de tecnología en condiciones mutuamente convenidas, como forma de estimular otras opciones de conectividad de menor costo.

31. Se insta encarecidamente a todos los Estados a que, al construir la sociedad de la información, tomen las disposiciones necesarias para evitar toda medida unilateral que no se ajuste al derecho internacional y la Carta de las Naciones Unidas y que entorpezca el pleno logro del desarrollo social y económico y obstaculice el bienestar de la población de los países afectados, y que se abstengan de adoptar tales medidas.

32. Reconocemos que el espectro de frecuencias radioeléctricas debe gestionarse en favor del interés público y de conformidad con principios legales, respetando plenamente las leyes y los reglamentos nacionales, así como los acuerdos internacionales pertinentes.

33. Pedimos que se preste atención especial a la adopción de medidas que mejoren el entorno propicio para las tecnologías de la información y las comunicaciones y amplíen las oportunidades de educación y creación de capacidad conexas. También solicitamos a la Comisión de Ciencia y Tecnología para el Desarrollo, en el marco de su mandato relativo al seguimiento de la Cumbre Mundial sobre la Sociedad de la Información, y a todos los facilitadores de las líneas de acción en el marco de sus mandatos respectivos y con los recursos existentes, que colaboren con todas las partes interesadas a fin de identificar y promover periódicamente determinadas medidas concretas y detalladas en apoyo del entorno propicio para las tecnologías de la información y las comunicaciones y el desarrollo, y que proporcionen el asesoramiento sobre políticas impulsado por la demanda, la asistencia técnica y la creación de capacidad, según proceda, para hacerlas efectivas.

1.3 Mecanismos financieros

34. Acogemos con satisfacción el hecho de que el total del gasto público y privado en tecnologías de la información y las comunicaciones haya aumentado considerablemente en el último decenio, pues actualmente asciende a billones de dólares anuales, y que haya estado complementado con la proliferación de nuevos mecanismos de financiación, resultados ambos que indican avances en relación con lo dispuesto en los párrafos 23 y 27 de la Agenda de Túnez.

35. Sin embargo, reconocemos que para aprovechar las tecnologías de la información y las comunicaciones con fines de desarrollo y eliminar las brechas digitales será necesario realizar inversiones mayores y sostenibles en infraestructura y servicios, creación de capacidad, promoción de actividades conjuntas de investigación y desarrollo y transferencia de tecnología en condiciones mutuamente convenidas. Esos mecanismos siguen siendo de interés primordial para todos los países y todas las personas, en particular los países en desarrollo.

36. Nos comprometemos a la asignación eficiente de recursos públicos para la implementación y el desarrollo de la tecnología de la información y las comunicaciones, reconociendo la necesidad de establecer presupuestos para tecnología de la información y las comunicaciones en todos los sectores, especialmente la educación. Destacamos que la capacidad es un impedimento importante para la superación de las brechas digitales, y recomendamos que se haga hincapié en el desarrollo de capacidad, en particular para la innovación, con el fin de permitir a los expertos y las comunidades locales beneficiarse plenamente de las aplicaciones de tecnología de la información y las comunicaciones para el desarrollo y contribuir a ellas. Reconocemos la posibilidad de mejorar la conectividad, especialmente en las zonas apartadas y rurales, mediante fondos de servicio universal y la financiación pública de la infraestructura de red, entre otros mecanismos, en particular en las zonas en que las condiciones del mercado hacen difícil la inversión.

37. Hacemos notar los compromisos contraídos en la Agenda de Acción de Addis Abeba de la Tercera Conferencia Internacional sobre la Financiación para el Desarrollo (5), y reconocemos que la asistencia oficial para el desarrollo y otras corrientes de recursos financieros en condiciones favorables para tecnología de la información y las comunicaciones pueden contribuir de forma significativa a los resultados en materia de desarrollo, en particular en los casos en que pueden reducir el riesgo de la inversión pública y privada, y aumentar el uso de la tecnología de la información y las comunicaciones para fortalecer la buena gobernanza y la recaudación de impuestos.

38. Reconocemos la importancia fundamental de la inversión del sector privado en la infraestructura, el contenido y los servicios de tecnología de la información y las comunicaciones, y alentamos a los gobiernos a crear marcos jurídicos y de reglamentación propicios para el aumento de la inversión y la innovación. Reconocemos también la importancia de las alianzas público-privadas, las estrategias de acceso universal y otros enfoques para ese fin.

39. Alentamos a que se asigne un lugar destacado a las tecnologías de la información y las comunicaciones en el nuevo mecanismo de facilitación de la tecnología establecido en la Agenda de Acción de Addis Abeba y el examen de la forma en que puede contribuir a la aplicación de las líneas de acción de la Cumbre Mundial sobre la Sociedad de la Información.

40. Observamos con preocupación las dificultades de la aplicación del Fondo de Solidaridad Digital, que fue acogido con beneplácito en la Agenda de Túnez como un mecanismo financiero innovador de carácter voluntario. Pedimos que continúe la evaluación de opciones de financiación innovadoras en el examen anual de los resultados de la Cumbre Mundial sobre la Sociedad de la Información.

2. Los derechos humanos en la sociedad de la información

41. Reafirmamos el compromiso enunciado en la Declaración de Principios de Ginebra y el Compromiso de Túnez con la universalidad, indivisibilidad, interdependencia e interrelación de todos los derechos humanos y las libertades fundamentales, incluido el derecho al desarrollo, consagrado en la Declaración de Viena y el Programa de Acción de la Conferencia Mundial de Derechos Humanos (6).

Reafirmamos también que la democracia, el desarrollo sostenible y el respeto de los derechos humanos y las libertades fundamentales, así como la buena gobernanza a todos los niveles, son interdependientes y se refuerzan mutuamente. Decidimos fortalecer el respeto del estado de derecho en los asuntos internacionales y nacionales.

42. Reconocemos que los derechos humanos han sido parte esencial de la visión de la Cumbre Mundial sobre la Sociedad de la Información, y que las tecnologías de la información y las comunicaciones han demostrado su potencial para fortalecer el ejercicio de los derechos humanos, facilitando el acceso a la información, la libertad de expresión y la libertad de reunión y asociación.

43. Reafirmamos además, como fundamento esencial de la sociedad de la información, y como se ha reconocido en la resolución 26/13 del Consejo de Derechos Humanos, de 26 de junio de 2014 (7), y en la resolución 69/166 de la Asamblea General, de 18 de diciembre de 2014, que los mismos derechos que tienen las personas fuera de la red deben estar protegidos también en línea.

44. Sin embargo, observamos con preocupación que existen amenazas graves a la libertad de expresión y la pluralidad de la información, y hacemos un llamamiento a la protección de los periodistas, los trabajadores de los medios de comunicación, y el espacio de la sociedad civil. Pedimos a los Estados que adopten todas las medidas necesarias para garantizar el derecho a la libertad de opinión y de expresión, el derecho de reunión y asociación pacíficas, y el derecho a no ser objeto de injerencias arbitrarias o ilícitas en la vida privada, de conformidad con sus obligaciones en materia de derechos humanos.

45. Reafirmamos nuestro compromiso con el artículo 19 de la Declaración Universal de Derechos Humanos, que estipula que toda persona tiene derecho a la libertad de opinión y de expresión y que este derecho incluye el de no ser molestado a causa de sus opiniones, el de investigar y recibir informaciones y opiniones, y el de difundirlas, sin limitación de fronteras, por cualquier medio de expresión.

Recordamos también los compromisos contraídos en virtud del artículo 19 por los Estados que son parte en el Pacto Internacional de Derechos Civiles y Políticos (8).

Subrayamos la necesidad de respetar la independencia de los medios de comunicación. Creemos que la comunicación es un proceso social fundamental, una necesidad humana básica y el fundamento de toda organización social, y que es, por lo tanto, un elemento central de la sociedad de la información. Todas las personas, dondequiera que se encuentren, deben tener la oportunidad de participar, y nadie debería quedar excluido de los beneficios que ofrece la sociedad de la información.

46. Recordamos la resolución 69/166 de la Asamblea General, y en este contexto recalcamos que nadie será objeto de injerencias arbitrarias o ilícitas en su vida privada, su familia, su domicilio o su correspondencia, en consonancia con las obligaciones que incumben a los países en virtud del derecho internacional de los derechos humanos. En consecuencia, exhortamos a todos los Estados a que revisen sus procedimientos, prácticas y legislación sobre vigilancia de las comunicaciones, así como su interceptación, y la reunión de datos personales, incluida la vigilancia en gran escala, con miras a afianzar el derecho a la privacidad, establecido en la Declaración Universal de Derechos Humanos y el Pacto Internacional de Derechos Civiles y Políticos para los Estados que son parte en el Pacto, asegurando la aplicación plena y efectiva de todas las obligaciones que les incumben en virtud del derecho internacional de los derechos humanos.

47. Reafirmamos nuestro compromiso con lo dispuesto en el artículo 29 de la Declaración Universal de Derechos Humanos, de que toda persona tiene deberes respecto a la comunidad, puesto que solo en ella puede desarrollar libre y plenamente su personalidad, y que, en el ejercicio de sus derechos y en el disfrute de sus libertades, toda persona estará solamente sujeta a las limitaciones establecidas por la ley con el único fin de asegurar el reconocimiento y el respeto de los derechos y libertades de los demás, y de satisfacer las justas exigencias de la moral, del orden público y del bienestar general en una sociedad democrática. Estos derechos y libertades no podrán en ningún caso ser ejercidos en oposición a los propósitos y principios de las Naciones Unidas. De esa manera, promoveremos una sociedad de la información en la que se respete la dignidad humana.

3. Creación de confianza y seguridad en la utilización de las tecnologías de la información y las comunicaciones

48. Afirmamos que el fortalecimiento de la confianza y la seguridad en la utilización de las tecnologías de la información y las comunicaciones para el desarrollo de sociedades de la información y el éxito de esas tecnologías es un factor determinante de la innovación económica y social.

49. Acogemos con beneplácito los considerables esfuerzos emprendidos por los gobiernos, el sector privado, la sociedad civil, la comunidad técnica y las instituciones académicas para crear confianza y seguridad en la utilización de las tecnologías de la información y las comunicaciones, en particular por la Unión Internacional de Telecomunicaciones, la Comisión de Prevención del Delito y Justicia Penal, la Oficina de las Naciones Unidas contra la Droga y el Delito, el grupo intergubernamental de expertos de composición abierta encargado de realizar un estudio exhaustivo del problema del delito cibernético y el Grupo de Expertos Gubernamentales sobre los Avances en la Esfera de la Información y las Telecomunicaciones en el Contexto de la Seguridad Internacional, entre otros esfuerzos internacionales, regionales y nacionales.

50. Reconocemos la función de liderazgo de los gobiernos en las cuestiones de ciberseguridad relativas a la seguridad nacional. Reconocemos también las importantes funciones y contribuciones de todas las partes interesadas, de conformidad con sus respectivas funciones y responsabilidades. Reafirmamos que la creación de confianza y seguridad en la utilización de las tecnologías de la información y las comunicaciones debe ser compatible con los derechos humanos.

51. Reconocemos la importante función del derecho internacional, en particular la Carta de las Naciones Unidas, en la creación de confianza y seguridad en la utilización de las tecnologías de la información y las comunicaciones por los Estados y acogemos con beneplácito los informes de 2013 y 2015 del Grupo de Expertos Gubernamentales sobre los Avances en la Esfera de la Información y las Telecomunicaciones en el Contexto de la Seguridad Internacional (9).

52. Nos preocupan, sin embargo, algunos usos crecientes de las tecnologías de la información y las comunicaciones que ponen en riesgo los beneficios en materia de seguridad y desarrollo, entre ellos la utilización de esas tecnologías con fines terroristas y para cometer delitos cibernéticos. Expresamos la necesidad de que los marcos jurídicos y de aplicación de la ley existentes mantengan el ritmo del cambio tecnológico y su aplicación. Además, observamos la preocupación de que los ataques contra los Estados, las instituciones, las empresas, las entidades de otro tipo y las personas se están llevando a cabo actualmente por medios digitales.

Reiteramos nuestra convicción de que es necesario promover y desarrollar una cultura mundial de seguridad cibernética y de que deben adoptarse medidas en materia de seguridad cibernética en colaboración con todas las partes interesadas y los órganos de expertos internacionales a fin de fomentar la confianza y la seguridad en la sociedad de la información.

53. Exhortamos a los Estados Miembros a que redoblen los esfuerzos encaminados a crear un entorno de seguridad interna sólido en relación con las tecnologías de la información y las comunicaciones y su utilización, conforme a sus obligaciones internacionales y su legislación nacional. Exhortamos también a los Estados Miembros a que cooperen en las cuestiones transnacionales relacionadas con las tecnologías de la información y las comunicaciones y su utilización, incluidas la creación de capacidad y la cooperación en la lucha contra el uso indebido de las tecnologías, y la prevención del uso de tecnologías, comunicaciones y recursos con fines delictivos o terroristas.

54. Reconocemos los problemas que enfrentan los Estados, en particular los países en desarrollo, para crear confianza y seguridad en la utilización de las tecnologías de la información y las comunicaciones. Hacemos un llamamiento para que se preste una atención renovada a la creación de capacidad, la educación, el intercambio de conocimientos y las prácticas normativas, así como a la promoción de la cooperación entre múltiples interesados a todos los niveles y la sensibilización entre los usuarios de las tecnologías de la información y las comunicaciones, en particular entre los más pobres y los más vulnerables.

4. Gobernanza de Internet

55. Reafirmamos el párrafo 55 de la Agenda de Túnez y, a este respecto, reconocemos que los mecanismos vigentes han funcionado eficazmente para convertir a Internet en el medio sólido, dinámico y de gran cobertura geográfica que es hoy en día, en el que el sector privado dirige las actividades cotidianas y en cuya periferia se innova y se crea valor. Sin embargo, casi 4.000 millones de personas, que representan aproximadamente las dos terceras partes de las personas que residen en países en desarrollo, siguen estando al margen de esa conexión.

56. Reconocemos que existen muchas cuestiones intersectoriales de política pública internacional que requieren atención y no se han abordado adecuadamente.

57. Tomamos nota del párrafo 29 de la Agenda de Túnez y reconocemos que la gestión de Internet como un recurso mundial incluye procesos multilaterales, transparentes, democráticos y de múltiples interesados, con la plena participación de los gobiernos, el sector privado, la sociedad civil, las organizaciones internacionales, las comunidades técnica y académica y todas las demás partes interesadas, de conformidad con sus respectivas funciones y responsabilidades.

58. Reiteramos la definición de trabajo de la gobernanza de Internet que figura en el párrafo 34 de la Agenda de Túnez, como el “desarrollo y aplicación por los gobiernos, el sector privado y la sociedad civil, en el desempeño de sus respectivas funciones, de principios, normas, reglas, procedimientos de toma de decisiones y programas comunes que dan forma a la evolución y a la utilización de Internet”.

59. Reafirmamos los principios acordados en la Declaración de Principios de Ginebra de que la gestión de Internet abarca cuestiones técnicas y de política pública y debe contar con la participación de todas las partes interesadas y de organizaciones internacionales e intergubernamentales competentes, en el marco de sus respectivas funciones y responsabilidades, como se indica en el párrafo 35 de la Agenda de Túnez.

60. Tomamos nota de que el Gobierno del Brasil acogió NETMundial, la Reunión Global de Múltiples Partes Interesadas sobre el Futuro de la Gobernanza de Internet, en São Paulo los días 23 y 24 de abril de 2014.

61. Reconocemos que es necesario promover una mayor participación y compromiso en los debates sobre la gobernanza de Internet por parte de los gobiernos, el sector privado, la sociedad civil, las organizaciones internacionales, las comunidades técnica y académica y todas las demás partes interesadas pertinentes de los países en desarrollo, en particular los países africanos, los países menos adelantados, los países en desarrollo sin litoral y los pequeños Estados insulares en desarrollo, y los países de ingresos medianos, así como los países en situaciones de conflicto, los países en situaciones posteriores a un conflicto y los países afectados por desastres naturales. Instamos a que se refuercen unos mecanismos de financiación estables, transparentes y voluntarios con ese fin.

62. Observamos los importantes procesos normativos y legislativos llevados a cabo en algunos Estados Miembros en relación con una Internet abierta en el contexto de la sociedad de la información y sus impulsores subyacentes, y pedimos un mayor intercambio de información a nivel internacional sobre las oportunidades y los desafíos.

63. Reconocemos la función del Foro para la Gobernanza de Internet como plataforma de múltiples interesados para examinar cuestiones relacionadas con la gobernanza de Internet. Apoyamos las recomendaciones que figuran en el informe del Grupo de Trabajo sobre mejoras del Foro para la Gobernanza de Internet, de la Comisión de Ciencia y Tecnología para el Desarrollo (10), de las que tomó nota la Asamblea General en su resolución 68/198, de 20 de diciembre de 2013, y pedimos su aplicación acelerada. Prorrogamos por otros diez años el mandato actual del Foro para la Gobernanza de Internet según se enuncia en los párrafos 72 a 78 de la Agenda de Túnez. Reconocemos que, durante ese período, el Foro debe seguir mostrando avances con respecto a las modalidades de trabajo y la participación de las partes interesadas pertinentes de los países en desarrollo. Pedimos a la Comisión que, en el marco de su presentación periódica de informes, preste la debida atención al cumplimiento de las recomendaciones del informe de su Grupo de Trabajo.

4.1. Fortalecimiento de la cooperación

64. Reconocemos que se han aplicado diversas iniciativas y se han logrado algunos avances en relación con el proceso de fortalecimiento de la cooperación, que se detalla en los párrafos 69 a 71 de la Agenda de Túnez.

65. Observamos, sin embargo, la divergencia de opiniones de los Estados Miembros con respecto al proceso encaminado a reforzar la cooperación según se contempla en la Agenda de Túnez. Pedimos que continúen el diálogo y la labor relativos al proceso de fortalecimiento de la cooperación. Por consiguiente, solicitamos a la Presidencia de la Comisión de Ciencia y Tecnología para el Desarrollo, por conducto del Consejo Económico y Social, que establezca un grupo de trabajo encargado de formular recomendaciones sobre la manera de seguir reforzando la cooperación según se prevé en la Agenda de Túnez, teniendo en cuenta la labor que se ha llevado a cabo a este respecto hasta el momento. El grupo, que se establecerá a más tardar en julio de 2016, determinará en primer lugar sus métodos de trabajo, incluidas las modalidades, y garantizará la plena participación de todas las partes interesadas pertinentes, teniendo en cuenta sus diversas opiniones y sus conocimientos especializados. El grupo presentará un informe a la Comisión de Ciencia y Tecnología para el Desarrollo durante su 21er período de sesiones, a fin de que la Comisión lo incluya en el informe anual que presenta al Consejo. El informe servirá también de contribución a los informes periódicos del Secretario General sobre la aplicación de los resultados de la Cumbre Mundial sobre la Sociedad de la Información.

5. Seguimiento y examen

66. Reafirmamos que la aplicación en curso de los resultados de la Cumbre Mundial sobre la Sociedad de la Información requerirá el compromiso y la actuación constantes de todas las partes interesadas, incluidos los gobiernos, el sector privado, la sociedad civil, las organizaciones internacionales y las comunidades técnica y académica, y que el examen periódico de los avances logrados en todas las líneas de acción de la Cumbre será esencial para hacer realidad la visión de la Cumbre.

67. Pedimos que se sigan presentando al Consejo Económico y Social, por conducto de la Comisión de Ciencia y Tecnología para el Desarrollo, informes anuales sobre la aplicación de los resultados de la Cumbre Mundial sobre la Sociedad de la Información, teniendo en cuenta el examen y seguimiento de la Agenda 2030 para el Desarrollo Sostenible, y, a este respecto, invitamos al foro político de alto nivel sobre el desarrollo sostenible a que examine los informes anuales de la Comisión de Ciencia y Tecnología para el Desarrollo. Alentamos a los miembros del Grupo de las Naciones Unidas sobre la Sociedad de la Información a que contribuyan a los informes.

68. Pedimos también que el Grupo de las Naciones Unidas sobre la Sociedad de la Información continúe coordinando la labor de los organismos de las Naciones Unidas, de conformidad con sus mandatos y competencias, e invitamos a las comisiones regionales de las Naciones Unidas a que prosigan su labor en la aplicación de las líneas de acción de la Cumbre Mundial sobre la Sociedad de la Información y su contribución a los exámenes de estas, en particular a través de exámenes regionales.

69. Reconocemos que el Foro de la Cumbre Mundial sobre la Sociedad de la Información ha sido una plataforma que permite a todas las partes interesadas debatir y compartir las mejores prácticas en la aplicación de los resultados de la Cumbre Mundial, y que debe seguirse celebrando anualmente.

70. Reconocemos la importancia de los datos y las estadísticas para apoyar las tecnologías de la información y las comunicaciones para el desarrollo e instamos a que aumenten los datos cuantitativos en apoyo de la adopción de decisiones con base empírica, se incluyan las estadísticas de la tecnología de la información y las comunicaciones en las estrategias nacionales de desarrollo de la estadística y en los programas regionales de trabajo estadístico, y se refuercen la capacidad estadística nacional y la capacitación específica de grupos determinados por los gobiernos y todas las demás partes interesadas. Las actividades de la Asociación para la Medición de la Tecnología de la Información y las Comunicaciones para el Desarrollo han significado una valiosa contribución a la recopilación y difusión de datos y deben mantenerse.

71. Reconocemos que, en la preparación del presente examen, se han determinado varios retos y oportunidades que requieren consultas a más largo plazo para definir las respuestas apropiadas, y que el ritmo del desarrollo de las tecnologías de la información y las comunicaciones exige examinar a un nivel más alto los progresos alcanzados y la adopción de medidas futuras. Solicitamos, por consiguiente, a la Asamblea General que celebre una reunión de alto nivel sobre el examen general de la aplicación de los resultados de la Cumbre Mundial sobre la Sociedad de la Información en 2025, que incluya las aportaciones y la participación de todas las partes interesadas, incluso en el proceso preparatorio, y que haga un balance de los progresos logrados en relación con los resultados de la Cumbre Mundial y determine las esferas de atención y desafíos constantes. Recomendamos que el resultado de la reunión de alto nivel sea una aportación al proceso de examen de la Agenda 2030 para el Desarrollo Sostenible.

79ª sesión plenaria

16 de diciembre de 2015

(1) Véase A/60/687.

(2) Resolución 70/1.

(3) Resolución 217 A (III).

(4) Véase A/C.2/59/3, anexo.

(5) Resolución 69/313, anexo.

(6) A/CONF.157/24 (Part I), cap. III.

(7) Véase Documentos Oficiales de la Asamblea General, sexagésimo noveno período de sesiones, Suplemento núm. 53 (A/69/53), cap. V, secc. A.

(8) Véase la resolución 2200 A (XXI), anexo.

(9) A/68/98 y A/70/174.

(10) A/67/65-E/2012/48 y Corr.1.

15Nov/24

Proyecto de Declaración de Santiago, 8 de noviembre de 2024

15 noviembre, 2024Declaración de Santiago, ProyectoAgenda 2030, CEPAL, Comisión Económica America Latina y Caribe, Compromiso Rio Janeiro, Cumbre del Futuro, Cumbre Mundial Sociedad Información, Desarrollo Sostenible, ONU, Pacto Digital Global, Resolución nº 18 de la Declaración de Santiago, Resolución ONU 70/1, Transformar nuestro mundoJosé Cuervo

Comisión Económica para América Latina y el Caribe. (CEPAL). Agenda Digital de América Latina y el Caribe. Proyecto de Declaración de Santiago, 8 de noviembre de 2024

Novena Conferencia Ministerial sobre la Sociedad de la Información de América Latina y el Caribe

Santiago, 7 y 8 de noviembre de 2024

PROYECTO DE DECLARACIÓN DE SANTIAGO

Los y las representantes de los países de América Latina y el Caribe, reunidos en Santiago, los días 7 y 8 de noviembre de 2024, en ocasión de la Novena Conferencia Ministerial sobre la Sociedad de la Información de América Latina y el Caribe,

Recordando la resolución 70/1 de la Asamblea General, de 25 de septiembre de 2015, titulada “Transformar nuestro mundo: la Agenda 2030 para el Desarrollo Sostenible”, y teniendo en cuenta que las tecnologías de la información y las comunicaciones tienen el potencial de facilitar e impulsar el logro de los Objetivos de Desarrollo Sostenible y sus metas,

Reafirmando los principios y objetivos acordados en la Cumbre Mundial sobre la Sociedad de la Información, así como el compromiso de construir una sociedad de la información centrada en la persona, integradora y orientada al desarrollo, y reconociendo la función de apoyo que desempeñan las comisiones regionales de las Naciones Unidas en la aplicación del Plan de Acción de la Cumbre Mundial sobre la Sociedad de la Información,

Conscientes de la importancia que tiene la Conferencia Ministerial sobre la Sociedad de la Información de América Latina y el Caribe a la hora de promover procesos de cooperación regional y alianzas en materia digital para inspirar los principios y valores fundamentales de solidaridad e inclusión, libertad, participación, seguridad y sostenibilidad en el ámbito de la transformación digital,

Reconociendo que, en los 19 años transcurridos desde que en el Compromiso de Río de Janeiro se estableció la importancia de consolidar una agenda internacional sobre la sociedad de la información, la Agenda Digital para América Latina y el Caribe ha contribuido de manera significativa a fraguar una visión común para la construcción de una sociedad de la información inclusiva en la región,

Considerando los esfuerzos conjuntos de los países de América Latina y el Caribe en favor de una gobernanza sólida de los ecosistemas de inteligencia artificial, su impulso y su uso ético y responsable, y reconociendo los pasos que se han dado hacia un marco de colaboración para promover el desarrollo inclusivo, equitativo y sostenible de la inteligencia artificial, fortaleciendo la cooperación intergubernamental y multisectorial en la región,

Tomando nota del Pacto Digital Global, aprobado en la Cumbre del Futuro, que tuvo lugar en Nueva York los días 22 y 23 de septiembre de 2024,

Destacando la necesidad urgente de fomentar una conectividad significativa y universal, reducir las desigualdades digitales, impulsar la innovación, garantizar la seguridad digital, promover la sostenibilidad ambiental, salvaguardar la integridad de la información y fortalecer la gobernanza digital,

Conscientes de los desafíos específicos a los que se enfrenta la región, en particular las tres trampas del desarrollo definidas por la Comisión Económica para América Latina y el Caribe —una primera trampa de baja capacidad para crecer, una segunda de alta desigualdad, baja movilidad y débil cohesión sociales, y una tercera de bajas capacidades institucionales y gobernanza poco efectiva—, así como del papel clave que las tecnologías digitales pueden desempeñar en la superación de estos obstáculos,

Reafirmando el compromiso de promover una transformación digital inclusiva, segura, sostenible y justa, que permita a América Latina y el Caribe aprovechar plenamente las oportunidades de la revolución digital y las tecnologías emergentes y, a la vez, abordar las brechas estructurales del desarrollo,

Subrayando la necesidad de implementar medidas que garanticen el acceso a Internet en las áreas rurales y desatendidas, y de que los Estados otorguen prioridad a la expansión de la infraestructura de telecomunicaciones, mediante marcos regulatorios que promuevan la competencia e incentiven la inversión privada y pública, facilitando la creación y compartición de redes,

Reconociendo que el logro de una conectividad significativa requiere más que garantizar el acceso a Internet y recalcando la importancia de promover estrategias integrales que incluyan la construcción de infraestructura de calidad, el acceso a dispositivos asequibles y el desarrollo de habilidades digitales y la alfabetización mediática e informativa para toda la población, a fin de contribuir a una transformación digital más inclusiva y equitativa, y fomentar la producción de datos para el monitoreo del avance de la conectividad significativa en los países de la región,

Reiterando la necesidad de fortalecer las políticas de seguridad digital mediante el desarrollo de marcos normativos y estrategias de protección que aborden las amenazas digitales, mejoren la resiliencia de los sistemas y promuevan la alfabetización digital en materia de seguridad entre las personas y las empresas,

Subrayando la necesidad de promover la creación de marcos éticos y responsables para la inteligencia artificial, que sean equitativos y respeten los derechos humanos y la privacidad y, a la vez, fomenten la innovación, sean flexibles y puedan adaptarse a los rápidos avances tecnológicos, equilibrando la protección de las personas con los incentivos para el progreso tecnológico,

Reconociendo la importancia de aprovechar el potencial de la inteligencia artificial y de otras tecnologías emergentes para incrementar el bienestar social, aplicándolas en áreas como la salud, la educación y el medio ambiente, e impulsando su adopción en sectores productivos clave para mejorar la competitividad y la sostenibilidad en la región,

Reconociendo también la importancia de lograr una mayor integración entre las políticas de transformación digital y las estrategias de desarrollo productivo, y de que los Estados coordinen sus esfuerzos para maximizar el uso de las tecnologías digitales en sectores económicos clave, asegurando la convergencia de estas políticas con los Objetivos de Desarrollo Sostenible,

Subrayando la necesidad de promover una economía digital robusta mediante el fomento del comercio electrónico, los servicios financieros digitales y la adopción de tecnologías avanzadas por parte de las empresas —en particular, las microempresas y las pequeñas y medianas empresas—, a fin de mejorar la competitividad y la productividad en los sectores estratégicos de la región,

Reconociendo las barreras que enfrentan los grupos vulnerables, incluidas las mujeres y las niñas, en materia de acceso a las tecnologías digitales y su utilización, así como la relevancia de incorporar la perspectiva de género en las estrategias de transformación digital,

Subrayando la importancia de acelerar la digitalización de los servicios públicos a través de la mejora de la eficiencia administrativa, la transparencia y la participación ciudadana, y recalcando que la adopción de sistemas digitales debe incluir el uso de herramientas como la identidad y la firma digitales para facilitar el acceso a los servicios públicos y mejorar la gestión gubernamental en línea,

Resuelven:

1. Aprobar la Agenda Digital para América Latina y el Caribe (eLAC2026);

2. Continuar fortaleciendo las actividades de cooperación regional en materia digital en el marco de la Agenda Digital para América Latina y el Caribe;

3. Reconocer la participación y la labor de las entidades y los organismos regionales e internacionales del sector privado, la sociedad civil, la comunidad técnica y la banca de desarrollo en la elaboración de la Agenda Digital para América Latina y el Caribe (eLAC2026) e invitarlos a ser parte activa de la implementación de los acuerdos de la Conferencia;

4. Reconocer también el liderazgo del Gobierno del Uruguay en el ejercicio de la presidencia de la Mesa Directiva y la coordinación de la Agenda Digital para América Latina y el Caribe durante el período 2022-2024;

5. Reconocer además la labor de la Comisión Económica para América Latina y el Caribe como Secretaría Técnica de la Agenda Digital para América Latina y el Caribe y su vital importancia para la continuidad del proceso;

6. Agradecer al Gobierno de Chile por acoger la Novena Conferencia Ministerial sobre la Sociedad de la Información de América Latina y el Caribe;

7. Agradecer al Gobierno del Brasil por su ofrecimiento para dar continuidad al proceso de la Agenda Digital para América Latina y el Caribe y acoger la Décima Conferencia Ministerial sobre la Sociedad de la Información de América Latina y el Caribe en 2026

14Nov/24

Propuesta de Agenda Digital para América Latina y el Caribe (eLAC2026), 8 de noviembre de 2024

14 noviembre, 2024América Latina y el Caribe, Propuesta ded Agenda DigitalJosé Cuervo

Naciones Unidas. Comisión Económica para América Latina y el Caribe (CEPAL). Propuesta de Agenda Digital para América Latina y el Caribe (eLAC2026), 8 de noviembre de 2024

PROPUESTA DE AGENDA DIGITAL PARA AMÉRICA LATINA Y EL CARIBE (eLAC2026)

A. ANTECEDENTES

El acelerado ritmo de la transformación digital está reconfigurando las economías y sociedades en todo el mundo. En reconocimiento de la creciente importancia de la cooperación digital, los Estados Miembros de las Naciones Unidas adoptaron la declaración sobre la conmemoración del 75º aniversario de las Naciones Unidas (1), que incluye el compromiso “Mejoraremos la cooperación digital”. A partir de esto, se adoptó el Pacto Digital Global el 22 de septiembre de 2024 en la Cumbre del Futuro, como parte del Pacto para el Futuro (2). Este Pacto Digital refuerza el compromiso global con un futuro digital abierto, libre y seguro, y aborda los cambios tecnológicos que están moldeando todos los aspectos de la sociedad. Estos esfuerzos se suman a los compromisos de la Cumbre Mundial sobre la Sociedad de la Información reflejados en la Declaración de Principios y el Plan de Acción de Ginebra y la Agenda de Túnez para la Sociedad de la Información.

Los Objetivos de Desarrollo Sostenible (ODS) enfatizan la importancia de los avances tecnológicos para abordar los desafíos económicos, sociales y ambientales, con metas específicas dirigidas a aumentar el acceso a las tecnologías de la información y las comunicaciones (TIC) y a proporcionar acceso universal y asequible a Internet en los países menos desarrollados.

En consonancia con estas iniciativas globales, es importante reconocer el papel esencial de las tecnologías digitales para abordar desafíos económicos, sociales e institucionales de América Latina y el Caribe. En particular, la Comisión Económica para América Latina y el Caribe (CEPAL) reconoce que América Latina y el Caribe es una región que enfrenta tres trampas de desarrollo. La primera, de baja capacidad para crecer; la segunda, de alta desigualdad y baja movilidad sociales, y la tercera, de bajas capacidades institucionales y gobernanza poco efectiva. De conformidad con las iniciativas mencionadas, las tecnologías digitales están llamadas a jugar un papel clave para abordar esas trampas.

En el ámbito económico, la digitalización tiene el potencial de impulsar la productividad y la competitividad al facilitar el acceso a mercados internacionales y fomentar la innovación y la eficiencia en sectores clave, particularmente si se conjugan los esfuerzos de transformación digital con las políticas de desarrollo productivo. En materia social, las tecnologías digitales deben promover la inclusión al ampliar el acceso a servicios sociales, además de mejorar la educación y la salud. Desde el punto de vista institucional y de gobernanza, la digitalización también puede mejorar la transparencia y eficiencia de las administraciones públicas, al fortalecer la gobernanza, la participación ciudadana y el diálogo social. En conjunto, estas tecnologías pueden actuar como catalizadoras de un desarrollo más productivo, inclusivo y sostenible si se logra avanzar en un uso real y efectivo de ellas.

En los 19 años transcurridos desde la adopción del primer Plan de Acción sobre la Sociedad de la Información en América Latina y el Caribe en 2005, en Río de Janeiro (Brasil), la región ha logrado fortalecer la cooperación y la coordinación entre los países en materia digital. Sin embargo, persisten desafíos importantes que deben asumirse de cara al cambio tecnológico y la revolución digital. La Novena Conferencia Ministerial sobre la Sociedad de la Información de América Latina y el Caribe es un espacio fundamental para renovar las prioridades de política, facilitar el intercambio de experiencias entre todos los actores del ecosistema digital, pero más importante aún, para redoblar los esfuerzos para que a través de proyectos y acciones concretas la región profundice el uso real y efectivo de las tecnologías digitales a fin de abordar sus retos de desarrollo.

Sobre la base de estos esfuerzos, se presenta a continuación la Agenda Digital para América Latina y el Caribe (eLAC2026), que consta de tres ejes, tres pilares temáticos y un conjunto de objetivos estratégicos. Esta agenda integral busca impulsar un desarrollo más productivo, inclusivo y sostenible en la región a través de la transformación digital. El primer eje se centra en el fortalecimiento y la promoción de la conectividad significativa y la infraestructura digital; el segundo se relaciona con la gobernanza y la seguridad digital, mientras que el tercero se enfoca en el fomento de la innovación, las tecnologías emergentes y la inteligencia artificial (IA) para el desarrollo sostenible. En cuanto a los pilares temáticos, el primero hace referencia a la transformación digital para el desarrollo productivo; el segundo se vincula con la transformación digital para el bienestar, y el tercero se orienta a la transformación digital del Estado.

B. AGENDA DIGITAL PARA AMÉRICA LATINA Y EL CARIBE (eLAC2026)

Eje 1: Conectividad significativa e infraestructura digital

Objetivos estratégicos

1. Fomentar el acceso universal: Desplegar infraestructura de telecomunicaciones en áreas rurales y desatendidas, lo que incluye la expansión de redes de banda ancha, mediante el uso de los fondos de acceso universal, estrategias y marcos regulatorios que promuevan la competencia y la inversión, y que faciliten la creación, operación y compartición de infraestructura pasiva y activa.

2. Promover la conectividad significativa: Garantizar el acceso universal, asequible y de alta calidad a la infraestructura digital, facilitando el uso de dispositivos adecuados y el desarrollo de competencias digitales en toda la población y en el sector empresarial, para promover la inclusión social y la competitividad.

3. Ampliar y mejorar la infraestructura digital: Invertir, financiar y desplegar infraestructura digital resiliente que incluya redes fijas de alta velocidad, redes móviles, satélites, centros de datos, puntos de intercambio de tráfico y mayor capacidad de cómputo para IA, además de la adopción del protocolo de Internet versión 6 (IPv6), el uso eficiente del espectro radioeléctrico y los recursos orbitales.

Eje 2: Gobernanza y seguridad digital

Objetivos estratégicos

4. Reforzar la seguridad digital: Implementar medidas de seguridad digital mediante la promoción de políticas, estándares y estrategias, que protejan y mejoren la resiliencia de sistemas, equipos e infraestructura crítica frente a amenazas digitales, además de velar por la integridad de la información y promover la alfabetización sobre seguridad digital en la ciudadanía y el gobierno.

5. Promover la seguridad de niños y niñas en línea: Priorizar el desarrollo y la implementación de políticas y normas de seguridad de niños y niñas en línea, de conformidad con el derecho internacional, los derechos humanos y de la niñez.

6. Fortalecer la protección de datos personales: Desarrollar marcos sólidos y mecanismos de gobernanza de protección de datos que resguarden la privacidad, la transparencia, la seguridad de la información personal, y acciones claras para su cumplimiento, en un marco de colaboración internacional.

7. Fortalecer la gobernanza de la transformación digital: Fortalecer las instituciones y los mecanismos de coordinación interinstitucional con el sector privado, el sector académico, la comunidad técnica y la sociedad civil para el diseño, la implementación y el seguimiento de políticas digitales, asegurando los recursos correspondientes, un diálogo constante y la mejora continua.

8. Mejorar y promover la medición de la transformación digital: Desarrollar procesos de medición, recolección de datos y armonización de indicadores, así como el intercambio de experiencias para seguir y medir el progreso de la transformación digital, además de evaluar el impacto de políticas, programas y proyectos.

9. Crear un marco y regulatorio propicio que promueva la competencia, la inversión y la innovación: Promover un entorno legal y normativo en materia digital sobre la base de principios internacionalmente acordados, la legislación internacional y los derechos humanos, que fortalezca la innovación y la competencia en el ecosistema digital, asegurando la participación de todas las partes interesadas, en correspondencia con sus roles y responsabilidades.

Eje 3: Innovación, tecnologías emergentes e inteligencia artificial (IA) al servicio del desarrollo sostenible

Objetivos estratégicos

10. Desarrollar marcos éticos y responsables para la inteligencia artificial (IA): Establecer directrices y regulaciones para el desarrollo y uso de la inteligencia artificial que prioricen el desarrollo y el bienestar, la democracia, los derechos humanos, la equidad, el Estado de derecho, las libertades fundamentales, la privacidad y la transparencia, garantizando la seguridad de los modelos, la mitigación de sesgos y evitando la reproducción de desigualdades en el entorno digital, promoviendo además la innovación y asegurando la flexibilidad regulatoria para adaptarse a los rápidos avances tecnológicos.

11. Aprovechar la IA para el bienestar social y el desarrollo productivo: Explorar e implementar aplicaciones de IA en áreas como la salud, la educación, la protección del medio ambiente y el cambio climático, además de promover su adopción en áreas y sectores productivos clave para abordar los desafíos en materia de productividad y crecimiento, incluida la promoción de soluciones y emprendimientos locales.

12. Desarrollar capacidades y conocimientos sobre IA: Invertir en investigación, educación y programas de capacitación en IA para desarrollar una fuerza laboral calificada y promover la innovación y el desarrollo de soluciones que se ajusten a las necesidades específicas y los contextos locales.

13. Fomentar la colaboración internacional en el área de la IA: Participar en iniciativas mundiales, regionales y nacionales para dar forma al desarrollo y uso de la IA en beneficio de la humanidad, en particular el desarrollo de talento, datos e infraestructura, además de estrategias y planes nacionales sobre IA.

14. Promover la adopción de tecnologías emergentes: Fomentar el uso real y efectivo de tecnologías emergentes, como Internet de las cosas (IoT), la IA y la computación cuántica para la mejora de la productividad, la inclusión y el bienestar social, y las capacidades institucionales y de gobernanza.

15. Promover bienes públicos digitales y la innovación abierta: Compartir software, modelos de IA y datos basados en estándares abiertos, reconociendo la capacidad de la innovación abierta para impulsar la transformación digital y la innovación.

Pilar temático 1: Transformación digital para el desarrollo productivo

Objetivos estratégicos

16. Promover la articulación y coordinación de las políticas de transformación digital con las de desarrollo productivo: Potenciar el uso real y efectivo de las tecnologías digitales, en particular en los sectores económicos estratégicos que prioricen los países y sus territorios en el marco de sus políticas de desarrollo productivo, asegurando su convergencia con los objetivos más amplios de desarrollo sostenible.

17. Fomentar una economía digital próspera: Promover el comercio electrónico, los servicios financieros digitales y la adopción real y efectiva de tecnologías digitales en las empresas, en particular entre las microempresas, pequeñas y medianas empresas (mipymes), además de la digitalización de sectores económicos estratégicos para maximizar los beneficios de la transformación digital, en un entorno que favorezca la competencia y la adecuada protección de los derechos de consumidores y trabajadores.

18. Promover la innovación, el emprendimiento y el sector de las TIC regional: Fomentar el desarrollo y la creación de empresas digitales, de base tecnológica y del sector de las TIC, a través de mecanismos de acceso a financiamiento, incentivos, programas de capacitación especializada, asistencia técnica, atracción de inversión estratégica y agendas de desarrollo productivo para ese sector.

19. Promover la formación y consolidación de ecosistemas digitales: Crear y consolidar redes que aglutinen a empresas, parques tecnológicos, instituciones académicas, centros de investigación y otros actores para impulsar la innovación colaborativa y el desarrollo de soluciones digitales, así como fomentar la capacidad de cómputo de los países con el fin de fortalecer la soberanía digital.

20. Mejorar las habilidades digitales de la fuerza laboral: Desarrollar e implementar programas de capacitación, educación y formación en habilidades digitales para dotar a la fuerza laboral de las capacidades necesarias para la economía digital.

21. Promover los mercados digitales y de datos regionales: Reducir las barreras administrativas, mejorar la convergencia normativa, y la integración del comercio digital regional mediante la coordinación y la cooperación entre organizaciones, instituciones y mecanismos de integración regional.

22. Fomentar un ecosistema digital justo y competitivo: Desarrollar regulaciones que eviten prácticas monopólicas, protegiendo así los derechos de los consumidores y promoviendo la equidad en los mercados digitales y de datos.

Pilar temático 2: Transformación digital para el bienestar

Objetivos estratégicos

23. Transformar la salud a través de herramientas digitales: Aprovechar la telemedicina, los registros electrónicos de salud y otras soluciones digitales para mejorar el acceso y la calidad en la atención médica y la salud.

24. Aprovechar las tecnologías digitales para el desarrollo de la educación: Promover la integración, centrada en las personas, de los sistemas educativos y las tecnologías digitales, a través de programas de capacitación docente en habilidades digitales, el desarrollo de plataformas inclusivas y el acceso equitativo a recursos educativos digitales.

25. Establecer y apoyar estrategias nacionales de competencias y habilidades digitales: Adaptar los planes de estudio para la formación y educación de niños, niñas, adolescentes y jóvenes, y establecer programas de capacitación para docentes en la era digital, complementados con iniciativas de formación dirigidas a la ciudadanía en general, que promuevan la protección de los derechos y el cumplimiento de deberes en el entorno digital.

26. Fomentar programas para fortalecer capacidades y habilidades de la fuerza laboral: Favorecer el desarrollo de capacidades y habilidades para hacer frente a los rápidos cambios y desafíos tecnológicos y mitigar las posibles consecuencias negativas del cambio tecnológico.

27. Incorporar una perspectiva de género en las estrategias de transformación digital: Abordar las barreras estructurales, sistémicas y sociales que impiden el empoderamiento y la participación de las mujeres, las niñas y los niños en la economía digital, tomando en cuenta las realidades locales.

28. Tomar medidas para mitigar y prevenir los efectos nocivos de las tecnologías digitales en las personas, con especial atención en niños, niñas, adolescentes, jóvenes y personas mayores: Adoptar acciones multidisciplinarias que combinen regulación, educación, investigación y colaboración para crear un entorno en línea más seguro y saludable para las personas, especialmente niños, niñas, adolescentes, jóvenes y personas mayores.

29. Combatir la desinformación, la radicalización y el extremismo violento: Fomentar políticas y estrategias que fortalezcan la resiliencia frente a la desinformación, promoviendo la educación, incluida la educación mediática y en derechos humanos, y estableciendo mecanismos para prevenir la difusión de contenidos falsos, nocivos e ilícitos.

30. Garantizar la inclusión y accesibilidad digitales: Adoptar políticas y estándares internacionales, que permitan que personas con discapacidad y grupos vulnerables puedan acceder y beneficiarse plenamente de las tecnologías digitales, fortaleciendo la equidad en el acceso a la tecnología.

Pilar temático 3: Transformación digital del Estado

Objetivos estratégicos

31. Modernizar los procesos y servicios gubernamentales: Agilizar y digitalizar los procesos y servicios gubernamentales para mejorar la eficiencia, la transparencia, la participación ciudadana, la retroalimentación, la rendición de cuentas y el diálogo social, con un modelo de atención proactivo y omnicanal.

32. Mejorar los sistemas de identidad y firma digital: Implementar soluciones de identidad y firma digital seguras y confiables para facilitar el acceso a los servicios públicos e incentivar los servicios digitales transfronterizos en un marco de integración regional.

33. Adoptar sistemas digitales para modernizar las compras gubernamentales de bienes, servicios y obras públicas: Promover compras electrónicas gubernamentales para asegurar la transparencia, el seguimiento, la fiscalización ciudadana y una efectiva rendición de cuentas.

34. Impulsar agendas y estrategias digitales a nivel de ciudades y gobiernos locales: Avanzar en la transformación digital para atender desafíos en materia de gobierno, transporte, movilidad, gestión de recursos, seguridad y desarrollo productivo a nivel local.

35. Fomentar el gobierno y los datos abiertos: Promover la publicación y el uso de datos abiertos para mejorar la rendición de cuentas, la transparencia, impulsar la innovación, la colaboración, la toma de decisiones y el empoderamiento de las personas.

36. Promover la innovación aplicada a las soluciones gubernamentales: Promover el desarrollo de soluciones innovadoras para los desafíos gubernamentales, incluidos los modelos de innovación abierta, con el apoyo de los ecosistemas digitales locales.

37. Establecer marcos sólidos de gobernanza digital y de datos: Desarrollar e implementar políticas integrales que promuevan el intercambio de información y la innovación, garantizando la privacidad, la seguridad y la interoperabilidad de los sistemas digitales gubernamentales, y que consideren el uso y aprovechamiento de datos para la toma de decisiones, el diseño de políticas y la gestión pública.

38. Aprovechar las tecnologías digitales para fortalecer las capacidades institucionales y enfrentar los retos de gobernanza: Promover el uso de tecnologías digitales para fortalecer las capacidades institucionales, mejorando la eficiencia, transparencia y adaptabilidad de las instituciones frente a los desafíos de gobernanza.

C. MECANISMO DE SEGUIMIENTO Y GOBERNANZA DE LA AGENDA DIGITAL PARA AMÉRICA LATINA Y EL CARIBE

El Mecanismo de Seguimiento de la Agenda Digital para América Latina y el Caribe surge en virtud de los acuerdos aprobados por los Gobiernos en el marco de la Conferencia Ministerial sobre la Sociedad de la Información de América Latina y el Caribe.

El Mecanismo de Seguimiento la Agenda Digital para América Latina y el Caribe se organiza en cuatro niveles de coordinación y cooperación: la Conferencia Ministerial, la Mesa Directiva, los Puntos Focales y los Grupos de Trabajo. La CEPAL actúa como Secretaría Técnica del Mecanismo y de la Agenda Digital, brindando apoyo a través del Observatorio de Desarrollo Digital y el Laboratorio de Políticas de Transformación Digital, con herramientas clave para impulsar el diseño y seguimiento de políticas de transformación digital.

Conferencia Ministerial: Es el órgano de máxima dirección y conducción de la Agenda Digital para América Latina y el Caribe, responsable de evaluar el cumplimiento de los objetivos acordados, así como de introducir los ajustes y cambios necesarios en el Mecanismo de Seguimiento.

Mesa Directiva: Es el órgano ejecutivo de la Agenda Digital para América Latina y el Caribe y está compuesto por dos representantes de cada una de las siguientes subregiones: países andinos; Centroamérica y México; Cono Sur, y el Caribe. Su mandato se extiende hasta la siguiente Conferencia Ministerial. Sus principales funciones son: i) supervisar las actividades desarrolladas en el marco de la Agenda, ii) ejercer y designar la representación de la Agenda ante otros foros u organismos internacionales, previa consulta a todos sus miembros, iii) aprobar y revisar la conformación de Grupos de Trabajo, iv) consolidar un programa de trabajo basado en los planes de los Grupos de Trabajo, v) proponer el establecimiento de comisiones y órganos auxiliares para apoyar el desempeño de sus atribuciones y vi) convocar y mantener reuniones periódicas de coordinación.

La Mesa Directiva puede aceptar que organizaciones e instituciones del sector privado, la comunidad técnica, los organismos internacionales y la sociedad civil participen como observadores de la Mesa.

Puntos focales: Son los enlaces a nivel nacional del Mecanismo de Seguimiento de la Agenda Digital para América Latina y el Caribe. Cada país debe nombrar o ratificar la institución o responsable que actuará como punto focal. Es responsabilidad de los países miembros de la Conferencia Ministerial sobre la Sociedad de la Información de América Latina y el Caribe informar a la Secretaría Técnica sobre los cambios de sus representantes. Sus principales funciones son:

i) articular, coordinar y promover la participación del país en el proceso;

ii) asegurar los medios para garantizar la representación del país en las reuniones preparatorias y la Conferencia Ministerial, e

iii) identificar las instituciones y responsables que se ocuparán de la coordinación de los Grupos de Trabajo.

Grupos de Trabajo: Son un espacio de cooperación en el marco de la Agenda Digital para América Latina y el Caribe, con el objetivo de cumplir una tarea determinada bajo la conducción de un país coordinador. Los Grupos deberán orientar su labor al logro de los objetivos de la Agenda mediante proyectos y acciones que obedezcan a su naturaleza colaborativa. Los participantes de los Grupos de Trabajo serán designados por los países. Sus principales funciones son:

i) alentar la formación de redes y mecanismos de colaboración;

ii) incentivar el diálogo y el intercambio de experiencias y buenas prácticas;

iii) estimular la generación y el fortalecimiento de capacidades;

iv) promover la generación de conocimiento y análisis sustantivos;

v) contribuir a los vínculos institucionales con otros foros y organizaciones, y

vi) promover el desarrollo de proyectos y acciones regionales.

Secretaría Técnica: La CEPAL, en su calidad de Secretaria Técnica del Mecanismo de Seguimiento de la Agenda Digital para América Latina y el Caribe, ejercerá las siguientes funciones:

i) prestar apoyo técnico, específicamente a la Mesa Directiva y su Presidencia, y facilitar la articulación y la coordinación de los Grupos de Trabajo;

ii) producir estudios e información sustantiva, desarrollar indicadores y métricas, además de generar boletines informativos y mantener el espacio colaborativo virtual, y

iii) apoyar la organización de la reunión preparatoria y de la Conferencia Ministerial sobre la Sociedad de la Información de América Latina y el Caribe. Asimismo, la Secretaría Técnica pone a disposición de la Agenda Digital el Observatorio de Desarrollo Digital y el Laboratorio de Políticas de Transformación Digital.

Observatorio de Desarrollo Digital: Es una plataforma para el seguimiento y evaluación del progreso de la transformación digital en América Latina y el Caribe. Su función principal es recopilar, analizar y difundir datos e información relevante sobre el estado de la digitalización en la región y los mercados digitales. Esto incluye la producción de indicadores clave, la armonización de estadísticas para facilitar la comparación entre países y la realización de estudios que profundicen en temas específicos relacionados con la economía digital, la inclusión digital y el impacto de las tecnologías en diferentes sectores. A través del Observatorio se realizarán los esfuerzos necesarios para medir los avances de los objetivos de la Agenda Digital.

Laboratorio de Políticas de Transformación Digital: Es un espacio innovador que busca impulsar la definición de nuevas políticas e instrumentos para la transformación digital en América Latina y el Caribe. Su objetivo principal es desarrollar marcos metodológicos sólidos para el diseño de políticas en materia de transformación digital y facilitar el acceso y uso de instrumentos y herramientas en materia de ciencia de datos y tecnología. Igualmente, el Laboratorio procura fomentar proyectos colaborativos a nivel regional, creando un entorno propicio para el intercambio de conocimientos y experiencias entre organismos públicos, privados, la comunidad académica y la comunidad técnica.

(1) Resolución 75/1 de la Asamblea General de 21 de septiembre de 2020.

(2) Resolución 79/1 de la Asamblea General de 22 de septiembre de 2024.

14Nov/24

Resolución 75/1 de la Asamblea General de Naciones Unidas de 21 de septiembre de 2020.

14 noviembre, 2024ONU, ResoluciónAcuerdo de Paris, Agenda 2030, Carta Naciones Unidas, Declaración Universal Derechos Humanos, Derecho Informático, Fortalecimiento Sistema Naciones Unidas, Normativa ONU, Regulación ONU, Resolucion 217 A (III), Resolucion 70/1José Cuervo

Resolución 75/1 de la Asamblea General de Naciones Unidas de 21 de septiembre de 2020.

Septuagésimo quinto período de sesiones

Tema 128 a) del programa

Fortalecimiento del sistema de las Naciones Unidas: fortalecimiento del sistema de las Naciones Unidas

Resolución aprobada por la Asamblea General el 21 de septiembre de 2020

75/1. Declaración sobre la conmemoración del 75º aniversario de las Naciones Unidas

La Asamblea General

Aprueba la siguiente declaración:

Declaración sobre la conmemoración del 75º aniversario de las Naciones Unidas

1. Los Jefes y Jefas de Estado y de Gobierno, en representación de los pueblos del mundo, asistimos el 21 de septiembre de 2020 a la reunión de alto nivel de la Asamblea General para conmemorar el 75º aniversario de las Naciones Unidas, con admiración y profundo respeto por los fundadores que crearon esta Organización. No hay otra organización mundial que tenga la legitimidad, el poder de convocatoria y el impacto normativo de las Naciones Unidas. Ninguna otra organización mundial ofrece la esperanza de un mundo mejor a tantas personas ni puede hacer realidad el futuro que queremos. Rara vez ha sido tan urgente que todos los países sumen esfuerzos para cumplir la promesa de que las naciones estén unidas.

2. Surgidas de los horrores de la Segunda Guerra Mundial, las Naciones Unidas, como tarea común de la humanidad, se establecieron para salvar a las generaciones venideras del flagelo de la guerra. Incluso en tiempos de grandes desafíos y tensiones mundiales, nuestra Organización ha catalizado la descolonización, ha promovido la libertad, ha forjado normas para el desarrollo internacional y ha trabajado para erradicar las enfermedades. Las Naciones Unidas han ayudado a mitigar decenas de conflictos, han salvado cientos de miles de vidas mediante la acción humanitaria y han brindado a millones de niños y niñas la educación que todo niño merece. La Organización se ha dedicado a promover y proteger todos los derechos humanos y las libertades fundamentales de todas las personas, incluida la igualdad de derechos de mujeres y hombres. La Carta de las Naciones Unidas, que es la piedra angular del derecho internacional, ha declarado el principio de la igualdad soberana de todos los Estados, el respeto de su integridad territorial e independencia política y el derecho a la libre determinación de los pueblos; ha afirmado los principios de la no intervención en los asuntos internos de los Estados y la solución de las controversias internacionales por medios pacíficos y conforme a los principios de la justicia y el derecho internacional; ha determinado que todos los Estados se abstendrán de recurrir a la amenaza o al uso de la fuerza contra la integridad territorial o la independencia política de ningún Estado o en cualquier otra forma incompatible con los propósitos de las Naciones Unidas.

3. Los logros han sido muchos, y debemos a las Naciones Unidas y a su personal suma gratitud y respeto, sobre todo a los que han pagado el precio supremo en cumplimiento del deber. A lo largo de los años, más de un millón de mujeres y hombres han prestado servicios bajo la bandera de las Naciones Unidas en más de 70 operaciones de mantenimiento de la paz. Todos los días, los países, los ciudadanos, el sector privado y los representantes de la sociedad civil utilizan la plataforma que ofrecen las Naciones Unidas para mejorar la vida de toda la humanidad.

4. Sin embargo, las Naciones Unidas han tenido momentos de decepción. Nuestro mundo no es todavía el que nuestros fundadores idearon hace 75 años. Adolece de crecientes desigualdades, pobreza, hambre, conflictos armados, terrorismo, inseguridad, cambio climático y pandemias. En diferentes rincones del mundo hay personas que se ven obligadas a emprender peligrosas travesías en busca de refugio y seguridad. Los países menos adelantados se están quedando atrás y aún no hemos alcanzado la descolonización completa. Todas estas circunstancias exigen adoptar más medidas, no menos. Cuando los Estados Miembros respaldan con su voluntad y sus recursos los esfuerzos colectivos de la Organización, se obtienen resultados importantes. La conversación mundial iniciada por el Secretario General en 2020 nos ha permitido escuchar las preocupaciones y aspiraciones de las personas, y nos hemos reunido aquí para darles respuesta.

5. Nuestros desafíos guardan relación entre sí y solo pueden afrontarse mediante un multilateralismo revitalizado. En este preciso instante siguen sintiéndose en todo el planeta las repercusiones de la pandemia de enfermedad por coronavirus (COVID-19), que en cuestión de semanas demostró ser el mayor desafío mundial de la historia de las Naciones Unidas. La pandemia no solo ha causado muerte y graves enfermedades, sino también una recesión económica mundial, un aumento de la pobreza, ansiedad y miedo, sometiendo a una enorme presión a nuestras sociedades, economías y sistemas de salud. Aunque ninguno de nosotros ha salido indemne, las personas en situaciones de vulnerabilidad y los países más vulnerables son los más afectados. La pandemia de COVID-19 nos ha recordado de la manera más elocuente posible que estamos estrechamente interconectados y formamos una cadena cuya fuerza se mide por la del eslabón más débil. Únicamente trabajando juntos y con espíritu de solidaridad podremos poner fin a la pandemia y afrontar con eficacia sus consecuencias; solo juntos podremos crear resiliencia contra futuras pandemias y otros problemas mundiales. El multilateralismo no es una opción, sino una necesidad en nuestra tarea de reconstruir para mejorar en pro de un mundo más igualitario, más resiliente y más sostenible. Las Naciones Unidas deben estar en el centro de nuestros esfuerzos.

6. Fortalecer la cooperación internacional redunda en interés tanto de las naciones como de los pueblos. Los tres pilares de las Naciones Unidas —paz y seguridad, desarrollo y derechos humanos— son igualmente importantes, están interrelacionados y son interdependientes. Hemos llegado lejos en 75 años, pero aún queda mucho por hacer. Ya tenemos las herramientas y ahora debemos emplearlas. La Agenda 2030 para el Desarrollo Sostenible (1) es nuestra hoja de ruta e implementarla es imprescindible para nuestra supervivencia. Se requieren esfuerzos urgentes. Por lo tanto, no nos hemos reunido para celebrar, sino para tomar medidas; guiados por los propósitos y principios de la Carta, estamos aquí para asegurar el futuro que queremos y las Naciones Unidas que necesitamos.

7. No dejaremos a nadie atrás. Los próximos 10 años, que han sido designados década de la acción y resultados en favor del desarrollo sostenible, serán los más decisivos de nuestra generación y revisten aún más importancia en nuestra tarea de reconstruir para mejorar tras la pandemia de COVID-19. Necesitamos un sólido sistema de las Naciones Unidas para el desarrollo y una colaboración eficaz entre las Naciones Unidas y las instituciones financieras internacionales. En este sentido, apoyamos plenamente los esfuerzos y las medidas del Secretario General y estamos decididos a implementar la Agenda 2030 de forma íntegra y a su debido tiempo: no hay otra alternativa. Los pueblos deben ocupar un lugar central en todos nuestros esfuerzos y hay que prestar especial atención a las personas que se encuentran en situaciones de vulnerabilidad. El acceso humanitario a quienes necesitan asistencia debe concederse sin obstáculos ni demoras y de conformidad con los principios humanitarios. Guiándonos por la Declaración Universal de Derechos Humanos (2) y los tratados e instrumentos internacionales de derechos humanos, garantizaremos los derechos humanos y las libertades fundamentales de todas las personas.

8. Protegeremos nuestro planeta. Si no adoptamos medidas más resueltas, seguiremos empobreciendo nuestro planeta, que perderá biodiversidad y recursos naturales. Veremos surgir más amenazas ambientales y desafíos relacionados con el clima, como los desastres naturales, la sequía, la desertificación, la escasez de alimentos, la escasez de agua, los incendios forestales, el aumento del nivel del mar y el agotamiento de los océanos. Este es el momento de actuar: muchos países, en particular pequeños Estados insulares en desarrollo, países menos adelantados y países en desarrollo sin litoral, se encuentran ya entre los más afectados. Debemos adaptarnos a las circunstancias y tomar medidas transformativas; tenemos una oportunidad histórica de reconstruir para mejorar y de forma más verde. Debemos frenar de inmediato las emisiones de gases de efecto invernadero y lograr pautas de consumo y producción sostenibles en consonancia con los compromisos aplicables asumidos por los Estados en el marco del Acuerdo de París (3) y con la Agenda 2030: se trata de una tarea impostergable.

9. Promoveremos la paz y prevendremos los conflictos. Los actuales conflictos armados y amenazas contra la paz y la seguridad internacionales deben resolverse urgentemente por medios pacíficos. Reiteramos la importancia de respetar la Carta, los principios del derecho internacional y las resoluciones pertinentes del Consejo de Seguridad, así como los acuerdos internacionales de control de armamentos, no proliferación y desarme y sus arquitecturas. Las Naciones Unidas deben afrontar mejor las amenazas en todas sus formas y ámbitos. El terrorismo y el extremismo violento que conduce al terrorismo son amenazas graves a la paz y la seguridad internacionales. Hay que aprovechar al máximo el instrumental diplomático de la Carta, incluidas la diplomacia preventiva y la mediación, por lo que exhortamos al Secretario General a que mejore ese instrumental para prevenir el estallido, la escalada y la reanudación de hostilidades por tierra y mar, y en el espacio y el ciberespacio. Apoyamos y promovemos plenamente la iniciativa del Secretario General en favor de un alto el fuego mundial: debe respetarse plenamente el derecho internacional humanitario. Construir, mantener y sostener la paz es hoy una de las principales responsabilidades de las Naciones Unidas.

10. Acataremos el derecho internacional y garantizaremos la justicia. Los propósitos y principios de la Carta y el derecho internacional siguen siendo intemporales y universales y una base indispensable para lograr un mundo más pacífico, próspero y justo. Acataremos los acuerdos internacionales que hemos suscrito y los compromisos que hemos asumido. Seguiremos promoviendo el respeto de la democracia y los derechos humanos y mejorando la gobernanza democrática y el estado de derecho mediante una gobernanza con mayor transparencia y rendición de cuentas e instituciones judiciales independientes.

11. Centraremos nuestra atención en las mujeres y las niñas. No se resolverán los conflictos ni se producirá el desarrollo sostenible sin la participación igualitaria y activa de las mujeres a todos los niveles. Los derechos humanos nunca podrán respetarse plenamente a menos que todas las mujeres y niñas también los disfruten. Las persistentes desigualdades y abusos de género, incluida la violencia sexual y de género, nos han privado de un mundo mejor y más justo. Aceleraremos las medidas para lograr la igualdad de género, la participación de las mujeres y el empoderamiento de las mujeres y las niñas en todos los ámbitos.

12. Fomentaremos la confianza. La creciente desigualdad dentro de los países y entre ellos pone en peligro nuestros esfuerzos por asegurar el futuro que queremos. La desigualdad suscita la desconfianza entre los países y la desconfianza de las personas en las instituciones de gobernanza, y también contribuye a que se produzcan actos de xenofobia, racismo, intolerancia, discurso de odio y desinformación. Condenamos todos esos actos y abordaremos las causas fundamentales de las desigualdades, como la violencia, los abusos de los derechos humanos, la corrupción, la marginación, la discriminación en todas sus formas, la pobreza y la exclusión, además de la falta de educación y empleo, puesto que es nuestra responsabilidad.

13. Mejoraremos la cooperación digital. Las tecnologías digitales han transformado profundamente la sociedad y generan oportunidades sin precedentes y nuevos desafíos. Cuando se utilizan de manera impropia o maliciosa, pueden fomentar las divisiones dentro de los países y entre ellos, aumentar la inseguridad, socavar los derechos humanos y exacerbar la desigualdad. Forjar una concepción común de la cooperación digital y un futuro digital que muestre todas las posibilidades que ofrece el uso beneficioso de la tecnología, y abordar las cuestiones de confianza y seguridad digitales, debe seguir siendo una prioridad, pues nuestro mundo depende hoy más que nunca de las herramientas digitales para mantener la conectividad y la prosperidad socioeconómica. Las tecnologías digitales tienen el potencial de acelerar la realización de la Agenda 2030 y debemos garantizar un acceso digital seguro y asequible para todos. Las Naciones Unidas pueden brindar una plataforma para que todos los interesados participen en esas deliberaciones.

14. Modernizaremos las Naciones Unidas. El mundo de hoy es muy diferente de lo que era hace 75 años, cuando se crearon las Naciones Unidas. Hay más países, más personas y más desafíos, pero también más soluciones. Nuestros métodos de trabajo deben mantenerse a la par de las circunstancias y adaptarse a ellas. Apoyamos plenamente las reformas puestas en marcha por el Secretario General, que están creando una organización con más agilidad, eficacia y rendición de cuentas, capaz de prestar mejores servicios sobre el terreno y adaptarse a los desafíos mundiales. Reiteramos nuestro llamamiento a que se reformen tres de los órganos principales de las Naciones Unidas, comprometiéndonos a infundir nueva vida a los debates sobre la reforma del Consejo de Seguridad y a seguir revitalizando la Asamblea General y fortaleciendo el Consejo Económico y Social. También tiene todo nuestro apoyo el examen de la estructura para la consolidación de la paz .

15. Aseguraremos una financiación sostenible. Para realizar nuestras aspiraciones habrá que financiar la Organización de manera sostenible y previsible. Pagaremos nuestras cuotas de forma íntegra y puntual, y habría que estudiar medidas para garantizar mejor que así sea. Seguiremos aumentando la transparencia, la rendición de cuentas y el uso eficiente de los recursos. Ejecutar íntegra y puntualmente la Agenda de Acción de Addis Abeba de la Tercera Conferencia Internacional sobre la Financiación para el Desarrollo es fundamental para implementar la Agenda 20304. La financiación conjunta de los sectores público y privado desempeña un papel fundamental en nuestros esfuerzos por lograr que las Naciones Unidas cumplan mejor sus propósitos.

16. Impulsaremos las alianzas. Los desafíos actuales requieren la cooperación no solo a través de las fronteras, sino también de todos los sectores de la sociedad. Debemos hacer que las Naciones Unidas sean más inclusivas e implicar a todos los interesados pertinentes, como las organizaciones regionales y subregionales, las organizaciones no gubernamentales, la sociedad civil, el sector privado, los círculos académicos y los parlamentarios, a fin de garantizar una respuesta eficaz a nuestros retos comunes.

17. Escucharemos a la juventud y trabajaremos con ella. La juventud es la pieza que falta para alcanzar la paz y el desarrollo. Así como nosotros nos beneficiamos de la visión de futuro de los fundadores de las Naciones Unidas, la juventud de hoy tendrá que vivir con las consecuencias de nuestras acciones o nuestra inacción. Desde hace demasiado tiempo, se pasan por alto las opiniones de la juventud en los debates sobre su futuro y esta situación tiene que cambiar mediante un compromiso sincero con la juventud.

18. Estaremos preparados. La pandemia de COVID-19 nos tomó por sorpresa, pero ha servido de alerta para que nos preparemos mejor no solo para crisis relacionadas con la salud, sino también para otros desafíos y crisis. Debemos afianzar la cooperación, la coordinación y la solidaridad internacionales. Es importante aprender e intercambiar experiencias e información para reducir los riesgos y hacer que nuestros sistemas sean más resilientes. Al tiempo que mejoramos nuestros sistemas de prevención y respuesta frente a las crisis mundiales, urge acelerar el desarrollo, la producción y el acceso mundial equitativo y asequible a nuevas vacunas, medicamentos y equipo médico. Aplaudimos a todos los trabajadores sanitarios y demás trabajadores de primera línea que ponen su propia seguridad en riesgo para salvar a otros y nos comprometemos a centrar nuestra respuesta en las personas.

19. Lo que acordemos hoy afectará a la sostenibilidad de nuestro planeta, así como al bienestar de otras generaciones durante décadas. A través de una acción mundial revitalizada y aprovechando los progresos alcanzados en los últimos 75 años, estamos decididos a asegurar el futuro que queremos. Para ello, movilizaremos recursos, redoblaremos nuestros esfuerzos y demostraremos una voluntad política y un liderazgo sin precedentes. Trabajaremos junto con los asociados para fortalecer la coordinación y la gobernanza global en favor del futuro común de las generaciones presentes y futuras.

20. Solicitamos al Secretario General que presente un informe antes de que finalice el septuagésimo quinto período de sesiones de la Asamblea General con recomendaciones para promover nuestra agenda común y responder a los desafíos actuales y futuros.

21. Nos comprometemos a presentar esta declaración a nuestra ciudadanía, con el verdadero espíritu de “Nosotros los pueblos”.

Tercera sesión plenaria

21 de septiembre de 2020

(1) Resolución 70/1.

(2) Resolución 217 A (III).

(3) Véase FCCC/CP/2015/10/Add.1, decisión 1/CP.21, anexo.

14Nov/24

Resolución 79/1 de la Asamblea General de 22 de septiembre de 2024.

14 noviembre, 2024ONU, ResoluciónAcuerdo de París, Agenda 2030, Cambio Climático, Carta Naciones Unidas, CBD/COP/15/17, Conferencia Beijing, Conferencia El Cairo 1994, Desarrollo Sostenible, Legislación Informática, Normativa ONU, Objetivos Desarrollo Sostenible, Pacto para el Futuro, Resolución 217 A (III), Resolución 2625, Resolución 69/313, Resolución 70/1, Resolución 78/1José Cuervo

Resolución 79/1 de la Asamblea General de 22 de septiembre de 2024. El Pacto para el Futuro

Septuagésimo noveno período de sesiones

Tema 123 del programa

Fortalecimiento del sistema de las Naciones Unidas

Resolución aprobada por la Asamblea General el 22 de septiembre de 2024

79/1. El Pacto para el Futuro

La Asamblea General

Aprueba el Pacto para el Futuro y sus anexos, que figuran a continuación:

El Pacto para el Futuro

1. Los Jefes y Jefas de Estado y de Gobierno, en representación de los pueblos del mundo, nos hemos reunido en la Sede de las Naciones Unidas para proteger las necesidades y los intereses de las generaciones presentes y futuras mediante las acciones que figuran en este Pacto para el Futuro.

2. Asistimos en estos momentos a una profunda transformación mundial. Nos enfrentamos a crecientes riesgos catastróficos y existenciales, muchos de ellos causados por nuestras propias decisiones. Hay seres humanos que padecen terribles sufrimientos. Si no enderezamos el rumbo, corremos el riesgo de estar abocados a un futuro disfuncional en el que las crisis serán constantes.

3. Así y todo, son momentos que también ofrecen esperanzas y oportunidades. La transformación que experimenta el mundo brinda la ocasión de renovarse y progresar tomando como base la humanidad que compartimos. Los avances del conocimiento, la ciencia, la tecnología y la innovación podrían dar lugar a logros decisivos que abran la puerta a un futuro mejor y más sostenible para todos. En nuestra mano está decidir.

4. Tenemos el convencimiento de que existe un camino hacia un futuro más halagüeño para todos los seres humanos, incluidos quienes viven en la pobreza y en situación de vulnerabilidad. Con las acciones que hoy emprendemos, resolvemos iniciar ese camino, esforzándonos por conseguir un mundo que sea seguro, pacífico, justo, igualitario, inclusivo, sostenible y próspero, un mundo en el que el bienestar, la seguridad y la dignidad y la salud del planeta estén garantizados para toda la humanidad.

5. Para ello será necesario renovar el compromiso con la cooperación internacional a partir del respeto del derecho internacional, pues sin él no podremos gestionar los riesgos ni aprovechar las oportunidades que se nos presentan. No tenemos otra opción. Existe una profunda interrelación entre los retos a que nos enfrentamos, los cuales superan con creces la capacidad de un solo Estado. Solo será posible abordarlos colectivamente, mediante una cooperación internacional sólida y sostenida, basada en la confianza y la solidaridad en beneficio de todos y aprovechando las poderosas contribuciones que pueden hacer todos los sectores y generaciones.

6.Reconocemos la necesidad de reforzar el sistema multilateral y sus instituciones, cuyo elemento central son las Naciones Unidas y su Carta, para seguir el ritmo de un mundo que cambia sin cesar. Esas instituciones deben ser idóneas para el presente y el futuro: eficaces y capaces, preparadas para el futuro, justas, democráticas, equitativas y representativas del mundo actual, inclusivas, interconectadas y financieramente estables.

7. Hoy prometemos el inicio de una nueva era para el multilateralismo. Las acciones que figuran en este Pacto tienen por objeto garantizar que las Naciones Unidas y otras grandes instituciones multilaterales puedan hacer realidad un futuro mejor para las personas y el planeta, ayudándonos a cumplir nuestros compromisos actuales y, al mismo tiempo, estén a la altura de los retos y oportunidades nuevos y emergentes.

8. Reafirmamos nuestro inquebrantable compromiso de actuar con arreglo al derecho internacional, incluida la Carta de las Naciones Unidas y sus propósitos y principios.

9. Reafirmamos también que los tres pilares de las Naciones Unidas —desarrollo, paz y seguridad, y derechos humanos— tienen idéntica importancia, están interrelacionados y se refuerzan mutuamente. Ninguno de ellos puede existir sin los demás.

10. Reconocemos que el desarrollo sostenible en sus tres dimensiones es un objetivo crucial en sí mismo y que su consecución, sin dejar a nadie atrás, es y será siempre una de las principales aspiraciones del multilateralismo. Reafirmamos nuestro compromiso permanente con la Agenda 2030 para el Desarrollo Sostenible (1) y sus Objetivos de Desarrollo Sostenible. Aceleraremos con urgencia los progresos hacia la consecución de los Objetivos, entre otras cosas mediante medidas políticas concretas y movilizando una considerable financiación adicional de todas las fuentes para el desarrollo sostenible, prestando especial atención a las necesidades de quienes se encuentran en situaciones especiales y a crear oportunidades para la juventud. La pobreza en todas sus formas y dimensiones, incluida la pobreza extrema, sigue siendo el mayor problema al que se enfrenta el mundo, y su erradicación es un requisito indispensable para el desarrollo sostenible.

11. El cambio climático es uno de los grandes retos de nuestra época y afecta de forma desproporcionada a los países en desarrollo, especialmente a los que son particularmente vulnerables a sus efectos adversos. Nos comprometemos a acelerar el cumplimiento de nuestras obligaciones en virtud de la Convención Marco de las Naciones Unidas sobre el Cambio Climático (2) y el Acuerdo de París (3).

12. Para cumplir nuestra promesa fundacional de proteger a las generaciones venideras del flagelo de la guerra, debemos acatar el derecho internacional, incluida la Carta, y hacer pleno uso de todos los instrumentos y mecanismos establecidos en ella, haciendo una utilización más intensa de la diplomacia, comprometiéndonos a resolver nuestras controversias por medios pacíficos, absteniéndonos de la amenaza o el uso de la fuerza, o de actos de agresión, respetando la soberanía y la integridad territorial de los demás, defendiendo los principios de la independencia política y la libre determinación, así como mejorando la rendición de cuentas y poniendo fin a la impunidad. Nuestros esfuerzos deben estar a la altura de los retos y riesgos para la paz y la seguridad internacionales, que están adoptando formas más peligrosas, tanto en los ámbitos tradicionales como en otros nuevos.

13. Todos los compromisos que figuran en este Pacto son plenamente coherentes y acordes con el derecho internacional, incluido el derecho de los derechos humanos. Reafirmamos la Declaración Universal de los Derechos Humanos (4) y las libertades fundamentales consagradas en ella. La aplicación del Pacto servirá para aumentar el pleno disfrute de los derechos humanos y la dignidad de todas las personas, que es un objetivo fundamental. Respetaremos, protegeremos, promoveremos y haremos realidad todos los derechos humanos, reconociendo que son universales, indivisibles, interdependientes y están relacionados entre sí, y defenderemos y propugnaremos de manera inequívoca la libertad de todas las personas para vivir sin temor y sin miseria.

14. Reconocemos que nuestro empeño en remediar la injusticia y reducir las desigualdades dentro de los países y entre ellos para construir sociedades pacíficas, justas e inclusivas no dará fruto a menos que redoblemos nuestros esfuerzos por promover la tolerancia, asumir la diversidad y combatir todas las formas de discriminación, como el racismo, la discriminación racial, la xenofobia y las formas conexas de intolerancia y todas sus abominables formas y manifestaciones contemporáneas.

15. Ninguno de nuestros objetivos podrá alcanzarse sin la participación y representación plenas, sin riesgo, igualitarias y significativas de todas las mujeres en la vida política y económica. Reafirmamos nuestro compromiso con la Declaración y Plataforma de Acción de Beijing (5), con la aceleración de nuestros esfuerzos por lograr la igualdad de género, la participación de las mujeres y el empoderamiento de todas las mujeres y niñas en todos los ámbitos y con la eliminación de todas las formas de discriminación y violencia contra las mujeres y las niñas.

16. Reafirmamos la promesa que hicimos con motivo del 75º aniversario de las Naciones Unidas de revitalizar la acción mundial para garantizar el futuro que queremos y responder eficazmente a los retos actuales y futuros, en colaboración con todas las partes interesadas. Reconocemos que el bienestar de las generaciones actuales y futuras y la sostenibilidad de nuestro planeta dependen de nuestra voluntad de actuar. Para ello, en este Pacto nos comprometemos a emprender 56 acciones en los ámbitos del desarrollo sostenible y la financiación para el desarrollo, la paz y la seguridad internacionales, la ciencia, la tecnología y la innovación y la cooperación digital, la juventud y las generaciones futuras, y la transformación de la gobernanza global.

17. Promoveremos la ejecución de estas acciones a través de los procesos intergubernamentales que tengan los mandatos pertinentes, cuando existan. Examinaremos la aplicación general del Pacto al comienzo del octogésimo tercer período de sesiones de la Asamblea General organizando una reunión a nivel de Jefaturas de Estado y de Gobierno. Confiamos en que, para entonces, estaremos bien encaminados hacia ese futuro mejor y más sostenible que queremos para nuestra generación, la de nuestros hijos e hijas y todas las demás que nos seguirán.

I. Desarrollo sostenible y financiación para el desarrollo

18. En 2015 resolvimos liberar a la humanidad de la tiranía de la pobreza, el hambre y las privaciones y sanar y proteger nuestro planeta. Prometimos que no dejaríamos a nadie atrás. Aunque hemos avanzado, el logro de los Objetivos de Desarrollo Sostenible corre peligro. En la mayoría de los Objetivos se avanza con demasiada lentitud o se ha retrocedido por debajo de la base de referencia de 2015. Se están esfumando avances en materia de desarrollo sostenible que costó años conseguir. Han aumentado la pobreza, el hambre y la desigualdad. Los derechos humanos se ven amenazados y corremos el riesgo de dejar atrás a millones de personas. El cambio climático, la pérdida de biodiversidad, la desertificación y las tormentas de arena y polvo, la contaminación y otros problemas ambientales crean graves riesgos para nuestro entorno natural y nuestras perspectivas de desarrollo.

19. No aceptaremos un futuro en el que la dignidad y las oportunidades se nieguen a la mitad de la población mundial o se conviertan en patrimonio exclusivo de quienes gozan de privilegios y riqueza. Reafirmamos que la Agenda 2030 para el Desarrollo Sostenible es nuestra hoja de ruta general para lograr el desarrollo sostenible en sus tres dimensiones, superar las múltiples crisis interrelacionadas a las que nos enfrentamos y garantizar un futuro mejor para las generaciones presentes y futuras. Reconocemos que la erradicación de la pobreza en todas sus formas y dimensiones, incluida la pobreza extrema, es el mayor desafío al que se enfrenta el mundo y constituye un requisito indispensable para el desarrollo sostenible. El desarrollo sostenible y la realización de los derechos humanos y las libertades fundamentales son interdependientes y se refuerzan mutuamente. Reafirmamos que la igualdad de género y el empoderamiento de todas las mujeres y niñas es un requisito esencial para el desarrollo sostenible. No podremos hacer realidad nuestras aspiraciones comunes para el futuro si no afrontamos esos retos con urgencia y renovado vigor. Nos comprometemos a velar por que el sistema multilateral dé un nuevo impulso a nuestra aspiración de cumplir con las personas y el planeta, y todas nuestras acciones se centrarán en las personas.

Acción 1. Emprenderemos acciones audaces, ambiciosas, aceleradas, justas y transformativas para implementar la Agenda 2030, alcanzar los Objetivos de Desarrollo Sostenible y no dejar a nadie atrás.

20. Reafirmamos que los Objetivos de Desarrollo Sostenible son un conjunto amplio, de gran alcance y centrado en las personas de Objetivos y metas universales y transformativos. Reiteramos nuestro inquebrantable compromiso de alcanzar los Objetivos de Desarrollo Sostenible para 2030 y revitalizar la alianza mundial en pro del desarrollo sostenible, colaborando estrechamente con todas las partes interesadas pertinentes. Reconocemos que la Agenda 2030 es universal y que todos los países en desarrollo, incluidos los países en situaciones especiales, en particular los países africanos, los países menos adelantados, los países en desarrollo sin litoral y los pequeños Estados insulares en desarrollo, así como aquellos con problemas específicos, como los países de ingreso mediano y los países en situaciones de conflicto y posconflicto, necesitan asistencia para implementar la Agenda. Intensificaremos nuestras acciones para hacer frente al cambio climático. Reafirmamos los principios de la Declaración de Río sobre el Medio Ambiente y el Desarrollo (6), incluido el de las responsabilidades comunes pero diferenciadas enunciado en su principio 7. Decidimos lo siguiente:

a) Redoblar nuestros esfuerzos por lograr la plena implementación de la Agenda 2030 para el Desarrollo Sostenible, la Agenda de Acción de Addis Abeba (7) y el Acuerdo de París;

b) Cumplir plenamente los compromisos de la declaración política acordada en la Cumbre sobre los Objetivos de Desarrollo Sostenible de 2023 (8);

c) Movilizar considerables y suficientes recursos e inversiones de todas las fuentes para el desarrollo sostenible;

d) Eliminar todos los obstáculos que dificultan el desarrollo sostenible y abstenerse de ejercer presiones económicas.

Acción 2. Centraremos en la erradicación de la pobreza nuestros esfuerzos por implementar la Agenda 2030.

21. La erradicación de la pobreza en todas sus formas y dimensiones, incluida la pobreza extrema, es un imperativo para toda la humanidad. Decidimos lo siguiente:

a) Adoptar medidas amplias y específicas para erradicar la pobreza abordando su naturaleza multidimensional, incluso mediante estrategias de desarrollo rural e inversiones e innovaciones en el sector social, especialmente en educación y sanidad;

b) Emprender acciones concretas para evitar que las personas recaigan en la pobreza, entre otras cosas estableciendo sistemas de protección social bien diseñados, sostenibles y eficientes para todos que puedan responder a las perturbaciones.

Acción 3. Pondremos fin al hambre y eliminaremos la inseguridad alimentaria y todas las formas de malnutrición.

22. Nos sigue preocupando profundamente que un tercio de la población mundial continúe padeciendo inseguridad alimentaria, y abordaremos y afrontaremos los factores causantes de la inseguridad alimentaria y la malnutrición. Decidimos lo siguiente:

a) Ayudar a los países y las comunidades afectados por la inseguridad alimentaria y todas las formas de malnutrición mediante una acción coordinada que incluya suministros alimentarios de emergencia, programas, financiación y apoyo a la producción agrícola, aumentando la resiliencia nacional frente a las perturbaciones y velando por que las cadenas de suministro alimentario y agrícola funcionen y los mercados y los cauces comerciales sigan siendo libres y accesibles;

b) Ayudar a los países agobiados por la deuda a gestionar la volatilidad de los mercados internacionales de alimentos y colaborar con las instituciones financieras internacionales y el sistema de las Naciones Unidas para apoyar a los países en desarrollo afectados por la inseguridad alimentaria;

c) Promover sistemas agroalimentarios equitativos, resilientes, inclusivos y sostenibles para que todas las personas tengan acceso a alimentos inocuos, asequibles, suficientes y nutritivos.

Acción 4. Reduciremos el déficit de financiación de los Objetivos de Desarrollo Sostenible en los países en desarrollo.

23. Nos preocupa profundamente el creciente déficit de financiación de los Objetivos de Desarrollo Sostenible en los países en desarrollo. Debemos eliminar este déficit para evitar que se abra una brecha duradera en el desarrollo sostenible, aumenten las desigualdades dentro de los países y entre ellos y disminuya todavía más la confianza en las relaciones internacionales y en el sistema multilateral. Observamos los esfuerzos que se están realizando para abordar el déficit de financiación, incluso mediante el plan de estímulo para los Objetivos de Desarrollo Sostenible propuesto por el Secretario General. Decidimos lo siguiente:

a) Proporcionar y movilizar una financiación para el desarrollo que sea sostenible, asequible, accesible, transparente y predecible de todas las fuentes, junto con los medios de implementación necesarios para los países en desarrollo;

b) Seguir avanzando con urgencia hacia un plan de estímulo para los Objetivos de Desarrollo Sostenible mediante la propuesta del Secretario General, en las Naciones Unidas y en otros foros pertinentes;

c) Ampliar y cumplir nuestros respectivos compromisos sobre la asistencia oficial para el desarrollo, incluido el compromiso de la mayoría de los países desarrollados de alcanzar el objetivo de destinar el 0,7 % del ingreso nacional bruto a la asistencia oficial para el desarrollo y entre el 0,15 % y el 0,20 % del ingreso nacional bruto a la asistencia oficial para el desarrollo de los países menos adelantados;

d) Proseguir los debates sobre la modernización de los sistemas para medir la asistencia oficial para el desarrollo, respetando los compromisos existentes;

e) Garantizar que la asistencia para el desarrollo se centre en los países en desarrollo y llegue a ellos, prestando particular atención a los más pobres y vulnerables, y emprender nuevas acciones para reforzar su eficacia;

f) Crear un entorno más propicio a nivel mundial, regional y nacional para aumentar la movilización de recursos internos y mejorar las capacidades, las instituciones y los sistemas de los países en desarrollo a todos los niveles para alcanzar ese objetivo, incluso mediante el apoyo internacional, con el fin de aumentar las inversiones en desarrollo sostenible;

g) Aplicar políticas económicas, sociales y ambientales eficaces y garantizar la buena gobernanza y la transparencia de las instituciones para impulsar el desarrollo sostenible;

h) Redoblar los esfuerzos que se están haciendo para prevenir y combatir los flujos financieros ilícitos, la corrupción, el blanqueo de dinero y la evasión de impuestos, eliminar los paraísos fiscales y recuperar y devolver los activos procedentes de actividades ilícitas;

i) Promover una cooperación internacional inclusiva y eficaz en cuestiones de tributación, la cual contribuye de manera importante a los esfuerzos nacionales por alcanzar los Objetivos de Desarrollo Sostenible, ya que permite a los países movilizar efectivamente sus recursos internos, y destacar que es necesario mejorar las actuales estructuras de gobernanza fiscal internacional. Nos hemos comprometido a aumentar la inclusividad y la eficacia de la cooperación en cuestiones de tributación dentro de las Naciones Unidas, teniendo en cuenta al mismo tiempo la labor de otros foros e instituciones competentes, y seguiremos participando de forma constructiva en el proceso encaminado a elaborar una convención marco de las Naciones Unidas sobre cooperación internacional en cuestiones de tributación;

j) Estudiar en los foros adecuados posibles opciones para la cooperación internacional en materia de tributación de particulares con gran patrimonio;

k) Ayudar a los países en desarrollo a catalizar una mayor inversión del sector privado en el desarrollo sostenible, entre otras cosas promoviendo mecanismos y alianzas de financiación inclusivos e innovadores y creando un entorno regulatorio y e inversionista nacional e internacional más propicio, así como mediante el uso de la financiación pública como catalizador;

l) Ampliar el apoyo de todas las fuentes a la inversión para aumentar las capacidades productivas, la industrialización inclusiva y sostenible, la infraestructura y la transformación económica estructural, la diversificación y el crecimiento en los países en desarrollo;

m) Velar por que los resultados de la Cuarta Conferencia Internacional sobre la Financiación para el Desarrollo que se celebrará en 2025 sean ambiciosos, para eliminar el déficit de financiación de los Objetivos de Desarrollo Sostenible y acelerar la implementación de la Agenda 2030 y el logro de los Objetivos de Desarrollo Sostenible.

Acción 5. Velaremos por que el sistema multilateral de comercio siga siendo un motor del desarrollo sostenible.

24. Expresamos nuestro compromiso con un sistema multilateral de comercio basado en normas, no discriminatorio, abierto, justo, inclusivo, equitativo y transparente cuyo elemento central sea la Organización Mundial del Comercio. Recalcamos la importancia de que el sistema multilateral de comercio contribuya al logro de los Objetivos de Desarrollo Sostenible. Reiteramos que se insta encarecidamente a los Estados a que se abstengan de promulgar y aplicar unilateralmente medidas económicas que no sean compatibles con el derecho internacional y la Carta de las Naciones Unidas y que impidan la plena consecución del desarrollo económico y social, particularmente en los países en desarrollo. Decidimos lo siguiente:

a) Promover el crecimiento impulsado por las exportaciones en los países en desarrollo mediante, entre otras cosas, su acceso preferencial al comercio, según proceda, y un trato especial y diferenciado con carácter específico que responda a las necesidades de desarrollo de cada país, en particular los países menos adelantados, con arreglo a los compromisos de la Organización Mundial del Comercio;

b) Tratar de concluir la necesaria reforma de la Organización Mundial del Comercio;

c) Facilitar la adhesión a la Organización Mundial del Comercio, especialmente de los países en desarrollo, y promover la liberalización y facilitación del comercio y las inversiones.

Acción 6. Invertiremos en las personas para acabar con la pobreza y reforzar la confianza y la cohesión social.

25. Expresamos nuestra profunda preocupación por las persistentes desigualdades que existen dentro de los países y entre ellos, y por la lentitud con que se avanza para mejorar la vida y los medios de subsistencia de las personas en todo el mundo, incluidas las que se encuentran en situación de vulnerabilidad. Debemos conseguir que los Objetivos de Desarrollo Sostenible sean una realidad para todos los sectores de la sociedad y no dejar a nadie atrás, incluso localizando el desarrollo sostenible. Ponemos de relieve que garantizar el acceso a la energía y la seguridad energética es crucial para alcanzar los Objetivos de Desarrollo Sostenible y promover el desarrollo económico, la estabilidad social, la seguridad nacional y el bienestar de todas las naciones del mundo. Decidimos lo siguiente:

a) Velar por que los resultados de la Cumbre Social Mundial titulada “Segunda Cumbre Mundial sobre Desarrollo Social”, que se celebrará en 2025, sean ambiciosos;

b) Promover la cobertura sanitaria universal, aumentar el acceso a una educación y un aprendizaje permanente inclusivos y de calidad, incluso en situaciones de emergencia, y mejorar las oportunidades de trabajo decente para todas las personas y el acceso universal a la protección social para erradicar la pobreza y reducir las desigualdades;

c) Garantizar el acceso de todas las personas a viviendas adecuadas, seguras y asequibles y ayudar a los países en desarrollo a planificar y realizar ciudades justas, seguras, saludables, accesibles, resilientes y sostenibles;

d) Acelerar los esfuerzos por garantizar el acceso a una energía asequible, fiable, sostenible y moderna para todos, incluidos los encaminados a crear infraestructuras energéticas transfronterizas que sean resilientes y seguras, y aumentar sustancialmente la proporción de energías renovables;

e) Maximizar la contribución positiva de los migrantes al desarrollo sostenible de los países de origen, tránsito, destino y acogida, y reforzar las alianzas internacionales y la cooperación mundial para la migración segura, ordenada y regular, con el fin de abordar de manera integral los factores que propician la migración irregular y garantizar la seguridad, la dignidad y los derechos humanos de todos los migrantes, independientemente de su estatus migratorio;

f) Abordar y promover la prevención de la escasez de agua y aumentar la resiliencia frente a la sequía para lograr un mundo en que el agua sea un recurso sostenible y garantizar la disponibilidad y la gestión sostenible del agua limpia y potable, el saneamiento y la higiene para todos;

g) Promover un enfoque del desarrollo sostenible que tenga en cuenta los riesgos de desastre e integre la reducción del riesgo de desastres en las políticas, los programas y las inversiones a todos los niveles.

Acción 7. Redoblaremos nuestros esfuerzos por construir sociedades pacíficas, justas e inclusivas en pro del desarrollo sostenible, facilitar el acceso a la justicia para todos, crear a todos los niveles instituciones eficaces e inclusivas que rindan cuentas y defender los derechos humanos y las libertades fundamentales.

26. Reafirmamos la necesidad de construir sociedades pacíficas, justas e inclusivas que proporcionen igualdad de acceso a la justicia y se basen en el respeto de los derechos humanos, el estado de derecho y la buena gobernanza a todos los niveles e instituciones transparentes y eficaces que rindan cuentas. Reafirmamos que todos los derechos humanos son universales e indivisibles, están relacionados entre sí, son interdependientes y se refuerzan mutuamente, y que deben tratarse de manera justa y equitativa, en pie de igualdad y con la misma atención. Decidimos lo siguiente:

a) Respetar, proteger y hacer efectivos todos los derechos humanos y las libertades fundamentales, incluido el derecho al desarrollo, promover el estado de derecho a nivel nacional e internacional y garantizar una justicia equitativa para todos, y desarrollar la buena gobernanza a todos los niveles e instituciones transparentes, inclusivas y eficaces que rindan cuentas a todos los niveles;

b) Promover y proteger los derechos humanos y la implementación de la Agenda 2030 para el Desarrollo Sostenible, que están relacionados entre sí y se refuerzan mutuamente, reconociendo al mismo tiempo que la Agenda 2030 para el

Desarrollo Sostenible contiene la promesa de no dejar a nadie atrás y prevé un mundo donde el respeto y la promoción de los derechos humanos y la dignidad humana, el estado de derecho, la justicia, la igualdad y la no discriminación sean universales.

Acción 8. Lograremos la igualdad de género y el empoderamiento de todas las mujeres y niñas como contribución decisiva para avanzar en todos los Objetivos de Desarrollo Sostenible y sus metas.

27. Reconocemos que no es posible realizar todo el potencial humano y alcanzar el desarrollo sostenible si se niega a las mujeres y las niñas el pleno disfrute de sus derechos humanos y sus oportunidades. El crecimiento económico sostenido, inclusivo y equitativo y el desarrollo sostenible solo podrán hacerse realidad cuando se respeten, protejan y hagan plenamente efectivos los derechos humanos de todas las mujeres, adolescentes y niñas. Decidimos lo siguiente:

a) Emprender acciones audaces, ambiciosas, aceleradas, justas y transformativas para que todas las mujeres y niñas disfruten plenamente y en igualdad de condiciones de todos los derechos humanos y libertades fundamentales;

b) Eliminar urgentemente todos los obstáculos jurídicos, sociales y económicos que impiden lograr la igualdad de género y asegurar la participación plena y efectiva de las mujeres y la igualdad de oportunidades de liderazgo a todos los niveles decisorios en la vida política, económica y pública;

c) Emprender acciones específicas y aceleradas para erradicar todas las formas de violencia y acoso contra todas las mujeres y niñas, incluida la violencia sexual y de género;

d) Aumentar significativamente las inversiones para eliminar la brecha de género, incluso en la economía del cuidado y del apoyo, reconociendo el vínculo que existe entre la pobreza y la desigualdad de género y la necesidad de reforzar el apoyo a las instituciones en relación con la igualdad de género y el empoderamiento de las mujeres;

e) Emprender reformas que otorguen a las mujeres igualdad de derechos a los recursos económicos, así como acceso a la propiedad y al control de la tierra y otros tipos de bienes, los servicios financieros, la herencia, los recursos naturales y nuevas tecnologías apropiadas, de conformidad con las leyes nacionales;

f) Asegurar el acceso universal a la salud sexual y reproductiva y los derechos reproductivos según lo acordado de conformidad con el Programa de Acción de la Conferencia Internacional sobre la Población y el Desarrollo (9), la Plataforma de Acción de Beijing y los documentos finales de sus conferencias de examen.

Acción 9. Reforzaremos nuestras acciones para hacer frente al cambio climático.

28. Nos preocupa profundamente la lentitud con que se avanza en la lucha contra el cambio climático. Nos preocupa igualmente el continuo aumento de las emisiones de gases de efecto invernadero, y reconocemos la importancia de los medios de implementación y el apoyo a los países en desarrollo y la creciente frecuencia, intensidad y magnitud de los efectos adversos del cambio climático, sobre todo en los países en desarrollo, en especial los que son particularmente vulnerables a los efectos adversos del cambio climático. Para tratar de alcanzar los objetivos de la Convención Marco de las Naciones Unidas sobre el Cambio Climático y del Acuerdo de París, reafirmamos la importancia de acelerar la acción en esta década crucial sobre la base de los mejores conocimientos científicos disponibles, reflejando la equidad y el principio de las responsabilidades comunes pero diferenciadas y las capacidades respectivas, a la luz de las diferentes circunstancias nacionales y en el contexto del desarrollo sostenible y los esfuerzos por erradicar la pobreza. Decidimos lo siguiente:

a) Reafirmar el objetivo del Acuerdo de París de mantener el aumento de la temperatura media mundial muy por debajo de 2 °C con respecto a los niveles preindustriales y proseguir los esfuerzos para limitar ese aumento de la temperatura a 1,5 °C con respecto a los niveles preindustriales, reconociendo que ello reduciría considerablemente los riesgos y los efectos del cambio climático, y recalcar que los efectos del cambio climático serán mucho menores si la temperatura aumenta 1,5 °C en lugar de 2 °C y tomar la determinación de esforzarnos por limitar el aumento de la temperatura a 1,5 °C;

b) Acoger con beneplácito las decisiones adoptadas en el 28º período de sesiones de la Conferencia de las Partes en la Convención Marco de las Naciones Unidas sobre el Cambio Climático, incluidas las decisiones adoptadas en virtud del “Consenso de los EAU”, que incluye el resultado del primer balance mundial del Acuerdo de París, realizado durante el quinto período de sesiones de la Conferencia de las Partes en calidad de reunión de las Partes en el Acuerdo de París;

c) Reconocer además la necesidad de efectuar reducciones drásticas, rápidas y sostenidas de las emisiones de gases de efecto invernadero, conforme a trayectorias coherentes con los 1,5 °C, y exhortar a las partes a que contribuyan a las siguientes iniciativas mundiales, de manera determinada a nivel nacional y teniendo en cuenta el Acuerdo de París y sus diferentes circunstancias, trayectorias y enfoques nacionales: triplicar la capacidad mundial de energía renovable y duplicar la tasa media anual mundial de mejora de la eficiencia energética de aquí a 2030; acelerar los esfuerzos por eliminar gradualmente la generación de energía a partir del carbón sin medidas de mitigación; acelerar los esfuerzos mundiales por conseguir sistemas energéticos con cero emisiones netas, utilizando combustibles sin emisiones de carbono o con bajas emisiones mucho antes de mitad de siglo o alrededor de esa fecha a más tardar; abandonar los combustibles fósiles en los sistemas energéticos, con una transición justa, ordenada y equitativa, acelerando la acción en esta década crucial con el fin de alcanzar el cero neto en emisiones a más tardar en 2050 en consonancia con los datos científicos; acelerar las tecnologías de emisiones cero y bajas emisiones, incluidas, entre otras, las de energías renovables y energía nuclear, las tecnologías de reducción y eliminación, como las de captura y utilización y almacenamiento del carbono, especialmente en sectores en que la reducción resulte difícil, y la producción de hidrógeno con bajas emisiones de carbono; acelerar y aumentar sustancialmente la reducción en todo el mundo de otras emisiones distintas del dióxido de carbono, en particular las emisiones de metano de aquí a 2030; acelerar la reducción de las emisiones del transporte por carretera mediante distintas trayectorias, como el desarrollo de la infraestructura y el rápido despliegue de vehículos con emisiones cero o bajas emisiones; y eliminar gradualmente y lo antes posible los subsidios ineficientes a los combustibles fósiles que no ayudan a subsanar la pobreza energética ni fomentan las transiciones justas;

d) Reconocer que los combustibles de transición pueden ayudar a facilitar la transición energética, garantizando al mismo tiempo la seguridad energética;

e) Destacar además la importancia de conservar, proteger y restaurar la naturaleza y los ecosistemas para alcanzar el objetivo de temperatura del Acuerdo de París, incluso intensificando los esfuerzos por detener e invertir la deforestación y la degradación de los bosques de aquí a 2030, así como otros ecosistemas terrestres y marinos que actúan como sumideros y depósitos de gases de efecto invernadero, y mediante la conservación de la biodiversidad, garantizando al mismo tiempo las salvaguardias sociales y ambientales, en consonancia con el Marco Mundial de Biodiversidad de Kunming-Montreal (10);

f) Reafirmar nuestra determinación de fijar, en el 29º período de sesiones de la Conferencia de las Partes en la Convención Marco de las Naciones Unidas sobre el Cambio Climático, un nuevo objetivo colectivo cuantificado de 100.000 millones de dólares de los Estados Unidos al año como mínimo, teniendo en cuenta las necesidades y prioridades de los países en desarrollo;

g) Reafirmar que las contribuciones determinadas a nivel nacional se determinan a nivel nacional, así como el artículo 4, párrafo 4, del Acuerdo de París, y alentar a las partes en el Acuerdo a que propongan, en nuestras próximas contribuciones determinadas a nivel nacional, ambiciosas metas para reducir las emisiones en toda la economía que abarquen todos los gases de efecto invernadero, sectores y categorías y se ajusten al objetivo de limitar el calentamiento global a 1,5 °C, de acuerdo con la información científica más reciente y a la luz de las diferentes circunstancias nacionales;

h) Mejorar significativamente la cooperación internacional y el entorno internacional propicio para estimular la ambición en la próxima ronda de contribuciones determinadas a nivel nacional;

i) Reconocer que habrá que ampliar considerablemente la financiación de la adaptación para cumplir la decisión de duplicar la financiación de la adaptación a fin de atender la urgente y cambiante necesidad de acelerar la adaptación y aumentar la resiliencia en los países en desarrollo, pero poniendo de relieve al mismo tiempo que la financiación, la creación de capacidad y la transferencia de tecnología son factores esenciales para facilitar la acción climática y señalando que sigue siendo fundamental aportar y movilizar más financiación nueva y adicional basada en subvenciones y con condiciones muy favorables y de instrumentos distintos de la deuda para apoyar a los países en desarrollo, en particular durante una transición que ha de ser justa y equitativa;

j) Seguir poniendo en funcionamiento y capitalizando los nuevos mecanismos de financiación, incluido el Fondo, para responder a pérdidas y daños;

k) Proteger a todos los habitantes de la Tierra haciendo universal la cobertura de los sistemas de alerta temprana de peligros múltiples de aquí a 2027, incluso acelerando la ejecución de la iniciativa Alertas Tempranas para Todos.

Acción 10. Aceleraremos nuestros esfuerzos por restaurar, proteger, conservar y utilizar de forma sostenible el medio ambiente.

29. Nos preocupa profundamente la rápida degradación ambiental y reconocemos la urgente necesidad de cambiar de manera radical nuestro enfoque para lograr un mundo donde la humanidad viva en armonía con la naturaleza. Debemos conservar, restaurar y utilizar de forma sostenible los ecosistemas y los recursos naturales de nuestro planeta para contribuir a la salud y el bienestar de las generaciones presentes y futuras. Abordaremos los efectos adversos del cambio climático, el aumento del nivel del mar, la pérdida de biodiversidad, la contaminación, la escasez de agua, las inundaciones, la desertificación, la degradación de las tierras, la sequía, la deforestación y las tormentas de arena y polvo. Decidimos lo siguiente:

a) Lograr un mundo donde la humanidad viva en armonía con la naturaleza, conservar y utilizar de forma sostenible los recursos de nuestro planeta e invertir las tendencias de degradación medioambiental;

b) Emprender acciones ambiciosas para mejorar la salud, la productividad, la utilización sostenible y la resiliencia del océano y sus ecosistemas, conservar y utilizar de forma sostenible y restaurar los mares y los recursos de agua dulce, así como los bosques, las montañas, los glaciares y las tierras secas, y proteger, conservar y restaurar la biodiversidad, los ecosistemas y la fauna y flora silvestres;

c) Promover modalidades de consumo y producción sostenibles, incluidos estilos de vida sostenibles, y enfoques de economía circular como vía para lograr modalidades de consumo y producción sostenibles, así como iniciativas de cero desechos;

d) Acelerar los esfuerzos por hacer frente a la contaminación del aire, la tierra y el suelo, el agua dulce y el océano, incluida la gestión racional de los productos químicos, y tratar de concluir un instrumento internacional jurídicamente vinculante sobre la contaminación por plásticos, incluso en el medio marino, con la aspiración de finalizar las negociaciones antes de que termine 2024;

e) Implementar el marco para detener e invertir la pérdida de biodiversidad de aquí a 2030 y aplicar todos los acuerdos multilaterales sobre el medio ambiente;

f) Proteger nuestro planeta y hacer frente a los retos ambientales mundiales reforzando la cooperación internacional en materia ambiental y aplicando y cumpliendo los acuerdos multilaterales sobre el medio ambiente.

Acción 11. Protegeremos y promoveremos la cultura y el deporte como componentes integrales del desarrollo sostenible.

30. Reconocemos que tanto la cultura como el deporte brindan a las personas y las comunidades un fuerte sentido identitario y fomentan la cohesión social. Reconocemos también que el deporte puede contribuir a la salud y el bienestar de las personas y las comunidades. Por consiguiente, tanto la cultura como el deporte son importantes factores que facilitan el desarrollo sostenible. Decidimos lo siguiente:

a) Velar por que tanto la cultura como el deporte puedan contribuir a un desarrollo más efectivo, inclusivo, equitativo y sostenible, integrar la cultura en las políticas y estrategias de desarrollo económico, social y ambiental y garantizar suficientes inversiones públicas para proteger y promover la cultura;

b) Fomentar una mayor cooperación internacional para que se devuelvan o restituyan a sus países de origen los bienes culturales con valor espiritual, ancestral, histórico y cultural, como obras de arte, monumentos, piezas de museo, manuscritos y documentos, entre otros, y alentar encarecidamente a las entidades privadas pertinentes a que hagan lo mismo, incluso mediante el diálogo bilateral y con la asistencia de mecanismos multilaterales, según proceda;

c) Promover y apoyar el diálogo intercultural e interreligioso para reforzar la cohesión social y contribuir al desarrollo sostenible.

Acción 12. Haremos planes para el futuro y redoblaremos nuestros esfuerzos colectivos por impulsar la plena implementación de la Agenda 2030 para el Desarrollo Sostenible de aquí a 2030 y posteriormente.

31. Mantenemos firmemente nuestro empeño y compromiso de alcanzar los Objetivos de Desarrollo Sostenible de aquí a 2030. Seguiremos esforzándonos por construir el futuro que queremos afrontando los retos existentes, nuevos y emergentes para el desarrollo sostenible de aquí a 2030 y posteriormente. Decidimos lo siguiente:

a) Promover significativamente los avances hacia la implementación plena y oportuna de la Agenda 2030 para el Desarrollo Sostenible de aquí a 2030, incluso reforzando la función del foro político de alto nivel sobre el desarrollo sostenible como principal plataforma para el seguimiento y el examen de la agenda de desarrollo sostenible;

b) Invitar al foro político de alto nivel, bajo los auspicios de la Asamblea General, a que en septiembre de 2027 considere la forma en que promoveremos el desarrollo sostenible de aquí a 2030 y posteriormente, como prioridad y elemento central de nuestra labor.

II. Paz y seguridad internacionales

32. El panorama mundial de la seguridad está experimentando una profunda transformación. Nos preocupan las crecientes y diversas amenazas a la paz y la seguridad internacionales, en particular las violaciones de los propósitos y principios de la Carta, y los riesgos cada vez mayores de que se produzca una guerra nuclear que podría poner en peligro la existencia de la humanidad. En este contexto lleno de cambios, mantenemos nuestro compromiso con el establecimiento de una paz justa y duradera. Reafirmamos nuestro compromiso de actuar con arreglo al derecho internacional, incluida la Carta y sus propósitos y principios, y de cumplir nuestras obligaciones de buena fe. Reafirmamos que es imprescindible respetar y promover el estado de derecho en el plano internacional de conformidad con los principios de la Carta de las Naciones Unidas y, a este respecto, recordamos la importancia de la Declaración sobre los Principios de Derecho Internacional referentes a las Relaciones de Amistad y a la Cooperación entre los Estados de conformidad con la Carta de las Naciones Unidas (11). Reiteramos nuestro pleno respeto de la igualdad soberana de todos los Estados Miembros, los principios de igualdad de derechos y libre determinación de los pueblos y nuestra obligación de abstenernos de recurrir a la amenaza o el uso de la fuerza contra la integridad territorial o la independencia política de ningún Estado, así como nuestro compromiso de resolver las controversias internacionales por medios pacíficos. También reafirmamos nuestro compromiso con la Declaración Universal de Derechos Humanos.

33. Las Naciones Unidas desempeñan un papel indispensable en el mantenimiento de la paz y la seguridad internacionales. Nuestros esfuerzos por hacer frente con urgencia a la acumulación de diversas amenazas a la paz y la seguridad internacionales, en tierra, mar y aire, en el espacio ultraterrestre y en el ciberespacio, deben apoyarse en una labor encaminada a restablecer la confianza, reforzar la solidaridad y aumentar la cooperación internacional, incluso mediante un uso más intenso de la diplomacia. Tomamos nota de la Nueva Agenda de Paz (12).

Acción 13. Redoblaremos nuestros esfuerzos por construir y mantener sociedades pacíficas, inclusivas y justas y abordar las causas profundas de los conflictos.

34. Reconocemos la interdependencia de la paz y la seguridad internacionales, el desarrollo sostenible y los derechos humanos, y reafirmamos la importancia del estado de derecho en los planos internacional y nacional. Nos preocupa que el aumento mundial de los gastos militares pueda afectar a las inversiones en desarrollo sostenible y sostenimiento de la paz. Decidimos lo siguiente:

a) Fortalecer la resiliencia y abordar de manera integral los factores que propician los conflictos armados, la violencia y la inestabilidad y sus causas profundas, así como sus consecuencias, entre otras cosas acelerando la inversión en la Agenda 2030 y los Objetivos de Desarrollo Sostenible y su implementación;

b) Proporcionar igual acceso a la justicia, proteger el espacio cívico y defender los derechos humanos para todas las personas, entre otras cosas promoviendo la cultura de paz, la inclusión, la tolerancia y la coexistencia pacífica, erradicando la discriminación religiosa, contrarrestando el racismo, la discriminación racial y la xenofobia en todas sus manifestaciones y abordando los problemas que amenazan la supervivencia, los medios de vida y la dignidad de todas las personas;

c) Velar por que el gasto militar no comprometa las inversiones en desarrollo sostenible ni la consolidación de una paz sostenible, y solicitar al Secretario General que analice la forma en que el aumento mundial de los gastos militares afecta a la consecución de los Objetivos de Desarrollo Sostenible antes de que concluya el septuagésimo noveno periodo de sesiones.

Acción 14. Protegeremos a todos los civiles en los conflictos armados.

35. Condenamos en los términos más enérgicos el efecto devastador que tienen los conflictos armados en los civiles, la infraestructura civil y el patrimonio cultural, y nos preocupa especialmente el impacto desproporcionado de la violencia en las mujeres, la infancia, las personas con discapacidad y otras personas en situación de vulnerabilidad en los conflictos armados. El derecho internacional prohíbe el genocidio, los crímenes de lesa humanidad y los crímenes de guerra, incluidos los ataques deliberados contra los civiles y la infraestructura civil. Reafirmamos nuestro compromiso con las obligaciones que nos incumben en virtud del derecho internacional, incluido el derecho internacional humanitario, el derecho internacional de los derechos humanos y el derecho internacional de los refugiados. Decidimos lo siguiente:

a) Adoptar medidas concretas y prácticas para proteger a todos los civiles en los conflictos armados;

b) Acelerar el cumplimiento de nuestros compromisos en virtud de la agenda sobre la infancia y los conflictos armados;

c) Restringir el uso de armas explosivas en zonas pobladas o, según proceda, abstenernos de usarlas cuando se prevea que su uso causará daños a civiles o bienes de carácter civil, como infraestructuras civiles esenciales, escuelas, instalaciones médicas y lugares de culto, de conformidad con el derecho internacional;

d) Permitir un acceso y una asistencia humanitarios seguros, rápidos y sin trabas, y respetar plenamente los principios humanitarios de humanidad, neutralidad, imparcialidad e independencia, conforme al derecho internacional humanitario y respetando plenamente la resolución 46/182 de la Asamblea General, de 19 de diciembre de 1991, y las resoluciones conexas sobre el fortalecimiento de la coordinación de la asistencia humanitaria de emergencia de las Naciones Unidas;

e) Respetar y proteger al personal humanitario y al personal de las Naciones Unidas y el personal asociado, incluido el personal nacional y el contratado localmente, así como sus instalaciones, equipos, medios de transporte y suministros, de conformidad con nuestras obligaciones en virtud del derecho internacional, incluido el derecho internacional humanitario;

f) Respetar y proteger a los periodistas, los profesionales de los medios de comunicación y el personal asociado que trabajan en situaciones de conflicto armado y reafirmar que serán considerados civiles en dichas situaciones, de conformidad con el derecho internacional humanitario;

g) Redoblar nuestros esfuerzos por poner fin a la impunidad y garantizar la rendición de cuentas por las violaciones del derecho internacional humanitario, los delitos de derecho internacional más graves, como el genocidio, los crímenes de guerra, los crímenes de lesa humanidad y demás crímenes atroces y otras violaciones manifiestas, como hacer pasar hambre a los civiles como método de guerra y la violencia de género, incluida la violencia sexual relacionada con los conflictos;

h) Invitar a los Estados Miembros a que promulguen leyes, reglamentos y procedimientos nacionales, cuando aún no existan, para controlar las transferencias internacionales de armas convencionales y equipo militar, gestionando los riesgos de que esas transferencias puedan facilitar las violaciones del derecho internacional humanitario y de los derechos humanos o contribuir o dar lugar a ellas, y a que velen por que tales leyes, reglamentos y procedimientos sean compatibles con las obligaciones de los Estados en virtud de los tratados internacionales aplicables en los que sean parte.

Acción 15. Garantizaremos que las personas afectadas por emergencias humanitarias reciban el apoyo que necesitan.

36. Expresamos grave preocupación por el número sin precedentes de personas afectadas por emergencias humanitarias, incluidas las que sufren desplazamientos forzosos y cada vez más prolongados y las que padecen hambre, inseguridad alimentaria aguda, hambruna y condiciones similares a la hambruna. Decidimos lo siguiente:

a) Redoblar nuestros esfuerzos por prevenir, anticipar y mitigar el impacto de las emergencias humanitarias en las personas necesitadas, prestando especial atención a las necesidades de las personas en situaciones de mayor vulnerabilidad;

b) Abordar las causas profundas de los desplazamientos forzosos y prolongados, incluidos los desplazamientos masivos de poblaciones, e implementar y facilitar el acceso a soluciones duraderas para los desplazados internos, los refugiados y los apátridas, incluso mediante un reparto equitativo de la carga y la responsabilidad a nivel internacional y el apoyo a las comunidades de acogida, y respetando plenamente el principio de no devolución de los refugiados;

c) Eliminar el flagelo del hambre, la inseguridad alimentaria aguda, la hambruna y las condiciones similares a la hambruna en los conflictos armados, actualmente y para las generaciones futuras, aprovechando todos los conocimientos, recursos y capacidades de que disponemos, cumpliendo nuestras obligaciones en virtud del derecho internacional humanitario, incluida la de eliminar todos los obstáculos que dificulten la prestación de ayuda humanitaria, y garantizar que las personas necesitadas reciban asistencia vital, reforzando la alerta temprana, desarrollando los sistemas de protección social y adoptando medidas preventivas que aumenten la resiliencia de las comunidades en riesgo;

d) Aumentar significativamente el apoyo financiero y de otro tipo a los países y las comunidades que se enfrentan a emergencias humanitarias, incluidas las comunidades de acogida, entre otras cosas ampliando la financiación oportuna y predecible y los mecanismos de financiación innovadora y anticipatoria, así como fortaleciendo las alianzas con las instituciones financieras internacionales para evitar, reducir y abordar el sufrimiento humanitario y prestar asistencia a quienes la necesitan.

Acción 16. Promoveremos la cooperación y el entendimiento entre los Estados Miembros, reduciremos las tensiones, procuraremos el arreglo pacífico de las controversias y resolveremos los conflictos.

37. Reafirmamos nuestro compromiso con la diplomacia preventiva, el arreglo pacífico de controversias y la importancia del diálogo entre los Estados. Reconocemos el papel de las Naciones Unidas en la diplomacia preventiva y el arreglo pacífico de controversias, así como la importancia de su colaboración con las organizaciones regionales y subregionales para prevenir y resolver conflictos y controversias entre los Estados Miembros de conformidad con la Carta. Decidimos lo siguiente:

a) Reafirmar nuestras obligaciones en virtud del derecho internacional, incluida la Carta y sus propósitos y principios;

b) Adoptar medidas colectivas eficaces, de conformidad con la Carta, para prevenir y eliminar las amenazas a la paz y la seguridad internacionales, y revitalizar y aplicar los instrumentos y mecanismos existentes para el arreglo pacífico de controversias;

c) Establecer e implementar los mecanismos necesarios para el arreglo pacífico de controversias, el fomento de la confianza, la alerta temprana y la gestión de crisis, a nivel subregional, regional e internacional, con el fin de hacer frente a las amenazas nuevas y emergentes contra la paz y la seguridad internacionales;

d) Procurar adoptar y aplicar medidas de fomento de la confianza para reducir las tensiones y promover la paz y la seguridad internacionales;

e) Intensificar el uso de la diplomacia y la mediación para rebajar la tensión en situaciones que puedan suponer una amenaza a la paz y la seguridad internacionales, incluso mediante gestiones diplomáticas tempranas;

f) Instar al Secretario General a que utilice activamente sus buenos oficios y vele por que las Naciones Unidas cuenten con los medios necesarios para dirigir y apoyar las gestiones de mediación y diplomacia preventiva, y alentar al Secretario General a que señale a la atención del Consejo de Seguridad cualquier asunto que pueda amenazar el mantenimiento de la paz y la seguridad internacionales;

g) Apoyar el papel de las organizaciones regionales y subregionales en la diplomacia, la mediación y el arreglo pacífico de controversias, y reforzar la coordinación y la cooperación entre esas organizaciones y las Naciones Unidas al respecto.

Acción 17. Cumpliremos nuestra obligación de acatar las decisiones de la Corte Internacional de Justicia y defender su mandato en cualquier causa en la que nuestro Estado sea parte.

38. Reconocemos la contribución positiva que hace la Corte Internacional de Justicia, principal órgano judicial de las Naciones Unidas, entre otras cosas mediante sus decisiones sobre las controversias entre Estados. Reafirmamos la obligación que tienen todos los Estados de cumplir las decisiones de la Corte Internacional de Justicia en las causas en que son parte. Decidimos lo siguiente:

a) Adoptar medidas adecuadas para garantizar que la Corte Internacional de Justicia pueda ejecutar plena y efectivamente su mandato y promover la concienciación sobre su papel en el arreglo pacífico de controversias, respetando al mismo tiempo el derecho de las partes en cualquier controversia a buscar también otros medios pacíficos de su elección.

Acción 18. Consolidaremos y sostendremos la paz.

39. Reconocemos que los Estados Miembros son los principales responsables de prevenir los conflictos y consolidar la paz en sus países, y que los esfuerzos nacionales por consolidar y sostener la paz contribuyen al mantenimiento de la paz y la seguridad internacionales. Es esencial contar con una financiación adecuada, predecible y sostenida para la consolidación de la paz, y acogemos con beneplácito la reciente decisión de la Asamblea General de aumentar los recursos de que dispone el Fondo para la Consolidación de la Paz de las Naciones Unidas. Decidimos lo siguiente:

a) Cumplir nuestro compromiso, enunciado en la Agenda 2030, de reducir significativamente todas las formas de violencia y las correspondientes tasas de mortalidad en todo el mundo;

b) Redoblar nuestros esfuerzos por eliminar todas las formas de violencia contra todas las mujeres y niñas;

c) Combatir el racismo y eliminar de nuestras sociedades la discriminación racial, la xenofobia y la intolerancia religiosa, así como todas las demás formas de intolerancia y discriminación, y promover el diálogo interreligioso e intercultural;

d) Reforzar y aplicar las estrategias y los enfoques nacionales de prevención existentes para sostener la paz, y considerar la posibilidad de crearlos donde no existan, a título voluntario y con arreglo a las prioridades nacionales, para abordar las causas profundas de la violencia y los conflictos armados;

e) Prestar asistencia a los Estados que la soliciten, en particular por conducto de la Comisión de Consolidación de la Paz y de todo el sistema de las Naciones Unidas, de forma plenamente compatible con la titularidad y las necesidades nacionales, a fin de aumentar la capacidad nacional para promover, formular y realizar sus propias actividades de prevención y abordar las causas profundas de la violencia y los conflictos en sus países, incluso mediante el intercambio de mejores prácticas y enseñanzas;

f) Abordar los riesgos relacionados con el comercio ilícito de armas pequeñas y armas ligeras, sus piezas y municiones o las municiones conexas, incluso mediante estrategias y enfoques nacionales de prevención;

g) Abordar los riesgos que suponen para el sostenimiento de la paz la desinformación, las informaciones erróneas, el discurso de odio y los contenidos que incitan a hacer daño, incluidos los contenidos difundidos a través de plataformas digitales, respetando al mismo tiempo el derecho a la libertad de expresión y a la privacidad y garantizando un acceso sin trabas a Internet de conformidad con el derecho internacional, la legislación interna y las políticas nacionales;

h) Procurar un mayor alineamiento entre las Naciones Unidas, las instituciones financieras internacionales y regionales y las necesidades de los Estados Miembros afectados por los conflictos armados y la violencia y las repercusiones de los conflictos regionales, para apoyar sus esfuerzos por lograr la estabilidad económica y su labor nacional de prevención y de consolidación de la paz, con arreglo a los respectivos mandatos y de manera plenamente compatible con la titularidad nacional.

Acción 19. Aceleraremos el cumplimiento de nuestros compromisos sobre las mujeres, la paz y la seguridad.

40. Reconocemos el papel de las mujeres como agentes de paz. La participación plena, igualitaria, significativa y sin riesgo de las mujeres en la toma de decisiones a todos los niveles de las actividades relacionadas con la paz y la seguridad, como la prevención y solución de conflictos, la mediación y las operaciones de paz, es esencial para lograr una paz sostenible. Condenamos en los términos más enérgicos el aumento de todas las formas de violencia contra las mujeres y las niñas, que están especialmente expuestas a sufrir violencia en los conflictos armados, las situaciones posconflicto y las emergencias humanitarias. Decidimos lo siguiente:

a) Redoblar nuestros esfuerzos por lograr la igualdad de género y el empoderamiento de todas las mujeres y niñas, incluso evitando retrocesos y abordando los persistentes obstáculos que impiden implementar la agenda sobre las mujeres y la paz y la seguridad, y velar por que las iniciativas para hacer avanzar esos esfuerzos cuenten con la financiación adecuada;

b) Cumplir nuestros compromisos para garantizar que las mujeres puedan participar de forma plena, igualitaria, significativa y sin riesgo en todos los procesos de mediación y paz dirigidos por las Naciones Unidas;

c) Adoptar medidas concretas para eliminar y prevenir todos los tipos de amenazas y violaciones y abusos de los derechos humanos que sufren las mujeres y las niñas en los conflictos armados, las situaciones posconflicto y las emergencias humanitarias, incluida la violencia de género y la violencia sexual relacionada con los conflictos;

d) Acelerar los esfuerzos que estamos realizando para garantizar la participación plena, igualitaria, significativa y sin riesgo de las mujeres en las operaciones de paz.

Acción 20. Aceleraremos el cumplimiento de nuestros compromisos sobre la juventud, la paz y la seguridad.

41. Reconocemos que la participación plena, efectiva, significativa y sin riesgo de la juventud es fundamental para mantener y promover la paz y la seguridad internacionales. Decidimos lo siguiente:

a) Adoptar, a título voluntario, medidas concretas para aumentar la representación inclusiva de la juventud a todos los niveles en la toma de decisiones relacionadas con la prevención y la solución de conflictos, incluso aumentando las oportunidades de que participen en las deliberaciones intergubernamentales pertinentes de las Naciones Unidas;

b) Reforzar y aplicar las hojas de ruta nacionales y regionales existentes sobre la juventud, la paz y la seguridad para cumplir nuestros compromisos, y establecerlas donde no existan, a título voluntario;

c) Solicitar al Secretario General que lleve a cabo el segundo estudio independiente sobre los progresos logrados en relación con la contribución positiva de la juventud a los procesos de paz y la solución de conflictos antes de que concluya el octogésimo período de sesiones.

Acción 21. Adaptaremos las operaciones de paz para responder mejor a los problemas existentes y las nuevas realidades.

42. Las operaciones de paz de las Naciones Unidas, es decir, las operaciones de mantenimiento de la paz y las misiones políticas especiales, son un instrumento crucial para mantener la paz y la seguridad internacionales. Los problemas a los que se enfrentan son cada vez más complejos, por lo que necesitan urgentemente adaptarse, teniendo en cuenta las necesidades de todos los Estados Miembros y los países que aportan contingentes y fuerzas de policía, así como las prioridades y responsabilidades de los países anfitriones. Las operaciones de paz solo pueden tener éxito si se buscan activamente soluciones políticas y se les proporciona una financiación predecible, adecuada y sostenida. Reafirmamos la importancia de aumentar la colaboración entre las Naciones Unidas y las organizaciones regionales y subregionales, en particular la Unión Africana, incluidas sus operaciones de apoyo a la paz e imposición de la paz que autorice el Consejo de Seguridad para mantener o restablecer la paz y la seguridad internacionales. Decidimos lo siguiente:

a) Exhortar al Consejo de Seguridad a que vele por que las operaciones de paz tengan como eje y guía estrategias políticas y se desplieguen con mandatos claros, secuenciados y priorizados que sean realistas y factibles y con estrategias de salida y

planes de transición viables, como parte de un enfoque integral del sostenimiento de la paz y respetando plenamente el derecho internacional y la Carta;

b) Solicitar al Secretario General que lleve a cabo un examen sobre el futuro de todos los tipos de operaciones de paz de las Naciones Unidas, teniendo en cuenta las enseñanzas extraídas de los procesos de reforma anteriores y en curso, y presente a los Estados Miembros recomendaciones estratégicas y orientadas a la acción sobre el modo en que puede adaptarse el conjunto de instrumentos de que disponen las Naciones Unidas para satisfacer las necesidades a medida que evolucionen, y así responder de modo más ágil y específico a los problemas existentes, emergentes y futuros;

c) Velar por que las operaciones de paz colaboren lo antes posible en la planificación de las transiciones con los países anfitriones, los equipos de las Naciones Unidas en los países y las instancias nacionales pertinentes;

d) Adoptar medidas concretas para garantizar la seguridad del personal de las operaciones de paz y mejorar su acceso a las instalaciones sanitarias, incluidos los servicios de salud mental;

e) Velar por que las operaciones de mantenimiento de la paz y las operaciones de apoyo a la paz, incluida la labor de imposición de la paz, que autorice el Consejo de Seguridad vayan acompañadas de una estrategia política inclusiva y de otros enfoques no militares y aborden las causas profundas del conflicto;

f) Alentar al Secretario General a que convoque reuniones periódicas de alto nivel con las organizaciones regionales pertinentes para debatir asuntos relativos a las operaciones de paz, la consolidación de la paz y los conflictos;

g) Garantizar una financiación adecuada, predecible y sostenible para las operaciones de apoyo a la paz dirigidas por la Unión Africana con mandatos del Consejo de Seguridad, conforme a la resolución 2719 (2023) del Consejo de Seguridad, de 21 de diciembre de 2023.

Acción 22. Abordaremos las graves repercusiones de las amenazas a la protección y la seguridad marítimas.

43. Reconocemos la necesidad de hacer frente a las graves repercusiones de las amenazas a la protección y la seguridad marítimas. Cualquier esfuerzo por hacer frente a las amenazas a la protección y la seguridad marítimas debe realizarse conforme al derecho internacional, en particular las disposiciones que se reflejan en los principios consagrados en la Carta de las Naciones Unidas y en la Convención de las Naciones Unidas sobre el Derecho del Mar (13), de 1982, teniendo en cuenta otros instrumentos pertinentes que sean compatibles con la Convención. Decidimos lo siguiente:

a) Reforzar la cooperación internacional y el compromiso mundial, regional, subregional y bilateral para combatir todas las amenazas a la protección y la seguridad marítimas, de conformidad con el derecho internacional;

b) Promover el intercambio de información entre los Estados y el aumento de la capacidad para detectar, prevenir y reprimir esas amenazas de conformidad con el derecho internacional.

Acción 23. Procuraremos lograr un futuro sin terrorismo.

44. Condenamos enérgicamente el terrorismo en todas sus formas y manifestaciones, sin importar quiénes sean los responsables ni dónde y cuándo se produzca. Reafirmamos que todos los actos terroristas son criminales e injustificables, independientemente de su motivación o de la justificación que pretendan darle sus autores. Resaltamos la importancia de establecer medidas para contrarrestar la difusión de propaganda terrorista y prevenir y reprimir el flujo de financiación y medios materiales para actividades terroristas, así como las actividades de reclutamiento de las organizaciones terroristas. Reafirmamos que el terrorismo y el extremismo violento que conduce al terrorismo no pueden ni deben vincularse a ninguna religión, nacionalidad, civilización o grupo étnico. Redoblaremos nuestros esfuerzos por hacer frente a las condiciones que conducen a la propagación del terrorismo, prevenir y combatir el terrorismo y aumentar la capacidad de los Estados para prevenirlo y combatirlo y reforzar la función del sistema de las Naciones Unidas al respecto. La promoción y protección del derecho internacional, incluido el derecho internacional humanitario y el derecho internacional de los derechos humanos, y el respeto de los derechos humanos de todas las personas y del estado de derecho son la base fundamental de la lucha contra el terrorismo y el extremismo violento que conduce al terrorismo. Decidimos lo siguiente:

a) Aplicar un enfoque pangubernamental y pansocial para prevenir y combatir el terrorismo y el extremismo violento que conduce al terrorismo, incluso abordando los factores que propician el terrorismo, de conformidad con el derecho internacional;

b) Abordar la amenaza que plantea el uso indebido de tecnologías nuevas y emergentes, como tecnologías digitales e instrumentos financieros, con fines terroristas;

c) Mejorar la coordinación de la labor antiterrorista de las Naciones Unidas y la cooperación entre las Naciones Unidas y las organizaciones regionales y subregionales pertinentes para prevenir y combatir el terrorismo de conformidad con el derecho internacional, considerando al mismo tiempo la posibilidad de revitalizar los esfuerzos encaminados a concluir un convenio general sobre el terrorismo internacional.

Acción 24. Prevendremos y combatiremos la delincuencia organizada transnacional y los correspondientes flujos financieros ilícitos.

45. La delincuencia organizada transnacional y los correspondientes flujos financieros ilícitos pueden suponer una grave amenaza para la paz y la seguridad internacionales, los derechos humanos y el desarrollo sostenible, entre otras cosas porque en algunos casos pueden existir vínculos entre la delincuencia organizada transnacional y los grupos terroristas. Decidimos lo siguiente:

a) Intensificar los esfuerzos por hacer frente a la delincuencia organizada transnacional y los correspondientes flujos financieros ilícitos mediante estrategias integrales que incluyan la prevención, la detección temprana, la investigación, la protección y el cumplimiento de la ley, la lucha contra los factores desencadenantes y la colaboración con las instancias pertinentes;

b) Reforzar la cooperación internacional para prevenir y combatir la delincuencia organizada transnacional en todas sus formas, incluso cuando los delitos se cometen utilizando sistemas de tecnología de la información y las comunicaciones, y acogemos con beneplácito la elaboración del proyecto de convención de las Naciones Unidas contra la ciberdelincuencia.

Acción 25. Promoveremos el objetivo de un mundo libre de armas nucleares.

46. Una guerra nuclear traería la devastación a toda la humanidad, y debemos hacer todo lo posible para evitar el peligro de que estalle, teniendo en cuenta que “la guerra nuclear no puede ganarse y nunca debe librarse”. Cumpliremos nuestras respectivas obligaciones y compromisos. Reiteramos nuestra profunda preocupación por la situación en que se encuentra el desarme nuclear. Reafirmamos el derecho inalienable de todos los países a desarrollar la investigación, la producción y el uso de la energía nuclear con fines pacíficos sin discriminación, de conformidad con sus respectivas obligaciones. Decidimos lo siguiente:

a) Volver a comprometernos con el objetivo de la eliminación total de las armas nucleares;

b) Reconocer que, aunque el objetivo final de los esfuerzos de todos los Estados debe ser el desarme general y completo bajo un control internacional eficaz, el objetivo inmediato es eliminar el peligro de que estalle una guerra nuclear y aplicar medidas para evitar la carrera armamentista y allanar el camino hacia la paz duradera;

c) Cumplir y respetar todas las garantías de seguridad que hemos asumido, incluidas las relacionadas con los tratados y los protocolos pertinentes de las zonas libres de armas nucleares y sus garantías conexas contra el empleo o la amenaza de empleo de armas nucleares;

d) Comprometernos a reforzar la arquitectura del desarme y la no proliferación, procurar evitar que se menoscaben las normas internacionales vigentes y tomar todas las medidas posibles para evitar la guerra nuclear;

e) Tratar de acelerar el cumplimiento pleno y efectivo de las respectivas obligaciones y compromisos en materia de desarme nuclear y no proliferación, incluso mediante la adhesión a los instrumentos jurídicos internacionales pertinentes y tratando de establecer zonas libres de armas nucleares para fomentar la paz y la seguridad internacionales y la consecución de un mundo libre de armas nucleares.

Acción 26. Respetaremos nuestras obligaciones y compromisos en materia de desarme.

47. Expresamos nuestra seria preocupación por el creciente número de acciones contrarias a las normas internacionales vigentes y el incumplimiento de las obligaciones en materia de desarme, control de armamentos y no proliferación. Respetaremos el derecho internacional que se aplica a las armas y los medios y métodos de guerra y apoyaremos los progresivos esfuerzos por erradicar efectivamente el comercio ilícito de armas. Reconocemos la importancia de mantener y reforzar el papel de los mecanismos de las Naciones Unidas sobre desarme. Es inaceptable el empleo de armas químicas y biológicas por parte de ninguna persona, en ningún lugar y bajo ninguna circunstancia. Pedimos que se cumplan y apliquen plenamente los tratados pertinentes. Reafirmamos nuestra determinación colectiva de excluir completamente la posibilidad de que se utilicen agentes biológicos y toxinas como armas y de reforzar la Convención sobre la Prohibición del Desarrollo, la Producción y el Almacenamiento de Armas Bacteriológicas (Biológicas) y Toxínicas y sobre Su Destrucción (14). Decidimos lo siguiente:

a) Revitalizar el papel de las Naciones Unidas en la esfera del desarme, incluso recomendando que la Asamblea General emprenda actividades que puedan ayudar a preparar un cuarto período extraordinario de sesiones dedicado al desarme;

b) Tratar de conseguir un mundo libre de armas químicas y biológicas y garantizar que se identifique y haga rendir cuentas a los responsables de cualquier empleo de esas armas;

c) Abordar los riesgos biológicos que están surgiendo y evolucionando mediante mejores procesos de anticipación, prevención, coordinación y preparación frente a tales riesgos, ya sean causados por la liberación natural, accidental o deliberada de agentes biológicos;

d) Determinar, examinar y formular medidas eficaces, incluidas posibles medidas jurídicamente vinculantes, para reforzar e institucionalizar normas e instrumentos internacionales contra el desarrollo, la producción, la adquisición, la transferencia, el almacenamiento, la retención y el uso de agentes biológicos y toxinas como armas;

e) Reforzar las medidas para prevenir la adquisición de armas de destrucción masiva por parte de agentes no estatales;

f) Redoblar nuestros esfuerzos por cumplir las respectivas obligaciones en virtud de los instrumentos internacionales pertinentes para prohibir o restringir las armas convencionales debido a su impacto humanitario y tomar medidas para promover todos los aspectos pertinentes de las actividades relativas a las minas;

g) Intensificar nuestros esfuerzos nacionales e internacionales por combatir, prevenir y erradicar el comercio ilícito de armas pequeñas y armas ligeras en todos sus aspectos;

h) Subsanar las deficiencias existentes en la gestión de las municiones convencionales durante todo el ciclo de vida para reducir el doble riesgo de que se produzcan explosiones imprevistas de municiones convencionales o desvíos y tráfico ilícito de municiones convencionales para destinatarios no autorizados, como delincuentes, grupos de delincuencia organizada y terroristas.

Acción 27. Aprovecharemos las oportunidades que ofrecen las tecnologías nuevas y emergentes y abordaremos los riesgos que puede plantear su uso indebido.

48. Reconocemos que la rápida evolución tecnológica plantea oportunidades y riesgos para nuestros esfuerzos colectivos por mantener la paz y la seguridad internacionales. Nuestro enfoque para hacer frente a estos riesgos se guiará por el derecho internacional, incluida la Carta. Decidimos lo siguiente:

a) Promover nuevas medidas y negociaciones internacionales apropiadas para prevenir la carrera armamentista en el espacio ultraterrestre en todos sus aspectos, con la participación de todas las instancias pertinentes, conforme a las disposiciones del Tratado sobre los Principios que Deben Regir las Actividades de los Estados en la Exploración y Utilización del Espacio Ultraterrestre, incluso la Luna y Otros Cuerpos Celestes (15);

b) Promover con urgencia debates sobre los sistemas de armas autónomos letales a través del Grupo de Expertos Gubernamentales sobre las Tecnologías Emergentes en el Ámbito de los Sistemas de Armas Autónomos Letales con miras a elaborar un instrumento, sin prejuzgar su naturaleza, y otras medidas posibles para abordar las tecnologías emergentes en el ámbito de los sistemas de armas autónomos letales, reconociendo que el derecho internacional humanitario sigue siendo plenamente aplicable a todos los sistemas de armas, lo que incluye el posible desarrollo y uso de sistemas de armas autónomos letales;

c) Aumentar la cooperación internacional y las actividades de creación de capacidad para reducir las brechas digitales y garantizar que todos los Estados puedan aprovechar de forma segura los beneficios de las tecnologías digitales;

d) Seguir evaluando los riesgos que plantean y podrían plantear las aplicaciones militares de la inteligencia artificial y las posibles oportunidades durante todo su ciclo de vida, en consulta con las instancias pertinentes;

e) Solicitar al Secretario General que siga manteniendo a los Estados Miembros al corriente de las tecnologías nuevas y emergentes en su informe sobre los avances científicos y tecnológicos actuales y sus posibles efectos en las iniciativas relacionadas con la seguridad internacional y el desarme.

III. Ciencia, tecnología e innovación y cooperación digital

49. La ciencia, la tecnología y la innovación pueden servir para acelerar la realización de las aspiraciones de las Naciones Unidas en los tres pilares de su labor. Este potencial solo podrá materializarse mediante la cooperación internacional para aprovechar los beneficios y adoptar medidas audaces, ambiciosas y decisivas que ayuden a eliminar la creciente disparidad que existe dentro de los países desarrollados y en desarrollo y entre ellos y acelerar los progresos de la Agenda 2030. Miles de millones de personas, sobre todo de países en desarrollo, carecen de un acceso significativo a tecnologías esenciales que les cambiarían la vida. Si queremos cumplir nuestra promesa de no dejar a nadie atrás, es imprescindible compartir la ciencia, la tecnología y la innovación. Las innovaciones y los grandes avances científicos que pueden servir para que nuestro planeta sea más sostenible y nuestros países más prósperos y resilientes deben ser asequibles y accesibles para todos.

50. Al mismo tiempo, debemos gestionar con responsabilidad los posibles riesgos de la ciencia y la tecnología, en particular la forma en que la ciencia, la tecnología y la innovación pueden perpetuar y ampliar las disparidades, sobre todo la brecha de género, y la discriminación y la desigualdad dentro de los países y entre ellos, y menoscabar el disfrute de los derechos humanos y el progreso del desarrollo sostenible. Estrecharemos nuestras alianzas con las instancias pertinentes, especialmente las instituciones financieras internacionales, el sector privado, las comunidades técnica y académica y la sociedad civil, y velaremos por que la ciencia, la tecnología y la innovación sirvan para lograr un mundo más inclusivo, equitativo, sostenible y próspero para todas las personas donde se respeten plenamente todos los derechos humanos.

51. Las tecnologías digitales y emergentes, como la inteligencia artificial, son importantes para facilitar el desarrollo sostenible y están cambiando nuestro mundo de manera radical. Las posibilidades que ofrecen a las personas y el planeta de progresar, tanto en la actualidad como en el futuro, son enormes. Tenemos la determinación de materializar ese potencial y gestionar los riesgos aumentando la cooperación internacional, interactuando con las instancias pertinentes y promoviendo un futuro digital inclusivo, responsable y sostenible. En este sentido, adjuntamos el Pacto Digital Mundial como anexo del presente Pacto.

Acción 28. Aprovecharemos las oportunidades que ofrecen la ciencia, la tecnología y la innovación en beneficio de las personas y el planeta.

52. Nos guiaremos por los principios de equidad y solidaridad, y promoveremos el uso responsable y ético de la ciencia, la tecnología y la innovación. Decidimos lo siguiente:

a) Favorecer y promover un entorno abierto, justo e inclusivo para el desarrollo y la cooperación científicos y tecnológicos en todo el mundo, entre otras cosas fomentando activamente la confianza en la ciencia y la colaboración mundial en materia de innovación;

b) Aumentar el uso de la ciencia y los conocimientos y datos científicos en la formulación de políticas y velar por que se aborden los complejos problemas mundiales mediante la colaboración interdisciplinar;

c) Alentar la movilidad y la circulación de talentos, incluso a través de programas educativos, y ayudar a los países en desarrollo a retener el talento y evitar la fuga de cerebros, ofreciendo al mismo tiempo condiciones y oportunidades educativas y laborales adecuadas para la fuerza de trabajo.

Acción 29. Ampliaremos los medios de implementación para los países en desarrollo a fin de aumentar sus capacidades en materia de ciencia, tecnología e innovación.

53. La ciencia, la tecnología y la innovación son cruciales para apoyar y posibilitar el crecimiento sostenible y la acción climática y acelerar la implementación de la Agenda 2030. Es imprescindible que colaboremos para subsanar las disparidades en materia de ciencia, tecnología e innovación que existen dentro de los países desarrollados y los países en desarrollo y entre ellos, con el fin de ayudar a los países en desarrollo, en particular los países en situaciones especiales, así como aquellos con problemas específicos, a hacer un uso pacífico de la ciencia, la tecnología y la innovación para lograr el desarrollo sostenible. Reiteramos la necesidad de acelerar la transferencia a los países en desarrollo de tecnologías ecológicamente racionales en condiciones favorables, e incluso en condiciones concesionarias y preferenciales, convenidas de mutuo acuerdo. Decidimos lo siguiente:

a) Garantizar que la ciencia, la tecnología y la innovación contribuyan a nuestros esfuerzos por erradicar la pobreza en todas sus formas y dimensiones y el hambre, y por reducir las desigualdades, y a los realizados en ámbitos como la seguridad alimentaria y la nutrición, la salud, la educación, la protección social, el agua y el saneamiento, la energía, el clima y el medio ambiente;

b) Aumentar los esfuerzos, en particular de los países desarrollados y otros países en desarrollo que estén en condiciones de hacerlo, por ayudar a los países en desarrollo creando capacidad en materia de ciencia, tecnología e innovación mediante intercambios de políticas y conocimientos, asistencia técnica, financiación, investigación internacional conjunta y formación de personal que se ajusten a las necesidades, políticas y prioridades específicas de los países en desarrollo;

c) Apoyar el desarrollo, la implantación y el uso sostenible de tecnologías emergentes y de código abierto y respaldar las políticas de ciencia abierta e innovación y conocimientos técnicos abiertos para la consecución de los Objetivos de Desarrollo Sostenible, especialmente en los países en desarrollo;

d) Reforzar la cooperación Norte-Sur, Sur-Sur y triangular, teniendo en cuenta las diferentes circunstancias nacionales, para crear capacidad en materia de ciencia, tecnología e innovación y mejorar el acceso a ellas, y aumentar los recursos disponibles para poner en práctica iniciativas técnicas y científicas;

e) Ampliar la financiación de todas las fuentes para la investigación científica y una infraestructura de investigación que respalde el desarrollo sostenible y aumentar las oportunidades de cooperación en materia de investigación, especialmente en los países en desarrollo;

f) Atraer y apoyar inversiones del sector privado en ciencia, tecnología e innovación, y estrechar las alianzas público-privadas fomentando en los países en desarrollo un entorno propicio que estimule la inversión y el emprendimiento, desarrolle ecosistemas de innovación locales y promueva el trabajo decente, y garantizando que la innovación pueda llegar a los mercados mundiales;

g) Promover y mantener cadenas mundiales de suministro estables y resilientes para que los productos y servicios científicos y tecnológicos sean más accesibles para todos.

Acción 30. Velaremos por que la ciencia, la tecnología y la innovación contribuyan al pleno disfrute de los derechos humanos de todas las personas.

54. Reconocemos las oportunidades y los riesgos que plantean la ciencia, la tecnología y la innovación para promover, proteger y hacer efectivos todos los derechos humanos. Decidimos lo siguiente:

a) Velar por que todas las investigaciones científicas y tecnológicas se lleven a cabo de manera responsable y ética, protegiendo y promoviendo todos los derechos humanos y protegiendo la autonomía, la libertad y la seguridad de quienes se dedican a la investigación científica;

b) Integrar la perspectiva de los derechos humanos en los procesos regulatorios y normativos de las tecnologías nuevas y emergentes y exhortar al sector privado a que respete los derechos humanos y defienda los principios éticos en el desarrollo y el uso de tecnologías nuevas y emergentes;

c) Velar por que quienes se encuentran en situación de vulnerabilidad se beneficien del desarrollo y la aplicación de la ciencia, la tecnología y la innovación y participen plena y significativamente en ellos;

d) Aprovechar las oportunidades que brindan las tecnologías nuevas y emergentes para empoderar a las personas con discapacidad y promover su igualdad, incluso fomentando la disponibilidad de tecnologías de apoyo.

Acción 31. Velaremos por que la ciencia, la tecnología y la innovación mejoren la igualdad de género y la vida de todas las mujeres y niñas.

55. La ciencia, la tecnología y la innovación pueden mejorar la igualdad de género y la vida de las mujeres y las niñas. Nos preocupa gravemente la brecha digital de género y la posibilidad de que los rápidos cambios tecnológicos puedan exacerbar la desigualdad de género existente y crear importantes riesgos para todas las mujeres y niñas. Decidimos lo siguiente:

a) Abordar los obstáculos que impiden a todas las mujeres y niñas acceder de forma plena, equitativa y significativa a la ciencia, la tecnología y la innovación, así como su participación y liderazgo en esas esferas, incluso mejorando las oportunidades de educación, empleo e investigación para mujeres y niñas en ámbitos como la ciencia, la tecnología, la innovación, las matemáticas y la ingeniería;

b) Abordar los riesgos y desafíos relacionados con el género que se derivan del uso de las tecnologías, incluidas todas las formas de violencia, como la violencia sexual y de género, la trata de personas, el acoso, los sesgos y la discriminación contra todas las mujeres y niñas que se producen o amplifican por el uso de la tecnología, incluso contra las trabajadoras migrantes.

Acción 32. Protegeremos, aprovecharemos y complementaremos los conocimientos indígenas, tradicionales y locales.

56. Reconocemos la necesidad de que la ciencia, la tecnología y la innovación se adapten y sean pertinentes a las necesidades y circunstancias locales, como las de las comunidades locales, las poblaciones afrodescendientes tradicionales y los Pueblos Indígenas, con arreglo al principio del consentimiento libre, previo e informado, según proceda. Decidimos lo siguiente:

a) Fomentar las sinergias entre la ciencia y la tecnología y los conocimientos, los sistemas, las prácticas y las capacidades tradicionales, locales, afrodescendientes e indígenas.

Acción 33. Ayudaremos al Secretario General a reforzar el papel de las Naciones Unidas en el apoyo a la cooperación internacional en materia de ciencia, tecnología e innovación.

57. Reconocemos el papel fundamental que desempeñan las Naciones Unidas en la ciencia, la tecnología y la innovación. Tomamos nota de que se ha creado la Junta de Asesoramiento Científico Independiente del Secretario General para proporcionar asesoramiento científico independiente. Solicitamos al Secretario General que:

a) Refuerce las capacidades de las Naciones Unidas para utilizar la ciencia, la tecnología y la innovación en la labor de la Organización, incluso en materia de planificación, futurología y prospectiva, y para vigilar y medir los progresos mundiales que se están haciendo a fin de reducir la brecha científica y tecnológica que existe dentro de los países desarrollados y en desarrollo y entre ellos;

b) Ayude a los Gobiernos nacionales a aprovechar la ciencia y la tecnología para el desarrollo sostenible, incluso estudiando formas de aumentar la capacidad y especialización de los equipos de las Naciones Unidas en los países.

IV. Juventud y generaciones futuras

58. La actual generación infantil y juvenil es la más numerosa de la historia, y en su mayoría vive en países en desarrollo. La infancia y la juventud son agentes fundamentales de cambios positivos y acogemos con beneplácito las importantes contribuciones de la juventud a la paz y la seguridad, el desarrollo sostenible y los derechos humanos. Sin embargo, en todo nuestro planeta hay millones de niños, niñas y jóvenes privados de las condiciones que necesitan para alcanzar todo su potencial y hacer efectivos sus derechos humanos, especialmente cuando se encuentran en situación de vulnerabilidad. Hay niños, niñas y jóvenes que siguen viviendo en la pobreza extrema, sin acceso a servicios básicos vitales y sin que se respeten sus derechos fundamentales. Reconocemos que, junto con las generaciones futuras, tendrán que vivir con las consecuencias de nuestras acciones y de nuestra inacción. Invertiremos en la participación de la juventud a nivel nacional e internacional y la fomentaremos a fin de lograr un futuro mejor para todos.

59. Reconocemos que la infancia y la juventud son grupos distintos de las generaciones futuras. Debemos garantizar que en los procesos decisorios y normativos actuales se tengan más en cuenta las necesidades y los intereses de las generaciones venideras, pero manteniendo un equilibrio con las necesidades y los intereses de las generaciones actuales. Adjuntamos como anexo del Pacto para el Futuro la Declaración sobre las Generaciones Futuras, en la que se detallan nuestros compromisos a este respecto.

Acción 34. Invertiremos en el desarrollo social y económico de la infancia y la juventud para que puedan alcanzar todo su potencial.

60. Destacamos la importancia de invertir en servicios esenciales para toda la infancia y la juventud y garantizar un acceso equitativo a esos servicios, especialmente los de salud, educación y protección social, a fin de impulsar su desarrollo social y económico. Para alcanzar todo su potencial y conseguir un trabajo decente y productivo y empleos de calidad, las personas jóvenes deben tener a lo largo de toda la vida oportunidades de recibir, incluso durante las emergencias, una educación sin riesgo, inclusiva, equitativa y de calidad que les aporte los conocimientos, las destrezas y las capacidades que necesitan para prosperar en un mundo lleno de rápidos cambios. Decidimos lo siguiente:

a) Aumentar las inversiones de todas las fuentes en servicios esenciales para la juventud y velar por que sus necesidades y prioridades específicas se integren en las estrategias de desarrollo nacionales, regionales e internacionales, garantizar que todas las personas jóvenes puedan acceder a los servicios e invitar al Secretario General a que facilite a los Estados Miembros información actualizada sobre la propuesta de crear una plataforma mundial de inversión en la juventud para atraer y financiar mejor programas relacionados con la juventud a nivel nacional;

b) Acelerar los esfuerzos por lograr la cobertura sanitaria universal para que todas las personas jóvenes disfruten del más alto nivel posible de salud física y mental, lo que incluye las inmunizaciones y vacunaciones y la salud sexual y reproductiva, y abordar todas las dificultades a que se enfrentan los países en desarrollo para alcanzar esos objetivos;

c) Ayudar a los países en desarrollo a aumentar significativamente las inversiones de todas las fuentes en educación y destrezas, especialmente la educación y las destrezas de la primera infancia y de las niñas, para crear sistemas educativos inclusivos, accesibles y resilientes y oportunidades de aprendizaje permanente que se adapten a las necesidades actuales y futuras de la juventud y la infancia, mejorando los planes de estudio y el desarrollo profesional del personal docente, aprovechando las tecnologías digitales y ampliando el acceso a la formación técnica y profesional para ayudar a la juventud a contribuir a la sociedad;

d) Crear empleos y medios de subsistencia decentes para la juventud, especialmente en los países en desarrollo y en particular para las mujeres jóvenes y las personas jóvenes en situación de vulnerabilidad, eliminando al mismo tiempo las desigualdades de la economía del cuidado, y establecer y garantizar el acceso de la juventud a sistemas de protección social universales, adecuados, integrales, sostenibles y con titularidad nacional;

e) Empoderar, alentar y apoyar a las personas jóvenes para que se dediquen al emprendimiento y la innovación y transformen sus ideas en oportunidades de negocio viables;

f) Implementar políticas favorables y orientadas a las familias que apoyen el desarrollo social y económico de los niños, niñas y jóvenes para que puedan hacer realidad todo su potencial y el disfrute de sus derechos humanos.

Acción 35. Promoveremos, protegeremos y respetaremos los derechos humanos de todas las personas jóvenes y fomentaremos la inclusión social y la integración.

61. Reafirmamos la importancia de garantizar el pleno disfrute de los derechos de todas las personas jóvenes, protegerlas de la violencia y favorecer la inclusión social y la integración, especialmente de las personas más pobres, quienes se encuentran en situación de vulnerabilidad, como las poblaciones afrodescendientes, y quienes sufren múltiples formas discriminación superpuestas. Decidimos lo siguiente:

a) Intensificar nuestra lucha contra todas las formas de racismo, discriminación racial, xenofobia y todas las formas de intolerancia que afectan a la juventud y merman su capacidad de alcanzar plenamente su potencial, y contrarrestar el odio religioso que constituye una incitación a la discriminación, la hostilidad o la violencia;

b) Redoblar los esfuerzos internacionales, regionales y nacionales por adoptar medidas inmediatas y eficaces para erradicar el trabajo forzoso, poner fin a las formas contemporáneas de esclavitud y la trata de personas, especialmente de mujeres y niños y niñas, y eliminar todas las formas de trabajo infantil;

c) Abordar los retos a que se enfrentan todas las jóvenes y niñas, incluso combatiendo los estereotipos de género y las normas sociales negativas y eliminando la discriminación, el acoso, todas las formas de violencia contra las jóvenes y las niñas, incluida la violencia sexual y de género, y las prácticas nocivas, como la mutilación genital femenina y el matrimonio infantil, precoz y forzado;

d) Potenciar la inclusión y eliminar todas las barreras que impiden a las personas jóvenes con discapacidad lograr y mantener su máxima autonomía e independencia y su plena inclusión y participación en todos los aspectos de la vida, e invertir en tecnologías de apoyo que puedan promover su participación plena, efectiva y significativa en la sociedad;

e) Abordar los efectos adversos del cambio climático y otros problemas ambientales que ponen en peligro la capacidad de las personas jóvenes para disfrutar de sus derechos humanos y de un medio ambiente limpio, saludable y sostenible;

f) Reforzar las alianzas intergeneracionales y la solidaridad entre generaciones promoviendo oportunidades para la interacción voluntaria, constructiva y frecuente entre personas jóvenes y mayores en las familias, el lugar de trabajo y la sociedad en general.

Acción 36. Aumentaremos la participación significativa de la juventud a nivel nacional.

62. Encomiamos las importantes contribuciones que ya está haciendo la juventud a la promoción de la paz y la seguridad, el desarrollo sostenible y los derechos humanos en sus propios países. Solo podremos satisfacer las necesidades y aspiraciones de todas las personas jóvenes si de forma sistemática las escuchamos, trabajamos con ellas y les brindamos oportunidades significativas para forjar el futuro. Decidimos lo siguiente:

a) Alentar y facilitar el establecimiento de mecanismos a nivel nacional, cuando no existan, para consultar a las personas jóvenes y ofrecerles oportunidades significativas de participar en los procesos normativos y decisorios nacionales con el apoyo, cuando se solicite, del sistema de las Naciones Unidas, conforme a la legislación y las políticas nacionales;

b) Considerar la posibilidad de fomentar diálogos intergeneracionales para crear alianzas más sólidas entre personas de diferentes edades, incluida la juventud, y entre los Gobiernos y la juventud;

c) Abordar las dificultades y eliminar las barreras que impiden la participación plena, significativa y efectiva de toda la juventud, incluidas las mujeres jóvenes, las personas jóvenes con discapacidad y las personas jóvenes afrodescendientes y en situación de vulnerabilidad, en los procesos normativos y decisorios nacionales, y mejorar su representación en las estructuras políticas oficiales;

d) Apoyar a las organizaciones juveniles y dedicadas a la gente joven, en particular mediante la creación de capacidad.

Acción 37. Aumentaremos la participación significativa de la juventud a nivel internacional.

63. Acogemos con beneplácito los progresos realizados para promover la participación significativa de la juventud en las Naciones Unidas. Tenemos la determinación de acelerar esa labor garantizando una mayor implicación de la juventud en la labor de la Organización y aumentando la representatividad, la eficacia y el impacto de la participación juvenil en las Naciones Unidas. Decidimos lo siguiente:

a) Promover la participación significativa, inclusiva y efectiva de la juventud en los órganos y procesos intergubernamentales pertinentes de las Naciones Unidas, cuando proceda y conforme a los reglamentos y la práctica establecida, teniendo en cuenta los principios de paridad de género y representación geográfica equilibrada y no discriminación;

b) Alentar a que se incluya a jóvenes, incluidos representantes de la juventud, en las delegaciones de los países ante las Naciones Unidas;

c) Pedir contribuciones al Fondo de las Naciones Unidas para la Juventud con el fin de facilitar la participación de representantes de la juventud de países en desarrollo en las actividades de las Naciones Unidas, teniendo en cuenta la necesidad de lograr un mayor equilibrio geográfico entre los representantes juveniles, y, a este respecto, solicitar al Secretario General que adopte las medidas oportunas para fomentar las contribuciones al Fondo, incluso dándolo a conocer mejor;

d) Solicitar al Secretario General que siga formulando principios básicos, en consulta con los Estados Miembros y la juventud, para una participación significativa, representativa, inclusiva y sin riesgo de la juventud en los procesos intergubernamentales pertinentes y en toda la labor de las Naciones Unidas, con el fin de que los examinen los Estados Miembros.

V. Transformación de la gobernanza global

64. En estos momentos, nuestro sistema multilateral, construido tras la Segunda Guerra Mundial, está sometido a una presión sin precedentes. Aunque en los últimos 80 años se han conseguido notables logros, no damos por sentado el futuro de nuestro orden internacional y sabemos que no debe anquilosarse. Emprenderemos acciones para reforzar y revitalizar el multilateralismo y estrechar la cooperación internacional. Reafirmamos el compromiso inquebrantable con el derecho internacional, incluida la Carta, para hacer frente a los problemas mundiales, algunos de los cuales podrían abrumar y amenazar a toda la humanidad. Es esencial transformar la gobernanza global para evitar que se esfumen los avances positivos conseguidos en los tres pilares de la labor de las Naciones Unidas durante las últimas décadas. No permitiremos que eso ocurra.

65. Debemos restablecer la confianza en las instituciones mundiales haciendo que sean más representativas del mundo actual, respondan mejor y sean más eficaces a la hora de cumplir los compromisos que hemos contraído entre nosotros y con nuestros pueblos. Renovamos nuestro compromiso con el multilateralismo y la cooperación internacional, guiándonos por la Carta y los principios de confianza, equidad, solidaridad y universalidad. Transformaremos la gobernanza global y reforzaremos el sistema multilateral para que nos ayuden a conseguir un mundo seguro, pacífico, justo, igualitario, inclusivo, sostenible y próspero.

Acción 38. Transformaremos la gobernanza global y revitalizaremos el sistema multilateral para afrontar los retos, y aprovechar las oportunidades, que se nos presenten en la actualidad y en el futuro.

66. Resolvemos lograr que el sistema multilateral, cuyo elemento central son las Naciones Unidas:

a) Sea más eficaz y capaz de cumplir nuestras promesas, reforzando los mecanismos de rendición de cuentas, transparencia e implementación para garantizar el cumplimiento de nuestros compromisos y restablecer la confianza en las instituciones mundiales;

b) Esté mejor preparado para el futuro, creando capacidades y aprovechando la tecnología y los datos para anticipar riesgos, aprovechar oportunidades, actuar con prontitud y gestionar la incertidumbre;

c) Sea más justo, democrático, equitativo y representativo del mundo actual para que todos los Estados Miembros, especialmente los países en desarrollo, puedan participar de manera significativa en la adopción de decisiones mundiales dentro de las instituciones multilaterales y para que en los procesos decisorios mundiales se escuche más la voz de los países en desarrollo;

d) Sea más inclusivo, para que las instancias pertinentes puedan participar de manera significativa en los formatos apropiados, pero reafirmando al mismo tiempo el carácter intergubernamental de las Naciones Unidas y el papel singular y central de los Estados al afrontar los retos mundiales;

e) Esté más interconectado, para que el sistema multilateral pueda aunar las capacidades institucionales existentes, funcionar mejor como sistema, superar la fragmentación y abordar de forma integral los retos multidimensionales y multisectoriales, maximizando al mismo tiempo la eficiencia;

f) Tenga mayor estabilidad financiera, garantizando una financiación adecuada, sostenible y predecible para las Naciones Unidas, y con ese fin nos comprometemos a cumplir nuestras obligaciones financieras íntegra y puntualmente y sin condiciones.

Acción 39. Reformaremos el Consejo de Seguridad, reconociendo la urgente necesidad de que sea más representativo, inclusivo, transparente, eficiente, eficaz y democrático y tenga más rendición de cuentas.

67. En respuesta a la creciente urgencia de aumentar la eficacia de la capacidad de las Naciones Unidas para mantener la paz y la seguridad internacionales, tal como se establece en la Carta, acordamos los siguientes principios rectores mencionados en las negociaciones intergubernamentales sobre la cuestión de la representación equitativa en el Consejo de Seguridad y el aumento del número de sus miembros y otros asuntos relativos al Consejo de Seguridad de conformidad con la decisión 62/557 de la Asamblea General, de 15 de septiembre de 2008, como parámetros para la reforma:

a) Hay que reparar, con carácter prioritario, la injusticia histórica cometida contra África y, tratando a África como un caso especial, mejorar la representación de las regiones y los grupos que están infrarrepresentados o no tienen representación, como América Latina y el Caribe o Asia y el Pacífico;

b) Hay que ampliar el Consejo de Seguridad para que represente mejor la composición actual de las Naciones Unidas y refleje las realidades del mundo contemporáneo y, teniendo en cuenta nuestros compromisos relacionados con el Objetivo de Desarrollo Sostenible 16.8, aumentar la representación de los países en desarrollo y los Estados pequeños y medianos;

c) Hay que continuar estudiando la cuestión de la representación de los grupos interregionales, teniendo en cuenta que en los debates de las negociaciones intergubernamentales se han mencionado los pequeños Estados insulares en desarrollo, los Estados árabes y otros grupos, como la Organización de Cooperación Islámica;

d) Hay que intensificar los esfuerzos por llegar a un acuerdo sobre la cuestión de las categorías de miembros, teniendo en cuenta los debates mantenidos en el proceso de las negociaciones intergubernamentales;

e) El número total de miembros del Consejo ampliado debe garantizar el equilibrio entre su representatividad y su eficacia;

f) Los métodos de trabajo deben garantizar que el funcionamiento del Consejo ampliado sea inclusivo, transparente, eficiente, eficaz y democrático y tenga rendición de cuentas;

g) La cuestión del veto es un elemento clave de la reforma del Consejo de Seguridad. Intensificaremos los esfuerzos por llegar a un acuerdo sobre el futuro del veto, con debates sobre la limitación de su alcance y uso;

h) Como parte de una reforma integral, debería considerarse la posibilidad de incluir una cláusula de revisión para que, con el paso del tiempo, el Consejo de Seguridad siga cumpliendo su mandato y siendo idóneo para sus propósitos.

Acción 40. Intensificaremos nuestras gestiones en el marco de las negociaciones intergubernamentales sobre la reforma del Consejo de Seguridad con carácter prioritario y sin demora.

68. Apoyamos el papel de los Estados Miembros como impulsores de la reforma del Consejo de Seguridad e intensificaremos los esfuerzos en pro de la reforma a través de las negociaciones intergubernamentales, de conformidad con la decisión 62/557 de la Asamblea General y otras decisiones y resoluciones pertinentes de la Asamblea, como la resolución 53/30, de 23 de noviembre de 1998. Aprovechando los recientes avances conseguidos en las negociaciones intergubernamentales, entre otras cosas gracias a una mayor transparencia e inclusividad y a la mejora de su memoria institucional, decidimos lo siguiente:

a) Alentar a que se presenten más modelos para los diálogos estructurados y se revisen los que ya han propuesto los Estados y Grupos de Estados, con miras a elaborar en el futuro un modelo consolidado basado en los puntos de convergencia sobre los cinco grupos temáticos y los modelos propuestos por los Estados Miembros.

Acción 41. Reforzaremos la respuesta del Consejo de Seguridad para el mantenimiento de la paz y la seguridad internacionales y su relación con la Asamblea General.

69. Seguiremos mejorando y democratizando los métodos de trabajo del Consejo de Seguridad y estrechando su relación con la Asamblea General, teniendo en cuenta y respetando plenamente sus respectivas funciones, autoridad, facultades y competencias consagradas en la Carta, en el entendimiento de que ello no obsta para que se efectúe la reforma del Consejo de Seguridad expuesta en la acción 39. Decidimos lo siguiente:

a) Aplicar y cumplir plenamente todas las disposiciones de la Carta de las Naciones Unidas relativas al proceso de toma de decisiones del Consejo de Seguridad, incluido el Artículo 27 (3) de la Carta;

b) Apoyar la adopción por parte del Consejo de Seguridad, en ejercicio de su responsabilidad primordial de mantener la paz y la seguridad internacionales, de medidas que tengan credibilidad y sean oportunas y enérgicas para prevenir o hacer cesar la comisión de genocidios, crímenes de lesa humanidad o crímenes de guerra;

c) Intensificar activamente las gestiones que está realizando el Consejo de Seguridad para revisar y mejorar sus métodos de trabajo, incluidas, entre otras, las disposiciones sobre redacción y corredacción, y mejorar la cooperación y la comunicación entre el Consejo de Seguridad y la Asamblea General y sus órganos subsidiarios, como la Comisión de Consolidación de la Paz, y con el Consejo Económico y Social y los arreglos regionales y subregionales, lo que incluye seguir aplicando y utilizando plenamente las resoluciones de la Asamblea 377 A (V), de 3 de noviembre de 1950, relativa a la unión pro paz, y 76/262, de 26 de abril de 2022, relativa a la iniciativa sobre el veto;

d) Mejorar la participación y el acceso de todos los miembros de la Asamblea General a la labor del Consejo de Seguridad y sus órganos subsidiarios, a fin de mejorar la rendición de cuentas del Consejo ante los miembros y aumentar la transparencia de su labor.

Acción 42. Haremos mayores esfuerzos por revitalizar la labor de la Asamblea General.

70. Reafirmamos el papel central de la Asamblea General como principal órgano de deliberación, adopción de políticas y representación de las Naciones Unidas. Decidimos lo siguiente:

a) Seguir potenciando y utilizando plenamente la función y autoridad de la Asamblea General para hacer frente a la evolución de los problemas mundiales, respetando plenamente la Carta;

b) Impulsar maneras de que la Asamblea General pueda contribuir al mantenimiento de la paz y la seguridad internacionales, en particular adoptando medidas de conformidad con la Carta de las Naciones Unidas;

c) Destacar la necesidad de que el proceso de selección y nombramiento del Secretario General se rija por los principios de mérito, transparencia e inclusividad y tome debidamente en consideración el equilibrio de género y la rotación regional, y tener presente durante el próximo proceso de selección y nombramiento y en los posteriores el hecho lamentable de que nunca haya habido una Secretaria General, y alentamos a los Estados Miembros a que consideren la posibilidad de proponer candidaturas de mujeres.

Acción 43. Reforzaremos el Consejo Económico y Social para acelerar el desarrollo sostenible.

71. Nos comprometemos a reforzar la labor del Consejo Económico y Social como principal órgano encargado de la coordinación, el examen de políticas, el diálogo sobre políticas y la formulación de recomendaciones sobre cuestiones de desarrollo económico y social, reconociendo que la función del Consejo es clave para lograr una integración equilibrada de las tres dimensiones del desarrollo sostenible y apoyar la implementación de la Agenda 2030 para el Desarrollo Sostenible. Decidimos lo siguiente:

a) Seguir estrechando la cooperación entre el Consejo Económico y Social y la Comisión de Consolidación de la Paz, así como entre el Consejo Económico y Social y las instituciones financieras internacionales, con arreglo a sus respectivos mandatos;

b) Facilitar una participación más estructurada, significativa e inclusiva de las organizaciones no gubernamentales reconocidas como entidades consultivas por el Consejo Económico y Social en las actividades del Consejo, de conformidad con su resolución 1996/31, de 25 de julio de 1996;

c) Prestar apoyo al foro de la juventud del Consejo para mejorar la participación juvenil, velando por que el foro sea una plataforma en la que jóvenes de todas las regiones puedan seguir intercambiando ideas y entablando un diálogo con los Estados Miembros;

d) Solicitar al Consejo que, mediante un proceso intergubernamental inclusivo en el que participen todos los Estados Miembros, estudie opciones, en el contexto del 30º aniversario de la Cuarta Conferencia Mundial sobre la Mujer, que se celebrará próximamente, para revitalizar la Comisión de la Condición Jurídica y Social de la Mujer a fin de promover la aplicación plena y efectiva de la Declaración y Plataforma de Acción de Beijing, lograr la igualdad de género y el empoderamiento de todas las mujeres y niñas y promover y proteger sus derechos humanos, y vele por que la Comisión sea idónea para sus propósitos, pero reafirmando al mismo tiempo el mandato de la Comisión, y considerar posibles opciones, si es necesario, para reforzar otros órganos subsidiarios del Consejo.

Acción 44. Reforzaremos la Comisión de Consolidación de la Paz.

72. Afirmamos nuestro compromiso de reforzar la Comisión de Consolidación de la Paz mediante el examen de la arquitectura para la consolidación de la paz que se realizará en 2025 con el fin de dar un enfoque más estratégico a las iniciativas nacionales e internacionales de consolidación y sostenimiento de la paz y aumentar su coherencia y repercusión. Decidimos lo siguiente:

a) Reforzar el papel de la Comisión como plataforma para consolidar y sostener la paz, entre otras cosas mediante el intercambio de buenas prácticas entre los Estados Miembros y la movilización de apoyo político y financiero para las iniciativas nacionales de prevención y sostenimiento y consolidación de la paz, en particular con el fin de evitar un posible resurgimiento de los conflictos, conforme al mandato de la Comisión;

b) Hacer un mayor uso de la Comisión para apoyar los avances de las iniciativas de consolidación y sostenimiento de la paz y prevención con titularidad y liderazgo nacionales de los Estados Miembros, reforzar las funciones de asesoramiento y enlace de la Comisión y su poder de convocatoria, y alentarla a que consulte con la sociedad civil, las organizaciones no gubernamentales, incluidas las organizaciones de mujeres, y las entidades del sector privado que participen en las actividades de consolidación de la paz, según proceda, conforme al mandato de la Comisión;

c) Establecer alianzas más sistemáticas y estratégicas entre la Comisión y las organizaciones internacionales, regionales y subregionales, incluidas las instituciones financieras internacionales, para reforzar las iniciativas de consolidación y sostenimiento de la paz y movilizar financiación para sostener la paz y ayudar a alinear los enfoques nacionales en materia de desarrollo, consolidación de la paz y prevención;

d) Velar por que la Comisión desempeñe un papel vital de apoyo a los países durante la transición de las operaciones de paz y después de ellas, en cooperación con el Consejo de Seguridad y con la asistencia de los equipos de las Naciones Unidas en los países, a solicitud del país interesado.

Acción 45. Fortaleceremos el sistema de las Naciones Unidas.

73. Subrayamos la importancia de que el sistema de las Naciones Unidas siga siendo eficaz, eficiente y efectivo. Decidimos lo siguiente:

a) Lograr que las Naciones Unidas tengan más agilidad, capacidad de respuesta y resiliencia, en particular mejorando las capacidades de la Organización en materia de innovación, análisis de datos, transformación digital, prospectiva estratégica y ciencias del comportamiento para mejorar su apoyo a los Estados Miembros y la ejecución de sus mandatos;

b) Comprometernos a respaldar plenamente y seguir fortaleciendo el sistema de las Naciones Unidas para el desarrollo, incluido el sistema de coordinadoras y coordinadores residentes, para que ayude de manera más estratégica, receptiva, colaborativa e integrada y con mayor rendición de cuentas a los países en desarrollo a implementar la Agenda 2030 y afrontar los desafíos actuales, nuevos y emergentes para el desarrollo sostenible, de conformidad con la Carta, y en apoyo de las prioridades y políticas nacionales, incluso a través de los Marcos de Cooperación de las Naciones Unidas para el Desarrollo Sostenible, y pedir que se proporcione más financiación adecuada, predecible y sostenible para alcanzar esos objetivos;

c) Garantizar la accesibilidad para las personas con discapacidad y la inclusión de la discapacidad en las Naciones Unidas a fin de que puedan participar de forma plena, significativa y efectiva y sean consideradas iguales en todos los aspectos de la labor de las Naciones Unidas;

d) Destacar la necesidad de que el proceso de selección y nombramiento de las jefaturas ejecutivas y los altos cargos de las Naciones Unidas se rija por los principios de transparencia e inclusividad y se lleve a cabo de conformidad con todas las disposiciones del Artículo 101 de la Carta de las Naciones Unidas, dando debida consideración a la importancia de contratar al personal con la más amplia representación geográfica posible y con equilibrio de género, y cumplir la norma general de que los puestos de categoría superior del sistema de las Naciones Unidas no deben ser monopolizados por nacionales de ningún Estado o grupo de Estados.

Acción 46. Garantizaremos el disfrute efectivo de todos los derechos humanos de todas las personas y responderemos a los retos nuevos y emergentes.

74. Tras cumplirse el 75º aniversario de la Declaración Universal de Derechos Humanos y el 30º aniversario de la Declaración y Programa de Acción de Viena (16), mantenemos nuestro compromiso de promover y proteger todos los derechos humanos y libertades fundamentales, incluidos los derechos civiles, políticos, económicos, sociales y culturales. Esto incluye el derecho al desarrollo. Nos comprometemos de nuevo a cumplir nuestras respectivas obligaciones de respetar, proteger y hacer efectivos los derechos humanos y a aplicar todos los instrumentos internacionales de derechos humanos pertinentes. Todos los derechos humanos son universales, indivisibles e interdependientes y están relacionados entre sí. Los derechos humanos se refuerzan mutuamente y deben tratarse de manera justa y equitativa, en pie de igualdad y asignándoles la misma importancia. Con los Objetivos de Desarrollo Sostenible se pretende hacer realidad los derechos humanos de todas las personas. Los particulares y las instituciones de la sociedad civil, incluidas, cuando existen, las organizaciones y los grupos no gubernamentales y las instituciones nacionales de derechos humanos que se dedican a promover y proteger todos los derechos humanos y libertades fundamentales de todas las personas, con arreglo a las leyes y políticas nacionales y de conformidad con la Carta de las Naciones Unidas y el derecho internacional de los derechos humanos, deben recibir protección frente a cualquier tipo de intimidación y represalias, tanto en el ámbito digital como fuera de él. Debemos seguir defendiendo los derechos humanos en el futuro aumentando nuestra capacidad de responder a los problemas existentes, nuevos y emergentes que amenacen el disfrute de los derechos humanos. Decidimos lo siguiente:

a) Recordar el mandato del Alto Comisionado de las Naciones Unidas para los Derechos Humanos, que figura en la resolución 48/141, de 20 de diciembre de 1993, y solicitar al Secretario General que evalúe la necesidad de proporcionar a los mecanismos de derechos humanos de las Naciones Unidas, incluida la Oficina del Alto Comisionado de las Naciones Unidas para los Derechos Humanos, una financiación adecuada, predecible y sostenible que les permita cumplir sus mandatos con eficiencia y eficacia para que puedan responder a la amplia gama de problemas relacionados con los derechos humanos que afectan a la comunidad internacional con imparcialidad, objetividad y no selectividad;

b) Aumentar la coordinación y la cooperación entre las entidades de las Naciones Unidas que trabajan en la esfera de los derechos humanos y evitar la duplicación de actividades, en el marco de sus mandatos vigentes, incluso mediante una coordinación más estrecha con la Oficina del Alto Comisionado de las Naciones Unidas para los Derechos Humanos.

Acción 47. Aceleraremos la reforma de la arquitectura financiera internacional para hacer frente a los problemas actuales y futuros.

75. La reforma de la arquitectura financiera internacional es un paso importante para fomentar la confianza en el sistema multilateral. Encomiamos las iniciativas de reforma en curso y pedimos que se actúe con mayor urgencia y ambición, si cabe, para que la arquitectura financiera internacional sea más eficiente, más equitativa y adecuada al mundo actual y responda mejor a las dificultades que tienen los países en desarrollo para subsanar el déficit de financiación de los Objetivos de Desarrollo Sostenible. La reforma de la arquitectura financiera internacional debe centrarse en la Agenda 2030 y asumir el compromiso inquebrantable de invertir en la erradicación de la pobreza en todas sus formas y dimensiones. Decidimos lo siguiente:

a) Seguir tratando de efectuar reformas más profundas en la arquitectura financiera internacional para impulsar la implementación de la Agenda 2030 y lograr un mundo más inclusivo, justo, pacífico, resiliente y sostenible para las personas y el planeta, para las generaciones presentes y futuras.

Acción 48. Aceleraremos la reforma de la arquitectura financiera internacional para dar más voz y representación a los países en desarrollo.

76. Reconocemos la importante función que desempeñan las Naciones Unidas en la gobernanza económica global, reconociendo que las Naciones Unidas y las instituciones financieras internacionales tienen mandatos complementarios, por lo que es crucial que coordinen sus acciones, pero respetando plenamente los mecanismos y mandatos de gobernanza existentes que son independientes de las Naciones Unidas y por los que se rigen determinadas organizaciones y normas. Observamos con aprecio la iniciativa de organizar una cumbre bienal a nivel de Jefaturas de Estado y de Gobierno para estrechar los vínculos y la coordinación existentes y establecer otros más sistemáticos entre las Naciones Unidas y las instituciones financieras internacionales, y destacamos la importancia de la participación inclusiva. Reconocemos la importancia de seguir emprendiendo reformas de la gobernanza en las instituciones financieras internacionales y los bancos multilaterales de desarrollo. Recalcamos la necesidad de que los países en desarrollo tengan más representación y voz en los procesos de adopción de decisiones, establecimiento de normas y gobernanza sobre la economía mundial de las instituciones económicas y financieras internacionales, como el Fondo Monetario Internacional y el Banco Mundial, para aumentar la eficacia, la credibilidad, la rendición de cuentas y la legitimidad de esas instituciones. Acogemos con beneplácito las medidas encaminadas a dar más voz y representación a los países en desarrollo, como la creación de una 25a silla en el Directorio Ejecutivo del Fondo Monetario Internacional para África Subsahariana y los cambios introducidos recientemente en las cuotas y el derecho de voto. Recalcamos la importancia de mejorar la diversidad y la representación de género en los directorios ejecutivos, el personal directivo superior y los puestos de plantilla. Estas medidas pueden contribuir a que esas instituciones estén más preparadas para abordar mejor los problemas mundiales.

Decidimos lo siguiente:

a) Alentar al Directorio del Fondo Monetario Internacional a que tome nuevas medidas para seguir tratando de conseguir una institución fuerte, basada en cuotas y con los recursos adecuados y dar más representación y voz a los países en desarrollo, en particular mediante la labor que está realizando el Directorio Ejecutivo a fin de elaborar, a más tardar en junio de 2025, posibles enfoques como guía para una mayor realineación de las cuotas, incluso a través de una nueva fórmula para calcularlas, en el marco de la 17ª revisión general de cuotas, protegiendo al mismo tiempo las cuotas de los miembros más pobres;

b) Instar a los órganos rectores del Banco Mundial y otros bancos multilaterales de desarrollo a que tomen nuevas medidas para lograr una representación, una intervención y una participación importantes y más amplias de los países en desarrollo, reconociendo plenamente los esfuerzos que se están haciendo en tal sentido.

Acción 49. Aceleraremos la reforma de la arquitectura financiera internacional a fin de movilizar financiación adicional para los Objetivos de Desarrollo Sostenible, responder a las necesidades de los países en desarrollo y dirigir la financiación hacia quienes más la necesitan.

77. Los países en desarrollo necesitan más acceso a financiación de todas las fuentes para alcanzar los Objetivos de Desarrollo Sostenible. Numerosos países en desarrollo están recibiendo menos flujos de capital y en muchos de ellos sale más capital del que entra. Los bancos multilaterales de desarrollo son vitales para apoyar el desarrollo sostenible y la consecución de los Objetivos, y para aumentar el acceso de los países a la financiación en condiciones más asequibles y ayudar a estimular la inversión del sector privado. Acogemos con beneplácito las iniciativas de reforma de los bancos multilaterales de desarrollo destinadas a movilizar una mayor financiación para la Agenda 2030, reconociendo que urge hacer nuevas reformas en esos bancos, además de reforzar la movilización de recursos nacionales y los entornos normativos y regulatorios internos. Decidimos lo siguiente:

a) Lograr que la 21ª reposición de la Asociación Internacional de Fomento sea importante y tenga repercusión, y que incluya contribuciones y firmes compromisos normativos de donantes nuevos y existentes para aumentar significativamente los recursos de la Asociación, y procurar establecer una vía para aportar un aumento significativo y sostenible a la Asociación cuando llegue la reposición de 2030;

b) Instar a los bancos multilaterales de desarrollo a que aceleren el ritmo de las reformas de su misión y su visión de futuro, sus estructuras de incentivos, sus enfoques operacionales y su capacidad financiera, y a que consideren la posibilidad de adoptar otras medidas para aumentar la disponibilidad de la financiación destinada a los países en desarrollo y les presten apoyo normativo y asistencia técnica para afrontar mejor los problemas mundiales y alcanzar los Objetivos de Desarrollo Sostenible;

c) Instar a los directorios ejecutivos y a la administración de los bancos multilaterales de desarrollo a que faciliten financiación adicional procedente de los propios balances de los bancos aplicando plenamente, cuando sea pertinente y apropiado, las recomendaciones del examen independiente sobre los marcos de suficiencia del capital de los bancos multilaterales de desarrollo encargado por el Grupo de los 20, como reflejar el valor del capital exigible en los marcos de suficiencia del capital de los bancos y emitir capital híbrido a gran escala, asegurando al mismo tiempo la sostenibilidad financiera de los respectivos bancos multilaterales de desarrollo;

d) Alentar a los directorios ejecutivos de los bancos multilaterales de desarrollo a que consideren la posibilidad de programar más ampliaciones de capital generales, reconociendo que recientemente se han hecho aportaciones de capital, en caso necesario;

e) Invitar a los bancos multilaterales de desarrollo a que, en consulta con el Secretario General, presenten opciones y recomendaciones sobre nuevos enfoques para mejorar el acceso de los países en desarrollo a la financiación en condiciones favorables, respetando plenamente la independencia del mandato y la autoridad de los respectivos órganos rectores de cada banco multilateral de desarrollo, y solicitar al Secretario General que mantenga a los Estados Miembros al corriente de los progresos conseguidos;

f) Observar la labor realizada por las instituciones financieras internacionales, las organizaciones internacionales y los bancos multilaterales de desarrollo para considerar la vulnerabilidad estructural, e invitarlos a que estudien la posibilidad de utilizar el índice de vulnerabilidad multidimensional, según proceda, como complemento de sus prácticas y políticas actuales, con arreglo a sus respectivos mandatos;

g) Exhortar a los bancos multilaterales de desarrollo a que presten un apoyo oportuno a los países en desarrollo aumentando y optimizando la financiación a largo plazo en condiciones favorables, incluidos los préstamos en moneda nacional, así como el diseño, la financiación y la ampliación de mecanismos innovadores con titularidad nacional e impulsados por los países.

Acción 50. Aceleraremos la reforma de la arquitectura financiera internacional para que los países puedan tomar préstamos de forma sostenible a fin de invertir en su desarrollo a largo plazo.

78. Los préstamos son vitales para que los países inviertan en su desarrollo a largo plazo. Los países deben poder tomar préstamos de forma sostenible y tener acceso al crédito en condiciones asequibles, y al mismo tiempo con total transparencia. Nos preocupan profundamente las cargas de la deuda y vulnerabilidades insostenibles que están surgiendo en muchos países en desarrollo y la forma en que limitan sus progresos en materia de desarrollo. Reconocemos que es importante reforzar las salvaguardias para evitar que ocurran este tipo de situaciones. Subrayamos la importancia de reformar los procesos multilaterales existentes con el fin de facilitar la acción colectiva para prevenir las crisis de la deuda, así como la reestructuración y el alivio de la deuda, cuando proceda, teniendo en cuenta la evolución de las tendencias en el panorama mundial de la deuda. Decidimos lo siguiente:

a) Fortalecer la respuesta multilateral para apoyar a los países cuya carga de la deuda es elevada e insostenible, con la participación significativa de los países afectados y todas las instancias pertinentes, asegurando un enfoque que sea más eficaz, ordenado, predecible, coordinado, transparente y oportuno para que esos países puedan salir del sobreendeudamiento y dar prioridad al gasto público destinado a la consecución de los Objetivos de Desarrollo Sostenible;

b) Invitar al Fondo Monetario Internacional a que, en colaboración con el Secretario General, el Banco Mundial, el Grupo de los 20 y los principales acreedores bilaterales, así como los deudores, examine posibles formas de reforzar y mejorar la arquitectura de la deuda soberana, sobre la base de los procesos internacionales existentes, y solicitar al Secretario General que mantenga a los Estados Miembros al corriente de los progresos conseguidos y presente propuestas sobre esa cuestión;

c) Tomar nota de los esfuerzos del Secretario General por dialogar con las agencias de calificación crediticia sobre su papel en el desarrollo sostenible y solicitar al Secretario General que mantenga a los Estados Miembros al corriente de esos debates;

d) Mejorar y seguir aplicando el Marco Común para el Tratamiento de la Deuda del Grupo de los 20 a fin de facilitar procesos de reestructuración eficaces, predecibles, coordinados, oportunos y ordenados y fomentar la adopción de medidas que aseguren la comparabilidad del tratamiento de los acreedores soberanos y privados;

e) Promover, cuando proceda, el uso en todos los préstamos de cláusulas relacionadas con instrumentos dependientes del Estado, incluidas cláusulas de la deuda vinculadas al clima cuando se concedan préstamos a países en desarrollo que sean vulnerables a peligros, como los efectos adversos del cambio climático;

f) Promover un mayor uso de los canjes de deuda por Objetivos de Desarrollo Sostenible, incluidos los canjes de deuda por adaptación climática o por medidas de conservación de la naturaleza, para los países en desarrollo, según proceda.

Acción 51. Aceleraremos la reforma de la arquitectura financiera internacional para mejorar su capacidad de apoyar a los países en desarrollo de forma más eficaz y equitativa durante las perturbaciones sistémicas y aumentar la estabilidad del sistema financiero.

79. La creciente frecuencia e intensidad de las perturbaciones económicas mundiales ha retrasado los avances en la consecución de los Objetivos de Desarrollo Sostenible. Reconocemos que los derechos especiales de giro pueden ayudar a fortalecer la red de seguridad financiera de un mundo propenso a las perturbaciones sistémicas y a aumentar la estabilidad financiera mundial. Acogemos con beneplácito las promesas de recanalizar más de 100.000 millones de dólares en derechos especiales de giro o contribuciones equivalentes hacia los países en desarrollo, destacando al mismo tiempo que urge cumplir lo antes posible esas promesas hechas a los países en desarrollo. Decidimos lo siguiente:

a) Exhortar a los países que estén en condiciones de hacerlo a que recanalicen voluntariamente derechos especiales de giro de la asignación de 2021, y a que consideren también la posibilidad de recanalizar al menos la mitad de sus derechos especiales de giro, incluso por medio de los bancos multilaterales de desarrollo, pero respetando los marcos jurídicos pertinentes y preservando el carácter de activos de reserva de los derechos especiales de giro;

b) Alentar al Fondo Monetario Internacional a que estudie todas las opciones posibles para seguir reforzando la red de seguridad financiera mundial con el fin de ayudar a los países en desarrollo a responder mejor a las perturbaciones macroeconómicas y considerar si es viable agilizar las emisiones de derechos especiales de giro y facilitar su pronta recanalización voluntaria hacia los países en desarrollo durante futuras crisis financieras y perturbaciones sistémicas;

c) Acoger con beneplácito el examen que está realizando el Fondo Monetario Internacional de su política de sobretasas;

d) Promover la estabilidad financiera mediante la cooperación internacional y una regulación coherente con respecto a los bancos y otras entidades que prestan servicios financieros.

Acción 52. Aceleraremos la reforma de la arquitectura financiera internacional para que pueda hacer frente al urgente problema del cambio climático.

80. El cambio climático y la pérdida de biodiversidad exacerban muchos de los problemas a los que se enfrenta la arquitectura financiera internacional y pueden menoscabar los progresos hacia los Objetivos de Desarrollo Sostenible. Los países en desarrollo deben tener acceso a la financiación para poder tratar de alcanzar dos objetivos que están interrelacionados: lograr el desarrollo sostenible, incluida la erradicación de la pobreza, y promover un crecimiento económico sostenible, inclusivo y resiliente, y hacer frente al cambio climático. Es esencial invertir en el desarrollo sostenible y la acción climática. La arquitectura financiera internacional debe seguir canalizando e incrementando la financiación adicional destinada al desarrollo sostenible y la acción climática. Los países en desarrollo tienen necesidades de financiación cada vez mayores, sobre todo los que son particularmente vulnerables a los efectos adversos del cambio climático, por lo que está aumentando la demanda de financiación. Decidimos lo siguiente:

a) Exhortar a los bancos multilaterales de desarrollo y otras instituciones financieras internacionales a que aumenten la disponibilidad, la accesibilidad y el impacto de la financiación climática destinada a los países en desarrollo, salvaguardando al mismo tiempo la adicionalidad de la financiación climática, a fin de ayudar a los países en desarrollo a implementar sus planes y estrategias nacionales para hacer frente al cambio climático;

b) Exhortar a los bancos multilaterales de desarrollo a que movilicen financiación adicional para apoyar la adaptación y desplegar y desarrollar tecnologías renovables con bajas emisiones o emisiones cero y eficiencia energética de conformidad con los compromisos vigentes;

c) Exhortar a las instituciones financieras internacionales y otras entidades pertinentes a que mejoren la evaluación y la gestión de los riesgos, incluidos los riesgos financieros relacionados con el clima, respalden las medidas encaminadas a abordar el elevado costo del capital para los países en desarrollo y presten apoyo normativo para ayudar a gestionar y reducir mejor los riesgos;

d) Alentar al sector privado, especialmente las grandes empresas, a que contribuyan a la sostenibilidad, a la protección de nuestro planeta y al logro de la Agenda 2030 y los Objetivos de Desarrollo Sostenible, incluso mediante enfoques basados en las alianzas, para ampliar el apoyo a los países en desarrollo y facilitar la acción climática.

Acción 53. Elaboraremos un marco sobre sistemas para medir el progreso hacia el desarrollo sostenible que complementen el producto interno bruto y vayan más allá de él.

81. Reconocemos que el desarrollo sostenible debe tratar de lograrse de forma equilibrada e integrada. Reafirmamos la necesidad de elaborar urgentemente sistemas para medir el progreso hacia el desarrollo sostenible que complementen el producto interno bruto o vayan más allá de él. Esos sistemas deben reflejar los avances en las dimensiones económica, social y ambiental del desarrollo sostenible, incluso al examinar la fundamentación del acceso a la financiación para el desarrollo y a la cooperación técnica. Decidimos lo siguiente:

a) Solicitar al Secretario General que establezca un grupo independiente de expertos de alto nivel que formule recomendaciones sobre un número limitado de indicadores de desarrollo sostenible de titularidad nacional y aplicación universal que complementen el producto interno bruto y vayan más allá de él, en estrecha consulta con los Estados Miembros y las instancias pertinentes, teniendo en cuenta la labor de la Comisión de Estadística y basándose en el marco de indicadores mundiales para los Objetivos de Desarrollo Sostenible y metas de la Agenda 2030 para el Desarrollo Sostenible, y que presente el resultado de su labor durante el octogésimo período de sesiones de la Asamblea General;

b) Iniciar, después de que el grupo independiente de expertos de alto nivel concluya su labor, un proceso intergubernamental dirigido por las Naciones Unidas en consulta con las instancias pertinentes, como la Comisión de Estadística, las instituciones financieras internacionales, los bancos multilaterales de desarrollo y las comisiones regionales, con arreglo a sus respectivos mandatos, sobre sistemas para medir el progreso hacia el desarrollo sostenible que complementen el producto interno bruto o vayan más allá de él, teniendo en cuenta las recomendaciones del grupo de expertos de alto nivel del Secretario General.

Acción 54. Reforzaremos la respuesta internacional a las perturbaciones mundiales complejas.

82. Reconocemos que la respuesta internacional a las complejas perturbaciones mundiales tiene que ser más coherente, cooperativa, coordinada y multidimensional, y que las Naciones Unidas desempeñan un papel crucial a este respecto. Las perturbaciones mundiales complejas son acontecimientos que tienen consecuencias sumamente disruptivas y adversas para una parte considerable de los países y la población mundial, y que repercuten en múltiples sectores, por lo que requieren una respuesta multidimensional, pangubernamental y pansocial. Las perturbaciones mundiales complejas afectan de manera desproporcionada a las personas más pobres y vulnerables del mundo y suelen tener consecuencias desastrosas para el desarrollo sostenible y la prosperidad. Los conflictos armados no son de por sí perturbaciones mundiales complejas, pero sí podrían, en algunos casos, afectar a múltiples sectores. Los principios de titularidad y consentimiento nacionales, equidad, solidaridad y cooperación guiarán las futuras respuestas que demos a las perturbaciones mundiales complejas, respetando plenamente el derecho internacional, incluida la Carta y sus propósitos y principios, y los mandatos vigentes de los órganos y procesos intergubernamentales de las Naciones Unidas, las entidades del sistema de las Naciones Unidas y los organismos especializados. Propugnaremos que entre las funciones del Secretario General están convocar a los Estados Miembros, promover la coordinación de todo el sistema multilateral y colaborar con las instancias pertinentes en respuesta a las crisis. Solicitamos al Secretario General que:

a) Considere posibles enfoques para que el sistema de las Naciones Unidas pueda dar a las perturbaciones mundiales complejas, con las atribuciones existentes y en consulta con los Estados Miembros, una respuesta mejor que respalde, complemente y no duplique la de los órganos principales de las Naciones Unidas, sus entidades competentes, sus entidades y mecanismos de coordinación y los organismos especializados que tienen el mandato de responder a las emergencias, respetando plenamente la función de coordinación en respuesta a las emergencias humanitarias encomendada a las Naciones Unidas.

Acción 55. Fortaleceremos nuestras alianzas para cumplir los compromisos existentes y abordar los problemas nuevos y emergentes.

83. Reconocemos la importancia de que las Naciones Unidas colaboren con los parlamentos nacionales y las instancias pertinentes, pero preservando al mismo tiempo el carácter intergubernamental de la Organización. Los problemas a los que nos enfrentamos requieren la cooperación no solo a través de las fronteras, sino también de todos los sectores de la sociedad. En nuestra labor deben participar los Gobiernos, así como los parlamentos, el sistema de las Naciones Unidas y otras instituciones internacionales, las autoridades locales, los Pueblos Indígenas, la sociedad civil, las empresas y el sector privado, las organizaciones confesionales, las comunidades científica y académica y toda la población para poder responder de manera eficaz a nuestros problemas comunes. Decidimos lo siguiente:

a) Velar por que las instancias pertinentes puedan participar de forma significativa, con arreglo a sus respectivas funciones y responsabilidades y de conformidad con los reglamentos pertinentes, en los procesos correspondientes de las Naciones Unidas y por que los Estados Miembros puedan recabar las opiniones y los conocimientos especializados de esos asociados;

b) Aprovechar los cauces existentes y mejorar comunicación entre los órganos intergubernamentales de las Naciones Unidas y la sociedad civil, para mantener un diálogo y un intercambio de información continuos;

c) Fomentar la contribución del sector privado para hacer frente a los problemas mundiales y aumentar su rendición de cuentas para lograr la aplicación de los marcos de las Naciones Unidas;

d) Estrechar la colaboración de las Naciones Unidas con los parlamentos nacionales en los órganos y procesos intergubernamentales de las Naciones Unidas, de conformidad con la legislación nacional, incluso aprovechando las gestiones de las Naciones Unidas y la Unión Interparlamentaria para lograr que los parlamentos sigan apoyando la aplicación de los acuerdos y las resoluciones pertinentes de las Naciones Unidas;

e) Solicitar al Secretario General que presente, antes de que concluya el septuagésimo noveno período de sesiones, recomendaciones sobre la forma en que la interacción con las autoridades locales y regionales puede ayudar a promover la Agenda 2030, en particular la localización de los Objetivos de Desarrollo Sostenible, para que las examinen los Estados Miembros;

f) Mejorar la cooperación entre las Naciones Unidas y las organizaciones regionales, subregionales y de otro tipo en el marco de sus respectivos mandatos, que será crucial para mantener la paz y la seguridad internacionales, promover y proteger los derechos humanos y lograr el desarrollo sostenible.

Acción 56. Reforzaremos la cooperación internacional para la exploración y utilización del espacio ultraterrestre con fines pacíficos y en beneficio de toda la humanidad.

84. En el Tratado sobre el Espacio Ultraterrestre de 1967 se afirma que la exploración y utilización del espacio ultraterrestre incumben a toda la humanidad. La humanidad depende cada vez más del espacio y hay que reconocer que el Tratado sobre el Espacio Ultraterrestre es la piedra angular del régimen jurídico internacional que rige las actividades en el espacio ultraterrestre. Vivimos una época en la que el acceso al espacio ultraterrestre y las actividades que se desarrollan en él son mayores que antes. El aumento del número de objetos presentes en el espacio ultraterrestre, el regreso de los seres humanos al espacio lejano y nuestra creciente dependencia de los sistemas del espacio ultraterrestre exigen acciones urgentes. El uso seguro y sostenible del espacio es crucial para la consecución de la Agenda 2030. Las oportunidades que brinda a las personas y el planeta son enormes, pero también hay riesgos que deben gestionarse. Alentamos a la Comisión sobre la Utilización del Espacio Ultraterrestre con Fines Pacíficos a que siga manteniendo consultas sobre la propuesta de celebrar la Cuarta Conferencia de las Naciones Unidas sobre la Exploración y Utilización del Espacio Ultraterrestre con Fines Pacíficos (UNISPACE IV) en 2027. Decidimos lo siguiente:

a) Reafirmar la importancia de lograr el nivel más amplio posible de adhesiones al Tratado sobre el Espacio Ultraterrestre de 1967 y su cumplimiento, y considerar la posibilidad de establecer nuevos marcos para el tráfico espacial, los desechos espaciales y los recursos espaciales a través de la Comisión sobre la Utilización del Espacio Ultraterrestre con Fines Pacíficos;

b) Invitar a las instancias pertinentes del sector privado, la sociedad civil y otras partes interesadas, cuando proceda y corresponda, a que hagan aportaciones a los procesos intergubernamentales relacionados con el aumento de la seguridad y la sostenibilidad del espacio ultraterrestre.

3ª sesión plenaria 22 de septiembre de 2024

Anexo I.- Pacto Digital Global

1. Las tecnologías digitales están transformando el mundo de manera radical. Sus posibles beneficios para el bienestar y el progreso de las personas y las sociedades y para nuestro planeta son inmensos. Y ofrecen la prometedora perspectiva de acelerar el logro de los Objetivos de Desarrollo Sostenible.

2. Pero la única manera de conseguirlo es reforzando la cooperación internacional para eliminar todas las brechas digitales que existen entre los países y dentro de ellos. Reconocemos que esas brechas causan dificultades a muchos países, en particular a los países en desarrollo, que tienen acuciantes necesidades de desarrollo y escasos recursos.

3. Reconocemos que la rápida evolución y la potencia de las tecnologías emergentes están creando nuevas posibilidades, pero también nuevos riesgos para la humanidad, algunos de los cuales todavía no se conocen bien. Reconocemos la necesidad de determinar y mitigar los riesgos y garantizar la supervisión humana de la tecnología para promover el desarrollo sostenible y el pleno disfrute de los derechos humanos.

4. Aspiramos a conseguir un futuro digital inclusivo, abierto, sostenible, justo y seguro para todos. En este Pacto Digital Global se enuncian los objetivos, los principios, los compromisos y las acciones que nos propondremos para lograrlo, fuera del ámbito militar.

5. Disponemos de sólidos cimientos sobre los que construir. Nuestra cooperación digital se basa en el derecho internacional, incluida la Carta de las Naciones Unidas, el derecho internacional de los derechos humanos y la Agenda 2030 para el Desarrollo Sostenible (17). Mantenemos nuestro compromiso con los resultados de la Cumbre Mundial sobre la Sociedad de la Información, reflejados en la Declaración de Principios y el Plan de Acción de Ginebra (18) y la Agenda de Túnez para la Sociedad de la Información (19). Las Naciones Unidas ofrecen una plataforma imprescindible para la cooperación digital mundial que necesitamos, y para ello aprovecharemos los procesos existentes.

6. Nuestra cooperación debe ser ágil y adaptable a la rápida evolución del panorama digital. Los Gobiernos trabajaremos en colaboración y asociación con el sector privado, la sociedad civil, las organizaciones internacionales, las comunidades técnica y académica y todas las demás partes interesadas, en el marco de sus respectivas funciones y responsabilidades, para hacer realidad el futuro digital al que aspiramos.

Objetivos

7. Para cumplir nuestra aspiración, perseguiremos los siguientes objetivos:

1. Eliminar todas las brechas digitales y acelerar los progresos en todos los Objetivos de Desarrollo Sostenible;

2. Ampliar la inclusión en la economía digital y sus beneficios para todos;

3. Fomentar un espacio digital inclusivo, abierto y seguro que respete, proteja y promueva los derechos humanos;

4. Promover enfoques de la gobernanza de datos que sean responsables, equitativos e interoperables;

5. Mejorar la gobernanza internacional de la inteligencia artificial en beneficio de la humanidad.

Principios

8. Nuestra cooperación digital se guiará por los propósitos y principios de la Carta de las Naciones Unidas y los siguientes principios transversales, que se refuerzan mutuamente:

a) La participación inclusiva de todos los Estados y otras partes interesadas es la piedra angular de este Pacto. Nuestra cooperación eliminará las brechas digitales existentes dentro de los Estados y entre ellos y promoverá un entorno digital equitativo para todos;

b) Este Pacto está orientado al desarrollo y su eje es la Agenda 2030. Nuestra cooperación aprovechará las tecnologías para acelerar los progresos, erradicar la pobreza y no dejar a nadie atrás. Esto incluirá esfuerzos concretos para abordar las necesidades de los países en desarrollo, en particular los países menos adelantados, los países en desarrollo sin litoral y los pequeños Estados insulares en desarrollo, así como los problemas específicos de los países de ingresos medianos;

c) El derecho internacional, incluido el derecho internacional de los derechos humanos, es el pilar de este Pacto. Hay que respetar, proteger y promover todos los derechos humanos, incluidos los civiles, políticos, económicos, sociales y culturales, y las libertades fundamentales, tanto en el ámbito digital como fuera de él. Nuestra cooperación aprovechará las tecnologías digitales para promover todos los derechos humanos, incluidos los derechos del niño, los derechos de las personas con discapacidad y el derecho al desarrollo;

d) La igualdad de género y el empoderamiento de todas las mujeres y niñas y su participación plena, igualitaria y significativa en el espacio digital son esenciales para eliminar la brecha digital de género y promover el desarrollo sostenible. Nuestra cooperación empoderará a todas las mujeres y niñas, fomentará el liderazgo femenino, transversalizará la perspectiva de género y contrarrestará y eliminará todas las formas de violencia, incluida la violencia sexual y de género, que se producen o amplifican por el uso de la tecnología;

e) Las tecnologías digitales abren nuevas posibilidades y oportunidades para impulsar la sostenibilidad ambiental. Nuestra cooperación aprovechará las tecnologías digitales para fomentar esa sostenibilidad, minimizando al mismo tiempo sus efectos negativos en el medio ambiente;

f) Para lograr una inclusión equitativa y significativa en la economía digital es necesario abordar la concentración actual de la capacidad tecnológica y el poder de mercado. Nuestra cooperación tendrá por objeto garantizar que los beneficios de la cooperación digital se distribuyan equitativamente y no agraven las desigualdades existentes ni impidan la plena consecución del desarrollo sostenible;

g) Es esencial que los datos y las tecnologías y los servicios digitales sean accesibles y asequibles para que todas las personas puedan participar plenamente en el mundo digital. Nuestra cooperación fomentará la accesibilidad digital para todos y apoyará la diversidad lingüística y cultural en el espacio digital;

h) Los sistemas digitales de comunicación e intercambio son un catalizador fundamental del desarrollo. Nuestra cooperación impulsará la interoperabilidad entre sistemas digitales y la compatibilidad de los enfoques de la gobernanza;

i) Las tecnologías emergentes seguras y fiables, incluida la inteligencia artificial, ofrecen nuevas oportunidades para impulsar el desarrollo. Nuestra cooperación promoverá un enfoque del ciclo de vida de las tecnologías digitales y emergentes basado en la responsabilidad, la rendición de cuentas y la transparencia y centrado en las personas, que incluya las fases de prediseño, diseño, desarrollo, evaluación, puesta a prueba, despliegue, uso, venta, adquisición, funcionamiento y retirada, bajo una supervisión humana eficaz;

j) La creatividad y la competencia estimulan los avances digitales. Nuestra cooperación fomentará la innovación y el potencial de las sociedades y empresas, independientemente de su tamaño u origen, para aprovechar los beneficios de la digitalización y prosperar en la economía digital;

k) Los Gobiernos, el sector privado, la sociedad civil, la comunidad técnica, el mundo académico y las organizaciones internacionales y regionales, con sus respectivas funciones y responsabilidades, son esenciales para promover un futuro digital inclusivo, abierto y seguro. Nuestra cooperación será multilateral y aprovechará las contribuciones de todos;

l) Reforzaremos las alianzas para asegurarnos de que se proporcionen a los países en desarrollo los medios de implementación necesarios mediante la movilización de recursos financieros, la creación de capacidad y la transferencia de tecnología en condiciones convenidas de mutuo acuerdo;

m) El mundo digital evoluciona a un ritmo vertiginoso. En nuestra cooperación debemos tener visión de futuro y ser capaces de detectar, anticipar, evaluar y seguir las tecnologías emergentes y adaptarnos a ellas, para que así podamos aprovechar las oportunidades y responder a los riesgos y problemas nuevos y emergentes.

Compromisos y acciones

9. Nos comprometemos a emprender acciones significativas y mensurables para alcanzar nuestros objetivos.

Objetivo 1. Eliminar todas las brechas digitales y acelerar los progresos en todos los Objetivos de Desarrollo Sostenible

Conectividad

10. Reconocemos que una conectividad universal y significativa y el acceso asequible son esenciales para aprovechar todo el potencial de las tecnologías digitales y emergentes. Nos comprometemos a conectar a todas las personas a Internet. Reconocemos que para ello serán necesarias sólidas alianzas y mayores inversiones financieras en los países en desarrollo por parte de los Gobiernos y otras instancias, en particular el sector privado. Afirmamos el importante papel que desempeña la Unión Internacional de Telecomunicaciones para promover una conectividad universal y significativa y la invitamos a que continúe su labor. Reconocemos que las soluciones innovadoras pueden ayudar a ofrecer conexiones de alta velocidad, entre otras a las zonas desatendidas, remotas y rurales.

11. Nos comprometemos, de aquí a 2030, a:

a) Establecer y mejorar las metas, los indicadores y las mediciones que se necesiten para una conectividad universal significativa y asequible, aprovechando la labor ya realizada, e integrarlos en las estrategias de desarrollo internacionales, regionales y nacionales (ODS 9);

b) Establecer mecanismos e incentivos de financiación innovadora y combinada, incluso en colaboración con los Gobiernos, los bancos multilaterales de desarrollo, las organizaciones internacionales pertinentes y el sector privado, para conectar a los 2.600 millones de personas restantes a Internet y lograr que las conexiones sean de mejor calidad y más asequibles. Procuraremos que el costo de un abono básico a la banda ancha sea asequible para la mayor parte de la población (ODS 1 y 9);

c) Invertir en infraestructuras digitales resilientes, como satélites e iniciativas de redes locales, que proporcionen una cobertura de red fiable y segura a todas las zonas, incluidas las rurales, remotas y de “difícil acceso”, implantar ese tipo de infraestructuras y promover un acceso equitativo a las órbitas de los satélites, teniendo en cuenta las necesidades de los países en desarrollo. Procuraremos lograr el acceso universal con tarifas asequibles y suficiente velocidad y fiabilidad para facilitar un uso significativo de Internet (ODS 9 y 11);

d) Cartografiar y conectar a Internet todas las escuelas y hospitales, aprovechando la iniciativa Giga de la Unión Internacional de Telecomunicaciones y el Fondo de las Naciones Unidas para la Infancia, y mejorar los servicios y las capacidades de telemedicina (ODS 3 y 4);

e) Promover la sostenibilidad en todo el ciclo de vida de las tecnologías digitales, incluso adoptando medidas específicas en función de cada contexto destinadas a aumentar la eficiencia de los recursos y conservar y utilizar de forma sostenible los recursos naturales, con el fin de garantizar un diseño sostenible de la infraestructura y los equipos digitales que ayude a abordar los problemas ambientales en el contexto del desarrollo sostenible y los esfuerzos por erradicar la pobreza (ODS 1, 4, 6, 7, 8, 11, 12, 13 y 14);

f) Tener en cuenta las necesidades de las personas en situación de vulnerabilidad y las que viven en zonas desatendidas, rurales y remotas al formular y aplicar estrategias nacionales y locales de conectividad digital (ODS 10 y 11);

g) Incorporar la perspectiva de género en las estrategias de conectividad digital para hacer frente a los obstáculos estructurales y sistemáticos que impiden lograr una conectividad digital significativa, segura y asequible para todas las mujeres y niñas (ODS 5).

Alfabetización, destrezas y capacidades digitales

12. Para aprovechar plenamente las ventajas de la conectividad digital, debemos garantizar que las personas puedan utilizar Internet de forma significativa y segura y navegar sin riesgos por el espacio digital. Reconocemos la importancia de las destrezas digitales y el acceso a las oportunidades de aprendizaje digital durante toda la vida, teniendo en cuenta las necesidades sociales, culturales y lingüísticas específicas de cada sociedad y de las personas de cualquier edad y procedencia. Reconocemos la necesidad de ampliar la cooperación internacional y la financiación para aumentar la capacidad digital en los países en desarrollo y de facilitar la creación de contenidos locales y contenidos pertinentes para las realidades locales en línea y retener el talento.

13. Nos comprometemos, de aquí a 2030, a:

a) Establecer y respaldar estrategias nacionales sobre destrezas digitales, adaptar la formación del personal docente y los planes de estudio y ofrecer programas de formación de adultos para la era digital. Aspiramos a que el mayor número posible de personas tengan destrezas digitales básicas, sin por ello dejar de fomentar las destrezas digitales intermedias o avanzadas (ODS 4 y 5);

b) Aumentar la disponibilidad, la accesibilidad y la asequibilidad de las plataformas, los servicios, los programas informáticos y los planes de estudio sobre tecnologías digitales en diversos idiomas y formatos, así como las interfaces de usuario accesibles para las personas con discapacidad (ODS 4 y 10);

c) Dirigir y adaptar las actividades de creación de capacidad a las mujeres y las niñas, los niños y la juventud, así como a las personas mayores, las personas con discapacidad, los migrantes, los refugiados y los desplazados internos, los Pueblos Indígenas y las personas en situación de vulnerabilidad, y garantizar su participación significativa en el diseño y la ejecución de los programas (ODS 5 y 10);

d) Elaborar y realizar encuestas nacionales sobre inclusión digital con datos desglosados por ingresos, sexo, edad, raza, origen étnico, estatus migratorio, discapacidad y ubicación geográfica y otras características pertinentes en contextos nacionales, para detectar lagunas en el aprendizaje y ayudar a establecer prioridades en contextos específicos (ODS 5 y 10);

e) Priorizar y fijar metas para el desarrollo de las destrezas digitales del funcionariado y las instituciones públicas con el fin de promulgar, formular y aplicar estrategias y políticas en favor de unos servicios públicos digitales que sean inclusivos y seguros y se centren en el usuario, incluido el desarrollo de destrezas y capacidades para garantizar el funcionamiento seguro y resiliente de los sistemas, las redes y los datos digitales (ODS 16);

f) Mejorar la formación profesional, el perfeccionamiento y el reciclaje de quienes trabajan en profesiones afectadas por la digitalización y la automatización para mitigar las posibles consecuencias negativas en la mano de obra y promover el trabajo decente (ODS 8);

g) Establecer marcos de destrezas digitales y normas de formación interoperables para facilitar la puesta en común de los recursos de formación, la movilización de fondos públicos y privados en apoyo de la creación de capacidad y su adaptación continua para hacer frente a la rápida evolución tecnológica y evitar la fuga de cerebros (ODS 4 y 17);

h) Apoyar los esfuerzos por ofrecer oportunidades para una educación y una investigación de calidad e inclusivas sobre ciencia, tecnología, ingeniería y matemáticas, y promover la participación de las mujeres y las niñas en todas las funciones y a todos los niveles (ODS 4).

Bienes públicos digitales e infraestructura pública digital

14. Reconocemos que los bienes públicos digitales, que incluyen los programas informáticos de código abierto, los datos abiertos, los modelos de inteligencia artificial abiertos, las normas abiertas y los contenidos abiertos que respetan la privacidad y otras disposiciones, normas y mejores prácticas internacionales aplicables y no son nocivos, empoderan a las sociedades y las personas para orientar las tecnologías digitales hacia sus necesidades de desarrollo y pueden facilitar la cooperación y las inversiones digitales.

15. Las infraestructuras públicas digitales resilientes, seguras, inclusivas e interoperables pueden servir para prestar servicios a gran escala y aumentar las oportunidades sociales y económicas de todas las personas. Reconocemos que existen múltiples modelos de infraestructura pública digital y que cada sociedad desarrollará y utilizará sistemas digitales compartidos en función de sus prioridades y necesidades específicas. Los sistemas digitales transparentes y seguros y las salvaguardias centradas en los usuarios pueden fomentar la confianza de la población y su uso de los servicios digitales.

16. Consideramos que ese tipo de bienes públicos digitales e infraestructuras públicas digitales son los grandes motores de una transformación y una innovación inclusivas en el ámbito digital. Reconocemos la necesidad de aumentar la inversión para desarrollarlos satisfactoriamente con la participación de todos los interesados.

17. Nos comprometemos, de aquí a 2030, a:

a) Desarrollar, difundir y mantener, mediante la cooperación de múltiples partes interesadas, programas informáticos de código abierto, datos abiertos, modelos de inteligencia artificial abiertos y normas abiertas que sean seguros y beneficien a la sociedad en su conjunto (ODS 8, 9 y 10);

b) Promover la adopción de normas abiertas y la interoperabilidad para facilitar el uso de los bienes públicos digitales en diferentes plataformas y sistemas (todos los ODS);

c) Elaborar y decidir un conjunto de salvaguardias para una infraestructura pública digital inclusiva, responsable, segura y centrada en los usuarios que puedan aplicarse en diferentes contextos (ODS 16);

d) Intercambiar y poner a disposición del público mejores prácticas y casos de utilización de la infraestructura pública digital para informar a los Gobiernos, el sector privado y otras partes interesadas, aprovechando los repositorios existentes en las Naciones Unidas, entre otros (ODS 16 y 17);

e) Aumentar las inversiones y la financiación para desarrollar bienes públicos digitales e infraestructuras públicas digitales, especialmente en los países en desarrollo (ODS 17);

f) Alentar la formación de alianzas entre los Gobiernos, el sector privado, la sociedad civil, las comunidades técnica y académica y las organizaciones internacionales y regionales para diseñar, poner en marcha y apoyar iniciativas que aprovechen los bienes públicos digitales y la infraestructura pública digital a fin de promover soluciones en pro de los Objetivos de Desarrollo Sostenible (ODS 17).

Objetivo 2. Ampliar la inclusión en la economía digital y sus beneficios para todos

18. Reconocemos que un acceso equitativo y asequible a las tecnologías digitales puede hacer realidad el potencial de la economía digital para todas las sociedades. Reconocemos que el acceso digital abarca las oportunidades de adquirir y desarrollar conocimientos, investigación y capacidad, así como las transferencias de tecnología en condiciones convenidas de mutuo acuerdo.

19. Para promover la inclusión digital es necesario un entorno propicio previsible y transparente con marcos políticos, jurídicos y regulatorios que respalden la innovación, protejan los derechos de los consumidores, fomenten el talento y las destrezas digitales, estimulen la competencia leal y el emprendimiento digital y aumenten la confianza de los consumidores y la confianza en la economía digital. Tales entornos, a nivel internacional y nacional, incrementan la productividad, facilitan el crecimiento del comercio electrónico, mejoran la competitividad, aceleran la transformación digital y apoyan la inversión y la transferencia de tecnologías digitales a los países en desarrollo en condiciones convenidas de mutuo acuerdo.

20. Consideramos que, para facilitar las transacciones comerciales y hacer que los entornos en línea sean seguros y fiables, es esencial disponer de normas estrictas y amplia capacidad que garanticen el funcionamiento seguro y resiliente de los sistemas, las redes y los datos digitales.

21. Nos comprometemos, de aquí a 2030, a:

a) Fomentar un entorno digital abierto, justo, inclusivo y no discriminatorio para todos que permita a las microempresas y pequeñas y medianas empresas acceder a la economía digital y competir en ella (ODS 9);

b) Apoyar las iniciativas internacionales, regionales y nacionales encaminadas a crear entornos propicios para la transformación digital, incluidos marcos normativos, jurídicos y regulatorios previsibles y transparentes, y el intercambio de mejores prácticas (ODS 10 y 16);

c) Llevar a cabo evaluaciones nacionales y regionales que sirvan de base para emprender acciones destinadas a abordar las lagunas y necesidades en materia de transformación digital y mejorar la recopilación y el uso de datos para fundamentar la adopción de decisiones (todos los ODS);

d) Exhortar a todas las partes interesadas a que, cuando se les solicite, presten asistencia técnica a los países en desarrollo, con arreglo a las políticas y prioridades nacionales de transformación digital (ODS 17);

e) Mantener cadenas de suministro estables y resilientes para los productos y servicios digitales globales (ODS 8 y 9);

f) Promover iniciativas de intercambio de conocimientos y transferencia de tecnología en condiciones convenidas de mutuo acuerdo (ODS 17);

g) Fomentar la cooperación Norte-Sur, Sur-Sur y triangular, incluso entre universidades, institutos de investigación y el sector privado, para acelerar el desarrollo del conocimiento digital y el acceso a la capacidad de investigación (ODS 17);

h) Intercambiar conocimientos y mejores prácticas sobre las empresas digitales para apoyar los programas de innovación y las soluciones tecnológicas locales en los países en desarrollo (ODS 9);

i) Fomentar la innovación y el emprendimiento, incluso entre las mujeres, la juventud y otros emprendedores infrarrepresentados, con el objetivo de aumentar el número de nuevas empresas emergentes y microempresas y pequeñas y medianas empresas digitales en los países en desarrollo y facilitar su acceso a los mercados mediante el uso de tecnologías digitales (ODS 8 y 9);

j) Promover la creación de capacidad para garantizar el funcionamiento seguro y resiliente de los sistemas, las redes y los datos digitales en las iniciativas de transformación digital (ODS 9).

Objetivo 3. Fomentar un espacio digital inclusivo, abierto y seguro que respete, proteja y promueva los derechos humanos

Derechos humanos

22. Nos comprometemos a respetar, proteger y promover los derechos humanos en el espacio digital. Defenderemos el derecho internacional de los derechos humanos durante todo el ciclo de vida de las tecnologías digitales y emergentes, de modo que los usuarios puedan aprovechar las tecnologías digitales sin correr riesgos y estén protegidos de las violaciones, los abusos y todas las formas de discriminación. Reconocemos las responsabilidades que incumben a todas las partes interesadas en este empeño y exhortamos también al sector privado a que aplique los Principios Rectores sobre las Empresas y los Derechos Humanos de las Naciones Unidas (20).

23. Nos comprometemos a:

a) Velar por que, al elaborar y aplicar legislación nacional pertinente para las tecnologías digitales, se cumplan las obligaciones en virtud del derecho internacional, incluido el derecho internacional de los derechos humanos (todos los ODS);

b) Establecer salvaguardias adecuadas para prevenir y abordar cualquier efecto adverso en los derechos humanos derivado del uso de las tecnologías digitales y emergentes y proteger a las personas de las violaciones y los abusos de sus derechos humanos en el espacio digital, incluso ejerciendo la diligencia debida en materia de derechos humanos y creando mecanismos eficaces de supervisión y recurso (todos los ODS);

c) Reforzar los marcos jurídicos y normativos para proteger los derechos de la infancia en el espacio digital, conforme al derecho internacional de los derechos humanos, en particular la Convención sobre los Derechos del Niño (21) (todos los ODS);

d) Abstenernos de imponer restricciones a la libre circulación de información e ideas que sean incompatibles con las obligaciones en virtud del derecho internacional (todos los ODS).

24. Reconocemos los esfuerzos que está realizando la Oficina del Alto Comisionado de las Naciones Unidas para los Derechos Humanos a fin de proporcionar, mediante un servicio de asesoramiento sobre los derechos humanos en el espacio digital, previa solicitud, con arreglo al mandato vigente y con recursos proporcionados voluntariamente, asesoramiento especializado y orientaciones prácticas sobre cuestiones relativas a los derechos humanos y la tecnología.

25. Exhortamos a:

a) Las empresas y los desarrolladores de tecnología digital a que respeten los derechos humanos y los principios internacionales, incluso ejerciendo la diligencia debida en materia de derechos humanos y evaluando el impacto durante todo el ciclo de vida de la tecnología (todos los ODS);

b) Las empresas y los desarrolladores de tecnología digital y las plataformas de medios sociales a que respeten los derechos humanos en el entorno digital, rindan cuentas por los abusos y tomen medidas para mitigarlos y prevenirlos, y a que den acceso a vías de recurso eficaces conforme a los Principios Rectores sobre las Empresas y los Derechos Humanos de las Naciones Unidas y otros marcos pertinentes (ODS 5, 10 y 16).

Gobernanza de Internet

26. Reconocemos que Internet es un servicio mundial imprescindible para lograr una transformación digital inclusiva y equitativa. Para que todas las personas puedan aprovecharla plenamente, debe ser abierta, global, interoperable, estable y segura.

27. Reconocemos que la gobernanza de Internet debe seguir siendo global y multisectorial y contar con la plena participación de los Gobiernos, el sector privado, la sociedad civil, las organizaciones internacionales, las comunidades técnica y académica y todas las demás partes interesadas, con arreglo a sus respectivas funciones y responsabilidades. Reafirmamos que la gobernanza de Internet debe seguir ajustándose a las disposiciones establecidas en los documentos finales de las cumbres celebradas en Ginebra y Túnez, incluidas las relativas al aumento de la cooperación.

28. Reconocemos la importancia del Foro para la Gobernanza de Internet como principal plataforma multipartita encargada de examinar cuestiones relativas a la gobernanza de Internet.

29. Nos comprometemos a:

a) Promover una Internet abierta, global, interoperable y fiable y adoptar medidas concretas para mantener un entorno digital seguro y propicio para todos (ODS 9);

b) Prestar apoyo al Foro para la Gobernanza de Internet, incluso haciendo esfuerzos continuos por aumentar la participación diversa de los Gobiernos y otras instancias de los países en desarrollo y proporcionando financiación voluntaria también con ese fin (ODS 9 y 10);

c) Promover la cooperación internacional entre todas las partes interesadas para prevenir, detectar y abordar oportunamente los riesgos de fragmentación de Internet (ODS 16);

d) Abstenernos de imponer cierres de Internet y medidas contra el acceso a Internet (ODS 16).

Confianza y seguridad digitales

30. Debemos contrarrestar y abordar urgentemente todas las formas de violencia, incluida la violencia sexual y de género, que se producen o amplifican por el uso de la tecnología, todas las formas de discurso de odio y discriminación, las informaciones erróneas y la desinformación, el ciberacoso y la explotación y los abusos sexuales de menores. Estableceremos y mantendremos estrictas medidas de mitigación de riesgos y vías de recurso que también protejan la privacidad y la libertad de expresión.

31. Nos comprometemos, de aquí a 2030, a:

a) Crear un espacio digital seguro para todos los usuarios que garantice su salud mental y su bienestar definiendo y adoptando normas, directrices y acciones sectoriales comunes que respeten el derecho internacional, promuevan espacios cívicos seguros y aborden el contenido de las plataformas digitales que causa daño a las personas, teniendo en cuenta la labor que están realizando las entidades de las Naciones Unidas, las organizaciones regionales y las iniciativas multipartitas interesadas (ODS 3, 5, 9, 10, 16 y 17);

b) Dar prioridad a la formulación y aplicación de políticas y normas nacionales de seguridad infantil en el entorno digital, de conformidad con el derecho internacional de los derechos humanos, en particular la Convención sobre los Derechos del Niño (ODS 3, 5 y 10);

c) Establecer una colaboración sistemática entre las instituciones nacionales que se encargan de la seguridad en el entorno digital para intercambiar mejores prácticas y llegar a un entendimiento común de las acciones encaminadas a proteger la privacidad, la libertad de expresión y el acceso a la información, y al mismo tiempo abordar los daños (ODS 17);

d) Velar por que las leyes y los reglamentos sobre el uso de la tecnología en ámbitos como la vigilancia y la encriptación respeten el derecho internacional (ODS 10 y 16);

e) Elaborar, en consulta con todas las partes interesadas pertinentes, metodologías eficaces para medir, vigilar y contrarrestar todas las formas de violencia y abuso en el espacio digital (ODS 5 y 16);

f) Vigilar y examinar las políticas y prácticas de las plataformas digitales sobre la lucha contra la explotación y los abusos sexuales infantiles que se producen o amplifican por el uso de la tecnología, incluida la distribución a través de plataformas digitales de abusos sexuales infantiles o material sobre abusos sexuales infantiles, así como la captación o seducción (grooming) de menores con el propósito de cometer delitos sexuales contra ellos (ODS 3).

32. Además, exhortamos con urgencia:

a) A las empresas y los desarrolladores de tecnología digital a que colaboren con usuarios de todas las procedencias y capacidades para incorporar sus perspectivas y necesidades en el ciclo de vida de las tecnologías digitales (ODS 5 y 10);

b) A las empresas y los desarrolladores de tecnología digital a que formulen conjuntamente, en consulta con los Gobiernos y otras partes interesadas, marcos de rendición de cuentas sectoriales que aumenten la transparencia en torno a sus sistemas y procesos, definan responsabilidades e incluyan el compromiso de respetar las normas, así como informes públicos auditables (ODS 9 y 17);

c) A las empresas de tecnología digital y las plataformas de medios sociales a que proporcionen a sus usuarios materiales de formación y salvaguardias relacionados con la seguridad en el entorno digital, en particular con respecto a los usuarios infantiles y juveniles (ODS 3);

d) A las plataformas de medios sociales a que establezcan mecanismos de notificación seguros y accesibles para que los usuarios y sus defensores puedan denunciar las posibles violaciones de las políticas, incluidos mecanismos especiales de notificación adaptados a la infancia y las personas con discapacidad (ODS 3).

Integridad de la información

33. El acceso a una información y unos conocimientos que sean pertinentes, fiables y exactos es esencial para lograr un espacio digital inclusivo, abierto y seguro. Reconocemos que las tecnologías digitales y emergentes pueden propiciar manipulaciones e interferencias en la información que son nocivas para las sociedades y las personas y perjudican el disfrute de los derechos humanos y las libertades fundamentales, así como la consecución de los Objetivos de Desarrollo Sostenible.

34. Colaboraremos para promover la integridad de la información, la tolerancia y el respeto en el espacio digital, así como para proteger la integridad de los procesos democráticos. Reforzaremos la cooperación internacional para hacer frente al problema de las informaciones erróneas, la desinformación y el discurso de odio en el entorno digital y mitigar los riesgos que plantea la manipulación de la información, de manera compatible con el derecho internacional.

35. Nos comprometemos, de aquí a 2030, a:

a) Diseñar e implantar planes de estudio para la alfabetización mediática e informativa a fin de que todos los usuarios tengan las destrezas y los conocimientos necesarios para interactuar sin riesgo y con espíritu crítico con los contenidos y con los proveedores de información, y para mejorar la resiliencia frente a los efectos nocivos de las informaciones engañosas y la desinformación (ODS 3 y 4);

b) Promover la diversidad y la resiliencia de los ecosistemas informativos, incluso fortaleciendo los medios de comunicación independientes y públicos y apoyando a los periodistas y demás personas que trabajan en los medios de comunicación (ODS 9 y 16);

c) Proporcionar, promover y facilitar el acceso a información independiente, fáctica, oportuna, específica, clara, accesible, multilingüe y con base científica y su difusión para contrarrestar las informaciones erróneas y la desinformación (ODS 3, 4, 9 y 16);

d) Promover el acceso a información pertinente, fiable y exacta durante las crisis para proteger y empoderar a las personas en situación de vulnerabilidad (ODS 10);

e) Alentar a las entidades de las Naciones Unidas a que, en colaboración con los Gobiernos y las instancias pertinentes, evalúen el modo en que las informaciones erróneas y la desinformación afectan al logro de los Objetivos de Desarrollo Sostenible (ODS 17).

36. Además, exhortamos con urgencia:

a) A las empresas de tecnología digital y las plataformas de medios sociales a que aumenten la transparencia y la rendición de cuentas de sus sistemas, lo que incluye las condiciones de servicio, la moderación de contenidos y los algoritmos de recomendación y el tratamiento de los datos personales de los usuarios en los idiomas locales, a fin de empoderar a los usuarios para tomar decisiones con conocimiento de causa y otorgar o retirar su consentimiento informado (ODS 9 y 10);

b) A las plataformas de medios sociales a que permitan a los investigadores acceder a los datos, con salvaguardias sobre la privacidad de los usuarios, con el fin de garantizar la transparencia y la rendición de cuentas al recopilar datos sobre el modo de hacer frente a las informaciones erróneas, la desinformación y el discurso de odio que puedan servir de base para las políticas, normas y mejores prácticas gubernamentales y sectoriales (ODS 9, 16 y 17);

c) A las empresas y los desarrolladores de tecnología digital a que sigan desarrollando soluciones y comunicando públicamente las medidas que hayan tomado para contrarrestar posibles daños, como el discurso de odio y la discriminación, derivados de los contenidos de inteligencia artificial. Algunas de esas medidas son incorporar salvaguardias en los procesos de entrenamiento de los modelos de inteligencia artificial, identificar el material generado por la inteligencia artificial y certificar la autenticidad de los contenidos y su origen, así como etiquetas, marcas de agua y otras técnicas (ODS 10, 16 y 17).

Objetivo 4. Promover enfoques de la gobernanza de datos que sean responsables, equitativos e interoperables

Privacidad y seguridad de los datos

37. Reconocemos que una gobernanza de datos responsable e interoperable es esencial para promover los objetivos de desarrollo, proteger los derechos humanos, fomentar la innovación y estimular el crecimiento económico. Cada vez se recopilan, intercambian y procesan más datos, incluso en sistemas de inteligencia artificial, lo que puede incrementar los riesgos si no existen normas eficaces de protección de los datos personales y la privacidad.

38. Reconocemos la urgente necesidad de estrechar la cooperación en materia de gobernanza de datos a todos los niveles con la participación efectiva, equitativa y significativa de todos los países y en consulta con las partes interesadas pertinentes para aprovechar todo el potencial de las tecnologías digitales y emergentes. Reconocemos que para ello habrá que crear capacidad en los países en desarrollo y formular y aplicar marcos de gobernanza de datos a todos los niveles que maximicen los beneficios del uso de los datos y al mismo tiempo protejan la privacidad y los datos. Exhortamos al sistema de las Naciones Unidas a que ayude a fomentar la creación de capacidad para lograr una gobernanza de datos responsable e interoperable.

39. Nos comprometemos, de aquí a 2030, a:

a) Tener en cuenta las directrices internacionales y regionales vigentes sobre la protección de la privacidad al elaborar marcos de gobernanza de datos (todos los ODS);

b) Prestar más apoyo a todos los países para elaborar marcos nacionales de gobernanza de datos que sean eficaces e interoperables (todos los ODS);

c) Empoderar a personas y grupos dotándolos de la capacidad de considerar, otorgar y retirar su consentimiento para el uso de sus datos y la capacidad de elegir cómo se utilizan esos datos, incluso estableciendo por ley medidas para proteger la privacidad de los datos y la propiedad intelectual (ODS 10 y 16);

d) Velar por que las prácticas de recopilación, acceso, intercambio, transferencia, almacenamiento y procesamiento de datos sean seguras y proporcionales y tengan fines necesarios, explícitos y legítimos, de conformidad con el derecho internacional (todos los ODS);

e) Desarrollar una fuerza de trabajo cualificada capaz de recopilar, procesar, analizar, almacenar y transferir datos de forma segura y protegiendo la privacidad (ODS 8 y 9).

Intercambio de datos y normas sobre datos

40. Reconocemos que las disparidades en cuanto a los datos, incluidas las de género y las geográficas, pueden dar lugar a una distribución poco equitativa de los beneficios, a usos indebidos e interpretaciones erróneas de los datos y a resultados sesgados.

41. Reconocemos que las normas comunes en materia de datos y los intercambios de datos interoperables pueden aumentar la accesibilidad y la comunicación de los datos y ayudar a eliminar las disparidades en cuanto a los datos. Facilitaremos iniciativas de datos abiertos creadas y gestionadas por todas las partes interesadas, incluidas las comunidades y los particulares, a fin de que puedan utilizar y aprovechar los datos para su desarrollo y bienestar.

42. Nos comprometemos, de aquí a 2030, a:

a) Elaborar normas sobre datos y metadatos diseñadas para prevenir y abordar los sesgos, la discriminación o las violaciones y los abusos de los derechos humanos durante todo el ciclo de vida de los datos, incluso mediante auditorías periódicas de los datos (ODS 3, 5, 10 y 16);

b) Elaborar definiciones básicas y clasificaciones de datos para promover la interoperabilidad y facilitar el intercambio de datos (todos los ODS);

c) Elaborar definiciones y normas comunes sobre el uso y la reutilización de datos en beneficio público (todos los ODS).

Datos para los Objetivos de Desarrollo Sostenible y el desarrollo

43. Consideramos que, para formular políticas con base empírica y prestar servicios públicos, es fundamental que los sistemas y las capacidades de datos sean seguros. La escasa inversión en actividades estadísticas y sistemas de datos públicos puede dificultar los progresos hacia la consecución del desarrollo sostenible.

44. Reconocemos que los datos de calidad son cruciales para el seguimiento, la orientación y la aceleración de los avances en todos los Objetivos de Desarrollo Sostenible, así como para responder eficazmente a las crisis. Nos comprometemos a reforzar la cooperación internacional para subsanar las graves lagunas que existen en los datos para el desarrollo y aumentar su disponibilidad pública. Propugnaremos el uso y el intercambio responsables de datos dentro de los países y entre ellos para impulsar los progresos hacia los Objetivos de Desarrollo Sostenible.

45. Nos comprometemos, de aquí a 2030, a:

a) Aumentar la financiación para datos y estadísticas de todas las fuentes e intensificar los esfuerzos por crear capacidad en materia de datos y destrezas afines, así como el uso responsable de los datos, especialmente en los países en desarrollo. Ampliaremos la financiación predecible para datos sobre desarrollo sostenible (ODS 17);

b) Redoblar los esfuerzos por recopilar, analizar y difundir datos pertinentes, exactos, fiables y desglosados a fin de mejorar el seguimiento y la formulación de políticas para acelerar la consecución de la Agenda 2030, respetando al mismo tiempo la privacidad y la protección de datos. Aspiraremos a aumentar en un 50 % los datos disponibles para el seguimiento de los Objetivos de Desarrollo Sostenible, desglosados por ingresos, sexo, edad, raza, origen étnico, estatus migratorio, discapacidad y ubicación geográfica y otras características pertinentes en contextos nacionales (todos los ODS);

c) Desarrollar sistemas de datos abiertos y accesibles para respaldar la alerta temprana, la acción temprana y la respuesta a las crisis en casos de desastre (ODS 3 y 11).

Flujos transfronterizos de datos

46. La circulación de datos a través de las fronteras es un motor fundamental de la economía digital. Reconocemos que, si los flujos transfronterizos de datos son seguros e inspiran confianza, pueden reportar beneficios sociales, económicos y en materia de desarrollo, especialmente para las microempresas y pequeñas y medianas empresas. Buscaremos mecanismos innovadores, interoperables e inclusivos para que los datos puedan circular con confianza dentro de los países y entre ellos en beneficio mutuo, respetando al mismo tiempo las salvaguardias pertinentes en materia de protección de datos y privacidad y los marcos jurídicos aplicables (ODS 17).

47. Nos comprometemos, de aquí a 2030, a promover consultas entre todas las partes interesadas pertinentes para conocer mejor los puntos comunes, las complementariedades, las convergencias y las divergencias entre los enfoques regulatorios sobre el modo de facilitar los flujos transfronterizos de datos con confianza a fin de aumentar los conocimientos y mejores prácticas a disposición del público (ODS 17).

Interoperabilidad en la gobernanza de datos

48. Promoveremos y apoyaremos la interoperabilidad entre los marcos normativos nacionales, regionales e internacionales en materia de datos. En este contexto, solicitamos a la Comisión de Ciencia y Tecnología para el Desarrollo que establezca un grupo de trabajo específico para entablar un amplio diálogo inclusivo entre las múltiples partes interesadas sobre la gobernanza de datos a todos los niveles y su pertinencia para el desarrollo. Alentamos al grupo de trabajo a que presente a la Asamblea General, a más tardar en el octogésimo primer período de sesiones, un informe sobre sus progresos que incluya recomendaciones complementarias para establecer disposiciones de gobernanza de datos equitativas e interoperables, como principios fundamentales de gobernanza de datos a todos los niveles que sean pertinentes para el desarrollo, propuestas para facilitar la interoperabilidad entre los sistemas de datos nacionales, regionales e internacionales, consideraciones sobre el reparto de los beneficios derivados de los datos, y opciones para facilitar flujos de datos seguros que inspiren confianza, incluida la circulación a través de las fronteras de datos que sean pertinentes para el desarrollo (todos los ODS).

49. Continuaremos deliberando en las Naciones Unidas a partir de esos resultados y reconociendo la labor que están realizando otros organismos y partes interesadas pertinentes, como la Comisión de Estadística de las Naciones Unidas, para tratar de lograr un entendimiento común de la gobernanza de datos a todos los niveles y su pertinencia para el desarrollo (todos los ODS).

Objetivo 5. Mejorar la gobernanza internacional de la inteligencia artificial en beneficio de la humanidad

50. Reconocemos la necesidad de adoptar un enfoque equilibrado, inclusivo y basado en los riesgos para la gobernanza de la inteligencia artificial (AI), con la representación plena e igualitaria de todos los países, especialmente los países en desarrollo, y la participación significativa de todos los interesados.

51. Reconocemos las iniciativas internacionales, regionales, nacionales y multipartitas que se están llevando a cabo para promover sistemas de inteligencia artificial que sean seguros e inspiren confianza. Necesitamos urgentemente evaluar y abordar de forma inclusiva los posibles efectos, oportunidades y riesgos de los sistemas de inteligencia artificial para el desarrollo sostenible y el bienestar y los derechos de las personas. Se necesita cooperación internacional para promover la coordinación y la compatibilidad de los marcos de gobernanza de la inteligencia artificial que están surgiendo.

52. Nos comprometemos a promover enfoques equitativos e inclusivos para aprovechar los beneficios de la inteligencia artificial y mitigar sus riesgos respetando plenamente el derecho internacional, incluido el derecho internacional de los derechos humanos, y teniendo en cuenta otros marcos pertinentes, como la Recomendación sobre la Ética de la Inteligencia Artificial de la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura (22).

53. Reconocemos el inmenso potencial que tienen los sistemas de inteligencia artificial para acelerar los avances en todos los Objetivos de Desarrollo Sostenible. Gobernaremos la inteligencia artificial en aras del interés público y velaremos por que sus aplicaciones fomenten las diversas culturas y lenguas y apoyen la generación local de datos en favor del desarrollo de los países y las comunidades. Esto incluye, en particular, la cooperación internacional para ayudar a los países en desarrollo a crear capacidad en materia de inteligencia artificial, así como los esfuerzos por hacer frente a los efectos negativos que pueden tener las tecnologías digitales emergentes en el trabajo y el empleo y el medio ambiente.

54. Consideramos que la gobernanza internacional de la inteligencia artificial requiere un enfoque multilateral que sea ágil, multidisciplinar y adaptable. Reconocemos la importancia de las Naciones Unidas para configurar, facilitar y apoyar esa gobernanza.

55. Este Pacto nos brinda una oportunidad única para promover la gobernanza internacional de la inteligencia artificial complementando las iniciativas internacionales, regionales, nacionales y multipartitas. Nos proponemos:

a) Evaluar las futuras tendencias e implicaciones de los sistemas de inteligencia artificial y promover su conocimiento científico (todos los ODS);

b) Apoyar la interoperabilidad y la compatibilidad de los enfoques de la gobernanza de la inteligencia artificial compartiendo las mejores prácticas y promoviendo un entendimiento común (todos los ODS);

c) Ayudar a crear capacidad, especialmente en los países en desarrollo, para acceder a los sistemas de inteligencia artificial, desarrollarlos, utilizarlos, gobernarlos y orientarlos hacia la consecución del desarrollo sostenible (todos los ODS);

d) Promover la transparencia, la rendición de cuentas y una estricta supervisión humana de los sistemas de inteligencia artificial compatible con el derecho internacional (todos los ODS).

56. Por consiguiente, nos comprometemos a:

a) Establecer, dentro de las Naciones Unidas, un panel científico internacional independiente y multidisciplinar sobre la inteligencia artificial con representación geográfica equilibrada para promover el conocimiento científico mediante evaluaciones empíricas de los efectos, los riesgos y las oportunidades, aprovechando las iniciativas y las redes de investigación nacionales, regionales e internacionales existentes (ODS 17);

b) Iniciar, dentro de las Naciones Unidas, un diálogo mundial sobre la gobernanza de la inteligencia artificial en el que intervengan los Gobiernos y todas las partes interesadas, que se celebrará paralelamente a las conferencias y reuniones pertinentes de las Naciones Unidas (ODS 17).

57. Por tanto, solicitamos a la Presidencia de la Asamblea General que nombre en su septuagésimo noveno período de sesiones a dos cofacilitadores, uno de un país desarrollado y otro de un país en desarrollo, para que determinen, mediante un proceso intergubernamental y consultas con otras instancias pertinentes, el mandato y las modalidades para el establecimiento y el funcionamiento del Panel Científico Internacional Independiente sobre Inteligencia Artificial y el Diálogo Mundial sobre la Gobernanza de la Inteligencia Artificial, que deberá aprobar la Asamblea General.

58. Exhortamos a las organizaciones normativas a que colaboren para promover la elaboración y adopción de normas interoperables de inteligencia artificial que propugnen la seguridad, la fiabilidad, la sostenibilidad y los derechos humanos (ODS 3, 5, 7, 9, 10, 12, 16 y 17).

59. Promoveremos sistemas de inteligencia artificial seguros y fiables que fomenten, protejan y preserven la diversidad lingüística y cultural y tengan en cuenta el multilingüismo durante todo su ciclo de vida (ODS 10 y 16).

60. Alentamos el establecimiento de alianzas internacionales para crear capacidad en materia de inteligencia artificial con el fin de elaborar programas de educación y formación, aumentar el acceso a los recursos, incluidos los modelos y sistemas de inteligencia artificial abiertos, los datos abiertos de entrenamiento y computación abierta, facilitar el entrenamiento y desarrollo de modelos de inteligencia artificial y promover la participación de las microempresas y pequeñas y medianas empresas en la economía digital (ODS 4 y 17).

61. Aprovecharemos los mecanismos existentes de las Naciones Unidas y de múltiples partes interesadas para apoyar la creación de capacidad en materia de inteligencia artificial con el fin de reducir las disparidades en ese ámbito, facilitar el acceso a las aplicaciones de inteligencia artificial y aumentar la capacidad de computación de alto rendimiento y destrezas afines en los países en desarrollo (todos los ODS).

62. Promoveremos la cooperación Norte-Sur, Sur-Sur y triangular para apoyar el desarrollo de conjuntos de datos representativos de alta calidad, recursos informáticos asequibles, soluciones locales que reflejen la diversidad lingüística y cultural y ecosistemas empresariales en los países en desarrollo (ODS 4, 9, 10 y 17).

63. Ponemos de relieve la importancia de aumentar las inversiones, en particular las del sector privado y las filantrópicas, a fin de ampliar la creación de capacidad en materia de inteligencia artificial para el desarrollo sostenible. Solicitamos al Secretario General que, en consulta con los posibles contribuyentes y el sistema de las Naciones Unidas, formule opciones innovadoras de financiación voluntaria para crear capacidad en materia de inteligencia artificial que tengan en cuenta las recomendaciones del Órgano Asesor de Alto Nivel sobre Inteligencia Artificial relativas al establecimiento de un fondo mundial sobre inteligencia artificial y que sirvan de complemento a los mecanismos de financiación pertinentes de las Naciones Unidas, y que las presente a la Asamblea General para que las examine en su septuagésimo noveno período de sesiones.

Seguimiento y examen

64. Aplicaremos el Pacto Digital Global, dentro de nuestros propios países y a nivel regional y mundial, teniendo en cuenta las diferentes realidades, capacidades y niveles de desarrollo de cada país y respetando sus políticas y prioridades nacionales, así como los marcos jurídicos aplicables.

65. Estos esfuerzos solo pueden dar fruto si cuentan con la activa participación del sector privado, las comunidades técnica y académica y la sociedad civil, cuyas innovaciones y contribuciones a la digitalización son fundamentales e insustituibles. Reforzaremos nuestra colaboración e impulsaremos la cooperación multipartita para alcanzar los objetivos enunciados en este Pacto.

66. Invitamos a las organizaciones internacionales y regionales, al sector privado, al mundo académico, a la comunidad técnica y a los grupos de la sociedad civil a que hagan suyo el Pacto y participen activamente en su aplicación y seguimiento. Solicitamos al Secretario General que establezca modalidades para la adhesión voluntaria a este Pacto y disponga que esta información sea pública y accesible a partir de diciembre de 2024.

67. Reconocemos la importancia de la financiación para hacer realidad todo el potencial de este Pacto. Para implementarlo con éxito será necesario dedicar recursos públicos, privados y multilaterales, incluso mancomunando las inversiones en servicios de financiación conjunta y combinada para lograr un impacto a gran escala, con mecanismos de las Naciones Unidas como la Ventana Digital del Fondo Conjunto para los Objetivos de Desarrollo Sostenible y los servicios de los bancos multilaterales de desarrollo. Exhortamos a los Gobiernos a que integren el apoyo a la transformación digital en la asistencia para el desarrollo, incluso aumentando las asignaciones presupuestarias para iniciativas digitales y de datos. Invitamos a los sectores privado y filantrópico a que consideren la posibilidad de hacer promesas de contribuciones financieras para apoyar la aplicación de este Pacto.

68. Nos basaremos en los procesos y foros dimanantes de la Cumbre Mundial sobre la Sociedad de la Información, en particular el Foro para la Gobernanza de Internet y sus iniciativas nacionales y regionales, así como el Foro de la Cumbre Mundial sobre la Sociedad de la Información, para promover la aplicación de este Pacto. Aguardamos con interés el examen CMSI+20, que tendrá lugar en 2025, e invitamos a sus participantes a que determinen el modo en que esos procesos y foros pueden facilitar la contribución de todas las partes interesadas a la aplicación del Pacto.

69. Reconocemos la contribución de todas las entidades, organismos, fondos y programas de las Naciones Unidas al fomento de la cooperación digital, incluidos, entre otros, la Conferencia de las Naciones Unidas sobre Comercio y Desarrollo, la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura, el Programa de las Naciones Unidas para el Desarrollo, y la Unión Internacional de Telecomunicaciones, y los invitamos, junto con la Oficina del Alto Comisionado de las Naciones Unidas para los Derechos Humanos, a que apoyen, en el marco de sus mandatos vigentes, la aplicación de este Pacto. Reconocemos el papel que desempeñan las comisiones económicas regionales de las Naciones Unidas y los equipos de las Naciones Unidas en los países para ayudar a las instancias regionales y nacionales a promover la transformación digital.

70. Reconocemos el papel que desempeña la Comisión de Ciencia y Tecnología para el Desarrollo en el examen del seguimiento de la aplicación de los resultados de la Cumbre Mundial sobre la Sociedad de la Información y le solicitamos que considere la forma en que puede seguir contribuyendo a la aplicación del Pacto.

71. Para hacer un seguimiento de los progresos, solicitamos al Secretario General que someta a la consideración de los Gobiernos y otras partes interesadas un mapa de aplicación del Pacto que refleje las contribuciones del sistema de las Naciones Unidas y otras partes interesadas pertinentes, y que lo refleje en su informe sobre los progresos realizados en la aplicación y el seguimiento de los resultados de la Cumbre Mundial sobre la Sociedad de la Información a nivel regional e internacional antes del examen CMSI+20.

72. Reconocemos que es necesario seguir mejorando la coordinación en todo el sistema para que las Naciones Unidas puedan hacer realidad la plataforma inclusiva para la cooperación digital prevista en este Pacto. Con tal fin, solicitamos al Secretario General que, tras consultar con los Estados Miembros, presente una propuesta a la Asamblea General durante su septuagésimo noveno periodo de sesiones para crear una oficina que, aprovechando e incorporando las actividades y los recursos de la actual Oficina del Enviado del Secretario General para la Tecnología, facilite la coordinación en todo el sistema, trabajando en estrecha colaboración con los mecanismos existentes. Esa propuesta debe incluir información detallada sobre las funciones operacionales, la estructura, la ubicación, la renovación del mandato, los recursos y el personal.

73. Reconocemos el papel que desempeñan el foro político de alto nivel sobre el desarrollo sostenible y el Consejo Económico y Social en el examen de los avances realizados por el Pacto para eliminar las disparidades digitales y acelerar la consecución de la Agenda 2030. Reconocemos la función que desempeña el Consejo de Derechos Humanos, dentro de su mandato actual, para fomentar un espacio digital inclusivo, abierto y seguro para todos.

74. Debido al carácter transversal de las tecnologías digitales y a que en la cooperación digital intervienen múltiples instancias, se necesitan sinergias y un seguimiento alineado. Nos comprometemos a realizar un examen del Pacto para evaluar los progresos conseguidos por sus objetivos y detectar las oportunidades y dificultades que vayan surgiendo en la cooperación digital mundial. Decidimos organizar una reunión de alto nivel titulada “Examen de alto nivel del Pacto Digital Global”, que tendrá lugar durante el octogésimo segundo período de sesiones de la Asamblea General y se basará en un informe del Secretario General sobre los progresos conseguidos, con las aportaciones y la participación significativa de todas las partes interesadas, como la Comisión de Ciencia y Tecnología para el Desarrollo, el Foro para la Gobernanza de Internet y los facilitadores de las líneas de acción de la Cumbre Mundial sobre la Sociedad de la Información. Solicitamos a la Presidencia de la Asamblea General que, en el octogésimo primer período de sesiones, nombre a dos cofacilitadores, uno de un país en desarrollo y otro de un país desarrollado, para que faciliten la celebración de consultas intergubernamentales abiertas, transparentes e inclusivas a fin de determinar las modalidades de esa reunión de alto nivel.

Anexo II.- Declaración sobre las Generaciones Futuras

Preámbulo

Los Jefes y Jefas de Estado y de Gobierno y altos y altas representantes, habiéndonos reunido en la Cumbre del Futuro, celebrada en la Sede de las Naciones Unidas los días 22 y 23 de septiembre de 2024,

Reafirmando nuestro compromiso con los propósitos y principios de la Carta de las Naciones Unidas y la Declaración Universal de Derechos Humanos (23), así como nuestras respectivas obligaciones en virtud del derecho internacional,

Reafirmando también nuestro compromiso con la Agenda 2030 para el Desarrollo Sostenible (24), incluida la declaración política de la Cumbre sobre los Objetivos de Desarrollo Sostenible de 2023 (25), y nuestro compromiso con las generaciones futuras expuesto, entre otras, en la Declaración de Río sobre el Medio Ambiente y el Desarrollo (26),

Conscientes de que las generaciones futuras son todas aquellas generaciones que aún no existen, las cuales heredarán este planeta,

Observando que muchos ordenamientos jurídicos nacionales, así como algunas culturas y religiones, aspiran a salvaguardar las necesidades y los intereses de las generaciones futuras y promover la solidaridad intergeneracional, la justicia y la equidad,

Reconociendo que las decisiones, las acciones y la inacción de las generaciones presentes tienen un efecto multiplicador intergeneracional y, por consiguiente, resolviendo velar por que las generaciones presentes actúen con responsabilidad para salvaguardar las necesidades y los intereses de las generaciones futuras,

Reconociendo que debemos aprender de nuestros logros y fracasos y de sus consecuencias, a fin de garantizar un mundo más sostenible, justo y equitativo para las generaciones presentes y futuras, y entendiendo que el pasado, el presente y el futuro están interconectados,

Reconociendo que la infancia y la juventud son agentes de cambio y que nuestros procesos normativos y decisorios deben tener en cuenta el diálogo y los contactos intergeneracionales, incluso con niños, niñas, jóvenes y personas mayores y entre todos ellos, para salvaguardar las necesidades y los intereses de las generaciones futuras,

Reconociendo que la forma más eficaz de salvaguardar las necesidades y los intereses de las generaciones futuras es invirtiendo en la construcción de una base sólida para la paz y la seguridad internacionales duraderas, el desarrollo sostenible, la promoción del respeto universal de los derechos humanos y las libertades fundamentales de todas las personas y defendiendo el estado de derecho,

Reconociendo la complejidad y la interrelación de las oportunidades, los problemas y los riesgos a que se enfrentan las generaciones presentes, así como las implicaciones de las tendencias demográficas mundiales previstas,

Reiterando el compromiso de construir un sistema multilateral más sólido, eficaz y resiliente, basado en el derecho internacional y en la transparencia y la confianza y cuyo elemento central sean las Naciones Unidas, en beneficio de las generaciones presentes y futuras,

Declaramos lo siguiente:

Principios rectores

Para aprovechar la oportunidad que tienen las generaciones presentes de legar un futuro mejor a las generaciones futuras y cumplir nuestro compromiso de satisfacer las exigencias del presente salvaguardando al mismo tiempo las necesidades y los intereses de las generaciones futuras, sin dejar a nadie atrás, observaremos los siguientes principios rectores:

1. El mantenimiento de la paz y la seguridad internacionales, así como el pleno respeto del derecho internacional, deben promoverse con arreglo a los propósitos y principios de la Carta de las Naciones Unidas.

2. La búsqueda y el disfrute de los derechos humanos y las libertades fundamentales para todas las personas, que abarcan los derechos civiles, políticos, económicos, sociales y culturales, incluido el derecho al desarrollo, deben ser respetados, protegidos y promovidos, sin distinción ni discriminación de ningún tipo.

3. Hay que garantizar a las generaciones futuras la oportunidad de prosperar y lograr el desarrollo sostenible, entre otras cosas eliminando la transmisión intergeneracional de la pobreza y el hambre, las desigualdades y la injusticia, y reconociendo los problemas especiales de los países más vulnerables, en particular los países africanos, los países menos adelantados, los países en desarrollo sin litoral y los pequeños Estados insulares en desarrollo.

4. La promoción de la solidaridad y el diálogo intergeneracionales y la cohesión social es una de las bases indispensables de la prosperidad de las generaciones futuras y, en este sentido, hay que reconocer la contribución que hacen al desarrollo sostenible las familias y las políticas favorables y orientadas a la familia.

5. Hay que crear y mantener un medio ambiente limpio, saludable y sostenible donde la humanidad viva en armonía con la naturaleza abordando urgentemente las causas y los efectos adversos del cambio climático e intensificando la acción colectiva para promover la protección ambiental.

6. Es necesario promover el uso responsable y ético de la ciencia, la tecnología y la innovación, con los principios de la equidad y la solidaridad como guía, para fomentar un entorno abierto, justo e inclusivo que favorezca el desarrollo científico y tecnológico y la cooperación digital, reduciendo al mismo tiempo las disparidades en materia de ciencia, tecnología e innovación, incluidas las brechas digitales, dentro de los países y entre ellos.

7. El logro de la igualdad de género, el empoderamiento de todas las mujeres y niñas y el pleno disfrute de sus derechos humanos y libertades fundamentales sin discriminación de ningún tipo son requisitos necesarios para un futuro sostenible.

8. La participación plena e igualitaria en la sociedad de las personas con discapacidad de las generaciones presentes y futuras, incluida la oportunidad de intervenir activamente en los procesos decisorios, es crucial para garantizar que no se deje a nadie atrás.

9. La eliminación del racismo, la discriminación racial, la xenofobia y las formas conexas de intolerancia, así como el logro de la igualdad racial y el empoderamiento de todas las personas, son necesarios para un futuro próspero y sostenible.

10. Un sistema multilateral inclusivo, transparente y eficaz es esencial para reforzar la solidaridad y la cooperación internacionales, recuperar la confianza y crear un mundo seguro, justo y sostenible donde se garantice la dignidad humana.

Compromisos

Guiándonos por estos principios, nos comprometemos a lo siguiente:

11. Promover la estabilidad, la paz y la seguridad internacionales, para que los conflictos y las crisis se resuelvan por medios pacíficos.

12. Conseguir sociedades pacíficas, inclusivas y justas, abordando al mismo tiempo las desigualdades dentro de las naciones y entre ellas y las necesidades especiales de los países en desarrollo, así como de las personas en situación de vulnerabilidad.

13. Implementar políticas y programas para lograr la igualdad de género y el empoderamiento de todas las mujeres y niñas, eliminar todas las formas de discriminación y violencia, acoso y abuso contra las mujeres y las niñas, incluida la violencia sexual y de género, y garantizar la participación plena, igualitaria y significativa de las mujeres y su igualdad de oportunidades de liderazgo a todos los niveles decisorios en todas las esferas de la sociedad.

14. Eliminar las persistentes desigualdades históricas y estructurales en todas sus formas, incluso reconociendo, abordando las tragedias ocurridas en el pasado y sus consecuencias y adoptando medidas eficaces para remediarlas, y erradicar todas las formas de discriminación.

15. Honrar, promover y preservar la diversidad cultural y el patrimonio cultural, así como las lenguas, los sistemas de conocimiento y las tradiciones, y propiciar el diálogo intercultural e interreligioso, incluso fomentando una mayor cooperación internacional para devolver o restituir a los países de origen los bienes culturales con valor espiritual, ancestral, histórico y cultural, como obras de arte, monumentos, piezas de museo, manuscritos y documentos, entre otros, y alentar encarecidamente a las entidades pertinentes del sector privado a que también colaboren, incluso mediante el diálogo bilateral y con la asistencia de los mecanismos multilaterales, según proceda.

16. Reconocer, respetar, promover y proteger los derechos de los Pueblos Indígenas y sus territorios, tierras y ecosistemas, salvaguardando al mismo tiempo sus tradiciones, creencias espirituales y conocimientos ancestrales, reforzar sus distintas instituciones políticas, jurídicas, económicas, sociales y culturales, manteniendo a la vez su derecho a participar plenamente, si lo desean, en la vida política, económica, social y cultural del Estado; y garantizar su derecho a participar en la adopción de decisiones sobre cuestiones que afecten a sus derechos, con arreglo a la legislación y de conformidad con las obligaciones en virtud del derecho internacional de los derechos humanos.

17. Emprender estrategias integrales y específicas para lograr un crecimiento económico y un desarrollo sostenible inclusivos, la seguridad alimentaria y la erradicación de la pobreza en todas sus formas y dimensiones, incluida la pobreza extrema, y para combatir la feminización de la pobreza, a fin de satisfacer las necesidades de las generaciones presentes, lograr la resiliencia global y crear una mayor prosperidad como base para las generaciones futuras.

18. Dar prioridad a las acciones urgentes para abordar los retos ambientales críticos y aplicar medidas para reducir el riesgo de desastres y aumentar la resiliencia, invertir la degradación de los ecosistemas y garantizar un medio ambiente limpio, saludable y sostenible; y reafirmar la importancia de acelerar la acción para hacer frente al cambio climático y sus efectos adversos, teniendo en cuenta el principio de las responsabilidades comunes pero diferenciadas y las capacidades respectivas en función de las distintas circunstancias nacionales, observando la importancia que tiene para algunos el concepto de “justicia climática”.

19. Aprovechar los beneficios de las tecnologías existentes, nuevas y emergentes y mitigar los riesgos que conllevan mediante una gobernanza eficaz, inclusiva y equitativa a todos los niveles, intensificando la colaboración para reducir las brechas digitales existentes dentro de los países desarrollados y en desarrollo y entre ellos, aumentando la labor de capacitación en el ámbito de la ciencia, la tecnología y la innovación, y promoviendo la transferencia de tecnología en condiciones convenidas de mutuo acuerdo.

20. Reforzar la cooperación entre los Estados para responder a las tendencias y realidades demográficas, como el rápido crecimiento de la población, el descenso de las tasas de natalidad y el envejecimiento de la población, así como para abordar los vínculos que existen entre las cuestiones demográficas y el desarrollo en todas las regiones, teniendo en cuenta las necesidades y los intereses de las generaciones presentes y futuras, incluidas la infancia y la juventud, y las notables contribuciones de las personas de edad a las iniciativas de desarrollo sostenible.

21. Reforzar la cooperación de los Estados para garantizar una migración segura, ordenada y regular entre los países de origen, tránsito y destino, incluso aumentando y diversificando la disponibilidad y flexibilidad de las vías para la migración regular, y reconociendo al mismo tiempo las contribuciones positivas de los migrantes al crecimiento inclusivo y al desarrollo sostenible.

22. Invertir en una educación de calidad accesible, segura, inclusiva y equitativa para todos, que abarque la educación física y el deporte, y promover oportunidades de aprendizaje permanente, formación técnica y profesional y alfabetización digital que faciliten la adquisición y la transferencia intergeneracionales de conocimientos y destrezas para mejorar las perspectivas de las generaciones futuras.

23. Proteger el derecho al disfrute del más alto nivel posible de salud física y mental mediante la cobertura sanitaria universal y sistemas de salud más sólidos y resilientes, así como el acceso equitativo a medicamentos, vacunas, tratamientos y otros productos sanitarios que sean inocuos, asequibles, eficaces y de calidad, para garantizar una vida saludable y promover el bienestar de las generaciones presentes y futuras.

Acciones

Reconociendo que los gobiernos tienen a todos los niveles la función y la responsabilidad primordiales, conforme a sus respectivos marcos constitucionales, de salvaguardar las necesidades y los intereses de las generaciones futuras, implementaremos e institucionalizaremos los compromisos mencionados, y vigilaremos su cumplimiento, en los procesos normativos nacionales, regionales y mundiales mediante las acciones siguientes:

24. Aprovechar la ciencia, los datos, las estadísticas y la prospectiva estratégica para garantizar una reflexión y una planificación a largo plazo, formular y aplicar prácticas sostenibles y llevar a cabo las reformas institucionales necesarias para que las decisiones se adopten con base empírica, procurando al mismo tiempo que la gobernanza se anticipe, se adapte y responda mejor a las oportunidades, los riesgos y los problemas futuros.

25. Garantizar un acceso inclusivo y equitativo al conocimiento, la ciencia y la información, promoviendo al mismo tiempo la innovación, el pensamiento crítico y las destrezas para la vida, con el fin de crear generaciones de ciudadanos y ciudadanas que sean agentes de transformaciones y cambios positivos.

26. Fortalecer nuestros sistemas de contabilidad nacional y mundial, entre otras cosas promoviendo el uso de evaluaciones de impacto prospectivas y con base empírica, reforzando los análisis anticipatorios de riesgos y fomentando el uso de sistemas para medir el progreso hacia el desarrollo sostenible que complementen el producto interno bruto o vayan más allá de él.

27. Invertir en capacidad para una mejor preparación y respuesta frente a futuras perturbaciones, crisis y problemas mundiales, y utilizar la planificación y la prospectiva con base empírica para evitar y mitigar los riesgos, garantizando al mismo tiempo que quienes son más pobres y vulnerables no tengan que asumir una parte desproporcionada del costo y la carga que conllevan las medidas de mitigación, adaptación, restauración y aumento de la resiliencia.

28. Adoptar un enfoque pangubernamental para coordinar, incluso a nivel nacional y local, la valoración, la formulación, la aplicación y la evaluación de políticas que salvaguarden las necesidades y los intereses de las generaciones futuras.

29. Estrechar la cooperación con las partes interesadas, como la sociedad civil, el mundo académico, la comunidad científica y tecnológica y el sector privado, y fomentar las alianzas intergeneracionales, promoviendo un enfoque pansocial, para compartir las mejores prácticas y concebir ideas innovadoras, a largo plazo y con visión de futuro que ayuden a salvaguardar las necesidades y los intereses de las generaciones futuras.

30. Dotar al sistema multilateral, incluidas las Naciones Unidas, de los medios necesarios para apoyar a los Estados que lo soliciten en sus esfuerzos por aplicar la presente Declaración e integrar las necesidades y los intereses de las generaciones futuras y la reflexión a largo plazo en los procesos normativos, fomentando la cooperación y facilitando un mayor uso de la planificación anticipatoria y la prospectiva a partir de la ciencia, los datos y las estadísticas, y sensibilizando y asesorando sobre las posibles repercusiones intergeneracionales o futuras de las políticas y los programas.

31. Fomentar una cultura institucional orientada hacia el futuro y transversalizada en todo el sistema de las Naciones Unidas para facilitar la adopción de decisiones con base científica y empírica desarrollando diversas capacidades, como la planificación anticipatoria, la prospectiva y la alfabetización en futurología, y promoviendo sistemáticamente a todos los niveles la reflexión intergeneracional a largo plazo.

32. Reconociendo la importante función de asesoramiento y promoción que deben desempeñar las Naciones Unidas con respecto a las generaciones futuras:

a) Tomamos nota de la propuesta del Secretario General de nombrar a un Enviado o Enviada Especial para las Generaciones Futuras a fin de facilitar la aplicación de la presente Declaración;

b) Decidimos organizar una reunión plenaria inclusiva de alto nivel de la Asamblea General sobre las generaciones futuras para examinar la aplicación de la presente Declaración durante el octogésimo tercer período de sesiones de la Asamblea General y proporcionar información actualizada sobre las acciones emprendidas para salvaguardar las necesidades y los intereses de las generaciones futuras;

c) Solicitamos al Secretario General que presente un informe sobre la aplicación de la presente Declaración para examinarlo en la reunión plenaria de alto nivel que se celebrará durante el octogésimo tercer período de sesiones de la Asamblea General.

————

(1) Resolución 70/1.

(2) Naciones Unidas, Treaty Series, vol. 1771, núm. 30822.

(3) Aprobado en virtud de la CMNUCC como consta en el documento FCCC/CP/2015/10/Add.1, decisión 1/CP.21.

(4) Resolución 217 A (III).

(5) Informe de la Cuarta Conferencia Mundial sobre la Mujer, Beijing, 4 a 15 de septiembre de 1995 (publicación de las Naciones Unidas, núm. de venta S.96.IV.13), cap. I, resolución 1, anexos I y II.

(6) Informe de la Conferencia de las Naciones Unidas sobre el Medio Ambiente y el Desarrollo, Río de Janeiro, 3 a 14 de junio de 1992, vol. I, Resoluciones aprobadas por la Conferencia (publicación de las Naciones Unidas, núm. de venta S.93.I.8 y corrección), resolución 1, anexo I.

(7) Resolución 69/313, anexo.

(8) Resolución 78/1, anexo.

(9) Informe de la Conferencia Internacional sobre la Población y el Desarrollo, El Cairo, 5 a 13 de septiembre de 1994 (publicación de las Naciones Unidas, núm. de venta S.95.XIII.18), cap. I, resolución 1, anexo.

(10) Programa de las Naciones Unidas para el Medio Ambiente, documento CBD/COP/15/17, decisión 15/4, anexo.

(11) Resolución 2625 (XXV), anexo.

(12) A/77/CRP.1/Add.8.

(13) Naciones Unidas, Treaty Series, vol. 1833, núm. 31363.

(14) Ibid., vol. 1015, núm. 14860.

(15) Ibid., vol. 610, núm. 8843.

(16) A/CONF.157/24 (Part I), cap. III.

(17) Resolución 70/1.

(18) Véase A/C.2/59/3, anexo.

(19) Véase A/60/687.

(20) A/HRC/17/31, anexo.

(21) Naciones Unidas, Treaty Series, vol. 1577, núm. 27531.

(22) Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura, Actas de la Conferencia General, 41ª reunión, París, 9 a 24 de noviembre de 2021, vol. 1, Resoluciones, anexo VII.

(23) Resolución 217 A (III).

(24) Resolución 70/1.

(25) Resolución 78/1, anexo.

(26) Informe de la Conferencia de las Naciones Unidas sobre el Medio Ambiente y el Desarrollo, Río de Janeiro, 3 a 14 de junio de 1992, vol. I, Resoluciones aprobadas por la Conferencia (publicación de las Naciones Unidas, núm. de venta S.93.I.8 y corrección), resolución 1, anexo I.

13Nov/24

Declaración de Florianópolis, de julio de 2000

13 noviembre, 2024Declaración, ONUDerecho Informático, Desarrollo y cooperación internacional, Legislación Informáticia, Normativa ONU, Tecnologias Información Comunicaciones, TICJosé Cuervo

Declaración de Florianópolis, de julio de 2000, sobre el uso de las Tecnologías de la Información y de las Comunicaciones (TIC) para el desarrollo.

DECLARACION DE FLORIANÓPOLIS

Teniendo presente que, en virtud de la decisión 1999/281, el Consejo Económico y Social de las Naciones Unidas resolvió que el segmento de alto nivel correspondiente al año 2000 estuviera dedicado al tema “El desarrollo y la cooperación internacional en el siglo XXI: la función de las tecnologías de la información en el contexto de una economía mundial basada en el saber”,

Tomando en cuenta que, en cumplimiento de esa decisión y convocados por el Gobierno de la República Federal del Brasil, los representantes de los países de América Latina y el Caribe se han reunido en la ciudad de Florianópolis, Santa Catarina, Brasil, del 20 al 21 de junio para preparar, con la colaboración de la CEPAL como Secretaría, su participación en el segmento de alto nivel convocado por el Consejo Económico y Social, que se llevará a cabo en la Sede de las Naciones Unidas en Nueva York, del 5 al 7 de julio de 2000,

Tomando en cuenta también la aspiración compartida de los países de América Latina y el Caribe de llegar al año 2005 integrados como miembros plenos de la sociedad de la información con eficiencia, equidad y sustentabilidad, en el marco de la economía global basada en el conocimiento,

Considerando que las tecnologías de información y comunicación constituyen el eje central de la construcción de la economía global basada en el saber y en la conformación de la sociedad del conocimiento y que, en consecuencia. son la base de una nueva forma de organización y de producción a escala mundial, redefiniendo la manera en que los países se insertan en el sistema económico mundial, así como también las relaciones entre las personas, la cultura y las formas de ejercicio del poder y la ciudadanía: y por último, que en la economía global la competitividad depende cada vez más del conocimiento,

Teniendo presente que dejar que la evolución de la sociedad de la información y del conocimiento sea conducida sólo por los mecanismos del mercado conlleva el riesgo de aumentar las brechas sociales al interior de nuestras sociedades, creando nuevas modalidades de exclusión, de expandir los aspectos negativos de la globalización y de incrementar la distancia entre los países desarrollados y en desarrollo,

Reconociendo el importante potencial que dichas tecnologías encierran para el desarrollo social y político de los países de la región en áreas tales como la educación, la salud, la capacitación laboral, la erradicación de la marginalidad social, la profundización de la ciudadanía, la transparencia en la gestión pública y la conformación de sociedades más abiertas y democráticas,

Teniendo presente que en la última década se han conseguido en la región progresos importantes con respecto a la corrección de los desequilibrios fiscales, el descenso de la inflación, la aceleración del incremento de las exportaciones, los procesos de integración regional, la atracción de inversión extranjera directa, el restablecimiento del ritmo del crecimiento económico que alcanzó a un 3.2% en el conjunto de la región pero que sigue siendo insuficiente para reducir considerablemente los rezagos sociales y tecnológicos, y que persisten en las economías de la región bajos niveles de ahorro e inversión, un escaso dinamismo ocupacional, una acentuada heterogeneidad estructural y un alto grado de vulnerabilidad externa y fragilidades en los sistemas financieros,

Conscientes de que el desafío del desarrollo y de la superación de la pobreza y la marginalidad social, que afectan al 36% de la población de la región, exige un crecimiento económico sustentable y permanente, que incorpore a sectores que generen empleo productivo en forma masiva y permita incrementar el acceso con equidad a todos a los servicios sociales,

Considerando que si la tecnología de información es apropiada a nuestra cultura y se crean contenidos pertinentes en forma contínua, se puede potenciar la diversidad y reafirmar la identidad cultural,

Los representantes de los países de América Latina y el Caribe reunidos en Florianópolis, tomando en cuenta todas las consideraciones anteriores, instan al segmento de alto nivel del Consejo Económico y Social a apoyar a los países en desarrollo en la consecución de las siguientes líneas de acción:

1. Diseñar e implementar programas públicos con vistas a asegurar a la totalidad de la población el acceso, en el más breve plazo posible, a los productos y servicios de las tecnologías de la información y comunicaciones, difundir su uso, promover el crecimiento de la infraestructura de las redes digitales, y apoyar la investigación, la innovación y el desarrollo tecnológico en general y de las empresas en particular;

2. Crear condiciones y mecanismos para la capacitación universal de la ciudadanía en las nuevas tecnologías y difundir la alfabetización digital, en particular fomentando experiencias innovadoras en educación a distancia, educación no formal y formación de los educadores como condición necesaria para insertar favorablemente a la población en el marco de las nuevas formas de producción basadas en el conocimiento, propiciando asimismo, el acceso y la utilización de las tecnologías de la información y las comunicaciones en las metodologías destinadas a acelerar los procesos educativos de las poblaciones marginadas y en extrema pobreza;

3. Facilitar a los líderes políticos y comunitarios la sensibilización y capacitación sobre tecnologías de información y comunicación, aprovechando las experiencias de los Programas de promoción de la Sociedad de Información;

4. Desarrollar los mecanismos y hacer las inversiones que sean necesarias, en colaboración con el sector privado, para que todas las localidades de todos los países de la región cuenten con centros comunitarios de conexión a la red digital, a fin de superar a la marginalización de la población del acceso a los servicios de la nueva economía, tales como comercio electrónico, telemedicina, trámites en línea, reforzando la infraestructura física y promoviendo las condiciones para un amplio acceso a las redes digitales;

5. Promover una administración más eficiente, eficaz y transparente por parte de los gobiernos a todo nivel, mediante el ofrecimiento en línea de información a los ciudadanos, mecanismos de control de gestión, servicios, trámites y contratación estatal de bienes y servicios a través de las redes digitales;

6. Incentivar el desarrollo de empresas de base tecnológica mediante la creación de mecanismos tales como fondos de capital de riesgo, zonas de incentivo tecnológico, e incubadoras de empresas en que participen el sector académico, los centros de investigación y el sector privado, propiciando su integración nacional, regional e internacional mediante redes avanzadas de investigación y desarrollo;

7. Desarrollar marcos regulatorios que, junto con proteger los derechos de propiedad intelectual, minimicen los riesgos e incertidumbres del nuevo entorno de las nuevas tecnologías de la información y las comunicaciones, mediante la provisión de servicios que aseguren y expandan con agilidad el comercio electrónico, ofreciendo condiciones de competencia y protección a usuarios, consumidores y pequeños productores que utilizan el comercio electrónico, inclusive en lo que se refiere a su privacidad;

8. Buscar activamente formas de financiamiento y promoción de la innovación y modernización de las empresas, en especial de las pequeñas y medianas para que puedan tener nuevas oportunidades de negocios, facilitando así nuevas y mejores posibilidades de trabajo;

9. Fortalecer las instituciones culturales y de ciencia y tecnología, para que éstas hagan pleno aprovechamiento de las tecnologías de la información y comunicación que permitan la generación y la difusión de los diversos contenidos culturales de carácter regional, nacional y local a través de las redes digitales;

10. Fomentar la investigación y la incorporación por parte de la sociedad de las tecnologías avanzadas de información y comunicación, así como trabajar para el establecimiento de redes de alta velocidad en la región;

11. Adoptar medidas encaminadas a reducir el costo de los servicios de comunicación, propiciar el desarrollo y la consolidación de una infraestructura de comunicaciones nacional y regional de primer nivel, aumentando la capilaridad de las redes de comunicación e información en los diversos espacios territoriales y obtener mejoras sustantivas en funciones claves como la aplicabilidad y la interoperabilidad, así como facilitar la aceleración de la difusión de las innovaciones tecnológicas;

12. Desplegar esfuerzos de cooperación regional en materia de políticas públicas sobre tecnología de la información y comunicación, incluidas la participación concertada en los foros internacionales relevantes, entre otros los dedicados al comercio electrónico, la seguridad, y la protección de la privacidad y los derechos de propiedad intelectual, así como las políticas tendientes a evitar prácticas monopólicas.

13. Fortalecer la cooperación regional, dotándola de mecanismos innovadores como la promoción de iniciativas técnico-comerciales conjuntas en el sector de las tecnologías de la información y de las comunicaciones, que valoricen el potencial productivo y de la diversidad de la región, integrándolos a la nueva economía;

14. Promover la modernización y reorganización de la infraestructura de las comunicaciones de los sectores público y privado, que permitan condiciones óptimas de interconectividad e interoperabilidad, garantizando suficiencia para el tráfico demandado en ambas direcciones;

15. Fortalecer la creación de mecanismos conjuntos de desarrollo, consolidación y comercialización de productos y servicios de alta tecnología, como el desarrollo de software y la educación a distancia entre otros;

16. Promover la creación de un observatorio regional para monitorear el impacto de las tecnologías de la información sobre la economía y otras acciones de cooperación relacionadas;

17. Promover la generación de información estadística e indicadores confiables, normalizados y oportunos sobre el desarrollo de las tecnologías de información en la región y sus países, fomentando mecanismos de coordinación en los sistemas de estadísticas;

18. Fomentar el desarrollo de contenidos locales, nacionales y regionales en las lenguas nativas y oficiales de los países de la región y el hospedaje de estos contenidos en servidores regionales, con el fin de racionalizar el acceso y promover el intercambio por rutas más directas del tráfico local y regional;

19. Adoptar medidas que permitan la reducción de la deuda externa de los países en desarrollo a cambio de fondos que esos países destinen a sus programas de desarrollo económico y social por medio de las tecnologías de información y comunicación;

20. Solicitar la cooperación técnica y financiera de la comunidad internacional, tanto en el plano multilateral como bilateral para facilitar los esfuerzos internos mencionados, e invitar a las empresas privadas relevantes de los países desarrollados a sumarse solidariamente a tal cooperación.

12Nov/24

American Data Privacy and Protection Act. (ADPPA)

12 noviembre, 2024Estados Unidos, Leyauthentication, Bill, Biometric, Consumer awareness, Consumer Data Rights, COPPA, Corporate Accountability, Covered entity, Data Protections, Derecho Informático, Device, Employee data defined, Executive responsibility, Genetic information, Legislación EE.UU., Legislación Informática, State Privacy authority, TransparencyJosé Cuervo

American Data Privacy and Protection Act. (ADPPA). House of Representatives 8152, 117th Congress 2021-2022). June 21, 2022. Reported in House 12/30/2022. Union Calendar nº 488

Union Calendar No. 488

117th CONGRESS

2d Session

H. R. 8152

[Report No. 117–669]

To provide consumers with foundational data privacy rights, create strong oversight mechanisms, and establish meaningful enforcement.

IN THE HOUSE OF REPRESENTATIVES

June 21, 2022

Mr. Pallone (for himself, Mrs. Rodgers of Washington, Ms. Schakowsky, and Mr. Bilirakis) introduced the following bill; which was referred to the Committee on Energy and Commerce

December 30, 2022

Reported with an amendment, committed to the Committee of the Whole House on the State of the Union, and ordered to be printed

[Strike out all after the enacting clause and insert the part printed in italic][For text of introduced bill, see copy of bill as introduced on June 21, 2022]

A BILL

To provide consumers with foundational data privacy rights, create strong oversight mechanisms, and establish meaningful enforcement.

Be it enacted by the Senate and House of Representatives of the United States of America in Congress assembled,

SECTION 1. Short title; table of contents.

(a) Short title.—This Act may be cited as the “American Data Privacy and Protection Act”.

(b) Table of contents.—The table of contents of this Act is as follows:

Sec. 1. Short title; table of contents.

Sec. 2. Definitions.

TITLE I—DUTY OF LOYALTY

Sec. 101. Data minimization.

Sec. 102. Loyalty duties.

Sec. 103. Privacy by design.

Sec. 104. Loyalty to individuals with respect to pricing.

TITLE II—CONSUMER DATA RIGHTS

Sec. 201. Consumer awareness.

Sec. 202. Transparency.

Sec. 203. Individual data ownership and control.

Sec. 204. Right to consent and object.

Sec. 205. Data protections for children and minors.

Sec. 206. Third-party collecting entities.

Sec. 207. Civil rights and algorithms.

Sec. 208. Data security and protection of covered data.

Sec. 209. Small business protections.

Sec. 210. Unified opt-out mechanisms.

TITLE III—CORPORATE ACCOUNTABILITY

Sec. 301. Executive responsibility.

Sec. 302. Service providers and third parties.

Sec. 303. Technical compliance programs.

Sec. 304. Commission approved compliance guidelines.

Sec. 305. Digital content forgeries.

TITLE IV—ENFORCEMENT, APPLICABILITY, AND MISCELLANEOUS

Sec. 401. Enforcement by the Federal Trade Commission.

Sec. 402. Enforcement by States.

Sec. 403. Enforcement by persons.

Sec. 404. Relationship to Federal and State laws.

Sec. 405. Severability.

Sec. 406. COPPA.

Sec. 407. Authorization of appropriations.

Sec. 408. Effective date.

SEC. 2. Definitions.

In this Act:

(1) AFFIRMATIVE EXPRESS CONSENT.—

(A) IN GENERAL.—The term “affirmative express consent” means an affirmative act by an individual that clearly communicates the individual’s freely given, specific, and unambiguous authorization for an act or practice after having been informed, in response to a specific request from a covered entity that meets the requirements of subparagraph (B).

(B) REQUEST REQUIREMENTS.—The requirements of this subparagraph with respect to a request from a covered entity to an individual are the following:

(i) The request is provided to the individual in a clear and conspicuous standalone disclosure made through the primary medium used to offer the covered entity’s product or service, or only if the product or service is not offered in a medium that permits the making of the request under this paragraph, another medium regularly used in conjunction with the covered entity’s product or service.

(ii) The request includes a description of the processing purpose for which the individual’s consent is sought and—

(I) clearly states the specific categories of covered data that the covered entity shall collect, process, and transfer necessary to effectuate the processing purpose; and

(II) includes a prominent heading and is written in easy-to-understand language that would enable a reasonable individual to identify and understand the processing purpose for which consent is sought and the covered data to be collected, processed, or transferred by the covered entity for such processing purpose.

(iii) The request clearly explains the individual’s applicable rights related to consent.

(iv) The request is made in a manner reasonably accessible to and usable by individuals with disabilities.

(v) The request is made available to the individual in each covered language in which the covered entity provides a product or service for which authorization is sought.

(vi) The option to refuse consent shall be at least as prominent as the option to accept, and the option to refuse consent shall take the same number of steps or fewer as the option to accept.

(vii) Processing or transferring any covered data collected pursuant to affirmative express consent for a different processing purpose than that for which affirmative express consent was obtained shall require affirmative express consent for the subsequent processing purpose.

(C) EXPRESS CONSENT REQUIRED.—A covered entity may not infer that an individual has provided affirmative express consent to an act or practice from the inaction of the individual or the individual’s continued use of a service or product provided by the covered entity.

(D) PRETEXTUAL CONSENT PROHIBITED.—A covered entity may not obtain or attempt to obtain the affirmative express consent of an individual through—

(i) the use of any false, fictitious, fraudulent, or materially misleading statement or representation; or

(ii) the design, modification, or manipulation of any user interface with the purpose or substantial effect of obscuring, subverting, or impairing a reasonable individual’s autonomy, decision making, or choice to provide such consent or any covered data.

(2) AUTHENTICATION.—The term “authentication” means the process of verifying an individual or entity for security purposes.

(3) BIOMETRIC INFORMATION.—

(A) IN GENERAL.—The term “biometric information” means any covered data generated from the technological processing of an individual’s unique biological, physical, or physiological characteristics that is linked or reasonably linkable to an individual, including—

(i) fingerprints;

(ii) voice prints;

(iii) iris or retina scans;

(iv) facial or hand mapping, geometry, or templates; or

(v) gait or personally identifying physical movements.

(B) EXCLUSION.—The term “biometric information” does not include—

(i) a digital or physical photograph;

(ii) an audio or video recording; or

(iii) data generated from a digital or physical photograph, or an audio or video recording, that cannot be used to identify an individual.

(4) COLLECT; COLLECTION.—The terms “collect” and “collection” mean buying, renting, gathering, obtaining, receiving, accessing, or otherwise acquiring covered data by any means.

(5) COMMISSION.—The term “Commission” means the Federal Trade Commission.

(6) CONTROL.—The term “control” means, with respect to an entity—

(A) ownership of, or the power to vote, more than 50 percent of the outstanding shares of any class of voting security of the entity;

(B) control over the election of a majority of the directors of the entity (or of individuals exercising similar functions); or

(7) COVERED ALGORITHM.—The term “covered algorithm” means a computational process that uses machine learning, natural language processing, artificial intelligence techniques, or other computational processing techniques of similar or greater complexity and that makes a decision or facilitates human decision-making with respect to covered data, including to determine the provision of products or services or to rank, order, promote, recommend, amplify, or similarly determine the delivery or display of information to an individual.

(8) COVERED DATA.—

(A) IN GENERAL.—The term “covered data” means information that identifies or is linked or reasonably linkable, alone or in combination with other information, to an individual or a device that identifies or is linked or reasonably linkable to an individual, and may include derived data and unique persistent identifiers.

(B) EXCLUSIONS.—The term “covered data” does not include—

(i) de-identified data;

(ii) employee data;

(iii) publicly available information; or

(iv) inferences made exclusively from multiple independent sources of publicly available information that do not reveal sensitive covered data with respect to an individual.

(i) information relating to a job applicant collected by a covered entity acting as a prospective employer of such job applicant in the course of the application, or hiring process, if such information is collected, processed, or transferred by the prospective employer solely for purposes related to the employee’s status as a current or former job applicant of such employer;

(ii) information processed by an employer relating to an employee who is acting in a professional capacity for the employer, provided that such information is collected, processed, or transferred solely for purposes related to such employee’s professional activities on behalf of the employer;

(iii) the business contact information of an employee, including the employee’s name, position or title, business telephone number, business address, or business email address that is provided to an employer by an employee who is acting in a professional capacity, if such information is collected, processed, or transferred solely for purposes related to such employee’s professional activities on behalf of the employer;

(iv) emergency contact information collected by an employer that relates to an employee of that employer, if such information is collected, processed, or transferred solely for the purpose of having an emergency contact on file for the employee and for processing or transferring such information in case of an emergency; or

(v) information relating to an employee (or a spouse, dependent, other covered family member, or beneficiary of such employee) that is necessary for the employer to collect, process, or transfer solely for the purpose of administering benefits to which such employee (or spouse, dependent, other covered family member, or beneficiary of such employee) is entitled on the basis of the employee’s position with that employer.

(9) COVERED ENTITY.—

(A) IN GENERAL.—The term “covered entity”—

(i) means any entity or any person, other than an individual acting in a non-commercial context, that alone or jointly with others determines the purposes and means of collecting, processing, or transferring covered data and—

(I) is subject to the Federal Trade Commission Act (15 U.S.C. 41 et seq.);

(II) is a common carrier subject to the Communications Act of 1934 (47 U.S.C. 151 et seq.) and all Acts amendatory thereof and supplementary thereto; or

(III) is an organization not organized to carry on business for its own profit or that of its members; and

(ii) includes any entity or person that controls, is controlled by, or is under common control with the covered entity.

(B) EXCLUSIONS.—The term “covered entity” does not include—

(i) a Federal, State, Tribal, territorial, or local government entity such as a body, authority, board, bureau, commission, district, agency, or political subdivision of the Federal Government or a State, Tribal, territorial, or local government;

(ii) a person or an entity that is collecting, processing, or transferring covered data on behalf of a Federal, State, Tribal, territorial, or local government entity, in so far as such person or entity is acting as a service provider to the government entity; or

(iii) an entity that serves as a congressionally designated nonprofit, national resource center, and clearinghouse to provide assistance to victims, families, child-serving professionals, and the general public on missing and exploited children issues.

(C) NON-APPLICATION TO SERVICE PROVIDERS.—An entity shall not be considered to be a covered entity for purposes of this Act in so far as the entity is acting as a service provider (as defined in paragraph (29)).

(10) COVERED LANGUAGE.—The term “covered language” means the ten languages with the most users in the United States, according to the most recent United States Census.

(11) COVERED MINOR.—The term “covered minor” means an individual under the age of 17.

(12) DE-IDENTIFIED DATA.—The term “de-identified data” means information that does not identify and is not linked or reasonably linkable to a distinct individual or a device, regardless of whether the information is aggregated, and if the covered entity or service provider—

(A) takes reasonable technical measures to ensure that the information cannot, at any point, be used to re-identify any individual or device that identifies or is linked or reasonably linkable to an individual;

(B) publicly commits in a clear and conspicuous manner—

(i) to process and transfer the information solely in a de-identified form without any reasonable means for re-identification; and

(ii) to not attempt to re-identify the information with any individual or device that identifies or is linked or reasonably linkable to an individual; and

(C) contractually obligates any person or entity that receives the information from the covered entity or service provider—

(i) to comply with all of the provisions of this paragraph with respect to the information; and

(ii) to require that such contractual obligations be included contractually in all subsequent instances for which the data may be received.

(13) DERIVED DATA.—The term “derived data” means covered data that is created by the derivation of information, data, assumptions, correlations, inferences, predictions, or conclusions from facts, evidence, or another source of information or data about an individual or an individual’s device.

(14) DEVICE.—The term “device” means any electronic equipment capable of collecting, processing, or transferring covered data that is used by one or more individuals.

(15) EMPLOYEE.—The term “employee” means an individual who is an employee, director, officer, staff member individual working as an independent contractor that is not a service provider, trainee, volunteer, or intern of an employer, regardless of whether such individual is paid, unpaid, or employed on a temporary basis.

(16) EXECUTIVE AGENCY.—The “Executive agency” has the meaning given such term in section 105 of title 5, United States Code.

(17) FIRST PARTY ADVERTISING OR MARKETING.—The term “first party advertising or marketing” means advertising or marketing conducted by a first party either through direct communications with a user such as direct mail, email, or text message communications, or advertising or marketing conducted entirely within the first-party context, such as in a physical location operated by the first party, or on a web site or app operated by the first party.

(18) GENETIC INFORMATION.—The term “genetic information” means any covered data, regardless of its format, that concerns an individual’s genetic characteristics, including—

(A) raw sequence data that results from the sequencing of the complete, or a portion of the, extracted deoxyribonucleic acid (DNA) of an individual; or

(B) genotypic and phenotypic information that results from analyzing raw sequence data described in subparagraph (A).

(19) INDIVIDUAL.—The term “individual” means a natural person residing in the United States.

(20) KNOWLEDGE.—

(A) IN GENERAL.—The term “knowledge” means—

(i) with respect to a covered entity that is a covered high-impact social media company, the entity knew or should have known the individual was a covered minor;

(ii) with respect to a covered entity or service provider that is a large data holder, and otherwise is not a covered high-impact social media company, that the covered entity knew or acted in willful disregard of the fact that the individual was a covered minor; and

(iii) with respect to a covered entity or service provider that does not meet the requirements of clause (i) or (ii), actual knowledge.

(B) COVERED HIGH-IMPACT SOCIAL MEDIA COMPANY.—For purposes of this paragraph, the term “covered high-impact social media company” means a covered entity that provides any internet-accessible platform where—

(i) such covered entity generates $3,000,000,000 or more in annual revenue;

(ii) such platform has 300,000,000 or more monthly active users for not fewer than 3 of the preceding 12 months on the online product or service of such covered entity; and

(iii) such platform constitutes an online product or service that is primarily used by users to access or share, user-generated content.

(21) LARGE DATA HOLDER.—

(A) IN GENERAL.—The term “large data holder” means a covered entity or service provider that, in the most recent calendar year—

(i) had annual gross revenues of $250,000,000 or more; and

(ii) collected, processed, or transferred—

(I) the covered data of more than 5,000,000 individuals or devices that identify or are linked or reasonably linkable to 1 or more individuals, excluding covered data collected and processed solely for the purpose of initiating, rendering, billing for, finalizing, completing, or otherwise collecting payment for a requested product or service; and

(II) the sensitive covered data of more than 200,000 individuals or devices that identify or are linked or reasonably linkable to 1 or more individuals.

(B) EXCLUSIONS.—The term “large data holder” does not include any instance in which the covered entity or service provider would qualify as a large data holder solely on the basis of collecting or processing—

(i) personal email addresses;

(ii) personal telephone numbers; or

(iii) log-in information of an individual or device to allow the individual or device to log in to an account administered by the covered entity or service provider.

(C) REVENUE.—For purposes of determining whether any covered entity or service provider is a large data holder, the term “revenue”, with respect to any covered entity or service provider that is not organized to carry on business for its own profit or that of its members—

(i) means the gross receipts the covered entity or service provider received, in whatever form, from all sources, without subtracting any costs or expenses; and

(ii) includes contributions, gifts, grants, dues or other assessments, income from investments, and proceeds from the sale of real or personal property.

(22) MARKET RESEARCH.—The term “market research” means the collection, processing, or transfer of covered data as reasonably necessary and proportionate to investigate the market for or marketing of products, services, or ideas, where the covered data is not—

(A) integrated into any product or service;

(B) otherwise used to contact any individual or individual’s device; or

(23) MATERIAL.—The term “material” means, with respect to an act, practice, or representation of a covered entity (including a representation made by the covered entity in a privacy policy or similar disclosure to individuals) involving the collection, processing, or transfer of covered data, that such act, practice, or representation is likely to affect a reasonable individual’s decision or conduct regarding a product or service.

(24) PRECISE GEOLOCATION INFORMATION.—

(A) IN GENERAL.—The term “precise geolocation information” means information that is derived from a device or technology that reveals the past or present physical location of an individual or device that identifies or is linked or reasonably linkable to 1 or more individuals, with sufficient precision to identify street level location information of an individual or device or the location of an individual or device within a range of 1,850 feet or less.

(B) EXCLUSION.—The term “precise geolocation information” does not include geolocation information identifiable or derived solely from the visual content of a legally obtained image, including the location of the device that captured such image.

(25) PROCESS.—The term “process” means to conduct or direct any operation or set of operations performed on covered data, including analyzing, organizing, structuring, retaining, storing, using, or otherwise handling covered data.

(26) PROCESSING PURPOSE.—The term “processing purpose” means a reason for which a covered entity or service provider collects, processes, or transfers covered data that is specific and granular enough for a reasonable individual to understand the material facts of how and why the covered entity or service provider collects, processes, or transfers the covered data.

(27) PUBLICLY AVAILABLE INFORMATION.—

(A) IN GENERAL.—The term “publicly available information” means any information that a covered entity or service provider has a reasonable basis to believe has been lawfully made available to the general public from—

(i) Federal, State, or local government records, if the covered entity collects, processes, and transfers such information in accordance with any restrictions or terms of use placed on the information by the relevant government entity;

(ii) widely distributed media;

(iii) a website or online service made available to all members of the public, for free or for a fee, including where all members of the public, for free or for a fee, can log in to the website or online service;

(iv) a disclosure that has been made to the general public as required by Federal, State, or local law; or

(v) the visual observation of the physical presence of an individual or a device in a public place, not including data collected by a device in the individual’s possession.

(B) CLARIFICATIONS; LIMITATIONS.—

(i) AVAILABLE TO ALL MEMBERS OF THE PUBLIC.—For purposes of this paragraph, information from a website or online service is not available to all members of the public if the individual who made the information available via the website or online service has restricted the information to a specific audience.

(ii) OTHER LIMITATIONS.—The term “publicly available information” does not include—

(I) any obscene visual depiction (as defined in section 1460 of title 18, United States Code);

(II) any inference made exclusively from multiple independent sources of publicly available information that reveals sensitive covered data with respect to an individual;

(III) biometric information;

(IV) publicly available information that has been combined with covered data;

(V) genetic information, unless otherwise made available by the individual to whom the information pertains as described in clause (ii) or (iii) of subparagraph (A); or

(VI) intimate images known to be nonconsensual.

(28) SENSITIVE COVERED DATA.—

(A) IN GENERAL.—The term “sensitive covered data” means the following types of covered data:

(i) A government-issued identifier, such as a Social Security number, passport number, or driver’s license number, that is not required by law to be displayed in public.

(ii) Any information that describes or reveals the past, present, or future physical health, mental health, disability, diagnosis, or healthcare condition or treatment of an individual.

(iii) A financial account number, debit card number, credit card number, or information that describes or reveals the income level or bank account balances of an individual, except that the last four digits of a debit or credit card number shall not be deemed sensitive covered data.

(iv) Biometric information.

(v) Genetic information.

(vi) Precise geolocation information.

(vii) An individual’s private communications such as voicemails, emails, texts, direct messages, or mail, or information identifying the parties to such communications, voice communications, video communications, and any information that pertains to the transmission of such communications, including telephone numbers called, telephone numbers from which calls were placed, the time calls were made, call duration, and location information of the parties to the call, unless the covered entity or a service provider acting on behalf of the covered entity is the sender or an intended recipient of the communication. Communications are not private for purposes of this clause if such communications are made from or to a device provided by an employer to an employee insofar as such employer provides conspicuous notice that such employer may access such communications.

(viii) Account or device log-in credentials, or security or access codes for an account or device.

(ix) Information identifying the sexual behavior of an individual in a manner inconsistent with the individual’s reasonable expectation regarding the collection, processing, or transfer of such information.

(x) Calendar information, address book information, phone or text logs, photos, audio recordings, or videos, maintained for private use by an individual, regardless of whether such information is stored on the individual’s device or is accessible from that device and is backed up in a separate location. Such information is not sensitive for purposes of this paragraph if such information is sent from or to a device provided by an employer to an employee insofar as such employer provides conspicuous notice that it may access such information.

(xi) A photograph, film, video recording, or other similar medium that shows the naked or undergarment-clad private area of an individual.

(xii) Information revealing the video content requested or selected by an individual collected by a covered entity that is not a provider of a service described in section 102(4). This clause does not include covered data used solely for transfers for independent video measurement.

(xiii) Information about an individual when the covered entity or service provider has knowledge that the individual is a covered minor.

(xiv) An individual’s race, color, ethnicity, religion, or union membership.

(xv) Information identifying an individual’s online activities over time and across third party websites or online services.

(xvi) Any other covered data collected, processed, or transferred for the purpose of identifying the types of covered data listed in clauses (i) through (xv).

(B) RULEMAKING.—The Commission may commence a rulemaking pursuant to section 553 of title 5, United States Code, to include in the definition of “sensitive covered data” any other type of covered data that may require a similar level of protection as the types of covered data listed in clauses (i) through (xvi) of subparagraph (A) as a result of any new method of collecting, processing, or transferring covered data.

(29) SERVICE PROVIDER.—

(A) IN GENERAL.—The term “service provider” means a person or entity that—

(i) collects, processes, or transfers covered data on behalf of, and at the direction of, a covered entity or a Federal, State, Tribal, territorial, or local government entity; and

(ii) receives covered data from or on behalf of a covered entity or a Federal, State, Tribal, territorial, or local government entity.

(B) TREATMENT WITH RESPECT TO SERVICE PROVIDER DATA.—A service provider that receives service provider data from another service provider as permitted under this Act shall be treated as a service provider under this Act with respect to such data.

(30) SERVICE PROVIDER DATA.—The term “service provider data” means covered data that is collected or processed by or has been transferred to a service provider by or on behalf of a covered entity, a Federal, State, Tribal, territorial, or local government entity, or another service provider for the purpose of allowing the service provider to whom such covered data is transferred to perform a service or function on behalf of, and at the direction of, such covered entity or Federal, State, Tribal, territorial, or local government entity.

(31) STATE.—The term “State” means any of the 50 States, the District of Columbia, the Commonwealth of Puerto Rico, the Virgin Islands of the United States, Guam, American Samoa, or the Commonwealth of the Northern Mariana Islands.

(32) STATE PRIVACY AUTHORITY.—The term “State privacy authority” means—

(A) the chief consumer protection officer of a State; or

(B) a State consumer protection agency with expertise in data protection, including the California Privacy Protection Agency.

(33) SUBSTANTIAL PRIVACY RISK.—The term “substantial privacy risk” means the collection, processing, or transfer of covered data in a manner that may result in any reasonably foreseeable substantial physical injury, economic injury, highly offensive intrusion into the privacy expectations of a reasonable individual under the circumstances, or discrimination on the basis of race, color, religion, national origin, sex, or disability.

(34) TARGETED ADVERTISING.—The term “targeted advertising”—

(A) means presenting to an individual or device identified by a unique identifier, or groups of individuals or devices identified by unique identifiers, an online advertisement that is selected based on known or predicted preferences, characteristics, or interests associated with the individual or a device identified by a unique identifier; and

(B) does not include—

(i) advertising or marketing to an individual or an individual’s device in response to the individual’s specific request for information or feedback;

(ii) contextual advertising, which is when an advertisement is displayed based on the content in which the advertisement appears and does not vary based on who is viewing the advertisement; or

(iii) processing covered data solely for measuring or reporting advertising or content, performance, reach, or frequency, including independent measurement.

(35) THIRD PARTY.—The term “third party”—

(A) means any person or entity, including a covered entity, that—

(i) collects, processes, or transfers covered data that the person or entity did not collect directly from the individual linked or linkable to such covered data; and

(ii) is not a service provider with respect to such data; and

(B) does not include a person or entity that collects covered data from another entity if the 2 entities are related by common ownership or corporate control, but only if a reasonable consumer’s reasonable expectation would be that such entities share information.

(36) THIRD-PARTY COLLECTING ENTITY.—

(A) IN GENERAL.—The term “third-party collecting entity”—

(i) means a covered entity whose principal source of revenue is derived from processing or transferring covered data that the covered entity did not collect directly from the individuals linked or linkable to the covered data; and

(ii) does not include a covered entity insofar as such entity processes employee data collected by and received from a third party concerning any individual who is an employee of the third party for the sole purpose of such third party providing benefits to the employee.

(B) PRINCIPAL SOURCE OF REVENUE DEFINED.—For purposes of this paragraph, the term “principal source of revenue” means, for the prior 12-month period, either—

(i) more than 50 percent of all revenue of the covered entity; or

(ii) obtaining revenue from processing or transferring the covered data of more than 5,000,000 individuals that the covered entity did not collect directly from the individuals linked or linkable to the covered data.

(C) NON-APPLICATION TO SERVICE PROVIDERS.—An entity may not be considered to be a third-party collecting entity for purposes of this Act if the entity is acting as a service provider.

(37) THIRD PARTY DATA.—The term “third party data” means covered data that has been transferred to a third party.

(38) TRANSFER.—The term “transfer” means to disclose, release, disseminate, make available, license, rent, or share covered data orally, in writing, electronically, or by any other means.

(39) UNIQUE PERSISTENT IDENTIFIER.—The term “unique identifier”—

(A) means an identifier to the extent that such identifier is reasonably linkable to an individual or device that identifies or is linked or reasonably linkable to 1 or more individuals, including a device identifier, Internet Protocol address, cookie, beacon, pixel tag, mobile ad identifier, or similar technology, customer number, unique pseudonym, user alias, telephone number, or other form of persistent or probabilistic identifier that is linked or reasonably linkable to an individual or device; and

(B) does not include an identifier assigned by a covered entity for the specific purpose of giving effect to an individual’s exercise of affirmative express consent or opt-outs of the collection, processing, and transfer of covered data pursuant to section 204 or otherwise limiting the collection, processing, or transfer of such information.

(40) WIDELY DISTRIBUTED MEDIA.—The term “widely distributed media” means information that is available to the general public, including information from a telephone book or online directory, a television, internet, or radio program, the news media, or an internet site that is available to the general public on an unrestricted basis, but does not include an obscene visual depiction (as defined in section 1460 of title 18, United States Code).

TITLE I—Duty of Loyalty

SEC. 101. Data minimization.

(a) In general.—A covered entity may not collect, process, or transfer covered data unless the collection, processing, or transfer is limited to what is reasonably necessary and proportionate to—

(1) provide or maintain a specific product or service requested by the individual to whom the data pertains; or

(2) effect a purpose permitted under subsection (b).

(b) Permissible purposes.—A covered entity may collect, process, or transfer covered data for any of the following purposes if the collection, processing, or transfer is limited to what is reasonably necessary and proportionate to such purpose:

(1) To initiate, manage, or complete a transaction or fulfill an order for specific products or services requested by an individual, including any associated routine administrative, operational, and account-servicing activity such as billing, shipping, delivery, storage, and accounting.

(2) With respect to covered data previously collected in accordance with this Act, notwithstanding this exception—

(A) to process such data as necessary to perform system maintenance or diagnostics;

(B) to develop, maintain, repair, or enhance a product or service for which such data was collected;

(D) to perform inventory management or reasonable network management;

(E) to protect against spam; or

(F) to debug or repair errors that impair the functionality of a service or product for which such data was collected.

(3) To authenticate users of a product or service.

(4) To fulfill a product or service warranty.

(5) To prevent, detect, protect against, or respond to a security incident. For purposes of this paragraph, security is defined as network security and physical security and life safety, including an intrusion or trespass, medical alerts, fire alarms, and access control security.

(6) To prevent, detect, protect against, or respond to fraud, harassment, or illegal activity. For purposes of this paragraph, the term “illegal activity” means a violation of a Federal, State, or local law punishable as a felony or misdemeanor that can directly harm.

(7) To comply with a legal obligation imposed by Federal, Tribal, local, or State law, or to investigate, establish, prepare for, exercise, or defend legal claims involving the covered entity or service provider.

(8) To prevent an individual, or group of individuals, from suffering harm where the covered entity or service provider believes in good faith that the individual, or group of individuals, is at risk of death, serious physical injury, or other serious health risk.

(9) To effectuate a product recall pursuant to Federal or State law.

(10) (A) To conduct a public or peer-reviewed scientific, historical, or statistical research project that—

(i) is in the public interest; and

(ii) adheres to all relevant laws and regulations governing such research, including regulations for the protection of human subjects, or is excluded from criteria of the institutional review board.

(B) Not later than 18 months after the date of enactment of this Act, the Commission should issue guidelines to help covered entities ensure the privacy of affected users and the security of covered data, particularly as data is being transferred to and stored by researchers. Such guidelines should consider risks as they pertain to projects using covered data with special considerations for projects that are exempt under part 46 of title 45, Code of Federal Regulations (or any successor regulation) or are excluded from the criteria for institutional review board review.

(11) To deliver a communication that is not an advertisement to an individual, if the communication is reasonably anticipated by the individual within the context of the individual’s interactions with the covered entity.

(12) To deliver a communication at the direction of an individual between such individual and one or more individuals or entities.

(13) To transfer assets to a third party in the context of a merger, acquisition, bankruptcy, or similar transaction when the third party assumes control, in whole or in part, of the covered entity’s assets, only if the covered entity, in a reasonable time prior to such transfer, provides each affected individual with—

(A) a notice describing such transfer, including the name of the entity or entities receiving the individual’s covered data and their privacy policies as described in section 202; and

(B) a reasonable opportunity to withdraw any previously given consents in accordance with the requirements of affirmative express consent under this Act related to the individual’s covered data and a reasonable opportunity to request the deletion of the individual’s covered data, as described in section 203.

(14) To ensure the data security and integrity of covered data, as described in section 208.

(15) With respect to covered data previously collected in accordance with this Act, a service provider acting at the direction of a government entity, or a service provided to a government entity by a covered entity, and only insofar as authorized by statute, to prevent, detect, protect against or respond to a public safety incident, including trespass, natural disaster, or national security incident. This paragraph does not permit, however, the transfer of covered data for payment or other valuable consideration to a government entity.

(16) With respect to covered data collected in accordance with this Act, notwithstanding this exception, to process such data as necessary to provide first party advertising or marketing of products or services provided by the covered entity for individuals who are not-covered minors.

(17) With respect to covered data previously collected in accordance with this Act, notwithstanding this exception and provided such collection, processing, and transferring otherwise complies with the requirements of this Act, including section 204(c), to provide targeted advertising.

(c) Guidance.—The Commission shall issue guidance regarding what is reasonably necessary and proportionate to comply with this section. Such guidance shall take into consideration—

(1) the size of, and the nature, scope, and complexity of the activities engaged in by, the covered entity, including whether the covered entity is a large data holder, nonprofit organization, covered entity meeting the requirements of section 209, third party, or third-party collecting entity;

(2) the sensitivity of covered data collected, processed, or transferred by the covered entity;

(3) the volume of covered data collected, processed, or transferred by the covered entity; and

(4) the number of individuals and devices to which the covered data collected, processed, or transferred by the covered entity relates.

(d) Deceptive marketing of a product or service.—A covered entity or service provider may not engage in deceptive advertising or marketing with respect to a product or service offered to an individual.

(e) Journalism.—Nothing in this Act shall be construed to limit or diminish First Amendment freedoms guaranteed under the Constitution.

SEC. 102. Loyalty duties.

Notwithstanding section 101 and unless an exception applies, with respect to covered data, a covered entity or service provider may not—

(1) collect, process, or transfer a Social Security number, except when necessary to facilitate an extension of credit, authentication, fraud and identity fraud detection and prevention, the payment or collection of taxes, the enforcement of a contract between parties, or the prevention, investigation, or prosecution of fraud or illegal activity, or as otherwise required by Federal, State, or local law;

(2) collect or process sensitive covered data, except where such collection or processing is strictly necessary to provide or maintain a specific product or service requested by the individual to whom the covered data pertains, or is strictly necessary to effect a purpose enumerated in paragraphs (1) through (12) and (14) through (15) of section 101(b);

(3) transfer an individual’s sensitive covered data to a third party, unless—

(A) the transfer is made pursuant to the affirmative express consent of the individual;

(B) the transfer is necessary to comply with a legal obligation imposed by Federal, State, Tribal, or local law, or to establish, exercise, or defend legal claims;

(C) the transfer is necessary to prevent an individual from imminent injury where the covered entity believes in good faith that the individual is at risk of death, serious physical injury, or serious health risk;

(D) with respect to covered data collected in accordance with this Act, notwithstanding this exception, a service provider acting at the direction of a government entity, or a service provided to a government entity by a covered entity, and only insofar as authorized by statute, the transfer is necessary to prevent, detect, protect against or respond to a public safety incident including trespass, natural disaster, or national security incident. This paragraph does not permit, however, the transfer of covered data for payment or other valuable consideration to a government entity;

(E) in the case of the transfer of a password, the transfer is necessary to use a designated password manager or is to a covered entity for the exclusive purpose of identifying passwords that are being re-used across sites or accounts;

(F) in the case of the transfer of genetic information, the transfer is necessary to perform a medical diagnosis or medical treatment specifically requested by an individual, or to conduct medical research in accordance with conditions of section 101(b)(10); or

(G) to transfer assets in the manner described in paragraph (13) of section 101(b); or

(4) in the case of a provider of broadcast television service, cable service, satellite service, streaming media service, or other video programming service described in section 713(h)(2) of the Communications Act of 1934 (47 U.S.C. 613(h)(2)), transfer to an unaffiliated third party covered data that reveals the video content or services requested or selected by an individual from such service, except with the affirmative express consent of the individual or pursuant to one of the permissible purposes enumerated in paragraphs (1) through (15) of section 101(b).

SEC. 103. Privacy by design.

(a) Policies, practices, and procedures.—A covered entity and a service provider shall establish, implement, and maintain reasonable policies, practices, and procedures that reflect the role of the covered entity or service provider in the collection, processing, and transferring of covered data and that—

(1) consider applicable Federal laws, rules, or regulations related to covered data the covered entity or service provider collects, processes, or transfers;

(2) identify, assess, and mitigate privacy risks related to covered minors (including, if applicable, with respect to a covered entity that is not an entity meeting the requirements of section 209, in a manner that considers the developmental needs of different age ranges of covered minors) to result in reasonably necessary and proportionate residual risk to covered minors;

(3) mitigate privacy risks, including substantial privacy risks, related to the products and services of the covered entity or the service provider, including in the design, development, and implementation of such products and services, taking into account the role of the covered entity or service provider and the information available to it; and

(4) implement reasonable training and safeguards within the covered entity and service provider to promote compliance with all privacy laws applicable to covered data the covered entity collects, processes, or transfers or covered data the service provider collects, processes, or transfers on behalf of the covered entity and mitigate privacy risks, including substantial privacy risks, taking into account the role of the covered entity or service provider and the information available to it.

(b) Factors to consider.—The policies, practices, and procedures established by a covered entity and a service provider under subsection (a), shall correspond with, as applicable—

(1) the size of the covered entity or the service provider and the nature, scope, and complexity of the activities engaged in by the covered entity or service provider, including whether the covered entity or service provider is a large data holder, nonprofit organization, entity meeting the requirements of section 209, third party, or third-party collecting entity, taking into account the role of the covered entity or service provider and the information available to it;

(2) the sensitivity of the covered data collected, processed, or transferred by the covered entity or service provider;

(3) the volume of covered data collected, processed, or transferred by the covered entity or service provider;

(4) the number of individuals and devices to which the covered data collected, processed, or transferred by the covered entity or service provider relates; and

(5) the cost of implementing such policies, practices, and procedures in relation to the risks and nature of the covered data.

(c) Commission guidance.—Not later than 1 year after the date of enactment of this Act, the Commission shall issue guidance as to what constitutes reasonable policies, practices, and procedures as required by this section. The Commission shall consider unique circumstances applicable to nonprofit organizations, to entities meeting the requirements of section 209, and to service providers.

SEC. 104. Loyalty to individuals with respect to pricing.

(a) Retaliation through service or pricing prohibited.—A covered entity may not retaliate against an individual for exercising any of the rights guaranteed by the Act, or any regulations promulgated under this Act, including denying goods or services, charging different prices or rates for goods or services, or providing a different level of quality of goods or services.

(b) Rules of construction.—Nothing in subsection (a) may be construed to—

(1) prohibit the relation of the price of a service or the level of service provided to an individual to the provision, by the individual, of financial information that is necessarily collected and processed only for the purpose of initiating, rendering, billing for, or collecting payment for a service or product requested by the individual;

(2) prohibit a covered entity from offering a different price, rate, level, quality or selection of goods or services to an individual, including offering goods or services for no fee, if the offering is in connection with an individual’s voluntary participation in a bona fide loyalty program;

(3) require a covered entity to provide a bona fide loyalty program that would require the covered entity to collect, process, or transfer covered data that the covered entity otherwise would not collect, process, or transfer;

(4) prohibit a covered entity from offering a financial incentive or other consideration to an individual for participation in market research;

(5) prohibit a covered entity from offering different types of pricing or functionalities with respect to a product or service based on an individual’s exercise of a right under section 203(a)(3); or

(6) prohibit a covered entity from declining to provide a product or service insofar as the collection and processing of covered data is strictly necessary for such product or service.

(c) Bona fide loyalty program defined.—For purposes of this section, the term “bona fide loyalty program” includes rewards, premium features, discount or club card programs.

TITLE II—Consumer Data Rights

SEC. 201. Consumer awareness.

(a) In general.—Not later than 90 days after the date of enactment of this Act, the Commission shall publish, on the public website of the Commission, a webpage that describes each provision, right, obligation, and requirement of this Act, listed separately for individuals and for covered entities and service providers, and the remedies, exemptions, and protections associated with this Act, in plain and concise language and in an easy-to-understand manner.

(b) Updates.—The Commission shall update the information published under subsection (a) on a quarterly basis as necessitated by any change in law, regulation, guidance, or judicial decisions.

(c) Accessibility.—The Commission shall publish the information required to be published under subsection (a) in the ten languages with the most users in the United States, according to the most recent United States Census.

SEC. 202. Transparency.

(a) In general.—Each covered entity shall make publicly available, in a clear, conspicuous, not misleading, and easy-to-read and readily accessible manner, a privacy policy that provides a detailed and accurate representation of the data collection, processing, and transfer activities of the covered entity.

(b) Content of privacy policy.—A covered entity or service provider shall have a privacy policy that includes, at a minimum, the following:

(1) The identity and the contact information of—

(A) the covered entity or service provider to which the privacy policy applies (including the covered entity’s or service provider’s points of contact and generic electronic mail addresses, as applicable for privacy and data security inquiries); and

(B) any other entity within the same corporate structure as the covered entity or service provider to which covered data is transferred by the covered entity.

(2) The categories of covered data the covered entity or service provider collects or processes.

(3) The processing purposes for each category of covered data the covered entity or service provider collects or processes.

(4) Whether the covered entity or service provider transfers covered data and, if so, each category of service provider and third party to which the covered entity or service provider transfers covered data, the name of each third-party collecting entity to which the covered entity or service provider transfers covered data, and the purposes for which such data is transferred to such categories of service providers and third parties or third-party collecting entities, except for a transfer to a governmental entity pursuant to a court order or law that prohibits the covered entity or service provider from disclosing such transfer, except for transfers to governmental entities pursuant to a court order or law that prohibits the covered entity from disclosing the transfer.

(5) The length of time the covered entity or service provider intends to retain each category of covered data, including sensitive covered data, or, if it is not possible to identify that timeframe, the criteria used to determine the length of time the covered entity or service provider intends to retain categories of covered data.

(6) A prominent description of how an individual can exercise the rights described in this Act.

(7) A general description of the covered entity’s or service provider’s data security practices.

(8) The effective date of the privacy policy.

(9) Whether or not any covered data collected by the covered entity or service provider is transferred to, processed in, stored in, or otherwise accessible to the People’s Republic of China, Russia, Iran, or North Korea.

(c) Languages.—The privacy policy required under subsection (a) shall be made available to the public in each covered language in which the covered entity or service provider—

(1) provides a product or service that is subject to the privacy policy; or

(2) carries out activities related to such product or service.

(d) Accessibility.—The covered entity or service provider shall also provide the disclosures under this section in a manner that is reasonably accessible to and usable by individuals with disabilities.

(e) Material changes.—

(1) AFFIRMATIVE EXPRESS CONSENT.—If a covered entity makes a material change to its privacy policy or practices, the covered entity shall notify each individual affected by such material change before implementing the material change with respect to any prospectively collected covered data and, except as provided in paragraphs (1) through (15) of section 101(b), provide a reasonable opportunity for each individual to withdraw consent to any further materially different collection, processing, or transfer of previously collected covered data under the changed policy.

(2) NOTIFICATION.—The covered entity shall take all reasonable electronic measures to provide direct notification regarding material changes to the privacy policy to each affected individual, in each covered language in which the privacy policy is made available, and taking into account available technology and the nature of the relationship.

(3) CLARIFICATION.—Nothing in this section may be construed to affect the requirements for covered entities under section 102 or 204.

(4) LOG OF MATERIAL CHANGES.—Each large data holder shall retain copies of previous versions of its privacy policy for at least 10 years beginning after the date of enactment of this Act and publish them on its website. Such large data holder shall make publicly available, in a clear, conspicuous, and readily accessible manner, a log describing the date and nature of each material change to its privacy policy over the past 10 years. The descriptions shall be sufficient for a reasonable individual to understand the material effect of each material change. The obligations in this paragraph shall not apply to any previous versions of a large data holder’s privacy policy, or any material changes to such policy, that precede the date of enactment of this Act.

(f) Short-form notice to consumers by large data holders.—

(1) IN GENERAL.—In addition to the privacy policy required under subsection (a), a large data holder that is a covered entity shall provide a short-form notice of its covered data practices in a manner that is—

(A) concise, clear, conspicuous, and not misleading;

(B) readily accessible to the individual, based on what is reasonably anticipated within the context of the relationship between the individual and the large data holder;

(C) inclusive of an overview of individual rights and disclosures to reasonably draw attention to data practices that may reasonably be unexpected to a reasonable person or that involve sensitive covered data; and

(D) no more than 500 words in length.

(2) RULEMAKING.—The Commission shall issue a rule pursuant to section 553 of title 5, United States Code, establishing the minimum data disclosures necessary for the short-form notice required under paragraph (1), which shall not exceed the content requirements in subsection (b) and shall include templates or models of short-form notices.

SEC. 203. Individual data ownership and control.

(a) Access to, and correction, deletion, and portability of, covered data.—In accordance with subsections (b) and (c), a covered entity shall provide an individual, after receiving a verified request from the individual, with the right to—

(1) access—

(A) in a human-readable format that a reasonable individual can understand and download from the internet, the covered data (except covered data in a back-up or archival system) of the individual making the request that is collected, processed, or transferred by the covered entity or any service provider of the covered entity within the 24 months preceding the request;

(B) the categories of any third party, if applicable, and an option for consumers to obtain the names of any such third party as well as and the categories of any service providers to whom the covered entity has transferred for consideration the covered data of the individual, as well as the categories of sources from which the covered data was collected; and

(C) a description of the purpose for which the covered entity transferred the covered data of the individual to a third party or service provider;

(2) correct any verifiable substantial inaccuracy or substantially incomplete information with respect to the covered data of the individual that is processed by the covered entity and instruct the covered entity to make reasonable efforts to notify all third parties or service providers to which the covered entity transferred such covered data of the corrected information;

(3) delete covered data of the individual that is processed by the covered entity and instruct the covered entity to make reasonable efforts to notify all third parties or service provider to which the covered entity transferred such covered data of the individual’s deletion request; and

(4) to the extent technically feasible, export to the individual or directly to another entity the covered data of the individual that is processed by the covered entity, including inferences linked or reasonably linkable to the individual but not including other derived data, without licensing restrictions that limit such transfers in—

(A) a human-readable format that a reasonable individual can understand and download from the internet; and

(B) a portable, structured, interoperable, and machine-readable format.

(b) Individual autonomy.—A covered entity may not condition, effectively condition, attempt to condition, or attempt to effectively condition the exercise of a right described in subsection (a) through—

(1) the use of any false, fictitious, fraudulent, or materially misleading statement or representation; or

(2) the design, modification, or manipulation of any user interface with the purpose or substantial effect of obscuring, subverting, or impairing a reasonable individual’s autonomy, decision making, or choice to exercise such right.

(1) IN GENERAL.—Subject to subsections (d) and (e), each request under subsection (a) shall be completed by any—

(A) large data holder within 45 days of such request from an individual, unless it is demonstrably impracticable or impracticably costly to verify such individual;

(B) covered entity that is not a large data holder or a covered entity meeting the requirements of section 209 within 60 days of such request from an individual, unless it is demonstrably impracticable or impracticably costly to verify such individual; or

(C) covered entity meeting the requirements of section 209 within 90 days of such request from an individual, unless it is demonstrably impracticable or impracticably costly to verify such individual.

(2) EXTENSION.—A response period set forth in this subsection may be extended once by 45 additional days when reasonably necessary, considering the complexity and number of the individual’s requests, so long as the covered entity informs the individual of any such extension within the initial 45-day response period, together with the reason for the extension.

(d) Frequency and cost of access.—A covered entity—

(1) shall provide an individual with the opportunity to exercise each of the rights described in subsection (a); and

(2) with respect to—

(A) the first 2 times that an individual exercises any right described in subsection (a) in any 12-month period, shall allow the individual to exercise such right free of charge; and

(B) any time beyond the initial 2 times described in subparagraph (A), may allow the individual to exercise such right for a reasonable fee for each request.

(e) Verification and exceptions.—

(1) REQUIRED EXCEPTIONS.—A covered entity may not permit an individual to exercise a right described in subsection (a), in whole or in part, if the covered entity—

(A) cannot reasonably verify that the individual making the request to exercise the right is the individual whose covered data is the subject of the request or an individual authorized to make such a request on the individual’s behalf;

(B) reasonably believes that the request is made to interfere with a contract between the covered entity and another individual;

(C) determines that the exercise of the right would require access to or correction of another individual’s sensitive covered data;

(D) reasonably believes that the exercise of the right would require the covered entity to engage in an unfair or deceptive practice under section 5 of the Federal Trade Commission Act (15 U.S.C. 45); or

(E) reasonably believes that the request is made to further fraud, support criminal activity, or the exercise of the right presents a data security threat.

(2) ADDITIONAL INFORMATION.—If a covered entity cannot reasonably verify that a request to exercise a right described in subsection (a) is made by the individual whose covered data is the subject of the request (or an individual authorized to make such a request on the individual’s behalf), the covered entity—

(A) may request that the individual making the request to exercise the right provide any additional information necessary for the sole purpose of verifying the identity of the individual; and

(B) may not process or transfer such additional information for any other purpose.

(3) PERMISSIVE EXCEPTIONS.—

(A) IN GENERAL.—A covered entity may decline, with adequate explanation to the individual, to comply with a request to exercise a right described in subsection (a), in whole or in part, that would—

(i) require the covered entity to retain any covered data collected for a single, one-time transaction, if such covered data is not processed or transferred by the covered entity for any purpose other than completing such transaction;

(ii) be demonstrably impracticable or prohibitively costly to comply with, and the covered entity shall provide a description to the requestor detailing the inability to comply with the request;

(iii) require the covered entity to attempt to re-identify de-identified data;

(iv) require the covered entity to maintain covered data in an identifiable form or collect, retain, or access any data in order to be capable of associating a verified individual request with covered data of such individual;

(v) result in the release of trade secrets or other privileged or confidential business information;

(vi) require the covered entity to correct any covered data that cannot be reasonably verified as being inaccurate or incomplete;

(vii) interfere with law enforcement, judicial proceedings, investigations, or reasonable efforts to guard against, detect, prevent, or investigate fraudulent, malicious, or unlawful activity, or enforce valid contracts;

(viii) violate Federal or State law or the rights and freedoms of another individual, including under the Constitution of the United States;

(ix) prevent a covered entity from being able to maintain a confidential record of deletion requests, maintained solely for the purpose of preventing covered data of an individual from being recollected after the individual submitted a deletion request and requested that the covered entity no longer collect, process, or transfer such data;

(x) fall within an exception enumerated in the regulations promulgated by the Commission pursuant to subparagraph (D); or

(xi) with respect to requests for deletion—

(I) unreasonably interfere with the provision of products or services by the covered entity to another person it currently serves;

(II) delete covered data that relates to a public figure and for which the requesting individual has no reasonable expectation of privacy;

(III) delete covered data reasonably necessary to perform a contract between the covered entity and the individual;

(IV) delete covered data that the covered entity needs to retain in order to comply with professional ethical obligations;

(V) delete covered data that the covered entity reasonably believes may be evidence of unlawful activity or an abuse of the covered entity’s products or services; or

(VI) for private elementary and secondary schools as defined by State law and private institutions of higher education as defined by title I of the Higher Education Act of 1965, delete covered data that would unreasonably interfere with the provision of education services by or the ordinary operation of the school or institution.

(B) PARTIAL COMPLIANCE.—In a circumstance that would allow a denial pursuant to subparagraph (A), a covered entity shall partially comply with the remainder of the request if it is possible and not unduly burdensome to do so.

(C) NUMBER OF REQUESTS.—For purposes of subparagraph (A)(ii), the receipt of a large number of verified requests, on its own, may not be considered to render compliance with a request demonstrably impracticable.

(D) FURTHER EXCEPTIONS.—The Commission may, by regulation as described in subsection (g), establish additional permissive exceptions necessary to protect the rights of individuals, alleviate undue burdens on covered entities, prevent unjust or unreasonable outcomes from the exercise of access, correction, deletion, or portability rights, or as otherwise necessary to fulfill the purposes of this section. In establishing such exceptions, the Commission should consider any relevant changes in technology, means for protecting privacy and other rights, and beneficial uses of covered data by covered entities.

(f) Large data holder metrics reporting.—A large data holder that is a covered entity shall, for each calendar year in which it was a large data holder, do the following:

(1) Compile the following metrics for the prior calendar year:

(A) The number of verified access requests under subsection (a)(1).

(B) The number of verified deletion requests under subsection (a)(3).

(D) The number of requests to opt-out of targeted advertising under section 204(c).

(E) The number of requests in each of subparagraphs (A) through (D) that such large data holder (i) complied with in whole or in part and (ii) denied.

(F) The median or mean number of days within which such large data holder substantively responded to the requests in each of subparagraphs (A) through (D).

(2) Disclose by July 1 of each applicable calendar year the information compiled in paragraph (1) within such large data holder’s privacy policy required under section 202 or on the publicly accessible website of such large data holder that is accessible from a hyperlink included in the privacy policy.

(g) Regulations.—Not later than 2 years after the date of enactment of this Act, the Commission shall promulgate regulations, pursuant to section 553 of title 5, United States Code, as necessary to establish processes by which covered entities are to comply with the provisions of this section. Such regulations shall take into consideration—

(1) the size of, and the nature, scope, and complexity of the activities engaged in by the covered entity, including whether the covered entity is a large data holder, nonprofit organization, covered entity meeting the requirements of section 209, third party, or third-party collecting entity;

(2) the sensitivity of covered data collected, processed, or transferred by the covered entity;

(3) the volume of covered data collected, processed, or transferred by the covered entity;

(4) the number of individuals and devices to which the covered data collected, processed, or transferred by the covered entity relates; and

(5) after consulting the National Institute of Standards and Technology, standards for ensuring the deletion of covered data under this Act where appropriate.

(h) Accessibility.—A covered entity shall facilitate the ability of individuals to make requests under subsection (a) in any covered language in which the covered entity provides a product or service. The mechanisms by which a covered entity enables individuals to make requests under subsection (a) shall be readily accessible and usable by with individuals with disabilities.

SEC. 204. Right to consent and object.

(a) Withdrawal of consent.—A covered entity shall provide an individual with a clear and conspicuous, easy-to-execute means to withdraw any affirmative express consent previously provided by the individual that is as easy to execute by a reasonable individual as the means to provide consent, with respect to the processing or transfer of the covered data of the individual.

(b) Right to opt out of covered data transfers.—

(1) IN GENERAL.—A covered entity—

(A) may not transfer or direct the transfer of the covered data of an individual to a third party if the individual objects to the transfer; and

(B) shall allow an individual to object to such a transfer through an opt-out mechanism, as described in section 210.

(2) EXCEPTION.—Except as provided in section 206(b)(3)(C), a covered entity need not allow an individual to opt out of the collection, processing, or transfer of covered data made pursuant to the exceptions in paragraphs (1) through (15) of section 101(b).

(1) A covered entity or service provider that directly delivers a targeted advertisement shall—

(A) prior to engaging in targeted advertising to an individual or device and at all times thereafter, provide such individual with a clear and conspicuous means to opt out of targeted advertising;

(B) abide by any opt-out designation by an individual with respect to targeted advertising and notify the covered entity that directed the service provider to deliver the targeted advertisement of the opt-out decision; and

(C) allow an individual to make an opt-out designation with respect to targeted advertising through an opt-out mechanism, as described in section 210.

(2) A covered entity or service provider that receives an opt-out notification pursuant to paragraph (1)(B) or this paragraph shall abide by such opt-out designations by an individual and notify any other person that directed the covered entity or service provider to serve, deliver, or otherwise handle the advertisement of the opt-out decision.

(d) Individual autonomy.—A covered entity may not condition, effectively condition, attempt to condition, or attempt to effectively condition the exercise of any individual right under this section through—

(1) the use of any false, fictitious, fraudulent, or materially misleading statement or representation; or

SEC. 205. Data protections for children and minors.

(a) Prohibition on targeted advertising to children and minors.—A covered entity may not engage in targeted advertising to any individual if the covered entity has knowledge that the individual is a covered minor.

(b) Data transfer requirements related to covered minors.—

(1) IN GENERAL.—A covered entity may not transfer or direct the transfer of the covered data of a covered minor to a third party if the covered entity—

(A) has knowledge that the individual is a covered minor; and

(B) has not obtained affirmative express consent from the covered minor or the covered minor’s parent or guardian.

(2) EXCEPTION.—A covered entity or service provider may collect, process, or transfer covered data of an individual the covered entity or service provider knows is under the age of 18 solely in order to submit information relating to child victimization to law enforcement or to the nonprofit, national resource center and clearinghouse congressionally designated to provide assistance to victims, families, child-serving professionals, and the general public on missing and exploited children issues.

(1) ESTABLISHMENT.—There is established within the Commission in the privacy bureau established in this Act, a division to be known as the “Youth Privacy and Marketing Division” (in this section referred to as the “Division”).

(2) DIRECTOR.—The Division shall be headed by a Director, who shall be appointed by the Chair of the Commission.

(3) DUTIES.—The Division shall be responsible for assisting the Commission in addressing, as it relates to this Act—

(A) the privacy of children and minors; and

(B) marketing directed at children and minors.

(4) STAFF.—The Director of the Division shall hire adequate staff to carry out the duties described in paragraph (3), including by hiring individuals who are experts in data protection, digital advertising, data analytics, and youth development.

(5) REPORTS.—Not later than 2 years after the date of enactment of this Act, and annually thereafter, the Commission shall submit to the Committee on Commerce, Science, and Transportation of the Senate and the Committee on Energy and Commerce of the House of Representatives a report that includes—

(A) a description of the work of the Division regarding emerging concerns relating to youth privacy and marketing practices; and

(B) an assessment of how effectively the Division has, during the period for which the report is submitted, assisted the Commission to address youth privacy and marketing practices.

(6) PUBLICATION.—Not later than 10 days after the date on which a report is submitted under paragraph (5), the Commission shall publish the report on its website.

(d) Report by the inspector general.—

(1) IN GENERAL.—Not later than 2 years after the date of enactment of this Act, and biennially thereafter, the Inspector General of the Commission shall submit to the Commission and to the Committee on Commerce, Science, and Transportation of the Senate and the Committee on Energy and Commerce of the House of Representatives a report regarding the safe harbor provisions in section 1304 of the Children’s Online Privacy Protection Act of 1998 (15 U.S.C. 6503), which shall include—

(A) an analysis of whether the safe harbor provisions are—

(i) operating fairly and effectively; and

(ii) effectively protecting the interests of children and minors; and

(B) any proposal or recommendation for policy changes that would improve the effectiveness of the safe harbor provisions.

(2) PUBLICATION.—Not later than 10 days after the date on which a report is submitted under paragraph (1), the Commission shall publish the report on the website of the Commission.

SEC. 206. Third-party collecting entities.

(a) Notice.—Each third-party collecting entity shall place a clear, conspicuous, not misleading, and readily accessible notice on the website or mobile application of the third-party collecting entity (if the third-party collecting entity maintains such a website or mobile application) that—

(1) notifies individuals that the entity is a third-party collecting entity using specific language that the Commission shall develop through rulemaking under section 553 of title 5, United States Code;

(2) includes a link to the website established under subsection (b)(3); and

(3) is reasonably accessible to and usable by individuals with disabilities.

(b) Third-party collecting entity registration.—

(1) IN GENERAL.—Not later than January 31 of each calendar year that follows a calendar year during which a covered entity acted as a third-party collecting entity and processed covered data pertaining to more than 5,000 individuals or devices that identify or are linked or reasonably linkable to an individual, such covered entity shall register with the Commission in accordance with this subsection.

(2) REGISTRATION REQUIREMENTS.—In registering with the Commission as required under paragraph (1), a third-party collecting entity shall do the following:

(A) Pay to the Commission a registration fee of $100.

(B) Provide the Commission with the following information:

(i) The legal name and primary physical, email, and internet addresses of the third-party collecting entity.

(ii) A description of the categories of covered data the third-party collecting entity processes and transfers.

(iii) The contact information of the third-party collecting entity, including a contact person, a telephone number, an e-mail address, a website, and a physical mailing address.

(iv) A link to a website through which an individual may easily exercise the rights provided under this subsection.

(3) THIRD-PARTY COLLECTING ENTITY REGISTRY.—The Commission shall establish and maintain on a website a searchable, publicly available, central registry of third-party collecting entities that are registered with the Commission under this subsection that includes the following:

(A) A listing of all registered third-party collecting entities and a search feature that allows members of the public to identify individual third-party collecting entities.

(B) For each registered third-party collecting entity, the information provided under paragraph (2)(B).

(C) (i) A “Do Not Collect” registry link and mechanism by which an individual may, easily submit a request to all registered third-party collecting entities that are not consumer reporting agencies (as defined in section 603(f) of the Fair Credit Reporting Act (15 U.S.C. 1681a(f))), and to the extent such third-party collecting entities are not acting as consumer reporting agencies (as so defined), to—

(I) delete all covered data related to such individual that the third-party collecting entity did not collect from such individual directly or when acting as a service provider; and

(II) ensure that the third-party collecting entity no longer collects covered data related to such individual without the affirmative express consent of such individual, except insofar as the third-party collecting entity is acting as a service provider.

(ii) Each third-party collecting entity that receives such a request from an individual shall delete all the covered data of the individual not later than 30 days after the request is received by the third-party collecting entity.

(iii) Notwithstanding the provisions of clauses (i) and (ii), a third-party collecting entity may decline to fulfill a “Do Not Collect” request from an individual who it has actual knowledge has been convicted of a crime related to the abduction or sexual exploitation of a child, and the data the entity is collecting is necessary to effectuate the purposes of a national or State-run sex offender registry or the congressionally designated entity that serves as the nonprofit national resource center and clearinghouse to provide assistance to victims, families, child-serving professionals, and the general public on missing and exploited children issues.

(1) IN GENERAL.—A third-party collecting entity that fails to register or provide the notice as required under this section shall be liable for—

(A) a civil penalty of $100 for each day the third-party collecting entity fails to register or provide notice as required under this section, not to exceed a total of $10,000 for any year; and

(B) an amount equal to the registration fees due under paragraph (2)(A) of subsection (b) for each year that the third-party collecting entity failed to register as required under paragraph (1) of such subsection.

(2) RULE OF CONSTRUCTION.—Nothing in this subsection shall be construed as altering, limiting, or affecting any enforcement authorities or remedies under this Act.

SEC. 207. Civil rights and algorithms.

(a) Civil rights protections.—

(1) IN GENERAL.—A covered entity or a service provider may not collect, process, or transfer covered data in a manner that discriminates in or otherwise makes unavailable the equal enjoyment of goods or services on the basis of race, color, religion, national origin, sex, or disability.

(2) EXCEPTIONS.—This subsection shall not apply to—

(A) the collection, processing, or transfer of covered data for the purpose of—

(i) a covered entity’s or a service provider’s self-testing to prevent or mitigate unlawful discrimination; or

(ii) diversifying an applicant, participant, or customer pool; or

(B) any private club or group not open to the public, as described in section 201(e) of the Civil Rights Act of 1964 (42 U.S.C. 2000a(e)).

(b) FTC enforcement assistance.—

(1) IN GENERAL.—Whenever the Commission obtains information that a covered entity or service provider may have collected, processed, or transferred covered data in violation of subsection (a), the Commission shall transmit such information as allowable under Federal law to any Executive agency with authority to initiate enforcement actions or proceedings relating to such violation.

(2) ANNUAL REPORT.—Not later than 3 years after the date of enactment of this Act, and annually thereafter, the Commission shall submit to Congress a report that includes a summary of—

(A) the types of information the Commission transmitted to Executive agencies under paragraph (1) during the previous 1-year period; and

(B) how such information relates to Federal civil rights laws.

(3) TECHNICAL ASSISTANCE.—In transmitting information under paragraph (1), the Commission may consult and coordinate with, and provide technical and investigative assistance, as appropriate, to such Executive agency.

(4) COOPERATION WITH OTHER AGENCIES.—The Commission may implement this subsection by executing agreements or memoranda of understanding with the appropriate Executive agencies.

(1) COVERED ALGORITHM IMPACT ASSESSMENT.—

(A) IMPACT ASSESSMENT.—Notwithstanding any other provision of law, not later than 2 years after the date of enactment of this Act, and annually thereafter, a large data holder that uses a covered algorithm in a manner that poses a consequential risk of harm to an individual or group of individuals, and uses such covered algorithm solely or in part, to collect, process, or transfer covered data shall conduct an impact assessment of such algorithm in accordance with subparagraph (B).

(B) IMPACT ASSESSMENT SCOPE.—The impact assessment required under subparagraph (A) shall provide the following:

(i) A detailed description of the design process and methodologies of the covered algorithm.

(ii) A statement of the purpose and proposed uses of the covered algorithm.

(iii) A detailed description of the data used by the covered algorithm, including the specific categories of data that will be processed as input and any data used to train the model that the covered algorithm relies on, if applicable.

(iv) A description of the outputs produced by the covered algorithm.

(v) An assessment of the necessity and proportionality of the covered algorithm in relation to its stated purpose.

(vi) A detailed description of steps the large data holder has taken or will take to mitigate potential harms from the covered algorithm to an individual or group of individuals, including related to—

(I) covered minors;

(II) making or facilitating advertising for, or determining access to, or restrictions on the use of housing, education, employment, healthcare, insurance, or credit opportunities;

(III) determining access to, or restrictions on the use of, any place of public accommodation, particularly as such harms relate to the protected characteristics of individuals, including race, color, religion, national origin, sex, or disability;

(IV) disparate impact on the basis of individuals’ race, color, religion, national origin, sex, or disability status; or

(V) disparate impact on the basis of individuals’ political party registration status.

(2) ALGORITHM DESIGN EVALUATION.—Notwithstanding any other provision of law, not later than 2 years after the date of enactment of this Act, a covered entity or service provider that knowingly develops a covered algorithm that is designed to, solely or in part, to collect, process, or transfer covered data in furtherance of a consequential decision shall prior to deploying the covered algorithm in interstate commerce evaluate the design, structure, and inputs of the covered algorithm, including any training data used to develop the covered algorithm, to reduce the risk of the potential harms identified under paragraph (1)(B).

(3) OTHER CONSIDERATIONS.—

(A) FOCUS.—In complying with paragraphs (1) and (2), a covered entity and a service provider may focus the impact assessment or evaluation on any covered algorithm, or portions of a covered algorithm, that will be put to use and may reasonably contribute to the risk of the potential harms identified under paragraph (1)(B).

(B) AVAILABILITY.—

(i) IN GENERAL.—A covered entity and a service provider—

(I) shall, not later than 30 days after completing an impact assessment or evaluation, submit the impact assessment or evaluation conducted under paragraph (1) or (2) to the Commission;

(II) shall, upon request, make such impact assessment and evaluation available to Congress; and

(III) may make a summary of such impact assessment and evaluation publicly available in a place that is easily accessible to individuals.

(ii) TRADE SECRETS.—Covered entities and service providers may redact and segregate any trade secret (as defined in section 1839 of title 18, United States Code) or other confidential or proprietary information from public disclosure under this subparagraph and the Commission shall abide by its obligations under section 6(f) of the Federal Trade Commission Act (15 U.S.C. 46(f)) in regard to such information.

(C) ENFORCEMENT.—The Commission may not use any information obtained solely and exclusively through a covered entity or a service provider’s disclosure of information to the Commission in compliance with this section for any purpose other than enforcing this Act with the exception of enforcing consent orders, including the study and report provisions in paragraph (6). This subparagraph does not preclude the Commission from providing this information to Congress in response to a subpoena.

(4) GUIDANCE.—Not later than 2 years after the date of enactment of this Act, the Commission shall, in consultation with the Secretary of Commerce, or their respective designees, publish guidance regarding compliance with this section.

(5) RULEMAKING AND EXEMPTION.—The Commission shall have authority under section 553 of title 5, United States Code, to promulgate regulations as necessary to establish processes by which a large data holder—

(A) shall submit an impact assessment to the Commission under paragraph (3)(B)(i)(I); and

(B) may exclude from this subsection any covered algorithm that presents low or minimal consequential risk of harm to an individual or group of individuals.

(6) STUDY AND REPORT.—

(A) STUDY.—The Commission, in consultation with the Secretary of Commerce or the Secretary’s designee, shall conduct a study, to review any impact assessment or evaluation submitted under this subsection. Such study shall include an examination of—

(i) best practices for the assessment and evaluation of covered algorithms; and

(ii) methods to reduce the risk of harm to individuals that may be related to the use of covered algorithms.

(B) REPORT.—

(i) INITIAL REPORT.—Not later than 3 years after the date of enactment of this Act, the Commission, in consultation with the Secretary of Commerce or the Secretary’s designee, shall submit to Congress a report containing the results of the study conducted under subparagraph (A), together with recommendations for such legislation and administrative action as the Commission determines appropriate.

(ii) ADDITIONAL REPORTS.—Not later than 3 years after submission of the initial report under clause (i), and as the Commission determines necessary thereafter, the Commission shall submit to Congress an updated version of such report.

SEC. 208. Data security and protection of covered data.

(a) Establishment of data security practices.—

(1) IN GENERAL.—A covered entity or service provider shall establish, implement, and maintain reasonable administrative, technical, and physical data security practices and procedures to protect and secure covered data against unauthorized access and acquisition.

(2) CONSIDERATIONS.—The reasonable administrative, technical, and physical data security practices required under paragraph (1) shall be appropriate to—

(A) the size and complexity of the covered entity or service provider;

(B) the nature and scope of the covered entity or the service provider’s collecting, processing, or transferring of covered data;

(C) the volume and nature of the covered data collected, processed, or transferred by the covered entity or service provider;

(D) the sensitivity of the covered data collected, processed, or transferred;

(E) the current state of the art (and limitations thereof) in administrative, technical, and physical safeguards for protecting such covered data; and

(F) the cost of available tools to improve security and reduce vulnerabilities to unauthorized access and acquisition of such covered data in relation to the risks and nature of the covered data.

(b) Specific requirements.—The data security practices of the covered entity and of the service provider required under subsection (a) shall include, for each respective entity’s own system or systems, at a minimum, the following practices:

(1) ASSESS VULNERABILITIES.—Identifying and assessing any material internal and external risk to, and vulnerability in, the security of each system maintained by the covered entity that collects, processes, or transfers covered data, or service provider that collects, processes, or transfers covered data on behalf of the covered entity, including unauthorized access to or risks to such covered data, human vulnerabilities, access rights, and the use of service providers. With respect to large data holders, such activities shall include a plan to receive and reasonably respond to unsolicited reports of vulnerabilities by any entity or individual and by performing a reasonable investigation of such reports.

(2) PREVENTIVE AND CORRECTIVE ACTION.—Taking preventive and corrective action designed to mitigate reasonably foreseeable risks or vulnerabilities to covered data identified by the covered entity or service provider, consistent with the nature of such risk or vulnerability and the entity’s role in collecting, processing, or transferring the data. Such action may include implementing administrative, technical, or physical safeguards or changes to data security practices or the architecture, installation, or implementation of network or operating software, among other actions.

(3) EVALUATION OF PREVENTIVE AND CORRECTIVE ACTION.—Evaluating and making reasonable adjustments to the action described in paragraph (2) in light of any material changes in technology, internal or external threats to covered data, and the covered entity or service provider’s own changing business arrangements or operations.

(4) INFORMATION RETENTION AND DISPOSAL.—Disposing of covered data in accordance with a retention schedule that shall require the deletion of covered data when such data is required to be deleted by law or is no longer necessary for the purpose for which the data was collected, processed, or transferred, unless an individual has provided affirmative express consent to such retention. Such disposal shall include destroying, permanently erasing, or otherwise modifying the covered data to make such data permanently unreadable or indecipherable and unrecoverable to ensure ongoing compliance with this section. Service providers shall establish practices to delete or return covered data to a covered entity as requested at the end of the provision of services unless retention of the covered data is required by law, consistent with section 302(a)(6).

(5) TRAINING.—Training each employee with access to covered data on how to safeguard covered data and updating such training as necessary.

(6) DESIGNATION.—Designating an officer, employee, or employees to maintain and implement such practices.

(7) INCIDENT RESPONSE.—Implementing procedures to detect, respond to, or recover from security incidents, including breaches.

(c) Regulations.—The Commission may promulgate, in accordance with section 553 of title 5, United States Code, technology-neutral regulations to establish processes for complying with this section. The Commission shall consult with the National Institute of Standards and Technology in establishing such processes.

SEC. 209. Small business protections.

(a) Establishment of exemption.—Any covered entity or service provider that can establish that it met the requirements described in subsection (b) for the period of the 3 preceding calendar years (or for the period during which the covered entity or service provider has been in existence if such period is less than 3 years) shall—

(1) be exempt from compliance with section 203(a)(4), paragraphs (1) through (3) and (5) through (7) of section 208(b), and section 301(c); and

(2) at the covered entity’s sole discretion, have the option of complying with section 203(a)(2) by, after receiving a verified request from an individual to correct covered data of the individual under such section, deleting such covered data in its entirety instead of making the requested correction.

(b) Exemption requirements.—The requirements of this subsection are, with respect to a covered entity or a service provider, the following:

(1) The covered entity or service provider’s average annual gross revenues during the period did not exceed $41,000,000.

(2) The covered entity or service provider, on average, did not annually collect or process the covered data of more than 200,000 individuals during the period beyond the purpose of initiating, rendering, billing for, finalizing, completing, or otherwise collecting payment for a requested service or product, so long as all covered data for such purpose was deleted or de-identified within 90 days, except when necessary to investigate fraud or as consistent with a covered entity’s return policy.

(3) The covered entity or service provider did not derive more than 50 percent of its revenue from transferring covered data during any year (or part of a year if the covered entity has been in existence for less than 1 year) that occurs during the period.

(c) Revenue defined.—For purposes of this section, the term “revenue” as it relates to any covered entity or service provider that is not organized to carry on business for its own profit or that of its members, means the gross receipts the covered entity or service provider received in whatever form from all sources without subtracting any costs or expenses, and includes contributions, gifts, grants, dues or other assessments, income from investments, or proceeds from the sale of real or personal property.

SEC. 210. Unified opt-out mechanisms.

(a) In general.—For the rights established under subsection (b) of section 204, subsection (c) of section 204 (except as provided for under section 101(b)(16)), and section 206(b)(3)(C), following public notice and opportunity to comment and not later than 18 months after the date of enactment of this Act, the Commission shall establish or recognize one or more acceptable privacy protective, centralized mechanisms, including global privacy signals such as browser or device privacy settings, other tools offered by covered entities or service providers, and registries of identifiers, for individuals to exercise all such rights through a single interface for a covered entity or service provider to utilize to allow an individual to make such opt out designations with respect to covered data related to such individual.

(b) Requirements.—Any such centralized opt-out mechanism shall—

(1) require covered entities or service providers acting on behalf of covered entities to inform individuals about the centralized opt-out choice;

(2) not be required to be the default setting, but may be the default setting provided that in all cases the mechanism clearly represents the individual’s affirmative, freely given, and unambiguous choice to opt out;

(3) be consumer-friendly, clearly described, and easy-to-use by a reasonable individual;

(4) permit the covered entity or service provider acting on behalf of a covered entity to have an authentication process the covered entity or service provider acting on behalf of a covered entity may use to determine if the mechanism represents a legitimate request to opt out;

(5) be provided in any covered language in which the covered entity provides products or services subject to the opt-out; and

(6) be provided in a manner that is reasonably accessible to and usable by individuals with disabilities.

TITLE III—Corporate Accountability

SEC. 301. Executive responsibility.

(a) In general.—Beginning 1 year after the date of enactment of this Act, an executive officer of a large data holder shall annually certify, in good faith, to the Commission, in a manner specified by the Commission by regulation under section 553 of title 5, United States Code, that the entity maintains—

(1) internal controls reasonably designed to comply with this Act; and

(2) internal reporting structures to ensure that such certifying executive officer is involved in and responsible for the decisions that impact the compliance by the large data holder with this Act.

(b) Requirements.—A certification submitted under subsection (a) shall be based on a review of the effectiveness of the internal controls and reporting structures of the large data holder that is conducted by the certifying executive officer not more than 90 days before the submission of the certification. A certification submitted under subsection (a) is made in good faith if the certifying officer had, after a reasonable investigation, reasonable ground to believe and did believe, at the time that certification was submitted, that the statements therein were true and that there was no omission to state a material fact required to be stated therein or necessary to make the statements therein not misleading.

(1) IN GENERAL.—A covered entity or service provider that have more than 15 employees, shall designate—

(A) 1 or more qualified employees as privacy officers; and

(B) 1 or more qualified employees (in addition to any employee designated under subparagraph (A)) as data security officers.

(2) REQUIREMENTS FOR OFFICERS.—An employee who is designated by a covered entity or a service provider as a privacy officer or a data security officer pursuant to paragraph (1) shall, at a minimum—

(A) implement a data privacy program and data security program to safeguard the privacy and security of covered data in compliance with the requirements of this Act; and

(B) facilitate the covered entity or service provider’s ongoing compliance with this Act.

(3) ADDITIONAL REQUIREMENTS FOR LARGE DATA HOLDERS.—A large data holder shall designate at least 1 of the officers described in paragraph (1) to report directly to the highest official at the large data holder as a privacy protection officer who shall, in addition to the requirements in paragraph (2), either directly or through a supervised designee or designees—

(A) establish processes to periodically review and update the privacy and security policies, practices, and procedures of the large data holder, as necessary;

(B) conduct biennial and comprehensive audits to ensure the policies, practices, and procedures of the large data holder ensure the large data holder is in compliance with this Act and ensure such audits are accessible to the Commission upon request;

(D) maintain updated, accurate, clear, and understandable records of all material privacy and data security practices undertaken by the large data holder; and

(E) serve as the point of contact between the large data holder and enforcement authorities.

(d) Large data holder privacy impact assessments.—

(1) IN GENERAL.—Not later than 1 year after the date of enactment of this Act or 1 year after the date on which a covered entity first meets the definition of large data holder, whichever is earlier, and biennially thereafter, each covered entity that is a large data holder shall conduct a privacy impact assessment that weighs the benefits of the large data holder’s covered data collecting, processing, and transfer practices against the potential adverse consequences of such practices, including substantial privacy risks, to individual privacy.

(2) ASSESSMENT REQUIREMENTS.—A privacy impact assessment required under paragraph (1) shall be—

(A) reasonable and appropriate in scope given—

(i) the nature of the covered data collected, processed, and transferred by the large data holder;

(ii) the volume of the covered data collected, processed, and transferred by the large data holder; and

(iii) the potential material risks posed to the privacy of individuals by the collecting, processing, and transfer of covered data by the large data holder;

(B) documented in written form and maintained by the large data holder unless rendered out of date by a subsequent assessment conducted under paragraph (1); and

(3) ADDITIONAL FACTORS TO INCLUDE IN ASSESSMENT.—In assessing the privacy risks, including substantial privacy risks, the large data holder must include reviews of the means by which technologies, including blockchain and distributed ledger technologies and other emerging technologies, are used to secure covered data.

(e) Other privacy impact assessments.—

(1) IN GENERAL.—Not later than 1 year after the date of enactment of this Act and biennially thereafter, each covered entity that is not large data holder and does not meet the requirements for covered entities under section 209 shall conduct a privacy impact assessment. Such assessment shall weigh the benefits of the covered entity’s covered data collecting, processing, and transfer practices that may cause a substantial privacy risk against the potential material adverse consequences of such practices to individual privacy.

(2) ASSESSMENT REQUIREMENTS.—A privacy impact assessment required under paragraph (1) shall be—

(A) reasonable and appropriate in scope given—

(i) the nature of the covered data collected, processed, and transferred by the covered entity;

(ii) the volume of the covered data collected, processed, and transferred by the covered entity; and

(iii) the potential risks posed to the privacy of individuals by the collecting, processing, and transfer of covered data by the covered entity; and

(B) documented in written form and maintained by the covered entity unless rendered out of date by a subsequent assessment conducted under paragraph (1).

(3) ADDITIONAL FACTORS TO INCLUDE IN ASSESSMENT.—In assessing the privacy risks, including substantial privacy risks, the covered entity may include reviews of the means by which technologies, including blockchain and distributed ledger technologies and other emerging technologies, are used to secure covered data.

SEC. 302. Service providers and third parties.

(a) Service providers.—A service provider—

(1) shall adhere to the instructions of a covered entity and only collect, process, and transfer service provider data to the extent necessary and proportionate to provide a service requested by the covered entity, as set out in the contract required by subsection (b), and this paragraph does not require a service provider to collect, process, or transfer covered data if the service provider would not otherwise do so;

(2) may not collect, process, or transfer service provider data if the service provider has actual knowledge that a covered entity violated this Act with respect to such data;

(3) shall assist a covered entity in responding to a request made by an individual under section 203 or 204, by either—

(A) providing appropriate technical and organizational measures, taking into account the nature of the processing and the information reasonably available to the service provider, for the covered entity to comply with such request for service provider data; or

(B) fulfilling a request by a covered entity to execute an individual rights request that the covered entity has determined should be complied with, by either—

(i) complying with the request pursuant to the covered entity’s instructions; or

(ii) providing written verification to the covered entity that it does not hold covered data related to the request, that complying with the request would be inconsistent with its legal obligations, or that the request falls within an exception to section 203 or 204;

(4) may engage another service provider for purposes of processing service provider data on behalf of a covered entity only after providing that covered entity with notice and pursuant to a written contract that requires such other service provider to satisfy the obligations of the service provider with respect to such service provider data, including that the other service provider be treated as a service provider under this Act;

(5) shall, upon the reasonable request of the covered entity, make available to the covered entity information necessary to demonstrate the compliance of the service provider with the requirements of this Act, which may include making available a report of an independent assessment arranged by the service provider on terms agreed to by the service provider and the covered entity, providing information necessary to enable the covered entity to conduct and document a privacy impact assessment required by subsection (d) or (e) of section 301, and making available the report required under section 207(c)(2);

(6) shall, at the covered entity’s direction, delete or return all covered data to the covered entity as requested at the end of the provision of services, unless retention of the covered data is required by law;

(7) shall develop, implement, and maintain reasonable administrative, technical, and physical safeguards that are designed to protect the security and confidentiality of covered data the service provider processes consistent with section 208; and

(8) shall allow and cooperate with, reasonable assessments by the covered entity or the covered entity’s designated assessor; alternatively, the service provider may arrange for a qualified and independent assessor to conduct an assessment of the service provider’s policies and technical and organizational measures in support of the obligations under this Act using an appropriate and accepted control standard or framework and assessment procedure for such assessments. The service provider shall provide a report of such assessment to the covered entity upon request.

(b) Contracts Between Covered Entities and Service Providers.—

(1) REQUIREMENTS.—A person or entity may only act as a service provider pursuant to a written contract between the covered entity and the service provider, or a written contract between one service provider and a second service provider as described under subsection (a)(4), if the contract—

(A) sets forth the data processing procedures of the service provider with respect to collection, processing, or transfer performed on behalf of the covered entity or service provider;

(B) clearly sets forth—

(i) instructions for collecting, processing, or transferring data;

(ii) the nature and purpose of collecting, processing, or transferring;

(iii) the type of data subject to collecting, processing, or transferring;

(iv) the duration of processing; and

(v) the rights and obligations of both parties, including a method by which the service provider shall notify the covered entity of material changes to its privacy practices;

(C) does not relieve a covered entity or a service provider of any requirement or liability imposed on such covered entity or service provider under this Act; and

(D) prohibits—

(i) collecting, processing, or transferring covered data in contravention to subsection (a); and

(ii) combining service provider data with covered data which the service provider receives from or on behalf of another person or persons or collects from the interaction of the service provider with an individual, provided that such combining is not necessary to effectuate a purpose described in paragraphs (1) through (15) of section 101(b) and is otherwise permitted under the contract required by this subsection.

(2) CONTRACT TERMS.—Each service provider shall retain copies of previous contracts entered into in compliance with this subsection with each covered entity to which it provides requested products or services.

(1) Determining whether a person is acting as a covered entity or service provider with respect to a specific processing of covered data is a fact-based determination that depends upon the context in which such data is processed.

(2) A person that is not limited in its processing of covered data pursuant to the instructions of a covered entity, or that fails to adhere to such instructions, is a covered entity and not a service provider with respect to a specific processing of covered data. A service provider that continues to adhere to the instructions of a covered entity with respect to a specific processing of covered data remains a service provider. If a service provider begins, alone or jointly with others, determining the purposes and means of the processing of covered data, it is a covered entity and not a service provider with respect to the processing of such data.

(3) A covered entity that transfers covered data to a service provider or a service provider that transfers covered data to a covered entity or another service provider, in compliance with the requirements of this Act, is not liable for a violation of this Act by the service provider or covered entity to whom such covered data was transferred, if at the time of transferring such covered data, the covered entity or service provider did not have actual knowledge that the service provider or covered entity would violate this Act.

(4) A covered entity or service provider that receives covered data in compliance with the requirements of this Act is not in violation of this Act as a result of a violation by a covered entity or service provider from which such data was received.

(d) Third parties.—A third party—

(1) shall not process third party data for a processing purpose other than, in the case of sensitive covered data, the processing purpose for which the individual gave affirmative express consent or to effect a purpose enumerated in paragraph (1), (3), or (5) of section 101(b) and, in the case of non-sensitive data, the processing purpose for which the covered entity made a disclosure pursuant to section 202(b)(4); and

(2) for purposes of paragraph (1), may reasonably rely on representations made by the covered entity that transferred the third party data if the third party conducts reasonable due diligence on the representations of the covered entity and finds those representations to be credible.

(e) Additional obligations on covered entities.—

(1) IN GENERAL.—A covered entity or service provider shall exercise reasonable due diligence in—

(A) selecting a service provider; and

(B) deciding to transfer covered data to a third party.

(2) GUIDANCE.—Not later than 2 years after the date of enactment of this Act, the Commission shall publish guidance regarding compliance with this subsection, taking into consideration the burdens on large data holders, covered entities who are not large data holders, and covered entities meeting the requirements of section 209.

(f) Rule of construction.—Solely for the purposes of this section, the requirements for service providers to contract with, assist, and follow the instructions of covered entities shall be read to include requirements to contract with, assist, and follow the instructions of a government entity if the service provider is providing a service to a government entity.

SEC. 303. Technical compliance programs.

(a) In general.—Not later than 3 years after the date of enactment of this Act, the Commission shall promulgate regulations under section 553 of title 5, United States Code, to establish a process for the proposal and approval of technical compliance programs under this section used by a covered entity to collect, process, or transfer covered data.

(b) Scope of programs.—The technical compliance programs established under this section shall, with respect to a technology, product, service, or method used by a covered entity to collect, process, or transfer covered data—

(1) establish publicly available guidelines for compliance with this Act; and

(2) meet or exceed the requirements of this Act.

(1) IN GENERAL.—Any request for approval, amendment, or repeal of a technical compliance program may be submitted to the Commission by any person, including a covered entity, a representative of a covered entity, an association of covered entities, or a public interest group or organization. Within 90 days after the request is made, the Commission shall publish the request and provide an opportunity for public comment on the proposal.

(2) EXPEDITED RESPONSE TO REQUESTS.—Beginning 1 year after the date of enactment of this Act, the Commission shall act upon a request for the proposal and approval of a technical compliance program not later than 1 year after the filing of the request, and shall set forth publicly in writing the conclusions of the Commission with regard to such request.

(d) Right to Appeal.—Final action by the Commission on a request for approval, amendment, or repeal of a technical compliance program, or the failure to act within the 1-year period after a request for approval, amendment, or repeal of a technical compliance program is made under subsection (c), may be appealed to a Federal district court of the United States of appropriate jurisdiction as provided for in section 702 of title 5, United States Code.

(e) Effect on enforcement.—

(1) IN GENERAL.—Prior to commencing an investigation or enforcement action against any covered entity under this Act, the Commission and State attorney general shall consider the covered entity’s history of compliance with any technical compliance program approved under this section and any action taken by the covered entity to remedy noncompliance with such program. If such enforcement action described in section 403 is brought, the covered entity’s history of compliance with any technical compliance program approved under this section and any action taken by the covered entity to remedy noncompliance with such program shall be taken into consideration when determining liability or a penalty. The covered entity’s history of compliance with any technical compliance program shall not affect any burden of proof or the weight given to evidence in an enforcement or judicial proceeding.

(2) COMMISSION AUTHORITY.—Approval of a technical compliance program shall not limit the authority of the Commission, including the Commission’s authority to commence an investigation or enforcement action against any covered entity under this Act or any other Act.

(3) RULE OF CONSTRUCTION.—Nothing in this subsection shall provide any individual, class of individuals, or person with any right to seek discovery of any non-public Commission deliberation or activity or impose any pleading requirement on the Commission if the Commission brings an enforcement action of any kind.

SEC. 304. Commission approved compliance guidelines.

(a) Application for compliance guideline Approval.—

(1) IN GENERAL.—A covered entity that is not a third-party collecting entity and meets the requirements of section 209, or a group of such covered entities, may apply to the Commission for approval of 1 or more sets of compliance guidelines governing the collection, processing, and transfer of covered data by the covered entity or group of covered entities.

(2) APPLICATION REQUIREMENTS.—Such application shall include—

(A) a description of how the proposed guidelines will meet or exceed the requirements of this Act;

(B) a description of the entities or activities the proposed set of compliance guidelines is designed to cover;

(C) a list of the covered entities that meet the requirements of section 209 and are not third-party collecting entities, if any are known at the time of application, that intend to adhere to the compliance guidelines; and

(D) a description of how such covered entities will be independently assessed for adherence to such compliance guidelines, including the independent organization not associated with any of the covered entities that may participate in guidelines that will administer such guidelines.

(3) COMMISSION REVIEW.—

(A) INITIAL APPROVAL.—

(i) PUBLIC COMMENT PERIOD.—Within 90 days after the receipt of proposed guidelines submitted pursuant to paragraph (2), the Commission shall publish the application and provide an opportunity for public comment on such compliance guidelines.

(ii) APPROVAL.—The Commission shall approve an application regarding proposed guidelines under paragraph (2) if the applicant demonstrates that the compliance guidelines—

(I) meet or exceed requirements of this Act;

(II) provide for the regular review and validation by an independent organization not associated with any of the covered entities that may participate in the guidelines and that is approved by the Commission to conduct such reviews of the compliance guidelines of the covered entity or entities to ensure that the covered entity or entities continue to meet or exceed the requirements of this Act; and

(III) include a means of enforcement if a covered entity does not meet or exceed the requirements in the guidelines, which may include referral to the Commission for enforcement consistent with section 401 or referral to the appropriate State attorney general for enforcement consistent with section 402.

(iii) TIMELINE.—Within 1 year after receiving an application regarding proposed guidelines under paragraph (2), the Commission shall issue a determination approving or denying the application and providing its reasons for approving or denying such application.

(B) APPROVAL OF MODIFICATIONS.—

(i) IN GENERAL.—If the independent organization administering a set of guidelines makes material changes to guidelines previously approved by the Commission, the independent organization shall submit the updated guidelines to the Commission for approval. As soon as feasible, the Commission shall publish the updated guidelines and provide an opportunity for public comment.

(ii) TIMELINE.—The Commission shall approve or deny any material change to the guidelines within 1 year after receipt of the submission for approval.

(b) Withdrawal of Approval.—If at any time the Commission determines that the guidelines previously approved no longer meet the requirements of this Act or a regulation promulgated under this Act or that compliance with the approved guidelines is insufficiently enforced by the independent organization administering the guidelines, the Commission shall notify the covered entities or group of such entities and the independent organization of the determination of the Commission to withdraw approval of such guidelines and the basis for doing so. Within180 days after receipt of such notice, the covered entity or group of such entities and the independent organization may cure any alleged deficiency with the guidelines or the enforcement of such guidelines and submit each proposed cure to the Commission. If the Commission determines that such cures eliminate the alleged deficiency in the guidelines, then the Commission may not withdraw approval of such guidelines on the basis of such determination.

(c) Deemed compliance.—A covered entity that is eligible to participate under subsection (a)(1) and participates in guidelines approved under this section shall be deemed in compliance with the relevant provisions of this Act if such covered entity is in compliance with such guidelines.

SEC. 305. Digital content forgeries.

(a) Reports.—Not later than 1 year after the date of enactment of this Act, and annually thereafter, the Secretary of Commerce or the Secretary’s designee shall publish a report regarding digital content forgeries.

(b) Requirements.—Each report under subsection (a) shall include the following:

(1) A definition of digital content forgeries along with accompanying explanatory materials.

(2) A description of the common sources of digital content forgeries in the United States and commercial sources of digital content forgery technologies.

(3) An assessment of the uses, applications, and harms of digital content forgeries.

(4) An analysis of the methods and standards available to identify digital content forgeries as well as a description of the commercial technological counter-measures that are, or could be, used to address concerns with digital content forgeries, which may include the provision of warnings to viewers of suspect content.

(5) A description of the types of digital content forgeries, including those used to commit fraud, cause harm, or violate any provision of law.

(6) Any other information determined appropriate by the Secretary of Commerce or the Secretary’s designee.

TITLE IV—Enforcement, Applicability, and Miscellaneous

SEC. 401. Enforcement by the Federal Trade Commission.

(a) Bureau of Privacy.—

(1) IN GENERAL.—The Commission shall establish within the Commission a new bureau to be known as the “Bureau of Privacy”, which shall be of similar structure, size, organization, and authority as the existing bureaus within the Commission related to consumer protection and competition.

(2) MISSION.—The mission of the Bureau established under paragraph (1) shall be to assist the Commission in carrying out the duties of the Commission under this Act and related duties under other provisions of law.

(3) TIMELINE.—The Bureau required to be established under paragraph (1) shall be established, staffed, and fully operational not later than 1 year after the date of enactment of this Act.

(b) Office of Business Mentorship.—The Director of the Bureau established under subsection (a)(1) shall establish within the Bureau an office to be known as the “Office of Business Mentorship” to provide guidance and education to covered entities and service providers regarding compliance with this Act. Covered entities or service providers may request advice from the Commission or the Office with respect to a course of action that the covered entity or service provider proposes to pursue and that may relate to the requirements of this Act.

(1) UNFAIR OR DECEPTIVE ACTS OR PRACTICES.—A violation of this Act or a regulation promulgated under this Act shall be treated as a violation of a rule defining an unfair or deceptive act or practice prescribed under section 18(a)(1)(B) of the Federal Trade Commission Act (15 U.S.C. 57a(a)(1)(B)).

(2) POWERS OF THE COMMISSION.—

(A) IN GENERAL.—Except as provided in paragraphs (3), (4), and (5), the Commission shall enforce this Act and the regulations promulgated under this Act in the same manner, by the same means, and with the same jurisdiction, powers, and duties as though all applicable terms and provisions of the Federal Trade Commission Act (15 U.S.C. 41 et seq.) were incorporated into and made a part of this Act.

(B) PRIVILEGES AND IMMUNITIES.—Any person who violates this Act or a regulation promulgated under this Act shall be subject to the penalties and entitled to the privileges and immunities provided in the Federal Trade Commission Act (15 U.S.C. 41 et seq.).

(3) LIMITING CERTAIN ACTIONS UNRELATED TO THIS ACT.—If the Commission brings a civil action alleging that an act or practice violates this Act or a regulation promulgated under this Act, the Commission may not seek a cease and desist order against the same defendant under section 5(b) of the Federal Trade Commission Act (15 U.S.C. 45(b)) to stop that same act or practice on the grounds that such act or practice constitutes an unfair or deceptive act or practice.

(4) COMMON CARRIERS AND NONPROFIT ORGANIZATIONS.—Notwithstanding any jurisdictional limitation of the Commission with respect to consumer protection or privacy, the Commission shall enforce this Act and the regulations promulgated under this Act, in the same manner provided in paragraphs (1), (2), (3), and (5), with respect to common carriers subject to the Communications Act of 1934 (47 U.S.C. 151 et seq.) and all Acts amendatory thereof and supplementary thereto and organizations not organized to carry on business for their own profit or that of their members.

(5) PRIVACY AND SECURITY VICTIMS RELIEF FUND.—

(A) ESTABLISHMENT.—There is established in the Treasury of the United States a separate fund to be known as the “Privacy and Security Victims Relief Fund” in this paragraph referred to as the “Victims Relief Fund”).

(B) DEPOSITS.—Notwithstanding section 3302 of title 31, United States Code, in any judicial or administrative action to enforce this Act or a regulation promulgated under this Act, the amount of any civil penalty obtained against a covered entity or service provider, or any other monetary relief ordered to be paid by a covered entity or service provider to provide redress, payment, compensation, or other relief to individuals that cannot be located or the payment of which would otherwise not be practicable, shall be deposited into the Victims Relief Fund.

(i) USE BY COMMISSION.—Amounts in the Victims Relief Fund shall be available to the Commission, without fiscal year limitation, to provide redress, payment, compensation, or other monetary relief to individuals affected by an act or practice for which relief has been obtained under this Act.

(ii) OTHER PERMISSIBLE USES.—To the extent that the individuals described in clause (i) cannot be located or such redress, payments, compensation, or other monetary relief are otherwise not practicable, the Commission may use such funds for the purpose of—

(I) funding the activities of the Office of Business Mentorship established under subsection (b); or

(II) engaging in technological research that the Commission considers necessary to enforce or administer this Act.

SEC. 402. Enforcement by States.

(a) Civil action.—In any case in which the attorney general or State Privacy Authority of a State has reason to believe that an interest of the residents of that State has been, may be, or is adversely affected by a violation of this Act or a regulation promulgated under this Act by a covered entity or service provider, the attorney general or State Privacy Authority may bring a civil action in the name of the State, or as parens patriae on behalf of the residents of the State. Any such action shall be brought exclusively in an appropriate Federal district court of the United States to—

(1) enjoin such act or practice;

(2) enforce compliance with this Act or such regulation;

(3) obtain damages, civil penalties, restitution, or other compensation on behalf of the residents of such State; or

(4) obtain reasonable attorneys’ fees and other litigation costs reasonably incurred.

(b) Rights of the Commission.—

(1) IN GENERAL.—Except as provided in paragraph (2), the attorney general or State Privacy Authority of a State shall notify the Commission in writing prior to initiating a civil action under subsection (a). Such notification shall include a copy of the complaint to be filed to initiate such action. Upon receiving such notification, the Commission may intervene in such action as a matter of right pursuant to the Federal Rules of Civil Procedure.

(2) FEASIBILITY.—If the notification required by paragraph (1) is not feasible, the attorney general or State Privacy Authority shall notify the Commission immediately after initiating the civil action.

(c) Actions by the Commission.—In any case in which a civil action is instituted by or on behalf of the Commission for violation of this Act or a regulation promulgated under this Act, no attorney general or State Privacy Authority of a State may, during the pendency of such action, institute a civil action against any defendant named in the complaint in the action instituted by or on behalf of the Commission for a violation of this Act or a regulation promulgated under this Act that is alleged in such complaint, if such complaint alleges such violation affected the residents of such State or individuals nationwide. If the Commission brings a civil action against a covered entity or service provider for a violation of this Act or a regulation promulgated under this Act that affects the interests of the residents of a State, the attorney general or State Privacy Authority of such State may intervene in such action as a matter of right pursuant to the Federal Rules of Civil Procedure.

(d) Rule of construction.—Nothing in this section may be construed to prevent the attorney general or State Privacy Authority of a State from exercising the powers conferred on the attorney general or State Privacy Authority to conduct investigations, to administer oaths or affirmations, or to compel the attendance of witnesses or the production of documentary or other evidence.

(e) Preservation of state powers.—Except as provided in subsection (c), nothing in this section may be construed as altering, limiting, or affecting the authority of the attorney general or State Privacy Authority of a State to—

(1) bring an action or other regulatory proceeding arising solely under the law in effect in the State that is preempted by this Act or under another applicable Federal law; or

(2) exercise the powers conferred on the attorney general or State Privacy Authority by the laws of the State, including the ability to conduct investigations, administer oaths or affirmations, or compel the attendance of witnesses or the production of documentary or other evidence.

SEC. 403. Enforcement by persons.

(a) Enforcement by persons.—

(1) IN GENERAL.—Beginning on the date that is 2 years after the date on which this Act takes effect, any person or class of persons for a violation of this Act or a regulation promulgated under this Act by a covered entity or service provider may bring a civil action against such entity in any Federal court of competent jurisdiction.

(2) RELIEF.—In a civil action brought under paragraph (1) in which a plaintiff prevails, the court may award the plaintiff—

(A) an amount equal to the sum of any compensatory damages;

(B) injunctive relief;

(D) reasonable attorney’s fees and litigation costs.

(3) RIGHTS OF THE COMMISSION AND STATE ATTORNEYS GENERAL.—

(A) IN GENERAL.—Prior to a person bringing a civil action under paragraph (1), such person shall notify the Commission and the attorney general of the State where such person resides in writing that such person intends to bring a civil action under such paragraph. Upon receiving such notice, the Commission and State attorney general shall each or jointly make a determination and respond to such person not later than 60 days after receiving such notice, as to whether they will intervene in such action pursuant to the Federal Rules of Civil Procedure. If a state attorney general does intervene, they shall only be heard with respect to the interests of the residents of their State

(B) RETAINED AUTHORITY.—Subparagraph (A) may not be construed to limit the authority of the Commission or any applicable State attorney general or State Privacy Authority to later commence a proceeding or civil action or intervene by motion if the Commission or State attorney general or State Privacy Authority does not commence a proceeding or civil action within the 60-day period.

(C) BAD FAITH.—Any written communication from counsel for an aggrieved party to a covered entity or service provider requesting a monetary payment from that covered entity or service provider regarding a specific claim described in a letter sent pursuant to subsection (d), not including filings in court proceedings, arbitrations, mediations, judgment collection processes, or other communications related to previously initiated litigation or arbitrations, shall be considered to have been sent in bad faith and shall be unlawful as defined in this Act, if the written communication was sent prior to the date that is 60 days after either a State attorney general or the Commission has received the notice required under subparagraph (A).

(4) FTC STUDY.—Beginning on the date that is 5 years after the date of enactment of this Act and every 5 years thereafter, the Commission’s Bureau of Economics and Bureau of Privacy shall assist the Commission in conducting a study to determine the economic impacts in the United States of demand letters sent pursuant to this section and the scope of the rights of a person under this section to bring forth civil actions against covered entities and service providers. Such study shall include the following:

(A) The impact on insurance rates in the United States.

(B) The impact on the ability of covered entities to offer new products or services.

(D) Any emerging risks, benefits, and long-term trends in relevant marketplaces, supply chains, and labor availability.

(E) The impact on reducing, preventing, or remediating harms to individuals, including from fraud, identity theft, spam, discrimination, defective products, and violations of rights.

(F) The impact on the volume and severity of data security incidents, and the ability to respond to data security incidents.

(G) Other intangible direct and indirect costs and benefits to individuals.

(5) REPORT TO CONGRESS.—Not later than 5 years after the first day on which persons and classes of persons are able to bring civil actions under this subsection, and annually thereafter, the Commission shall submit to the Committee on Energy and Commerce of the House of Representatives and the Committee on Commerce, Science, and Transportation of the Senate a report that contains the results of the study conducted under paragraph (4).

(b) Arbitration agreements and pre-dispute joint action waivers.—

(1) PRE-DISPUTE ARBITRATION AGREEMENTS.—

(A) Notwithstanding any other provision of law, no pre-dispute arbitration agreement with respect to an individual under the age of 18 is enforceable with regard to a dispute arising under this Act.

(B) Notwithstanding any other provision of law, no pre-dispute arbitration agreement is enforceable with regard to a dispute arising under this Act concerning a claim related to gender or partner-based violence or physical harm.

(2) PRE-DISPUTE JOINT-ACTION WAIVERS.—Notwithstanding any other provision of law, no pre-dispute joint-action waiver with respect to an individual under the age of 18 is enforceable with regard to a dispute arising under this Act.

(3) DEFINITIONS.—For purposes of this subsection:

(A) PRE-DISPUTE ARBITRATION AGREEMENT.—The term “pre-dispute arbitration agreement” means any agreement to arbitrate a dispute that has not arisen at the time of the making of the agreement.

(B) PRE-DISPUTE JOINT-ACTION WAIVER.—The term “pre-dispute joint-action waiver” means an agreement, whether or not part of a pre-dispute arbitration agreement, that would prohibit or waive the right of 1 of the parties to the agreement to participate in a joint, class, or collective action in a judicial, arbitral, administrative, or other related forum, concerning a dispute that has not yet arisen at the time of the making of the agreement.

(1) NOTICE.—Subject to paragraph (3), with respect to a claim under this section for—

(A) injunctive relief; or

(B) an action against a covered entity or service provider that meets the requirements of section 209 of this Act, such claim may be brought by a person or class of persons if—prior to asserting such claim—the person or class or persons provides to the covered entity or service provider 45 days’ written notice identifying the specific provisions of this Act the person or class of persons alleges have been or are being violated.

(2) EFFECT OF CURE.—Subject to paragraph (3), in the event a cure is possible, if within the 45 days the covered entity or service provider demonstrates to the court that it has cured the noticed violation or violations and provides the person or class of persons an express written statement that the violation or violations has been cured and that no further violations shall occur, a claim for injunctive relief shall not be permitted and may be reasonably dismissed.

(3) RULE OF CONSTRUCTION.—The notice described in paragraph (1) and the reasonable dismissal in paragraph (2) shall not apply more than once to any alleged underlying violation by the same covered entity.

(d) Demand letter.—If a person or a identified members of a class of persons represented by counsel in regard to an alleged violation or violations of the Act and has correspondence sent to a covered entity or service provider by counsel alleging a violation or violations of the provisions of this Act and requests a monetary payment, such correspondence shall include the following language: “Please visit the website of the Federal Trade Commission for a general description of your rights under the American Data Privacy and Protection Act” followed by a hyperlink to the webpage of the Commission required under section 201. If such correspondence does not include such language and hyperlink, a civil action brought under this section by such person or identified members of the class of persons represented by counsel may be dismissed without prejudice and shall not be reinstated until such person or persons has complied with this subsection.

(e) Applicability.—

(1) IN GENERAL.—This section shall only apply to a claim alleging a violation of section 102, 104, 202, 203, 204, 205(a), 205(b), 206(b)(3)(C), 207(a), 208(a), or 302, or a regulation promulgated under any such section.

(2) EXCEPTION.—This section shall not apply to any claim against a covered entity that has less than $25,000,000 per year in revenue, collects, processes, or transfers the covered data of fewer than 50,000 individuals, and derives less than 50 percent of its revenue from transferring covered data.

SEC. 404. Relationship to Federal and State laws.

(a) Federal law preservation.—

(1) IN GENERAL.—Nothing in this Act or a regulation promulgated under this Act may be construed to limit—

(A) the authority of the Commission, or any other Executive agency, under any other provision of law;

(B) any requirement for a common carrier subject to section 64.2011 of title 47, Code of Federal Regulations (or any successor regulation) regarding information security breaches; or

(2) ANTITRUST SAVINGS CLAUSE.—

(A) FULL APPLICATION OF THE ANTITRUST LAW.—Nothing in this Act may be construed to modify, impair or supersede the operation of the antitrust law or any other provision of law.

(B) NO IMMUNITY FROM THE ANTITRUST LAW.—Nothing in the regulatory regime adopted by this Act shall be construed as operating to limit any law deterring anticompetitive conduct or diminishing the need for full application of the antitrust law. Nothing in this Act explicitly or implicitly precludes the application of the antitrust law.

(C) DEFINITION OF ANTITRUST LAW.—For purposes of this section, the term antitrust law has the same meaning as in subsection (a) of the first section of the Clayton Act (15 U.S.C. 12), except that such term includes section 5 of the Federal Trade Commission Act (15 U.S.C. 45) to the extent that such section 5 applies to unfair methods of competition.

(3) APPLICABILITY OF OTHER PRIVACY REQUIREMENTS.—A covered entity that is required to comply with title V of the Gramm-Leach-Bliley Act (15 U.S.C. 6801 et seq.), the Health Information Technology for Economic and Clinical Health Act (42 U.S.C. 17931 et seq.), part C of title XI of the Social Security Act (42 U.S.C. 1320d et seq.), the Fair Credit Reporting Act (15 U.S.C. 1681 et seq.), the Family Educational Rights and Privacy Act (20 U.S.C. 1232g; part 99 of title 34, Code of Federal Regulations) to the extent such covered entity is a school as defined in 20 U.S.C. 1232g(a)(3) or 34 C.F.R. 99.1(a), section 444 of the General Education Provisions Act (commonly known as the “Family Educational Rights and Privacy Act of 1974”) (20 U.S.C. 1232g) and part 99 of title 34, Code of Federal Regulations (or any successor regulation), the Confidentiality of Alcohol and Drug Abuse Patient Records at 42 U.S.C. 290dd-2 and its implementing regulations at 42 CFR part 2, the Genetic Information Non-discrimination Act (GINA), or the regulations promulgated pursuant to section 264(c) of the Health Insurance Portability and Accountability Act of 1996 (42 U.S.C. 1320d–2 note), and is in compliance with the data privacy requirements of such regulations, part, title, or Act (as applicable), shall be deemed to be in compliance with the related requirements of this Act, except for section 208, solely and exclusively with respect to data subject to the requirements of such regulations, part, title, or Act. Not later than 1 year after the date of enactment of this Act, the Commission shall issue guidance describing the implementation of this paragraph.

(4) APPLICABILITY OF OTHER DATA SECURITY REQUIREMENTS.—A covered entity that is required to comply with title V of the Gramm-Leach-Bliley Act (15 U.S.C. 6801 et seq.), the Health Information Technology for Economic and Clinical Health Act (42 U.S.C. 17931 et seq.), part C of title XI of the Social Security Act (42 U.S.C. 1320d et seq.), or the regulations promulgated pursuant to section 264(c) of the Health Insurance Portability and Accountability Act of 1996 (42 U.S.C. 1320d–2 note), and is in compliance with the information security requirements of such regulations, part, title, or Act (as applicable), shall be deemed to be in compliance with the requirements of section 208, solely and exclusively with respect to data subject to the requirements of such regulations, part, title, or Act. Not later than 1 year after the date of enactment of this Act, the Commission shall issue guidance describing the implementation of this paragraph.

(b) Preemption of State laws.—

(1) IN GENERAL.—No State or political subdivision of a State may adopt, maintain, enforce, prescribe, or continue in effect any law, regulation, rule, standard, requirement, or other provision having the force and effect of law of any State, or political subdivision of a State, covered by the provisions of this Act, or a rule, regulation, or requirement promulgated under this Act.

(2) STATE LAW PRESERVATION.—Paragraph (1) may not be construed to preempt, displace, or supplant the following State laws, rules, regulations, or requirements:

(A) Consumer protection laws of general applicability, such as laws regulating deceptive, unfair, or unconscionable practices, except that the fact of a violation of this Act or a regulation promulgated under this Act may not be pleaded as an element of any violation of such a law.

(B) Civil rights laws.

(C) Provisions of laws, in so far as, that govern the privacy rights or other protections of employees, employee information, students, or student information.

(D) Laws that address notification requirements in the event of a data breach.

(E) Contract or tort law.

(F) Criminal laws.

(G) Civil laws governing fraud, theft (including identity theft), unauthorized access to information or electronic devices, unauthorized use of information, malicious behavior, or similar provisions of law.

(H) Civil laws regarding cyberstalking, cyberbullying, nonconsensual pornography, sexual harassment, child abuse material, child pornography, child abduction or attempted child abduction, coercion or enticement of a child for sexual activity, or child sex trafficking.

(I) Public safety or sector specific laws unrelated to privacy or security.

(J) Provisions of law, insofar as such provisions address public records, criminal justice information systems, arrest records, mug shots, conviction records, or non-conviction records.

(K) Provisions of law, insofar as such provisions address banking records, financial records, tax records, Social Security numbers, credit cards, consumer and credit reporting and investigations, credit repair, credit clinics, or check-cashing services.

(L) Provisions of law, insofar as such provisions address facial recognition or facial recognition technologies, electronic surveillance, wiretapping, or telephone monitoring.

(M) The Biometric Information Privacy Act (740 ICLS 14 et seq.) and the Genetic Information Privacy Act (410 ILCS 513 et seq.).

(N) Provisions of laws, in so far as, such provisions to address unsolicited email or text messages, telephone solicitation, or caller identification.

(O) Provisions of laws, in so far as, such provisions address health information, medical information, medical records, HIV status, or HIV testing.

(P) Provisions of laws, in so far as, such provisions pertain to public health activities, reporting, data, or services.

(Q) Provisions of law, insofar as such provisions address the confidentiality of library records.

(R) Section 1798.150 of the California Civil Code (as amended on November 3, 2020 by initiative Proposition 24, Section 16).

(S) Laws pertaining to the use of encryption as a means of providing data security.

(3) CPPA ENFORCEMENT.—Notwithstanding any other provisions of law, the California Privacy Protection Agency established under 1798.199.10(a) of the California Privacy Rights Act may enforce this Act, in the same manner, it would otherwise enforce the California Consumer Privacy Act, Section 1798.1050 et. seq.

(4) NONAPPLICATION OF FCC PRIVACY LAWS AND REGULATIONS TO CERTAIN COVERED ENTITIES.—Notwithstanding any other provision of law, sections 222, 338(i), and 631 of the Communications Act of 1934 (47 U.S.C. 222; 338(i); 551), and any regulations and orders promulgated by the Federal Communications Commission under any such section, do not apply to any covered entity with respect to the collection, processing, transfer, or security of covered data or its equivalent, and the related privacy and data security activities of a covered entity that would otherwise be regulated under such sections shall be governed exclusively by the provisions of this Act, except for—

(A) any emergency services, as defined in section 7 of the Wireless Communications and Public Safety Act of 1999 (47 U.S.C. 615b);

(B) subsections (b) and (g) of section 222 of the Communications Act of 1934 (47 U.S.C. 222); and

(C) any obligation of an international treaty related to the exchange of traffic implemented and enforced by the Federal Communications Commission.

(c) Preservation of common law or statutory causes of action for civil relief.—Nothing in this Act, nor any amendment, standard, rule, requirement, assessment, or regulation promulgated under this Act, may be construed to preempt, displace, or supplant any Federal or State common law rights or remedies, or any statute creating a remedy for civil relief, including any cause of action for personal injury, wrongful death, property damage, or other financial, physical, reputational, or psychological injury based in negligence, strict liability, products liability, failure to warn, an objectively offensive intrusion into the private affairs or concerns of the individual, or any other legal theory of liability under any Federal or State common law, or any State statutory law.

SEC. 405. Severability.

If any provision of this Act, or the application thereof to any person or circumstance, is held invalid, the remainder of this Act, and the application of such provision to other persons not similarly situated or to other circumstances, shall not be affected by the invalidation.

SEC. 406. COPPA.

(a) In general.—Nothing in this Act may be construed to relieve or change any obligation that a covered entity or other person may have under the Children’s Online Privacy Protection Act of 1998 (15 U.S.C. 6501 et seq.).

(b) Updated regulations.—Not later than 180 days after the date of enactment of this Act, the Commission shall amend its rules issued pursuant to the regulations promulgated by the Commission under the Children’s Online Privacy Protection Act of 1998 (15 U.S.C. 6501 et seq.) to make reference to the additional requirements placed on covered entities under this Act, in addition to the requirements under the Children’s Online Privacy Protection Act of 1998 that may already apply to certain covered entities.

SEC. 407. Authorization of appropriations.

There are authorized to be appropriated to the Commission such sums as may be necessary to carry out this Act.

SEC. 408. Effective date.

This Act shall take effect on the date that is 180 days after the date of enactment of this Act.

12Nov/24

Decree nº 13/2023/ND-CP, Hanoi April 17, 2023. Personal Data Protection

12 noviembre, 2024Decreto, VietnamBasic personal data, Consent of the data subject, Controller, data subject, Derecho Informático, Legislacion de Vietnam, llegislación informática, personal data, Personal Data Controller, Personal Data Processor, Personal data protection, Processing of personal data, Sensitiver personal data, Third partyJosé Cuervo

Decree nº 13/2023/ND-CP, Hanoi April 17, 2023. Personal Data Protection

DECREE PERSONAL DATA PROTECTION

Pursuant to the Law on Organization of the Government dated June 19, 2015; Law amending and supplementing a number of articles of the Law on Organization of the Government and the Law on Organization of Local Government dated November 22, 2019;

Pursuant to the Civil Code dated November 24, 2015;

Pursuant to the Law on National Security dated December 3, 2004;

Pursuant to the Law on Cyber Security dated June 12, 2018;

At the request of the Minister of Public Security;

The Government issued a Decree on personal data protection.

Chapter I.- GENERAL PROVISIONS

Article 1. Scope of regulation and applicable subjects

1. This Decree provides for the protection of personal data and the responsibility of relevant agencies, organizations and individuals to protect personal data.

2. This Decree applies to:

a) Vietnamese agencies, organizations and individuals;

b) Foreign agencies, organizations and individuals in Vietnam;

c) Vietnamese agencies, organizations and individuals operating abroad;

d) Foreign agencies, organizations and individuals directly involved in or related to personal data processing activities in Vietnam.

Article 2. Interpretation of terms

In this Decree, the following terms are construed as follows:

1. Personal data is information in the form of symbols, letters, numbers, images, sounds or similar forms in an electronic environment that is associated with a specific person or helps to identify a specific person. Personal data includes basic personal data and sensitive personal data.

2. Information that helps identify a specific person is information generated from an individual’s activities that, when combined with other stored data and information, can identify a specific person.

3. Basic personal data includes:

a) Surname, middle name, birth name, other names (if any);

b) Date of birth; date of death or disappearance;

c) Gender;

d) Place of birth, place of birth registration, permanent residence, temporary residence, current residence, hometown, contact address;

d) Nationality;

e) Personal image;

g) Telephone number, identity card number, personal identification number, passport number, driver’s license number, vehicle license plate number, personal tax code number, social insurance number, health insurance card number;

h ) Marital status;

i) Information about family relationships (parents, children);

k) Information about individual digital accounts; personal data reflecting activities and history of activities in cyberspace;

l) Other information associated with a specific person or helping to identify a specific person not covered by Clause 4 of this Article.

4. Sensitive personal data is personal data associated with an individual’s privacy that, when violated, will directly affect the individual’s legitimate rights and interests, including:

a) Political views, religious views;

b) Health status and personal information recorded in medical records, excluding blood type information;

c) Information related to racial origin, ethnic origin;

d) Information on inherited or acquired genetic characteristics of an individual;

d) Information on individual physical attributes and biological characteristics;

e) Information about an individual’s sexual life and sexual orientation;

g) Data on crimes and criminal acts collected and stored by law enforcement agencies;

h) Customer information of credit institutions, foreign bank branches, payment intermediary service providers, and other licensed organizations, including: customer identification information as prescribed by law, account information, deposit information, deposited assets information, transaction information, information about organizations and individuals that are guarantors at credit institutions, bank branches, and payment intermediary service providers;

i) Data on the location of an individual determined through location services;

k) Other personal data that is specified by law as specific and requires necessary security measures.

5. Personal data protection is the activity of preventing, detecting, stopping and handling violations related to personal data according to the provisions of law.

6. Data subject is the individual about whom the personal data is reflected.

7. Processing of personal data is one or more activities affecting personal data, such as: collecting, recording, analyzing, validating, storing, editing, publishing, combining, accessing, retrieving, withdrawing, encrypting, decrypting, copying, sharing, transmitting, providing, transferring, deleting, destroying personal data or other related actions.

8. Consent of the data subject is the clear, voluntary, affirmative expression of permission for the processing of the data subject’s personal data.

9. The Personal Data Controller is the organization or individual that decides the purposes and means of processing personal data.

10. The Personal Data Processor is an organization or individual that processes data on behalf of the Data Controller, through a contract or agreement with the Data Controller.

11. The Controller and Processor of Personal Data is the organization or individual that simultaneously decides the purpose, means and directly processes personal data.

12. Third party is an organization or individual other than the Data Subject, Personal Data Controller, Personal Data Processor, Personal Data Controller and Processor authorized to process personal data.

13. Automated personal data processing is a form of personal data processing carried out by electronic means to evaluate, analyze, and predict the activities of a specific person, such as: habits, preferences, trust level, behavior, location, trends, capacity and other cases.

14. Transferring personal data abroad is the activity of using cyberspace, devices, electronic means or other forms to transfer personal data of Vietnamese citizens to a location outside the territory of the Socialist Republic of Vietnam or using a location outside the territory of the Socialist Republic of Vietnam to process personal data of Vietnamese citizens, including:

a) Organizations, enterprises and individuals transfer personal data of Vietnamese citizens to organizations, enterprises and management departments abroad for processing in accordance with the purposes agreed to by the data subject;

b) Processing personal data of Vietnamese citizens by automated systems located outside the territory of the Socialist Republic of Vietnam by the Personal Data Controller, the Personal Data Controller and Processor, and the Personal Data Processor in accordance with the purposes agreed to by the data subject.

Article 3. Principles of personal data protection

1. Personal data is processed in accordance with the provisions of law.

2. The data subject is informed about the activities related to the processing of his/her personal data, unless otherwise provided by law.

3. Personal data shall only be processed for the purposes specified in the Personal Data Controller, Personal Data Processor, Personal Data Controller and Processor, and Third Party registration or declaration on personal data processing.

4. Personal data collected must be appropriate and limited to the scope and purpose of processing. Personal data may not be bought or sold in any form, unless otherwise provided by law.

5. Personal data is updated and supplemented in accordance with the processing purpose.

6. Personal data is protected and secured during processing, including protection against violations of personal data protection regulations and prevention of loss, destruction or damage due to incidents, using technical measures.

7. Personal data shall only be stored for the period relevant to the purposes for which the data is processed, unless otherwise provided by law.

8. The Data Controller, the Controller and the Personal Data Processor shall be responsible for complying with the data processing principles set out in Clauses 1 to 7 of this Article and demonstrating its compliance with such data processing principles.

Article 4. Handling of violations of personal data protection regulations

Agencies, organizations and individuals violating regulations on personal data protection, depending on the severity, may be subject to disciplinary action, administrative sanctions or criminal prosecution in accordance with regulations.

Article 5. State management of personal data protection

The Government unifies state management of personal data protection.

State management contents on personal data protection include:

1. Submit to competent state agencies for promulgation or promulgate under their authority legal documents and direct and organize the implementation of legal documents on personal data protection.

2. Develop and organize the implementation of strategies, policies, projects, programs, and plans on personal data protection.

3. Provide guidance to agencies, organizations and individuals on measures, processes and standards for protecting personal data in accordance with the provisions of law.

4. Propagating and educating about the law on personal data protection; communicating and disseminating knowledge and skills on personal data protection.

5. Develop, train and foster cadres, civil servants, public employees and those assigned to work on personal data protection.

6. Inspect and examine the implementation of legal provisions on personal data protection; resolve complaints and denunciations and handle violations of the law on personal data protection in accordance with the law.

7. Statistics, information, reports on the situation of personal data protection and implementation of laws on personal data protection to competent state agencies.

8. International cooperation on personal data protection.

Article 6. Application of the Decree on Personal Data Protection, relevant laws and international treaties

Personal data protection is implemented in accordance with the provisions of international treaties to which the Socialist Republic of Vietnam is a member, other provisions of relevant Laws and this Decree.

Article 7. International cooperation on personal data protection

1. Develop an international cooperation mechanism to facilitate effective enforcement of laws on personal data protection.

2. Provide mutual legal assistance on personal data protection with other countries, including notification, request for complaint, assistance in investigation and exchange of information, with appropriate safeguards to protect personal data.

3. Organize conferences, seminars, scientific research and promote international cooperation activities in law enforcement to protect personal data.

4. Organize bilateral and multilateral meetings to exchange experiences in law-making and practices in personal data protection.

5. Technology transfer to serve personal data protection.

Article 8. Prohibited acts

1. Processing personal data contrary to the provisions of law on personal data protection.

2. Processing personal data to create information and data aimed at opposing the Socialist Republic of Vietnam.

3. Processing personal data to create information and data that affect national security, social order and safety, and the legitimate rights and interests of other organizations and individuals.

4. Obstructing the personal data protection activities of competent authorities.

5. Taking advantage of personal data protection activities to violate the law.

Chapter II.- PERSONAL DATA PROTECTION ACTIVITIES

Section 1. RIGHTS AND OBLIGATIONS OF DATA SUBJECTS

Article 9. Rights of data subjects

1. Right to know

The data subject is informed about the processing of his personal data, unless otherwise provided by law.

2. Right to consent

Data subjects may consent or not consent to the processing of their personal data, except in the cases provided for in Article 17 of this Decree .

3. Access Rights

Data subjects have access to view, correct or request correction of their personal data, unless otherwise provided by law.

4. Right to withdraw consent

The data subject has the right to withdraw his or her consent, unless otherwise provided by law.

5. Right to data erasure

Data subjects have the right to delete or request deletion of their personal data, unless otherwise provided by law.

6. Right to restriction of data processing

a) Data subjects are required to restrict the processing of their personal data, unless otherwise provided by law;

b) Restriction of data processing is carried out within 72 hours of the data subject’s request, with respect to all personal data that the data subject requests restriction, unless otherwise provided by law.

7. Right to data portability

The data subject is required to provide his/her personal data to the Personal Data Controller, the Personal Data Controller and the Personal Data Processor, unless otherwise provided by law.

8. Right to object to data processing

a) The data subject may object to the Personal Data Controller, the Personal Data Controller and Processor processing his/her personal data in order to prevent or restrict the disclosure of personal data or its use for advertising or marketing purposes, unless otherwise provided by law;

b) The Personal Data Controller and the Personal Data Controller and Processor shall execute the request of the data subject within 72 hours of receipt of the request, unless otherwise provided by law.

9. Right to complain, denounce, and sue

Data subjects have the right to complain, denounce or file a lawsuit in accordance with the provisions of law.

10. Right to claim damages

Data subjects have the right to request compensation for damages in accordance with the law when there is a violation of the regulations on the protection of their personal data, unless the parties have agreed otherwise or the law provides otherwise.

11. Right to self-defense

Data subjects have the right to self-protection in accordance with the provisions of the Civil Code , other relevant laws and this Decree, or request competent agencies and organizations to implement methods to protect civil rights in accordance with the provisions of Article 11 of the Civil Code .

Article 10. Obligations of data subjects

1. Protect your personal data yourself; request other relevant organizations and individuals to protect your personal data.

2. Respect and protect the personal data of others.

3. Provide complete and accurate personal data when agreeing to allow the processing of personal data.

4. Participate in promoting and disseminating personal data protection skills.

5. Comply with legal regulations on personal data protection and participate in preventing and combating violations of regulations on personal data protection.

Section 2. PROTECTION OF PERSONAL DATA DURING PERSONAL DATA PROCESSING

Article 11. Consent of the data subject

1. The consent of the data subject applies to all operations in the processing of personal data, unless otherwise provided by law.

2. The data subject’s consent is only valid when the data subject voluntarily and clearly knows the following contents:

a) The type of personal data processed;

b) Purpose of processing personal data;

c) Organizations and individuals whose personal data is processed;

d) Rights and obligations of data subjects.

3. The data subject’s consent must be clearly and specifically expressed in writing, by voice, by checking a consent box, by text message consent syntax, by selecting technical consent settings or by another action that demonstrates this.

4. Consent must be given for the same purpose. Where there are multiple purposes, the Personal Data Controller, the Personal Data Controller and the Personal Data Processor shall list the purposes for which the data subject consents to one or more of the stated purposes.

5. The data subject’s consent must be expressed in a format that can be printed, reproduced in writing, including in electronic form or in a verifiable format.

6. Silence or non-response of the data subject shall not be considered as consent.

7. The data subject may give consent in part or with conditions attached.

8. For the processing of sensitive personal data, the data subject must be informed that the data to be processed is sensitive personal data.

9. The data subject’s consent is valid until the data subject decides otherwise or until a competent state authority requests it in writing.

10. In the event of a dispute, the burden of proving the data subject’s consent lies with the Personal Data Controller, the Personal Data Controller and the Personal Data Processor.

11. Through authorization as prescribed by the Civil Code , organizations and individuals may, on behalf of data subjects, carry out procedures related to the processing of personal data of data subjects with the Personal Data Controller, the Personal Data Controller and Processor in cases where the data subject has clearly known and agreed as prescribed in Clause 3 of this Article, unless otherwise provided by law.

Article 12. Withdrawal of consent

1. Withdrawal of consent does not affect the lawfulness of the processing of data that was consented to before the withdrawal of consent.

2. The withdrawal of consent must be in a format that can be printed, reproduced in writing, including in electronic form or in a verifiable format.

3. Upon receiving a request to withdraw consent from a data subject, the Personal Data Controller and the Personal Data Controller and Processor shall notify the data subject of the consequences and possible damages of withdrawing consent.

4. After implementing the provisions of Clause 2 of this Article, the Data Controller, Data Processor, Data Controller and Processor, and Third Party must stop and request relevant organizations and individuals to stop processing the data of the data subject who has withdrawn consent.

Article 13. Notification of personal data processing

1. Notification shall be made once before proceeding with any personal data processing activity.

2. Content of notification to data subjects about personal data processing:

a) Purpose of processing;

b) The type of personal data used is relevant to the processing purposes specified in Point a, Clause 2 of this Article;

c) Processing method;

d) Information about other organizations and individuals related to the processing purposes specified in Point a, Clause 2 of this Article;

d) Unwanted consequences and damages that may occur;

e) Start time, end time of data processing.

3. The notice to the data subject shall be in a format that can be printed, reproduced in writing, including in electronic form or in a verifiable format.

4. The Personal Data Controller and the Personal Data Controller and Processor are not required to comply with the provisions of Clause 1 of this Article in the following cases:

a) The data subject has clearly known and fully agreed to the contents specified in Clause 1 and Clause 2 of this Article before agreeing to let the Personal Data Controller and the Personal Data Controller and Processor collect personal data, in accordance with the provisions of Article 9 of this Decree ;

b) Personal data is processed by competent state agencies for the purpose of serving the activities of state agencies in accordance with the provisions of law.

Article 14. Provision of personal data

1. The data subject is required to provide his/her personal data to the Personal Data Controller, the Personal Data Controller and Processor.

2. Personal Data Controller, Personal Data Controller and Processor:

a) Provide personal data of data subjects to other organizations and individuals with the consent of the data subject, except where otherwise provided by law;

b) On behalf of the data subject, provide the data subject’s personal data to another organization or individual when the data subject agrees to allow representation and authorization, unless otherwise provided by law.

3. The provision of personal data by the data subject is carried out by the Personal Data Controller, the Personal Data Controller and Processor within 72 hours of the request of the data subject, unless otherwise provided by law.

4. The Personal Data Controller, the Personal Data Controller and Processor shall not provide personal data in the following cases:

a) Causing harm to national defense, national security, and social order and safety;

b) The provision of personal data by the data subject may affect the safety, physical or mental health of another person;

c) The data subject does not agree to provide, allow a representative or proxy to receive personal data.

5. Form of request for provision of personal data:

a) The data subject directly or authorizes another person to come to the headquarters of the Personal Data Controller, the Personal Data Controller and Processor to request the provision of personal data.

The request recipient is responsible for guiding the requesting organization or individual to fill in the Personal Data Request Form.

In case the organization or individual requesting information is illiterate or disabled and cannot write the request, the person receiving the request for information is responsible for helping to fill in the contents of the Personal Data Request Form;

b) Send the Request for providing personal data according to Form No. 01 , 02 in the Appendix of this Decree via electronic network, postal service, fax to the Personal Data Controller, Personal Data Controller and Processor.

6. The request form for providing personal data must be presented in Vietnamese and include the following main contents:

a) Full name; place of residence, address; identity card number, citizen identification card number or passport number of the requester; fax number, telephone number, email address (if any);

b) Personal data requested to be provided, specifying the name of the document, file, or material;

c) Form of providing personal data;

d) Reason and purpose of requesting personal data.

7. In case of request for provision of personal data as prescribed in Clause 2 of this Article, it must be accompanied by written consent of the relevant individual or organization.

8. Receiving requests for personal data

a) The Personal Data Controller, the Personal Data Controller and Processor are responsible for receiving requests for personal data provision and monitoring the process and list of personal data provision upon request;

b) In case the requested personal data is not within the authority, the Personal Data Controller and the Personal Data Controller and Processor receiving the request must notify and guide the requesting organization or individual to the competent authority or clearly notify that the personal data cannot be provided.

9. Handling requests for personal data

Upon receiving a valid request for personal data provision, the Personal Data Controller and the Personal Data Controller and Processor shall be responsible for providing personal data, notifying the deadline, location, and form of personal data provision; actual costs for printing, copying, photographing, sending information via postal service, fax (if any) and payment method and deadline; and providing personal data in accordance with the order and procedures prescribed in this Article.

Article 15. Correction of personal data

1. Data subject:

a) To access, view and edit one’s personal data after it has been collected by the Personal Data Controller, the Personal Data Controller and Processor with consent, unless otherwise provided by law;

b) Where direct correction is not possible for technical or other reasons, the data subject requests the Personal Data Controller, the Personal Data Controller and Processor to correct his/her personal data.

2. The Personal Data Controller and the Personal Data Controller and Processor shall correct the personal data of the data subject after obtaining the consent of the personal data subject as soon as possible or as prescribed by specialized laws. In case it is not possible to do so, the data subject shall be notified within 72 hours of receiving the request to correct the personal data of the data subject.

3. The Personal Data Processor, Third Party may edit the personal data of the data subject after obtaining the written consent of the Personal Data Controller, the Personal Data Controller and Processor and knowing that the consent of the data subject has been obtained.

Article 16. Storage, deletion and destruction of personal data

1. The data subject is entitled to request the Personal Data Controller, the Personal Data Controller and Processor to delete his/her personal data in the following cases:

a) Realizing that it is no longer necessary for the purpose of collection has agreed and accepting the possible damages when requesting data deletion;

b) Withdrawal of consent;

c) Object to the processing of data and the Personal Data Controller, the Personal Data Controller and Processor have no legitimate reasons to continue processing;

d) Personal data is processed in a manner inconsistent with the agreed purpose or the processing of personal data is in violation of the provisions of law;

d) Personal data must be deleted according to the provisions of law.

2. Data deletion will not be applied upon request of the data subject in the following cases:

a) The law does not allow data deletion;

b) Personal data is processed by competent state agencies for the purpose of serving the activities of state agencies in accordance with the provisions of law;

c) Personal data has been made public in accordance with the provisions of law;

d) Personal data is processed to serve legal requirements, scientific research, and statistics as prescribed by law;

d) In case of emergency regarding national defense, security, social order and safety, major disasters, dangerous epidemics; when there is a threat to national security and defense but not to the extent of declaring a state of emergency; preventing and combating riots, terrorism, preventing and combating crimes and violations of the law;

e) Respond to an emergency situation that threatens the life, health or safety of a data subject or other individual.

3. In case of division, separation, merger, consolidation or dissolution of an enterprise, personal data will be transferred in accordance with the provisions of law.

4. In case of division, separation, merger of agencies, organizations, administrative units and reorganization, conversion of ownership form of state-owned enterprises, personal data shall be transferred in accordance with the provisions of law.

5. Data deletion is performed within 72 hours of the data subject’s request for all personal data collected by the Personal Data Controller, the Personal Data Controller and Processor, unless otherwise provided by law.

6. The Personal Data Controller, the Personal Data Controller and Processor, the Personal Data Processor, and the Third Party shall store personal data in a form appropriate to their operations and take measures to protect personal data in accordance with the provisions of law.

7. The Personal Data Controller, Personal Data Controller and Processor, Personal Data Processor, Third Party shall irreversibly delete in the event of:

a) Processing data for purposes other than those for which the data subject has consented or for which the purpose of processing personal data has been fulfilled;

b) The storage of personal data is no longer necessary for the operations of the Personal Data Controller, Personal Data Controller and Processor, Personal Data Processor, or Third Party;

c) The Personal Data Controller, the Personal Data Controller and Processor, the Personal Data Processor, the Third Party is dissolved or no longer operating or declares bankruptcy or terminates its business operations in accordance with the law.

Article 17. Processing of personal data without the consent of the data subject

1. In case of emergency, it is necessary to immediately process relevant personal data to protect the life or health of the data subject or other persons. The Personal Data Controller, Personal Data Processor, Personal Data Controller and Processor, and Third Party shall have the responsibility to prove this case.

2. Disclosure of personal data as prescribed by law.

3. Data processing by competent state agencies in case of emergency regarding national defense, national security, social order and safety, major disasters, dangerous epidemics; when there is a threat to national security and defense but not to the extent of declaring a state of emergency; preventing and combating riots, terrorism, preventing and combating crimes and violations of the law as prescribed by law.

4. To perform the data subject’s contractual obligations with relevant agencies, organizations and individuals as prescribed by law.

5. Serving the activities of state agencies as prescribed by specialized laws.

Article 18. Processing of personal data collected from recording and filming activities in public places

Competent agencies and organizations are authorized to record audio, video and process personal data obtained from recording and video recording activities in public places for the purpose of protecting national security, social order and safety, and the legitimate rights and interests of organizations and individuals in accordance with the provisions of law without the consent of the subject. When recording and video recording, competent agencies and organizations are responsible for notifying the subject so that he or she understands that he or she is being recorded and video recorded, unless otherwise provided by law.

Article 19. Processing of personal data of persons declared missing or dead

1. The processing of personal data relating to the personal data of a person declared missing or deceased must have the consent of that person’s spouse or adult child. In the absence of such persons, the consent of the parent of the person declared missing or deceased must be obtained, except in the cases specified in Articles 17 and 18 of this Decree .

2. In case all the persons mentioned in Clause 1 of this Article are not present, it is considered that there is no consent.

Article 20. Processing of children’s personal data

1. Processing of children’s personal data is always carried out in accordance with the principle of protecting the rights and in the best interests of the child.

2. The processing of children’s personal data must have the consent of the child in cases where the child is 7 years of age or older and has the consent of the parent or guardian as prescribed, except in cases specified in Article 17 of this Decree . The Personal Data Controller, the Personal Data Processor, the Personal Data Controller and Processor, and the Third Party must verify the age of the child before processing the child’s personal data.

3. Stop processing children’s personal data, irreversibly delete or destroy children’s personal data in case of:

a) Processing data for purposes other than those for which the data subject has consented or for which the purpose of processing personal data has been fulfilled, unless otherwise provided by law;

b) The child’s parent or guardian withdraws consent to the processing of the child’s personal data, unless otherwise provided by law;

c) At the request of competent authorities when there is sufficient evidence to prove that the processing of personal data affects the rights and legitimate interests of children, unless otherwise provided by law.

Article 21. Protection of personal data in marketing services and advertising product introduction

1. Organizations and individuals providing marketing services and advertising product introduction may only use customers’ personal data collected through their business activities to provide marketing services and advertising product introduction with the consent of the data subject.

2. Processing of customers’ personal data for marketing services and advertising product introduction must have the customer’s consent, on the basis that the customer clearly knows the content, method, form, and frequency of product introduction.

3. Organizations and individuals providing marketing services and introducing advertising products are responsible for proving that the use of personal data of customers whose products are introduced is in accordance with the provisions of Clause 1 and Clause 2 of this Article.

Article 22. Illegal collection, transfer, purchase and sale of personal data

1. Organizations and individuals involved in processing personal data must apply personal data protection measures to prevent unauthorized collection of personal data from their systems and service equipment.

2. Establishing software systems, technical measures or organizing activities to collect, transfer, buy and sell personal data without the consent of the data subject is a violation of the law.

Article 23. Notification of violations of regulations on personal data protection

1. In case of detecting a violation of personal data protection regulations, the Personal Data Controller and the Personal Data Controller and Processor shall notify the Ministry of Public Security (Department of Cyber Security and High-Tech Crime Prevention and Control) no later than 72 hours after the violation occurs according to Form No. 03 in the Appendix of this Decree. In case of notification after 72 hours, the reason for the late notification must be included.

2. The Personal Data Processor must notify the Personal Data Controller as soon as possible after becoming aware of a breach of the personal data protection regulations.

3. Content of notification of violation of regulations on personal data protection:

a) Describe the nature of the violation of personal data protection regulations, including: time, location, behavior, organization, individual, types of personal data and quantity of data involved;

b) Contact details of the employee assigned to protect data or the organization or individual responsible for protecting personal data;

c) Describe the consequences and possible damages of violating personal data protection regulations;

d) Describe the measures taken to address and mitigate the harm caused by breaches of personal data protection regulations.

4. In case it is not possible to fully notify the contents specified in Clause 3 of this Article, the notification may be made in batches and stages.

5. The Personal Data Controller and the Personal Data Controller and Processor must make a Record of Confirmation of the occurrence of a violation of personal data protection regulations and coordinate with the Ministry of Public Security (Department of Cyber Security and High-Tech Crime Prevention) to handle the violation.

6. Organizations and individuals shall notify the Ministry of Public Security (Department of Cyber Security and High-Tech Crime Prevention) when discovering the following cases:

a) Detecting violations of the law on personal data;

b) Personal data is processed for the wrong purpose, not in accordance with the original agreement between the data subject and the Personal Data Controller, the Personal Data Controller and Processor or in violation of the provisions of law;

c) The rights of data subjects are not guaranteed or not properly exercised;

d) Other cases as prescribed by law.

Section 3. IMPACT ASSESSMENT AND TRANSFER OF PERSONAL DATA ABROAD

Article 24. Assessment of the impact of personal data processing

1. The Personal Data Controller, the Personal Data Controller and the Personal Data Processor shall establish and maintain a Personal Data Impact Assessment Record from the moment the Personal Data Processing commences.

Personal data processing impact assessment dossier of the Personal Data Controller, Personal Data Controller and Processor, including:

a) Information and contact details of the Personal Data Controller, the Personal Data Controller and Processor;

b) Full name and contact details of the organization assigned to perform the task of protecting personal data and the personal data protection officer of the Personal Data Controller, the Personal Data Controller and Processor;

c) Purpose of processing personal data;

d) Types of personal data processed;

d) Organizations and individuals receiving personal data, including organizations and individuals outside the territory of Vietnam;

e) In case of transferring personal data abroad;

g) Time for processing personal data; expected time for deleting or destroying personal data (if any);

h) Description of the personal data protection measures applied;

i) Assess the level of impact of personal data processing; consequences, unexpected damages that may occur, measures to minimize or eliminate such risks and harms.

2. The Personal Data Processor shall prepare and maintain a Personal Data Processing Impact Assessment Record in the event of performing a contract with the Personal Data Controller. The Personal Data Processor’s Personal Data Processing Impact Assessment Record shall include:

a) Information and contact details of the Personal Data Processor;

b) Full name and contact details of the organization assigned to process personal data and the employees of the Personal Data Processor performing the personal data processing;

c) Description of the processing activities and types of personal data processed under the contract with the Personal Data Controller;

d) Time for processing personal data; expected time for deleting or destroying personal data (if any);

d) In case of transferring personal data abroad;

e) General description of the personal data protection measures applied;

g) Possible undesirable consequences and damages, measures to minimize or eliminate such risks and damages.

3. The personal data processing impact assessment records specified in Clauses 1 and 2 of this Article shall be established in a legally valid document of the Personal Data Controller, the Personal Data Controller and Processor or the Personal Data Processor.

4. The dossier assessing the impact of personal data processing must always be available to serve the inspection and assessment activities of the Ministry of Public Security and send 01 original copy to the Ministry of Public Security (Department of Cyber Security and High-Tech Crime Prevention and Control) according to Form No. 04 in the Appendix of this Decree within 60 days from the date of processing personal data.

5. The Ministry of Public Security (Department of Cyber Security and High-Tech Crime Prevention) shall assess and request the Personal Data Controller, Personal Data Controller and Processor, and Personal Data Processor to complete the Personal Data Processing Impact Assessment File in case the file is incomplete and not in accordance with regulations.

6. The Personal Data Controller, the Personal Data Controller and Processor, and the Personal Data Processor shall update and supplement the Personal Data Processing Impact Assessment File when there is a change in the content of the file sent to the Ministry of Public Security (Department of Cyber Security and High-Tech Crime Prevention and Control) according to Form No. 05 in the Appendix of this Decree.

Article 25. Transfer of personal data abroad

1. Personal data of Vietnamese citizens is transferred abroad in case the Party transferring data abroad prepares a dossier to assess the impact of transferring personal data abroad and carries out the procedures prescribed in Clauses 3, 4 and 5 of this Article. The Party transferring data abroad includes the Personal Data Controller, the Personal Data Controller and Processor, the Personal Data Processor, and the Third Party.

2. Profile of impact assessment of transferring personal data abroad, including:

a) Information and contact details of the Data Transfer Party and the Data Recipient of the personal data of Vietnamese citizens;

b) Full name and contact details of the organization or individual in charge of the Data Transfer Party related to the transfer and receipt of personal data of Vietnamese citizens;

c) Describe and explain the objectives of the activities of processing personal data of Vietnamese citizens after being transferred abroad;

d) Describe and clarify the type of personal data transferred abroad;

d) Describe and clearly state the compliance with the personal data protection regulations in this Decree, detailing the personal data protection measures applied;

e) Assess the level of impact of personal data processing; consequences, unexpected damages that may occur, measures to minimize or eliminate such risks and harms;

g) Consent of the data subject as prescribed in Article 11 of this Decree on the basis of clearly knowing the feedback and complaint mechanism when an incident or request arises;

h) There is a document showing the binding and responsibility between organizations and individuals transferring and receiving personal data of Vietnamese citizens regarding the processing of personal data.

3. Records of the assessment of the impact of transferring personal data abroad must always be available to serve the inspection and assessment activities of the Ministry of Public Security.

The party transferring data abroad shall send 01 original copy of the dossier to the Ministry of Public Security (Department of Cyber Security and High-Tech Crime Prevention and Control) according to Form No. 06 in the Appendix of this Decree within 60 days from the date of processing personal data.

4. The data transferor shall notify the Ministry of Public Security (Department of Cyber Security and High-Tech Crime Prevention) of information about the data transfer and contact details of the responsible organization or individual in writing after the data transfer is successful.

5. The Ministry of Public Security (Department of Cyber Security and High-Tech Crime Prevention) shall assess and request the Party transferring data abroad to complete the Dossier on assessing the impact of transferring personal data abroad in case the dossier is not complete and in accordance with regulations.

6. The Party transferring data abroad shall update and supplement the Dossier on the assessment of the impact of transferring personal data abroad when there is a change in the content of the dossier sent to the Ministry of Public Security (Department of Cyber Security and High-Tech Crime Prevention and Control) according to Form No. 05 in the Appendix of this Decree. The time limit for completing the dossier for the Party transferring data abroad is 10 days from the date of request.

7. Based on the specific situation, the Ministry of Public Security shall decide to inspect the transfer of personal data abroad once a year, except in cases where violations of the provisions of the law on personal data protection in this Decree are discovered or incidents of disclosure or loss of personal data of Vietnamese citizens occur.

8. The Ministry of Public Security decides to request the Party transferring data abroad to stop transferring personal data abroad in the following cases:

a) When it is discovered that the transferred personal data is used for activities that violate the interests and national security of the Socialist Republic of Vietnam;

b) The party transferring data abroad does not comply with the provisions in Clause 5 and Clause 6 of this Article;

c) Allowing incidents of personal data of Vietnamese citizens to be disclosed or lost.

Section 4. MEASURES AND CONDITIONS TO ENSURE PERSONAL DATA PROTECTION

Article 26. Measures to protect personal data

1. Personal data protection measures are applied from the beginning and throughout the processing of personal data.

2. Measures to protect personal data, including:

a) Management measures implemented by organizations and individuals involved in processing personal data;

b) Technical measures implemented by organizations and individuals involved in processing personal data;

c) Measures taken by competent state management agencies in accordance with the provisions of this Decree and relevant laws;

d) Investigation and prosecution measures implemented by competent state agencies;

d) Other measures as prescribed by law.

Article 27. Protection of basic personal data

1. Apply the measures prescribed in Clause 2, Article 26 of this Decree .

2. Develop and promulgate regulations on personal data protection, clearly stating the tasks to be performed according to the provisions of this Decree.

3. Encourage the application of personal data protection standards appropriate to the fields, professions and activities related to the processing of personal data.

4. Check the network security of the system and means, equipment serving the processing of personal data before processing, delete irrecoverably or destroy devices containing personal data.

Article 28. Protection of sensitive personal data

1. Apply the measures prescribed in Clause 2, Article 26 and Article 27 of this Decree .

2. Designate a department responsible for protecting personal data, designate personnel responsible for protecting personal data and exchange information about the department and individuals responsible for protecting personal data with the Personal Data Protection Authority. In case the Personal Data Controller, Personal Data Controller and Processor, Data Processor, or Third Party is an individual, the information of the individual performing the task shall be exchanged.

3. Notify the data subject that his/her sensitive personal data is being processed, except in the cases specified in Clause 4, Article 13, Article 17 and Article 18 of this Decree .

Article 29. Specialized agency for personal data protection and National Portal on personal data protection

1. The agency responsible for protecting personal data is the Department of Cyber Security and High-Tech Crime Prevention and Control – Ministry of Public Security, responsible for assisting the Ministry of Public Security in performing state management of personal data protection.

2. National portal on personal data protection:

a) Provide information on the Party’s guidelines, policies, and State laws on personal data protection;

b) Disseminate and popularize policies and laws on personal data protection;

c) Update information and status of personal data protection;

d) Receive information, records, and data on personal data protection activities via cyberspace;

d) Provide information on the results of the assessment of personal data protection work of relevant agencies, organizations and individuals;

e) Receiving notices of violations of regulations on personal data protection;

g) Warn and coordinate warnings about risks and acts of personal data infringement according to the provisions of law;

h) Handling violations of personal data protection according to the provisions of law;

i) Carry out other activities as prescribed by law on personal data protection.

Article 30. Conditions for ensuring personal data protection activities

1. Personal data protection force:

a) The task force responsible for protecting personal data is arranged at the Personal Data Protection Agency;

b) Departments and personnel with the function of protecting personal data are designated in agencies, organizations and enterprises to ensure compliance with regulations on personal data protection;

c) Organizations and individuals are mobilized to participate in protecting personal data;

d) The Ministry of Public Security shall develop specific programs and plans to develop human resources for personal data protection.

2. Agencies, organizations and individuals are responsible for disseminating knowledge and skills, and raising awareness of personal data protection for agencies, organizations and individuals.

3. Ensure facilities and operating conditions for the Agency specializing in personal data protection.

Article 31. Funding for ensuring personal data protection activities

1. Financial sources for personal data protection include the state budget; support from domestic and foreign agencies, organizations and individuals; revenue from providing personal data protection services; international aid and other legal sources of revenue.

2. The budget for personal data protection of state agencies is guaranteed by the state budget and is arranged in the annual state budget estimate. The management and use of state budget funds are implemented in accordance with the provisions of the law on state budget.

3. The budget for protecting personal data of organizations and enterprises shall be arranged and implemented by organizations and enterprises themselves according to regulations.

Chapter III.- RESPONSIBILITIES OF AGENCIES, ORGANIZATIONS AND INDIVIDUALS

Article 32. Responsibilities of the Ministry of Public Security

1. Assist the Government in implementing unified state management of personal data protection.

2. Guide and implement activities to protect personal data, protect the rights of data subjects against violations of the law on personal data protection, propose the promulgation of Personal Data Protection Standards and recommendations for application.

3. Build, manage and operate the National Portal on personal data protection.

4. Evaluate the results of personal data protection work of relevant agencies, organizations and individuals.

5. Receive documents, forms, and information on personal data protection as prescribed in this Decree.

6. Promote measures and conduct research to innovate in the field of personal data protection, and implement international cooperation on personal data protection.

7. Inspect, examine, resolve complaints, denunciations, and handle violations of regulations on personal data protection according to the provisions of law.

Article 33. Responsibilities of the Ministry of Information and Communications

1. Direct media agencies, press, organizations and enterprises in the management field to implement personal data protection according to the provisions of this Decree.

2. Develop, guide and implement measures to protect personal data and ensure network information security for personal data in information and communication activities according to assigned functions and tasks.

3. Coordinate with the Ministry of Public Security in inspecting, examining and handling violations of the law on personal data protection.

Article 34. Responsibilities of the Ministry of National Defense

Manage, inspect, examine, supervise, handle violations and apply regulations on personal data protection to agencies, organizations and individuals under the management of the Ministry of National Defense according to legal regulations and assigned functions and tasks.

Article 35. Responsibilities of the Ministry of Science and Technology

1. Coordinate with the Ministry of Public Security in developing Personal Data Protection Standards and recommendations for applying Personal Data Protection Standards.

2. Research and discuss with the Ministry of Public Security on measures to protect personal data in line with the development of science and technology.

Article 36. Responsibilities of ministries, ministerial-level agencies, and government agencies

1. Implement state management of personal data protection for sectors and fields under management according to the provisions of law on personal data protection.

2. Develop and implement the contents and tasks of personal data protection in this Decree.

3. Supplement regulations on personal data protection in the development and implementation of tasks of ministries and branches.

4. Arrange funding for personal data protection activities according to current budget management hierarchy.

5. Issue an Open Data Catalog in compliance with personal data protection regulations.

Article 37. Responsibilities of People’s Committees of provinces and centrally run cities

1. Implement state management of personal data protection for sectors and fields under management according to the provisions of law on personal data protection.

2. Implement the provisions on personal data protection in this Decree.

3. Arrange funding for personal data protection activities according to current budget management hierarchy.

4. Issue an Open Data Catalog in compliance with personal data protection regulations.

Article 38. Responsibilities of the Personal Data Controller

1. Implement appropriate organizational and technical measures and safety and security measures to demonstrate that data processing activities have been carried out in accordance with the provisions of the law on personal data protection, review and update these measures as necessary.

2. Record and store system logs of personal data processing.

3. Notification of violations of regulations on personal data protection as prescribed in Article 23 of this Decree .

4. Select a Personal Data Processor that is suitable for a clear mandate and only work with Personal Data Processors that have appropriate safeguards in place.

5. Ensure the rights of data subjects as prescribed in Article 9 of this Decree .

6. The Personal Data Controller is responsible to the data subject for damages caused by the processing of personal data.

7. Coordinate with the Ministry of Public Security and competent state agencies in protecting personal data, providing information to serve the investigation and handling of violations of the law on personal data protection.

Article 39. Responsibilities of the Personal Data Processor

1. Personal data shall only be received after a contract or agreement on data processing has been entered into with the Personal Data Controller.

2. Process personal data in accordance with the contract or agreement concluded with the Personal Data Controller.

3. Fully implement personal data protection measures prescribed in this Decree and other relevant legal documents.

4. The Personal Data Processor is responsible to the data subject for damages caused by the processing of personal data.

5. Delete and return all personal data to the Personal Data Controller after the data processing is completed.

6. Coordinate with the Ministry of Public Security and competent state agencies in protecting personal data, providing information to serve the investigation and handling of violations of the law on personal data protection.

Article 40. Responsibilities of the Data Controller and Processor

Fully comply with the provisions on the responsibilities of the Personal Data Controller and the Personal Data Processor.

Article 41. Third Party Liability

Fully comply with the provisions on responsibility for handling personal data as prescribed in this Decree.

Article 42. Responsibilities of relevant organizations and individuals

1. Take measures to protect your personal data and be responsible for the accuracy of the personal data you provide.

2. Implement the provisions on personal data protection in this Decree.

3. Promptly notify the Ministry of Public Security of violations related to personal data protection activities.

4. Coordinate with the Ministry of Public Security in handling violations related to personal data protection activities.

Chapter IV.- TERMS OF IMPLEMENTATION

Article 43. Entry into force

1. This Decree comes into force from July 1, 2023.

2. Micro-enterprises, small enterprises, medium-sized enterprises, and startups have the right to choose to be exempted from the regulations on the appointment of individuals and personal data protection departments for the first 02 years from the date of establishment of the enterprise.

3. Micro-enterprises, small enterprises, medium-sized enterprises, and start-ups directly engaged in personal data processing activities are not subject to the provisions of Clause 2 of this Article.

Article 44. Responsibility for implementation

1. The Minister of Public Security shall urge, inspect and guide the implementation of this Decree.

2. Ministers, Heads of ministerial-level agencies, Heads of Government agencies, Chairmen of People’s Committees of provinces and centrally run cities are responsible for implementing this Decree./.

For the Prime Minister, the Prime Minister, Deputy Prime Minister, Tran Luu Quang

12Nov/24

Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence. October 30, 2023.

12 noviembre, 2024Ejecutiva, OrdenAgency, AI, AI model, AI red-reaming, AI system, Americans¨privacy, Artificial Intelligence, civil liberties, Commercially available information, crime forecasting, critical infraestructure, Derecho Informático, differencial-privacy guarantee, Dual-use foundation model, Federal law enforcemente agency, floating-point operation, foreing reseller, generation AI, Infrastructure as a Service Product, integer operation, intelligence community, Legislación EE.UU., Legislación Informática, machine learning, model weight, national security system, omics, Open RAN, Responsible developmentJosé Cuervo

Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence. JOSEPH R. BIDEN JR. THE WHITE HOUSE,
October 30, 2023.

By the authority vested in me as President by the Constitution and the laws of the United States of America, it is hereby ordered as follows:

Section 1. Purpose. Artificial intelligence (AI) holds extraordinary potential for both promise and peril. Responsible AI use has the potential to help solve urgent challenges while making our world more prosperous, productive, innovative, and secure. At the same time, irresponsible use could exacerbate societal harms such as fraud, discrimination, bias, and disinformation; displace and disempower workers; stifle competition; and pose risks to national security. Harnessing AI for good and realizing its myriad benefits requires mitigating its substantial risks. This endeavor demands a society-wide effort that includes government, the private sector, academia, and civil society.

My Administration places the highest urgency on governing the development and use of AI safely and responsibly, and is therefore advancing a coordinated, Federal Government-wide approach to doing so. The rapid speed at which AI capabilities are advancing compels the United States to lead in this moment for the sake of our security, economy, and society.

In the end, AI reflects the principles of the people who build it, the people who use it, and the data upon which it is built. I firmly believe that the power of our ideals; the foundations of our society; and the creativity, diversity, and decency of our people are the reasons that America thrived in past eras of rapid change. They are the reasons we will succeed again in this moment. We are more than capable of harnessing AI for justice, security, and opportunity for all.

Sec. 2. Policy and Principles. It is the policy of my Administration to advance and govern the development and use of AI in accordance with eight guiding principles and priorities. When undertaking the actions set forth in this order, executive departments and agencies (agencies) shall, as appropriate and consistent with applicable law, adhere to these principles, while, as feasible, taking into account the views of other agencies, industry, members of academia, civil society, labor unions, international allies and partners, and other relevant organizations:

(a) Artificial Intelligence must be safe and secure. Meeting this goal requires robust, reliable, repeatable, and standardized evaluations of AI systems, as well as policies, institutions, and, as appropriate, other mechanisms to test, understand, and mitigate risks from these systems before they are put to use. It also requires addressing AI systems’ most pressing security risks — including with respect to biotechnology, cybersecurity, critical infrastructure, and other national security dangers — while navigating AI’s opacity and complexity. Testing and evaluations, including post-deployment performance monitoring, will help ensure that AI systems function as intended, are resilient against misuse or dangerous modifications, are ethically developed and operated in a secure manner, and are compliant with applicable Federal laws and policies. Finally, my Administration will help develop effective labeling and content provenance mechanisms, so that Americans are able to determine when content is generated using AI and when it is not. These actions will provide a vital foundation for an approach that addresses AI’s risks without unduly reducing its benefits.

(b) Promoting responsible innovation, competition, and collaboration will allow the United States to lead in AI and unlock the technology’s potential to solve some of society’s most difficult challenges. This effort requires investments in AI-related education, training, development, research, and capacity, while simultaneously tackling novel intellectual property (IP) questions and other problems to protect inventors and creators. Across the Federal Government, my Administration will support programs to provide Americans the skills they need for the age of AI and attract the world’s AI talent to our shores — not just to study, but to stay — so that the companies and technologies of the future are made in America. The Federal Government will promote a fair, open, and competitive ecosystem and marketplace for AI and related technologies so that small developers and entrepreneurs can continue to drive innovation. Doing so requires stopping unlawful collusion and addressing risks from dominant firms’ use of key assets such as semiconductors, computing power, cloud storage, and data to disadvantage competitors, and it requires supporting a marketplace that harnesses the benefits of AI to provide new opportunities for small businesses, workers, and entrepreneurs.

(c) The responsible development and use of AI require a commitment to supporting American workers. As AI creates new jobs and industries, all workers need a seat at the table, including through collective bargaining, to ensure that they benefit from these opportunities. My Administration will seek to adapt job training and education to support a diverse workforce and help provide access to opportunities that AI creates. In the workplace itself, AI should not be deployed in ways that undermine rights, worsen job quality, encourage undue worker surveillance, lessen market competition, introduce new health and safety risks, or cause harmful labor-force disruptions. The critical next steps in AI development should be built on the views of workers, labor unions, educators, and employers to support responsible uses of AI that improve workers’ lives, positively augment human work, and help all people safely enjoy the gains and opportunities from technological innovation.

(d) Artificial Intelligence policies must be consistent with my Administration’s dedication to advancing equity and civil rights. My Administration cannot — and will not — tolerate the use of AI to disadvantage those who are already too often denied equal opportunity and justice. From hiring to housing to healthcare, we have seen what happens when AI use deepens discrimination and bias, rather than improving quality of life. Artificial Intelligence systems deployed irresponsibly have reproduced and intensified existing inequities, caused new types of harmful discrimination, and exacerbated online and physical harms. My Administration will build on the important steps that have already been taken — such as issuing the Blueprint for an AI Bill of Rights, the AI Risk Management Framework, and Executive Order 14091 of February 16, 2023 (Further Advancing Racial Equity and Support for Underserved Communities Through the Federal Government) — in seeking to ensure that AI complies with all Federal laws and to promote robust technical evaluations, careful oversight, engagement with affected communities, and rigorous regulation. It is necessary to hold those developing and deploying AI accountable to standards that protect against unlawful discrimination and abuse, including in the justice system and the Federal Government. Only then can Americans trust AI to advance civil rights, civil liberties, equity, and justice for all.

(e) The interests of Americans who increasingly use, interact with, or purchase AI and AI-enabled products in their daily lives must be protected. Use of new technologies, such as AI, does not excuse organizations from their legal obligations, and hard-won consumer protections are more important than ever in moments of technological change. The Federal Government will enforce existing consumer protection laws and principles and enact appropriate safeguards against fraud, unintended bias, discrimination, infringements on privacy, and other harms from AI. Such protections are especially important in critical fields like healthcare, financial services, education, housing, law, and transportation, where mistakes by or misuse of AI could harm patients, cost consumers or small businesses, or jeopardize safety or rights. At the same time, my Administration will promote responsible uses of AI that protect consumers, raise the quality of goods and services, lower their prices, or expand selection and availability.

(f) Americans’ privacy and civil liberties must be protected as AI continues advancing. Artificial Intelligence is making it easier to extract, re-identify, link, infer, and act on sensitive information about people’s identities, locations, habits, and desires. Artificial Intelligence’s capabilities in these areas can increase the risk that personal data could be exploited and exposed. To combat this risk, the Federal Government will ensure that the collection, use, and retention of data is lawful, is secure, and mitigates privacy and confidentiality risks. Agencies shall use available policy and technical tools, including privacy-enhancing technologies (PETs) where appropriate, to protect privacy and to combat the broader legal and societal risks — including the chilling of First Amendment rights — that result from the improper collection and use of people’s data.

(g) It is important to manage the risks from the Federal Government’s own use of AI and increase its internal capacity to regulate, govern, and support responsible use of AI to deliver better results for Americans. These efforts start with people, our Nation’s greatest asset. My Administration will take steps to attract, retain, and develop public service-oriented AI professionals, including from underserved communities, across disciplines — including technology, policy, managerial, procurement, regulatory, ethical, governance, and legal fields — and ease AI professionals’ path into the Federal Government to help harness and govern AI. The Federal Government will work to ensure that all members of its workforce receive adequate training to understand the benefits, risks, and limitations of AI for their job functions, and to modernize Federal Government information technology infrastructure, remove bureaucratic obstacles, and ensure that safe and rights-respecting AI is adopted, deployed, and used.

(h) The Federal Government should lead the way to global societal, economic, and technological progress, as the United States has in previous eras of disruptive innovation and change. This leadership is not measured solely by the technological advancements our country makes. Effective leadership also means pioneering those systems and safeguards needed to deploy technology responsibly — and building and promoting those safeguards with the rest of the world. My Administration will engage with international allies and partners in developing a framework to manage AI’s risks, unlock AI’s potential for good, and promote common approaches to shared challenges. The Federal Government will seek to promote responsible AI safety and security principles and actions with other nations, including our competitors, while leading key global conversations and collaborations to ensure that AI benefits the whole world, rather than exacerbating inequities, threatening human rights, and causing other harms.

Sec. 3. Definitions. For purposes of this order:

(a) The term “agency” means each agency described in 44 U.S.C. 3502(1), except for the independent regulatory agencies described in 44 U.S.C. 3502(5).

(b) The term “artificial intelligence” or “AI” has the meaning set forth in 15 U.S.C. 9401(3): a machine-based system that can, for a given set of human-defined objectives, make predictions, recommendations, or decisions influencing real or virtual environments. Artificial intelligence systems use machine- and human-based inputs to perceive real and virtual environments; abstract such perceptions into models through analysis in an automated manner; and use model inference to formulate options for information or action.

(c) The term “AI model” means a component of an information system that implements AI technology and uses computational, statistical, or machine-learning techniques to produce outputs from a given set of inputs.

(d) The term “AI red-teaming” means a structured testing effort to find flaws and vulnerabilities in an AI system, often in a controlled environment and in collaboration with developers of AI. Artificial Intelligence red-teaming is most often performed by dedicated “red teams” that adopt adversarial methods to identify flaws and vulnerabilities, such as harmful or discriminatory outputs from an AI system, unforeseen or undesirable system behaviors, limitations, or potential risks associated with the misuse of the system.

(e) The term “AI system” means any data system, software, hardware, application, tool, or utility that operates in whole or in part using AI.

(f) The term “commercially available information” means any information or data about an individual or group of individuals, including an individual’s or group of individuals’ device or location, that is made available or obtainable and sold, leased, or licensed to the general public or to governmental or non-governmental entities.

(g) The term “crime forecasting” means the use of analytical techniques to attempt to predict future crimes or crime-related information. It can include machine-generated predictions that use algorithms to analyze large volumes of data, as well as other forecasts that are generated without machines and based on statistics, such as historical crime statistics.

(h) The term “critical and emerging technologies” means those technologies listed in the February 2022 Critical and Emerging Technologies List Update issued by the National Science and Technology Council (NSTC), as amended by subsequent updates to the list issued by the NSTC.

(i) The term “critical infrastructure” has the meaning set forth in section 1016(e) of the USA PATRIOT Act of 2001, 42 U.S.C. 5195c(e).

(j) The term “differential-privacy guarantee” means protections that allow information about a group to be shared while provably limiting the improper access, use, or disclosure of personal information about particular entities.

(k) The term “dual-use foundation model” means an AI model that is trained on broad data; generally uses self-supervision; contains at least tens of billions of parameters; is applicable across a wide range of contexts; and that exhibits, or could be easily modified to exhibit, high levels of performance at tasks that pose a serious risk to security, national economic security, national public health or safety, or any combination of those matters, such as by:

(i) substantially lowering the barrier of entry for non-experts to design, synthesize, acquire, or use chemical, biological, radiological, or nuclear (CBRN) weapons;

(ii) enabling powerful offensive cyber operations through automated vulnerability discovery and exploitation against a wide range of potential targets of cyber attacks; or

(iii) permitting the evasion of human control or oversight through means of deception or obfuscation.

Models meet this definition even if they are provided to end users with technical safeguards that attempt to prevent users from taking advantage of the relevant unsafe capabilities.

(l) The term “Federal law enforcement agency” has the meaning set forth in section 21(a) of Executive Order 14074 of May 25, 2022 (Advancing Effective, Accountable Policing and Criminal Justice Practices To Enhance Public Trust and Public Safety).

(m) The term “floating-point operation” means any mathematical operation or assignment involving floating-point numbers, which are a subset of the real numbers typically represented on computers by an integer of fixed precision scaled by an integer exponent of a fixed base.

(n) The term “foreign person” has the meaning set forth in section 5(c) of Executive Order 13984 of January 19, 2021 (Taking Additional Steps To Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities).

(o) The terms “foreign reseller” and “foreign reseller of United States Infrastructure as a Service Products” mean a foreign person who has established an Infrastructure as a Service Account to provide Infrastructure as a Service Products subsequently, in whole or in part, to a third party.

(p) The term “generative AI” means the class of AI models that emulate the structure and characteristics of input data in order to generate derived synthetic content. This can include images, videos, audio, text, and other digital content.

(q) The terms “Infrastructure as a Service Product,” “United States Infrastructure as a Service Product,” “United States Infrastructure as a Service Provider,” and “Infrastructure as a Service Account” each have the respective meanings given to those terms in section 5 of Executive Order 13984.

(r) The term “integer operation” means any mathematical operation or assignment involving only integers, or whole numbers expressed without a decimal point.

(s) The term “Intelligence Community” has the meaning given to that term in section 3.5(h) of Executive Order 12333 of December 4, 1981 (United States Intelligence Activities), as amended.

(t) The term “machine learning” means a set of techniques that can be used to train AI algorithms to improve performance at a task based on data.

(u) The term “model weight” means a numerical parameter within an AI model that helps determine the model’s outputs in response to inputs.

(v) The term “national security system” has the meaning set forth in 44 U.S.C. 3552(b)(6).

(w) The term “omics” means biomolecules, including nucleic acids, proteins, and metabolites, that make up a cell or cellular system.

(x) The term “Open RAN” means the Open Radio Access Network approach to telecommunications-network standardization adopted by the O-RAN Alliance, Third Generation Partnership Project, or any similar set of published open standards for multi-vendor network equipment interoperability.

(y) The term “personally identifiable information” has the meaning set forth in Office of Management and Budget (OMB) Circular No. A-130.

(z) The term “privacy-enhancing technology” means any software or hardware solution, technical process, technique, or other technological means of mitigating privacy risks arising from data processing, including by enhancing predictability, manageability, disassociability, storage, security, and confidentiality. These technological means may include secure multiparty computation, homomorphic encryption, zero-knowledge proofs, federated learning, secure enclaves, differential privacy, and synthetic-data-generation tools. This is also sometimes referred to as “privacy-preserving technology.”

(aa) The term “privacy impact assessment” has the meaning set forth in OMB Circular No. A-130.

(bb) The term “Sector Risk Management Agency” has the meaning set forth in 6 U.S.C. 650(23).

(cc) The term “self-healing network” means a telecommunications network that automatically diagnoses and addresses network issues to permit self-restoration.

(dd) The term “synthetic biology” means a field of science that involves redesigning organisms, or the biomolecules of organisms, at the genetic level to give them new characteristics. Synthetic nucleic acids are a type of biomolecule redesigned through synthetic-biology methods.

(ee) The term “synthetic content” means information, such as images, videos, audio clips, and text, that has been significantly modified or generated by algorithms, including by AI.

(ff) The term “testbed” means a facility or mechanism equipped for conducting rigorous, transparent, and replicable testing of tools and technologies, including AI and PETs, to help evaluate the functionality, usability, and performance of those tools or technologies.

(gg) The term “watermarking” means the act of embedding information, which is typically difficult to remove, into outputs created by AI — including into outputs such as photos, videos, audio clips, or text — for the purposes of verifying the authenticity of the output or the identity or characteristics of its provenance, modifications, or conveyance.
Sec. 4. Ensuring the Safety and Security of AI Technology.

4.1. Developing Guidelines, Standards, and Best Practices for AI Safety and Security. (a) Within 270 days of the date of this order, to help ensure the development of safe, secure, and trustworthy AI systems, the Secretary of Commerce, acting through the Director of the National Institute of Standards and Technology (NIST), in coordination with the Secretary of Energy, the Secretary of Homeland Security, and the heads of other relevant agencies as the Secretary of Commerce may deem appropriate, shall:

(i) Establish guidelines and best practices, with the aim of promoting consensus industry standards, for developing and deploying safe, secure, and trustworthy AI systems, including:

(A) developing a companion resource to the AI Risk Management Framework, NIST AI 100-1, for generative AI;

(B) developing a companion resource to the Secure Software Development Framework to incorporate secure development practices for generative AI and for dual-use foundation models; and

(C) launching an initiative to create guidance and benchmarks for evaluating and auditing AI capabilities, with a focus on capabilities through which AI could cause harm, such as in the areas of cybersecurity and biosecurity.

(ii) Establish appropriate guidelines (except for AI used as a component of a national security system), including appropriate procedures and processes, to enable developers of AI, especially of dual-use foundation models, to conduct AI red-teaming tests to enable deployment of safe, secure, and trustworthy systems. These efforts shall include:

(A) coordinating or developing guidelines related to assessing and managing the safety, security, and trustworthiness of dual-use foundation models; and

(B) in coordination with the Secretary of Energy and the Director of the National Science Foundation (NSF), developing and helping to ensure the availability of testing environments, such as testbeds, to support the development of safe, secure, and trustworthy AI technologies, as well as to support the design, development, and deployment of associated PETs, consistent with section 9(b) of this order.

(b) Within 270 days of the date of this order, to understand and mitigate AI security risks, the Secretary of Energy, in coordination with the heads of other Sector Risk Management Agencies (SRMAs) as the Secretary of Energy may deem appropriate, shall develop and, to the extent permitted by law and available appropriations, implement a plan for developing the Department of Energy’s AI model evaluation tools and AI testbeds. The Secretary shall undertake this work using existing solutions where possible, and shall develop these tools and AI testbeds to be capable of assessing near-term extrapolations of AI systems’ capabilities. At a minimum, the Secretary shall develop tools to evaluate AI capabilities to generate outputs that may represent nuclear, nonproliferation, biological, chemical, critical infrastructure, and energy-security threats or hazards. The Secretary shall do this work solely for the purposes of guarding against these threats, and shall also develop model guardrails that reduce such risks. The Secretary shall, as appropriate, consult with private AI laboratories, academia, civil society, and third-party evaluators, and shall use existing solutions.

4.2. Ensuring Safe and Reliable AI. (a) Within 90 days of the date of this order, to ensure and verify the continuous availability of safe, reliable, and effective AI in accordance with the Defense Production Act, as amended, 50 U.S.C. 4501 et seq., including for the national defense and the protection of critical infrastructure, the Secretary of Commerce shall require:

(i) Companies developing or demonstrating an intent to develop potential dual-use foundation models to provide the Federal Government, on an ongoing basis, with information, reports, or records regarding the following:

(A) any ongoing or planned activities related to training, developing, or producing dual-use foundation models, including the physical and cybersecurity protections taken to assure the integrity of that training process against sophisticated threats;

(B) the ownership and possession of the model weights of any dual-use foundation models, and the physical and cybersecurity measures taken to protect those model weights; and

(C) the results of any developed dual-use foundation model’s performance in relevant AI red-team testing based on guidance developed by NIST pursuant to subsection 4.1(a)(ii) of this section, and a description of any associated measures the company has taken to meet safety objectives, such as mitigations to improve performance on these red-team tests and strengthen overall model security. Prior to the development of guidance on red-team testing standards by NIST pursuant to subsection 4.1(a)(ii) of this section, this description shall include the results of any red-team testing that the company has conducted relating to lowering the barrier to entry for the development, acquisition, and use of biological weapons by non-state actors; the discovery of software vulnerabilities and development of associated exploits; the use of software or tools to influence real or virtual events; the possibility for self-replication or propagation; and associated measures to meet safety objectives; and

(ii) Companies, individuals, or other organizations or entities that acquire, develop, or possess a potential large-scale computing cluster to report any such acquisition, development, or possession, including the existence and location of these clusters and the amount of total computing power available in each cluster.

(b) The Secretary of Commerce, in consultation with the Secretary of State, the Secretary of Defense, the Secretary of Energy, and the Director of National Intelligence, shall define, and thereafter update as needed on a regular basis, the set of technical conditions for models and computing clusters that would be subject to the reporting requirements of subsection 4.2(a) of this section. Until such technical conditions are defined, the Secretary shall require compliance with these reporting requirements for:

(i) any model that was trained using a quantity of computing power greater than 10²⁶ integer or floating-point operations, or using primarily biological sequence data and using a quantity of computing power greater than 10²³ integer or floating-point operations; and

(ii) any computing cluster that has a set of machines physically co-located in a single datacenter, transitively connected by data center networking of over 100 Gbit/s, and having a theoretical maximum computing capacity of 10²⁰ integer or floating-point operations per second for training AI.

(c) Because I find that additional steps must be taken to deal with the national emergency related to significant malicious cyber-enabled activities declared in Executive Order 13694 of April 1, 2015 (Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities), as amended by Executive Order 13757 of December 28, 2016 (Taking Additional Steps to Address the National Emergency With Respect to Significant Malicious Cyber-Enabled Activities), and further amended by Executive Order 13984, to address the use of United States Infrastructure as a Service (IaaS) Products by foreign malicious cyber actors, including to impose additional record-keeping obligations with respect to foreign transactions and to assist in the investigation of transactions involving foreign malicious cyber actors, I hereby direct the Secretary of Commerce, within 90 days of the date of this order, to:

(i) Propose regulations that require United States IaaS Providers to submit a report to the Secretary of Commerce when a foreign person transacts with that United States IaaS Provider to train a large AI model with potential capabilities that could be used in malicious cyber-enabled activity (a “training run”). Such reports shall include, at a minimum, the identity of the foreign person and the existence of any training run of an AI model meeting the criteria set forth in this section, or other criteria defined by the Secretary in regulations, as well as any additional information identified by the Secretary.

(ii) Include a requirement in the regulations proposed pursuant to subsection 4.2(c)(i) of this section that United States IaaS Providers prohibit any foreign reseller of their United States IaaS Product from providing those products unless such foreign reseller submits to the United States IaaS Provider a report, which the United States IaaS Provider must provide to the Secretary of Commerce, detailing each instance in which a foreign person transacts with the foreign reseller to use the United States IaaS Product to conduct a training run described in subsection 4.2(c)(i) of this section. Such reports shall include, at a minimum, the information specified in subsection 4.2(c)(i) of this section as well as any additional information identified by the Secretary.

(iii) Determine the set of technical conditions for a large AI model to have potential capabilities that could be used in malicious cyber-enabled activity, and revise that determination as necessary and appropriate. Until the Secretary makes such a determination, a model shall be considered to have potential capabilities that could be used in malicious cyber-enabled activity if it requires a quantity of computing power greater than 10²⁶ integer or floating-point operations and is trained on a computing cluster that has a set of machines physically co-located in a single datacenter, transitively connected by data center networking of over 100 Gbit/s, and having a theoretical maximum compute capacity of 10²⁰ integer or floating-point operations per second for training AI.

(d) Within 180 days of the date of this order, pursuant to the finding set forth in subsection 4.2(c) of this section, the Secretary of Commerce shall propose regulations that require United States IaaS Providers to ensure that foreign resellers of United States IaaS Products verify the identity of any foreign person that obtains an IaaS account (account) from the foreign reseller. These regulations shall, at a minimum:

(i) Set forth the minimum standards that a United States IaaS Provider must require of foreign resellers of its United States IaaS Products to verify the identity of a foreign person who opens an account or maintains an existing account with a foreign reseller, including:

(A) the types of documentation and procedures that foreign resellers of United States IaaS Products must require to verify the identity of any foreign person acting as a lessee or sub-lessee of these products or services;

(B) records that foreign resellers of United States IaaS Products must securely maintain regarding a foreign person that obtains an account, including information establishing:

(1) the identity of such foreign person, including name and address;

(2) the means and source of payment (including any associated financial institution and other identifiers such as credit card number, account number, customer identifier, transaction identifiers, or virtual currency wallet or wallet address identifier);

(3) the electronic mail address and telephonic contact information used to verify a foreign person’s identity; and

(4) the Internet Protocol addresses used for access or administration and the date and time of each such access or administrative action related to ongoing verification of such foreign person’s ownership of such an account; and

(C) methods that foreign resellers of United States IaaS Products must implement to limit all third-party access to the information described in this subsection, except insofar as such access is otherwise consistent with this order and allowed under applicable law;

(ii) Take into consideration the types of accounts maintained by foreign resellers of United States IaaS Products, methods of opening an account, and types of identifying information available to accomplish the objectives of identifying foreign malicious cyber actors using any such products and avoiding the imposition of an undue burden on such resellers; and

(iii) Provide that the Secretary of Commerce, in accordance with such standards and procedures as the Secretary may delineate and in consultation with the Secretary of Defense, the Attorney General, the Secretary of Homeland Security, and the Director of National Intelligence, may exempt a United States IaaS Provider with respect to any specific foreign reseller of their United States IaaS Products, or with respect to any specific type of account or lessee, from the requirements of any regulation issued pursuant to this subsection. Such standards and procedures may include a finding by the Secretary that such foreign reseller, account, or lessee complies with security best practices to otherwise deter abuse of United States IaaS Products.

(e) The Secretary of Commerce is hereby authorized to take such actions, including the promulgation of rules and regulations, and to employ all powers granted to the President by the International Emergency Economic Powers Act, 50 U.S.C. 1701 et seq., as may be necessary to carry out the purposes of subsections 4.2(c) and (d) of this section. Such actions may include a requirement that United States IaaS Providers require foreign resellers of United States IaaS Products to provide United States IaaS Providers verifications relative to those subsections.

4.3. Managing AI in Critical Infrastructure and in Cybersecurity. (a) To ensure the protection of critical
infrastructure, the following actions shall be taken:

(i) Within 90 days of the date of this order, and at least annually thereafter, the head of each agency with relevant regulatory authority over critical infrastructure and the heads of relevant SRMAs, in coordination with the Director of the Cybersecurity and Infrastructure Security Agency within the Department of Homeland Security for consideration of cross-sector risks, shall evaluate and provide to the Secretary of Homeland Security an assessment of potential risks related to the use of AI in critical infrastructure sectors involved, including ways in which deploying AI may make critical infrastructure systems more vulnerable to critical failures, physical attacks, and cyber attacks, and shall consider ways to mitigate these vulnerabilities. Independent regulatory agencies are encouraged, as they deem appropriate, to contribute to sector-specific risk assessments.

(ii) Within 150 days of the date of this order, the Secretary of the Treasury shall issue a public report on best practices for financial institutions to manage AI-specific cybersecurity risks.

(iii) Within 180 days of the date of this order, the Secretary of Homeland Security, in coordination with the Secretary of Commerce and with SRMAs and other regulators as determined by the Secretary of Homeland Security, shall incorporate as appropriate the AI Risk Management Framework, NIST AI 100-1, as well as other appropriate security guidance, into relevant safety and security guidelines for use by critical infrastructure owners and operators.

(iv) Within 240 days of the completion of the guidelines described in subsection 4.3(a)(iii) of this section, the Assistant to the President for National Security Affairs and the Director of OMB, in consultation with the Secretary of Homeland Security, shall coordinate work by the heads of agencies with authority over critical infrastructure to develop and take steps for the Federal Government to mandate such guidelines, or appropriate portions thereof, through regulatory or other appropriate action. Independent regulatory agencies are encouraged, as they deem appropriate, to consider whether to mandate guidance through regulatory action in their areas of authority and responsibility.

(v) The Secretary of Homeland Security shall establish an Artificial Intelligence Safety and Security Board as an advisory committee pursuant to section 871 of the Homeland Security Act of 2002 (Public Law 107-296). The Advisory Committee shall include AI experts from the private sector, academia, and government, as appropriate, and provide to the Secretary of Homeland Security and the Federal Government’s critical infrastructure community advice, information, or recommendations for improving security, resilience, and incident response related to AI usage in critical infrastructure.

(b) To capitalize on AI’s potential to improve United States cyber defenses:

(i) The Secretary of Defense shall carry out the actions described in subsections 4.3(b)(ii) and (iii) of this section for national security systems, and the Secretary of Homeland Security shall carry out these actions for non-national security systems. Each shall do so in consultation with the heads of other relevant agencies as the Secretary of Defense and the Secretary of Homeland Security may deem appropriate.

(ii) As set forth in subsection 4.3(b)(i) of this section, within 180 days of the date of this order, the Secretary of Defense and the Secretary of Homeland Security shall, consistent with applicable law, each develop plans for, conduct, and complete an operational pilot project to identify, develop, test, evaluate, and deploy AI capabilities, such as large-language models, to aid in the discovery and remediation of vulnerabilities in critical United States Government software, systems, and networks.

(iii) As set forth in subsection 4.3(b)(i) of this section, within 270 days of the date of this order, the Secretary of Defense and the Secretary of Homeland Security shall each provide a report to the Assistant to the President for National Security Affairs on the results of actions taken pursuant to the plans and operational pilot projects required by subsection 4.3(b)(ii) of this section, including a description of any vulnerabilities found and fixed through the development and deployment of AI capabilities and any lessons learned on how to identify, develop, test, evaluate, and deploy AI capabilities effectively for cyber defense.

4.4. Reducing Risks at the Intersection of AI and CBRN Threats. (a) To better understand and mitigate the risk of AI being misused to assist in the development or use of CBRN threats — with a particular focus on biological weapons — the following actions shall be taken:

(i) Within 180 days of the date of this order, the Secretary of Homeland Security, in consultation with the Secretary of Energy and the Director of the Office of Science and Technology Policy (OSTP), shall evaluate the potential for AI to be misused to enable the development or production of CBRN threats, while also considering the benefits and application of AI to counter these threats, including, as appropriate, the results of work conducted under section 8(b) of this order. The Secretary of Homeland Security shall:

(A) consult with experts in AI and CBRN issues from the Department of Energy, private AI laboratories, academia, and third-party model evaluators, as appropriate, to evaluate AI model capabilities to present CBRN threats — for the sole purpose of guarding against those threats — as well as options for minimizing the risks of AI model misuse to generate or exacerbate those threats; and

(B) submit a report to the President that describes the progress of these efforts, including an assessment of the types of AI models that may present CBRN risks to the United States, and that makes recommendations for regulating or overseeing the training, deployment, publication, or use of these models, including requirements for safety evaluations and guardrails for mitigating potential threats to national security.

(ii) Within 120 days of the date of this order, the Secretary of Defense, in consultation with the Assistant to the President for National Security Affairs and the Director of OSTP, shall enter into a contract with the National Academies of Sciences, Engineering, and Medicine to conduct — and submit to the Secretary of Defense, the Assistant to the President for National Security Affairs, the Director of the Office of Pandemic Preparedness and Response Policy, the Director of OSTP, and the Chair of the Chief Data Officer Council — a study that:

(A) assesses the ways in which AI can increase biosecurity risks, including risks from generative AI models trained on biological data, and makes recommendations on how to mitigate these risks;

(B) considers the national security implications of the use of data and datasets, especially those associated with pathogens and omics studies, that the United States Government hosts, generates, funds the creation of, or otherwise owns, for the training of generative AI models, and makes recommendations on how to mitigate the risks related to the use of these data and datasets;

(C) assesses the ways in which AI applied to biology can be used to reduce biosecurity risks, including recommendations on opportunities to coordinate data and high-performance computing resources; and

(D) considers additional concerns and opportunities at the intersection of AI and synthetic biology that the Secretary of Defense deems appropriate.

(b) To reduce the risk of misuse of synthetic nucleic acids, which could be substantially increased by AI’s capabilities in this area, and improve biosecurity measures for the nucleic acid synthesis industry, the following actions shall be taken:

(i) Within 180 days of the date of this order, the Director of OSTP, in consultation with the Secretary of State, the Secretary of Defense, the Attorney General, the Secretary of Commerce, the Secretary of Health and Human Services (HHS), the Secretary of Energy, the Secretary of Homeland Security, the Director of National Intelligence, and the heads of other relevant agencies as the Director of OSTP may deem appropriate, shall establish a framework, incorporating, as appropriate, existing United States Government guidance, to encourage providers of synthetic nucleic acid sequences to implement comprehensive, scalable, and verifiable synthetic nucleic acid procurement screening mechanisms, including standards and recommended incentives. As part of this framework, the Director of OSTP shall:

(A) establish criteria and mechanisms for ongoing identification of biological sequences that could be used in a manner that would pose a risk to the national security of the United States; and

(B) determine standardized methodologies and tools for conducting and verifying the performance of sequence synthesis procurement screening, including customer screening approaches to support due diligence with respect to managing security risks posed by purchasers of biological sequences identified in subsection 4.4(b)(i)(A) of this section, and processes for the reporting of concerning activity to enforcement entities.

(ii) Within 180 days of the date of this order, the Secretary of Commerce, acting through the Director of NIST, in coordination with the Director of OSTP, and in consultation with the Secretary of State, the Secretary of HHS, and the heads of other relevant agencies as the Secretary of Commerce may deem appropriate, shall initiate an effort to engage with industry and relevant stakeholders, informed by the framework developed under subsection 4.4(b)(i) of this section, to develop and refine for possible use by synthetic nucleic acid sequence providers:

(A) specifications for effective nucleic acid synthesis procurement screening;

(B) best practices, including security and access controls, for managing sequence-of-concern databases to support such screening;

(D) conformity-assessment best practices and mechanisms.

(iii) Within 180 days of the establishment of the framework pursuant to subsection 4.4(b)(i) of this section, all agencies that fund life-sciences research shall, as appropriate and consistent with applicable law, establish that, as a requirement of funding, synthetic nucleic acid procurement is conducted through providers or manufacturers that adhere to the framework, such as through an attestation from the provider or manufacturer. The Assistant to the President for National Security Affairs and the Director of OSTP shall coordinate the process of reviewing such funding requirements to facilitate consistency in implementation of the framework across funding agencies.

(iv) In order to facilitate effective implementation of the measures described in subsections 4.4(b)(i)-(iii) of this section, the Secretary of Homeland Security, in consultation with the heads of other relevant agencies as the Secretary of Homeland Security may deem appropriate, shall:

(A) within 180 days of the establishment of the framework pursuant to subsection 4.4(b)(i) of this section, develop a framework to conduct structured evaluation and stress testing of nucleic acid synthesis procurement screening, including the systems developed in accordance with subsections 4.4(b)(i)-(ii) of this section and implemented by providers of synthetic nucleic acid sequences; and

(B) following development of the framework pursuant to subsection 4.4(b)(iv)(A) of this section, submit an annual report to the Assistant to the President for National Security Affairs, the Director of the Office of Pandemic Preparedness and Response Policy, and the Director of OSTP on any results of the activities conducted pursuant to subsection 4.4(b)(iv)(A) of this section, including recommendations, if any, on how to strengthen nucleic acid synthesis procurement screening, including customer screening systems.

4.5. Reducing the Risks Posed by Synthetic Content.

To foster capabilities for identifying and labeling synthetic content produced by AI systems, and to establish the authenticity and provenance of digital content, both synthetic and not synthetic, produced by the Federal Government or on its behalf:

(a) Within 240 days of the date of this order, the Secretary of Commerce, in consultation with the heads of other relevant agencies as the Secretary of Commerce may deem appropriate, shall submit a report to the Director of OMB and the Assistant to the President for National Security Affairs identifying the existing standards, tools, methods, and practices, as well as the potential development of further science-backed standards and techniques, for:

(i) authenticating content and tracking its provenance;

(ii) labeling synthetic content, such as using watermarking;

(iii) detecting synthetic content;

(iv) preventing generative AI from producing child sexual abuse material or producing non-consensual intimate imagery of real individuals (to include intimate digital depictions of the body or body parts of an identifiable individual);

(v) testing software used for the above purposes; and

(vi) auditing and maintaining synthetic content.

(b) Within 180 days of submitting the report required under subsection 4.5(a) of this section, and updated periodically thereafter, the Secretary of Commerce, in coordination with the Director of OMB, shall develop guidance regarding the existing tools and practices for digital content authentication and synthetic content detection measures. The guidance shall include measures for the purposes listed in subsection 4.5(a) of this section.

(c) Within 180 days of the development of the guidance required under subsection 4.5(b) of this section, and updated periodically thereafter, the Director of OMB, in consultation with the Secretary of State; the Secretary of Defense; the Attorney General; the Secretary of Commerce, acting through the Director of NIST; the Secretary of Homeland Security; the Director of National Intelligence; and the heads of other agencies that the Director of OMB deems appropriate, shall — for the purpose of strengthening public confidence in the integrity of official United States Government digital content — issue guidance to agencies for labeling and authenticating such content that they produce or publish.

(d) The Federal Acquisition Regulatory Council shall, as appropriate and consistent with applicable law, consider amending the Federal Acquisition Regulation to take into account the guidance established under subsection 4.5 of this section.

4.6. Soliciting Input on Dual-Use Foundation Models with Widely Available Model Weights. When the weights for a dual-use foundation model are widely available — such as when they are publicly posted on the Internet — there can be substantial benefits to innovation, but also substantial security risks, such as the removal of safeguards within the model. To address the risks and potential benefits of dual-use foundation models with widely available weights, within 270 days of the date of this order, the Secretary of Commerce, acting through the Assistant Secretary of Commerce for Communications and Information, and in consultation with the Secretary of State, shall:

(a) solicit input from the private sector, academia, civil society, and other stakeholders through a public consultation process on potential risks, benefits, other implications, and appropriate policy and regulatory approaches related to dual-use foundation models for which the model weights are widely available, including:

(i) risks associated with actors fine-tuning dual-use foundation models for which the model weights are widely available or removing those models’ safeguards;

(ii) benefits to AI innovation and research, including research into AI safety and risk management, of dual-use foundation models for which the model weights are widely available; and

(iii) potential voluntary, regulatory, and international mechanisms to manage the risks and maximize the benefits of dual-use foundation models for which the model weights are widely available; and

(b) based on input from the process described in subsection 4.6(a) of this section, and in consultation with the heads of other relevant agencies as the Secretary of Commerce deems appropriate, submit a report to the President on the potential benefits, risks, and implications of dual-use foundation models for which the model weights are widely available, as well as policy and regulatory recommendations pertaining to those models.

4.7. Promoting Safe Release and Preventing the Malicious Use of Federal Data for AI Training.To improve public data access and manage security risks, and consistent with the objectives of the Open, Public, Electronic, and Necessary Government Data Act (title II of Public Law 115-435) to expand public access to Federal data assets in a machine-readable format while also taking into account security considerations, including the risk that information in an individual data asset in isolation does not pose a security risk but, when combined with other available information, may pose such a risk:

(a) within 270 days of the date of this order, the Chief Data Officer Council, in consultation with the Secretary of Defense, the Secretary of Commerce, the Secretary of Energy, the Secretary of Homeland Security, and the Director of National Intelligence, shall develop initial guidelines for performing security reviews, including reviews to identify and manage the potential security risks of releasing Federal data that could aid in the development of CBRN weapons as well as the development of autonomous offensive cyber capabilities, while also providing public access to Federal Government data in line with the goals stated in the Open, Public, Electronic, and Necessary Government Data Act (title II of Public Law 115-435); and

(b) within 180 days of the development of the initial guidelines required by subsection 4.7(a) of this section, agencies shall conduct a security review of all data assets in the comprehensive data inventory required under 44 U.S.C. 3511(a)(1) and (2)(B) and shall take steps, as appropriate and consistent with applicable law, to address the highest-priority potential security risks that releasing that data could raise with respect to CBRN weapons, such as the ways in which that data could be used to train AI systems.

4.8. Directing the Development of a National Security Memorandum. To develop a coordinated executive branch approach to managing AI’s security risks, the Assistant to the President for National Security Affairs and the Assistant to the President and Deputy Chief of Staff for Policy shall oversee an interagency process with the purpose of, within 270 days of the date of this order, developing and submitting a proposed National Security Memorandum on AI to the President. The memorandum shall address the governance of AI used as a component of a national security system or for military and intelligence purposes. The memorandum shall take into account current efforts to govern the development and use of AI for national security systems. The memorandum shall outline actions for the Department of Defense, the Department of State, other relevant agencies, and the Intelligence Community to address the national security risks and potential benefits posed by AI. In particular, the memorandum shall:

(a) provide guidance to the Department of Defense, other relevant agencies, and the Intelligence Community on the continued adoption of AI capabilities to advance the United States national security mission, including through directing specific AI assurance and risk-management practices for national security uses of AI that may affect the rights or safety of United States persons and, in appropriate contexts, non-United States persons; and

(b) direct continued actions, as appropriate and consistent with applicable law, to address the potential use of AI systems by adversaries and other foreign actors in ways that threaten the capabilities or objectives of the Department of Defense or the Intelligence Community, or that otherwise pose risks to the security of the United States or its allies and partners.

Sec. 5. Promoting Innovation and Competition.

5.1. Attracting AI Talent to the United States. (a) Within 90 days of the date of this order, to attract and retain talent in AI and other critical and emerging technologies in the United States economy, the Secretary of State and the Secretary of Homeland Security shall take appropriate steps to:

(i) streamline processing times of visa petitions and applications, including by ensuring timely availability of visa appointments, for noncitizens who seek to travel to the United States to work on, study, or conduct research in AI or other critical and emerging technologies; and

(ii) facilitate continued availability of visa appointments in sufficient volume for applicants with expertise in AI or other critical and emerging technologies.

(b) Within 120 days of the date of this order, the Secretary of State shall:

(i) consider initiating a rulemaking to establish new criteria to designate countries and skills on the Department of State’s Exchange Visitor Skills List as it relates to the 2-year foreign residence requirement for certain J-1 nonimmigrants, including those skills that are critical to the United States;

(ii) consider publishing updates to the 2009 Revised Exchange Visitor Skills List (74 FR 20108); and

(iii) consider implementing a domestic visa renewal program under 22 C.F.R. 41.111(b) to facilitate the ability of qualified applicants, including highly skilled talent in AI and critical and emerging technologies, to continue their work in the United States without unnecessary interruption.

(i) consider initiating a rulemaking to expand the categories of nonimmigrants who qualify for the domestic visa renewal program covered under 22 C.F.R. 41.111(b) to include academic J-1 research scholars and F-1 students in science, technology, engineering, and mathematics (STEM); and

(ii) establish, to the extent permitted by law and available appropriations, a program to identify and attract top talent in AI and other critical and emerging technologies at universities, research institutions, and the private sector overseas, and to establish and increase connections with that talent to educate them on opportunities and resources for research and employment in the United States, including overseas educational components to inform top STEM talent of nonimmigrant and immigrant visa options and potential expedited adjudication of their visa petitions and applications.

(d) Within 180 days of the date of this order, the Secretary of Homeland Security shall:

(i) review and initiate any policy changes the Secretary determines necessary and appropriate to clarify and modernize immigration pathways for experts in AI and other critical and emerging technologies, including O-1A and EB-1 noncitizens of extraordinary ability; EB-2 advanced-degree holders and noncitizens of exceptional ability; and startup founders in AI and other critical and emerging technologies using the International Entrepreneur Rule; and

(ii) continue its rulemaking process to modernize the H-1B program and enhance its integrity and usage, including by experts in AI and other critical and emerging technologies, and consider initiating a rulemaking to enhance the process for noncitizens, including experts in AI and other critical and emerging technologies and their spouses, dependents, and children, to adjust their status to lawful permanent resident.

(e) Within 45 days of the date of this order, for purposes of considering updates to the “Schedule A” list of occupations, 20 C.F.R. 656.5, the Secretary of Labor shall publish a request for information (RFI) to solicit public input, including from industry and worker-advocate communities, identifying AI and other STEM-related occupations, as well as additional occupations across the economy, for which there is an insufficient number of ready, willing, able, and qualified United States workers.

(f) The Secretary of State and the Secretary of Homeland Security shall, consistent with applicable law and implementing regulations, use their discretionary authorities to support and attract foreign nationals with special skills in AI and other critical and emerging technologies seeking to work, study, or conduct research in the United States.

(g) Within 120 days of the date of this order, the Secretary of Homeland Security, in consultation with the Secretary of State, the Secretary of Commerce, and the Director of OSTP, shall develop and publish informational resources to better attract and retain experts in AI and other critical and emerging technologies, including:

(i) a clear and comprehensive guide for experts in AI and other critical and emerging technologies to understand their options for working in the United States, to be published in multiple relevant languages on AI.gov; and

(ii) a public report with relevant data on applications, petitions, approvals, and other key indicators of how experts in AI and other critical and emerging technologies have utilized the immigration system through the end of Fiscal Year 2023.

5.2. Promoting Innovation. (a) To develop and strengthen public-private partnerships for advancing innovation, commercialization, and risk-mitigation methods for AI, and to help promote safe, responsible, fair, privacy-protecting, and trustworthy AI systems, the Director of NSF shall take the following steps:

(i) Within 90 days of the date of this order, in coordination with the heads of agencies that the Director of NSF deems appropriate, launch a pilot program implementing the National AI Research Resource (NAIRR), consistent with past recommendations of the NAIRR Task Force. The program shall pursue the infrastructure, governance mechanisms, and user interfaces to pilot an initial integration of distributed computational, data, model, and training resources to be made available to the research community in support of AI-related research and development. The Director of NSF shall identify Federal and private sector computational, data, software, and training resources appropriate for inclusion in the NAIRR pilot program. To assist with such work, within 45 days of the date of this order, the heads of agencies whom the Director of NSF identifies for coordination pursuant to this subsection shall each submit to the Director of NSF a report identifying the agency resources that could be developed and integrated into such a pilot program. These reports shall include a description of such resources, including their current status and availability; their format, structure, or technical specifications; associated agency expertise that will be provided; and the benefits and risks associated with their inclusion in the NAIRR pilot program. The heads of independent regulatory agencies are encouraged to take similar steps, as they deem appropriate.

(ii) Within 150 days of the date of this order, fund and launch at least one NSF Regional Innovation Engine that prioritizes AI-related work, such as AI-related research, societal, or workforce needs.

(iii) Within 540 days of the date of this order, establish at least four new National AI Research Institutes, in addition to the 25 currently funded as of the date of this order.

(b) Within 120 days of the date of this order, to support activities involving high-performance and data-intensive computing, the Secretary of Energy, in coordination with the Director of NSF, shall, in a manner consistent with applicable law and available appropriations, establish a pilot program to enhance existing successful training programs for scientists, with the goal of training 500 new researchers by 2025 capable of meeting the rising demand for AI talent.

(c) To promote innovation and clarify issues related to AI and inventorship of patentable subject matter, the Under Secretary of Commerce for Intellectual Property and Director of the United States Patent and Trademark Office (USPTO Director) shall:

(i) within 120 days of the date of this order, publish guidance to USPTO patent examiners and applicants addressing inventorship and the use of AI, including generative AI, in the inventive process, including illustrative examples in which AI systems play different roles in inventive processes and how, in each example, inventorship issues ought to be analyzed;

(ii) subsequently, within 270 days of the date of this order, issue additional guidance to USPTO patent examiners and applicants to address other considerations at the intersection of AI and IP, which could include, as the USPTO Director deems necessary, updated guidance on patent eligibility to address innovation in AI and critical and emerging technologies; and

(iii) within 270 days of the date of this order or 180 days after the United States Copyright Office of the Library of Congress publishes its forthcoming AI study that will address copyright issues raised by AI, whichever comes later, consult with the Director of the United States Copyright Office and issue recommendations to the President on potential executive actions relating to copyright and AI. The recommendations shall address any copyright and related issues discussed in the United States Copyright Office’s study, including the scope of protection for works produced using AI and the treatment of copyrighted works in AI training.

(d) Within 180 days of the date of this order, to assist developers of AI in combatting AI-related IP risks, the Secretary of Homeland Security, acting through the Director of the National Intellectual Property Rights Coordination Center, and in consultation with the Attorney General, shall develop a training, analysis, and evaluation program to mitigate AI-related IP risks. Such a program shall:

(i) include appropriate personnel dedicated to collecting and analyzing reports of AI-related IP theft, investigating such incidents with implications for national security, and, where appropriate and consistent with applicable law, pursuing related enforcement actions;

(ii) implement a policy of sharing information and coordinating on such work, as appropriate and consistent with applicable law, with the Federal Bureau of Investigation; United States Customs and Border Protection; other agencies; State and local agencies; and appropriate international organizations, including through work-sharing agreements;

(iii) develop guidance and other appropriate resources to assist private sector actors with mitigating the risks of AI-related IP theft;

(iv) share information and best practices with AI developers and law enforcement personnel to identify incidents, inform stakeholders of current legal requirements, and evaluate AI systems for IP law violations, as well as develop mitigation strategies and resources; and

(v) assist the Intellectual Property Enforcement Coordinator in updating the Intellectual Property Enforcement Coordinator Joint Strategic Plan on Intellectual Property Enforcement to address AI-related issues.

(e) To advance responsible AI innovation by a wide range of healthcare technology developers that promotes the welfare of patients and workers in the healthcare sector, the Secretary of HHS shall identify and, as appropriate and consistent with applicable law and the activities directed in section 8 of this order, prioritize grantmaking and other awards, as well as undertake related efforts, to support responsible AI development and use, including:

(i) collaborating with appropriate private sector actors through HHS programs that may support the advancement of AI-enabled tools that develop personalized immune-response profiles for patients, consistent with section 4 of this order;

(ii) prioritizing the allocation of 2024 Leading Edge Acceleration Project cooperative agreement awards to initiatives that explore ways to improve healthcare-data quality to support the responsible development of AI tools for clinical care, real-world-evidence programs, population health, public health, and related research; and

(iii) accelerating grants awarded through the National Institutes of Health Artificial Intelligence/Machine Learning Consortium to Advance Health Equity and Researcher Diversity (AIM-AHEAD) program and showcasing current AIM-AHEAD activities in underserved communities.

(f) To advance the development of AI systems that improve the quality of veterans’ healthcare, and in order to support small businesses’ innovative capacity, the Secretary of Veterans Affairs shall:

(i) within 365 days of the date of this order, host two 3-month nationwide AI Tech Sprint competitions; and

(ii) as part of the AI Tech Sprint competitions and in collaboration with appropriate partners, provide participants access to technical assistance, mentorship opportunities, individualized expert feedback on products under development, potential contract opportunities, and other programming and resources.

(g) Within 180 days of the date of this order, to support the goal of strengthening our Nation’s resilience against climate change impacts and building an equitable clean energy economy for the future, the Secretary of Energy, in consultation with the Chair of the Federal Energy Regulatory Commission, the Director of OSTP, the Chair of the Council on Environmental Quality, the Assistant to the President and National Climate Advisor, and the heads of other relevant agencies as the Secretary of Energy may deem appropriate, shall:

(i) issue a public report describing the potential for AI to improve planning, permitting, investment, and operations for electric grid infrastructure and to enable the provision of clean, affordable, reliable, resilient, and secure electric power to all Americans;

(ii) develop tools that facilitate building foundation models useful for basic and applied science, including models that streamline permitting and environmental reviews while improving environmental and social outcomes;

(iii) collaborate, as appropriate, with private sector organizations and members of academia to support development of AI tools to mitigate climate change risks;

(iv) take steps to expand partnerships with industry, academia, other agencies, and international allies and partners to utilize the Department of Energy’s computing capabilities and AI testbeds to build foundation models that support new applications in science and energy, and for national security, including partnerships that increase community preparedness for climate-related risks, enable clean-energy deployment (including addressing delays in permitting reviews), and enhance grid reliability and resilience; and

(v) establish an office to coordinate development of AI and other critical and emerging technologies across Department of Energy programs and the 17 National Laboratories.

(h) Within 180 days of the date of this order, to understand AI’s implications for scientific research, the President’s Council of Advisors on Science and Technology shall submit to the President and make publicly available a report on the potential role of AI, especially given recent developments in AI, in research aimed at tackling major societal and global challenges. The report shall include a discussion of issues that may hinder the effective use of AI in research and practices needed to ensure that AI is used responsibly for research.

5.3. Promoting Competition. (a) The head of each agency developing policies and regulations related to AI shall use their authorities, as appropriate and consistent with applicable law, to promote competition in AI and related technologies, as well as in other markets. Such actions include addressing risks arising from concentrated control of key inputs, taking steps to stop unlawful collusion and prevent dominant firms from disadvantaging competitors, and working to provide new opportunities for small businesses and entrepreneurs. In particular, the Federal Trade Commission is encouraged to consider, as it deems appropriate, whether to exercise the Commission’s existing authorities, including its rulemaking authority under the Federal Trade Commission Act, 15 U.S.C. 41 et seq., to ensure fair competition in the AI marketplace and to ensure that consumers and workers are protected from harms that may be enabled by the use of AI.

(b) To promote competition and innovation in the semiconductor industry, recognizing that semiconductors power AI technologies and that their availability is critical to AI competition, the Secretary of Commerce shall, in implementing division A of Public Law 117-167, known as the Creating Helpful Incentives to Produce Semiconductors (CHIPS) Act of 2022, promote competition by:

(i) implementing a flexible membership structure for the National Semiconductor Technology Center that attracts all parts of the semiconductor and microelectronics ecosystem, including startups and small firms;

(ii) implementing mentorship programs to increase interest and participation in the semiconductor industry, including from workers in underserved communities;

(iii) increasing, where appropriate and to the extent permitted by law, the availability of resources to startups and small businesses, including:

(A) funding for physical assets, such as specialty equipment or facilities, to which startups and small businesses may not otherwise have access;

(B) datasets — potentially including test and performance data — collected, aggregated, or shared by CHIPS research and development programs;

(D) design and process technology, as well as IP, as appropriate; and

(E) other resources, including technical and intellectual property assistance, that could accelerate commercialization of new technologies by startups and small businesses, as appropriate; and

(iv) considering the inclusion, to the maximum extent possible, and as consistent with applicable law, of competition-increasing measures in notices of funding availability for commercial research-and-development facilities focused on semiconductors, including measures that increase access to facility capacity for startups or small firms developing semiconductors used to power AI technologies.

(c) To support small businesses innovating and commercializing AI, as well as in responsibly adopting and deploying AI, the Administrator of the Small Business Administration shall:

(i) prioritize the allocation of Regional Innovation Cluster program funding for clusters that support planning activities related to the establishment of one or more Small Business AI Innovation and Commercialization Institutes that provide support, technical assistance, and other resources to small businesses seeking to innovate, commercialize, scale, or otherwise advance the development of AI;

(ii) prioritize the allocation of up to $2 million in Growth Accelerator Fund Competition bonus prize funds for accelerators that support the incorporation or expansion of AI-related curricula, training, and technical assistance, or other AI-related resources within their programming; and

(iii) assess the extent to which the eligibility criteria of existing programs, including the State Trade Expansion Program, Technical and Business Assistance funding, and capital-access programs — such as the 7(a) loan program, 504 loan program, and Small Business Investment Company (SBIC) program — support appropriate expenses by small businesses related to the adoption of AI and, if feasible and appropriate, revise eligibility criteria to improve support for these expenses.

(d) The Administrator of the Small Business Administration, in coordination with resource partners, shall conduct outreach regarding, and raise awareness of, opportunities for small businesses to use capital-access programs described in subsection 5.3(c) of this section for eligible AI-related purposes, and for eligible investment funds with AI-related expertise — particularly those seeking to serve or with experience serving underserved communities — to apply for an SBIC license.

Sec. 6. Supporting Workers.(a) To advance the Government’s understanding of AI’s implications for workers, the following actions shall be taken within 180 days of the date of this order:

(i) The Chairman of the Council of Economic Advisers shall prepare and submit a report to the President on the labor-market effects of AI.

(ii) To evaluate necessary steps for the Federal Government to address AI-related workforce disruptions, the Secretary of Labor shall submit to the President a report analyzing the abilities of agencies to support workers displaced by the adoption of AI and other technological advancements. The report shall, at a minimum:

(A) assess how current or formerly operational Federal programs designed to assist workers facing job disruptions — including unemployment insurance and programs authorized by the Workforce Innovation and Opportunity Act (Public Law 113-128) — could be used to respond to possible future AI-related disruptions; and

(B) identify options, including potential legislative measures, to strengthen or develop additional Federal support for workers displaced by AI and, in consultation with the Secretary of Commerce and the Secretary of Education, strengthen and expand education and training opportunities that provide individuals pathways to occupations related to AI.

(b) To help ensure that AI deployed in the workplace advances employees’ well-being:

(i) The Secretary of Labor shall, within 180 days of the date of this order and in consultation with other agencies and with outside entities, including labor unions and workers, as the Secretary of Labor deems appropriate, develop and publish principles and best practices for employers that could be used to mitigate AI’s potential harms to employees’ well-being and maximize its potential benefits. The principles and best practices shall include specific steps for employers to take with regard to AI, and shall cover, at a minimum:

(A) job-displacement risks and career opportunities related to AI, including effects on job skills and evaluation of applicants and workers;

(B) labor standards and job quality, including issues related to the equity, protected-activity, compensation, health, and safety implications of AI in the workplace; and

(C) implications for workers of employers’ AI-related collection and use of data about them, including transparency, engagement, management, and activity protected under worker-protection laws.

(ii) After principles and best practices are developed pursuant to subsection (b)(i) of this section, the heads of agencies shall consider, in consultation with the Secretary of Labor, encouraging the adoption of these guidelines in their programs to the extent appropriate for each program and consistent with applicable law.

(iii) To support employees whose work is monitored or augmented by AI in being compensated appropriately for all of their work time, the Secretary of Labor shall issue guidance to make clear that employers that deploy AI to monitor or augment employees’ work must continue to comply with protections that ensure that workers are compensated for their hours worked, as defined under the Fair Labor Standards Act of 1938, 29 U.S.C. 201 et seq., and other legal requirements.

(c) To foster a diverse AI-ready workforce, the Director of NSF shall prioritize available resources to support AI-related education and AI-related workforce development through existing programs. The Director shall additionally consult with agencies, as appropriate, to identify further opportunities for agencies to allocate resources for those purposes. The actions by the Director shall use appropriate fellowship programs and awards for these purposes.

Sec. 7. Advancing Equity and Civil Rights.

7.1. Strengthening AI and Civil Rights in the Criminal Justice System. (a) To address unlawful discrimination and other harms that may be exacerbated by AI, the Attorney General shall:

(i) consistent with Executive Order 12250 of November 2, 1980 (Leadership and Coordination of Nondiscrimination Laws), Executive Order 14091, and 28 C.F.R. 0.50-51, coordinate with and support agencies in their implementation and enforcement of existing Federal laws to address civil rights and civil liberties violations and discrimination related to AI;

(ii) direct the Assistant Attorney General in charge of the Civil Rights Division to convene, within 90 days of the date of this order, a meeting of the heads of Federal civil rights offices — for which meeting the heads of civil rights offices within independent regulatory agencies will be encouraged to join — to discuss comprehensive use of their respective authorities and offices to: prevent and address discrimination in the use of automated systems, including algorithmic discrimination; increase coordination between the Department of Justice’s Civil Rights Division and Federal civil rights offices concerning issues related to AI and algorithmic discrimination; improve external stakeholder engagement to promote public awareness of potential discriminatory uses and effects of AI; and develop, as appropriate, additional training, technical assistance, guidance, or other resources; and

(iii) consider providing, as appropriate and consistent with applicable law, guidance, technical assistance, and training to State, local, Tribal, and territorial investigators and prosecutors on best practices for investigating and prosecuting civil rights violations and discrimination related to automated systems, including AI.

(b) To promote the equitable treatment of individuals and adhere to the Federal Government’s fundamental obligation to ensure fair and impartial justice for all, with respect to the use of AI in the criminal justice system, the Attorney General shall, in consultation with the Secretary of Homeland Security and the Director of OSTP:

(i) within 365 days of the date of this order, submit to the President a report that addresses the use of AI in the criminal justice system, including any use in:

(A) sentencing;

(B) parole, supervised release, and probation;

(D) risk assessments, including pretrial, earned time, and early release or transfer to home-confinement determinations;

(E) police surveillance;

(F) crime forecasting and predictive policing, including the ingestion of historical crime data into AI systems to predict high-density “hot spots”;

(G) prison-management tools; and

(H) forensic analysis;

(ii) within the report set forth in subsection 7.1(b)(i) of this section:

(A) identify areas where AI can enhance law enforcement efficiency and accuracy, consistent with protections for privacy, civil rights, and civil liberties; and

(B) recommend best practices for law enforcement agencies, including safeguards and appropriate use limits for AI, to address the concerns set forth in section 13(e)(i) of Executive Order 14074 as well as the best practices and the guidelines set forth in section 13(e)(iii) of Executive Order 14074; and

(iii) supplement the report set forth in subsection 7.1(b)(i) of this section as appropriate with recommendations to the President, including with respect to requests for necessary legislation.

(c) To advance the presence of relevant technical experts and expertise (such as machine-learning engineers, software and infrastructure engineering, data privacy experts, data scientists, and user experience researchers) among law enforcement professionals:

(i) The interagency working group created pursuant to section 3 of Executive Order 14074 shall, within 180 days of the date of this order, identify and share best practices for recruiting and hiring law enforcement professionals who have the technical skills mentioned in subsection 7.1(c) of this section, and for training law enforcement professionals about responsible application of AI.

(ii) Within 270 days of the date of this order, the Attorney General shall, in consultation with the Secretary of Homeland Security, consider those best practices and the guidance developed under section 3(d) of Executive Order 14074 and, if necessary, develop additional general recommendations for State, local, Tribal, and territorial law enforcement agencies and criminal justice agencies seeking to recruit, hire, train, promote, and retain highly qualified and service-oriented officers and staff with relevant technical knowledge. In considering this guidance, the Attorney General shall consult with State, local, Tribal, and territorial law enforcement agencies, as appropriate.

(iii) Within 365 days of the date of this order, the Attorney General shall review the work conducted pursuant to section 2(b) of Executive Order 14074 and, if appropriate, reassess the existing capacity to investigate law enforcement deprivation of rights under color of law resulting from the use of AI, including through improving and increasing training of Federal law enforcement officers, their supervisors, and Federal prosecutors on how to investigate and prosecute cases related to AI involving the deprivation of rights under color of law pursuant to 18 U.S.C. 242.

7.2. Protecting Civil Rights Related to Government Benefits and Programs. (a) To advance equity and civil rights, consistent with the directives of Executive Order 14091, and in addition to complying with the guidance on Federal Government use of AI issued pursuant to section 10.1(b) of this order, agencies shall use their respective civil rights and civil liberties offices and authorities — as appropriate and consistent with applicable law — to prevent and address unlawful discrimination and other harms that result from uses of AI in Federal Government programs and benefits administration. This directive does not apply to agencies’ civil or criminal enforcement authorities. Agencies shall consider opportunities to ensure that their respective civil rights and civil liberties offices are appropriately consulted on agency decisions regarding the design, development, acquisition, and use of AI in Federal Government programs and benefits administration. To further these objectives, agencies shall also consider opportunities to increase coordination, communication, and engagement about AI as appropriate with community-based organizations; civil-rights and civil-liberties organizations; academic institutions; industry; State, local, Tribal, and territorial governments; and other stakeholders.

(b) To promote equitable administration of public benefits:

(i) The Secretary of HHS shall, within 180 days of the date of this order and in consultation with relevant agencies, publish a plan, informed by the guidance issued pursuant to section 10.1(b) of this order, addressing the use of automated or algorithmic systems in the implementation by States and localities of public benefits and services administered by the Secretary, such as to promote: assessment of access to benefits by qualified recipients; notice to recipients about the presence of such systems; regular evaluation to detect unjust denials; processes to retain appropriate levels of discretion of expert agency staff; processes to appeal denials to human reviewers; and analysis of whether algorithmic systems in use by benefit programs achieve equitable and just outcomes.

(ii) The Secretary of Agriculture shall, within 180 days of the date of this order and as informed by the guidance issued pursuant to section 10.1(b) of this order, issue guidance to State, local, Tribal, and territorial public-benefits administrators on the use of automated or algorithmic systems in implementing benefits or in providing customer support for benefit programs administered by the Secretary, to ensure that programs using those systems:

(A) maximize program access for eligible recipients;

(B) employ automated or algorithmic systems in a manner consistent with any requirements for using merit systems personnel in public-benefits programs;

(C) identify instances in which reliance on automated or algorithmic systems would require notification by the State, local, Tribal, or territorial government to the Secretary;

(D) identify instances when applicants and participants can appeal benefit determinations to a human reviewer for reconsideration and can receive other customer support from a human being;

(E) enable auditing and, if necessary, remediation of the logic used to arrive at an individual decision or determination to facilitate the evaluation of appeals; and

(F) enable the analysis of whether algorithmic systems in use by benefit programs achieve equitable outcomes.

7.3. Strengthening AI and Civil Rights in the Broader Economy. (a) Within 365 days of the date of this order, to prevent unlawful discrimination from AI used for hiring, the Secretary of Labor shall publish guidance for Federal contractors regarding nondiscrimination in hiring involving AI and other technology-based hiring systems.

(b) To address discrimination and biases against protected groups in housing markets and consumer financial markets, the Director of the Federal Housing Finance Agency and the Director of the Consumer Financial Protection Bureau are encouraged to consider using their authorities, as they deem appropriate, to require their respective regulated entities, where possible, to use appropriate methodologies including AI tools to ensure compliance with Federal law and:

(i) evaluate their underwriting models for bias or disparities affecting protected groups; and

(ii) evaluate automated collateral-valuation and appraisal processes in ways that minimize bias.

(c) Within 180 days of the date of this order, to combat unlawful discrimination enabled by automated or algorithmic tools used to make decisions about access to housing and in other real estate-related transactions, the Secretary of Housing and Urban Development shall, and the Director of the Consumer Financial Protection Bureau is encouraged to, issue additional guidance:

(i) addressing the use of tenant screening systems in ways that may violate the Fair Housing Act (Public Law 90-284), the Fair Credit Reporting Act (Public Law 91-508), or other relevant Federal laws, including how the use of data, such as criminal records, eviction records, and credit information, can lead to discriminatory outcomes in violation of Federal law; and

(ii) addressing how the Fair Housing Act, the Consumer Financial Protection Act of 2010 (title X of Public Law 111-203), or the Equal Credit Opportunity Act (Public Law 93-495) apply to the advertising of housing, credit, and other real estate-related transactions through digital platforms, including those that use algorithms to facilitate advertising delivery, as well as on best practices to avoid violations of Federal law.

(d) To help ensure that people with disabilities benefit from AI’s promise while being protected from its risks, including unequal treatment from the use of biometric data like gaze direction, eye tracking, gait analysis, and hand motions, the Architectural and Transportation Barriers Compliance Board is encouraged, as it deems appropriate, to solicit public participation and conduct community engagement; to issue technical assistance and recommendations on the risks and benefits of AI in using biometric data as an input; and to provide people with disabilities access to information and communication technology and transportation services.

Sec. 8. Protecting Consumers, Patients, Passengers, and Students. (a) Independent regulatory agencies are encouraged, as they deem appropriate, to consider using their full range of authorities to protect American consumers from fraud, discrimination, and threats to privacy and to address other risks that may arise from the use of AI, including risks to financial stability, and to consider rulemaking, as well as emphasizing or clarifying where existing regulations and guidance apply to AI, including clarifying the responsibility of regulated entities to conduct due diligence on and monitor any third-party AI services they use, and emphasizing or clarifying requirements and expectations related to the transparency of AI models and regulated entities’ ability to explain their use of AI models.

(b) To help ensure the safe, responsible deployment and use of AI in the healthcare, public-health, and human-services sectors:

(i) Within 90 days of the date of this order, the Secretary of HHS shall, in consultation with the Secretary of Defense and the Secretary of Veterans Affairs, establish an HHS AI Task Force that shall, within 365 days of its creation, develop a strategic plan that includes policies and frameworks — possibly including regulatory action, as appropriate — on responsible deployment and use of AI and AI-enabled technologies in the health and human services sector (including research and discovery, drug and device safety, healthcare delivery and financing, and public health), and identify appropriate guidance and
resources to promote that deployment, including in the following areas:

(A) development, maintenance, and use of predictive and generative AI-enabled technologies in healthcare delivery and financing — including quality measurement, performance improvement, program integrity, benefits administration, and patient experience — taking into account considerations such as appropriate human oversight of the application of AI-generated output;

(B) long-term safety and real-world performance monitoring of AI-enabled technologies in the health and human services sector, including clinically relevant or significant modifications and performance across population groups, with a means to communicate product updates to regulators, developers, and users;

(C) incorporation of equity principles in AI-enabled technologies used in the health and human services sector, using disaggregated data on affected populations and representative population data sets when developing new models, monitoring algorithmic performance against discrimination and bias in existing models, and helping to identify and mitigate discrimination and bias in current systems;

(D) incorporation of safety, privacy, and security standards into the software-development lifecycle for protection of personally identifiable information, including measures to address AI-enhanced cybersecurity threats in the health and human services sector;

(E) development, maintenance, and availability of documentation to help users determine appropriate and safe uses of AI in local settings in the health and human services sector;

(F) work to be done with State, local, Tribal, and territorial health and human services agencies to advance positive use cases and best practices for use of AI in local settings; and

(G) identification of uses of AI to promote workplace efficiency and satisfaction in the health and human services sector, including reducing administrative burdens.

(ii) Within 180 days of the date of this order, the Secretary of HHS shall direct HHS components, as the Secretary of HHS deems appropriate, to develop a strategy, in consultation with relevant agencies, to determine whether AI-enabled technologies in the health and human services sector maintain appropriate levels of quality, including, as appropriate, in the areas described in subsection (b)(i) of this section. This work shall include the development of AI assurance policy — to evaluate important aspects of the performance of AI-enabled healthcare tools — and infrastructure needs for enabling pre-market assessment and post-market oversight of AI-enabled healthcare-technology algorithmic system performance against real-world data.

(iii) Within 180 days of the date of this order, the Secretary of HHS shall, in consultation with relevant agencies as the Secretary of HHS deems appropriate, consider appropriate actions to advance the prompt understanding of, and compliance with, Federal nondiscrimination laws by health and human services providers that receive Federal financial assistance, as well as how those laws relate to AI. Such actions may include:

(A) convening and providing technical assistance to health and human services providers and payers about their obligations under Federal nondiscrimination and privacy laws as they relate to AI and the potential consequences of noncompliance; and

(B) issuing guidance, or taking other action as appropriate, in response to any complaints or other reports of noncompliance with Federal nondiscrimination and privacy laws as they relate to AI.

(iv) Within 365 days of the date of this order, the Secretary of HHS shall, in consultation with the Secretary of Defense and the Secretary of Veterans Affairs, establish an AI safety program that, in partnership with voluntary federally listed Patient Safety Organizations:

(A) establishes a common framework for approaches to identifying and capturing clinical errors resulting from AI deployed in healthcare settings as well as specifications for a central tracking repository for associated incidents that cause harm, including through bias or discrimination, to patients, caregivers, or other parties;

(B) analyzes captured data and generated evidence to develop, wherever appropriate, recommendations, best practices, or other informal guidelines aimed at avoiding these harms; and

(C) disseminates those recommendations, best practices, or other informal guidance to appropriate stakeholders, including healthcare providers.

(v) Within 365 days of the date of this order, the Secretary of HHS shall develop a strategy for regulating the use of AI or AI-enabled tools in drug-development processes. The strategy shall, at a minimum:

(A) define the objectives, goals, and high-level principles required for appropriate regulation throughout each phase of drug development;

(B) identify areas where future rulemaking, guidance, or additional statutory authority may be necessary to implement such a regulatory system;

(C) identify the existing budget, resources, personnel, and potential for new public/private partnerships necessary for such a regulatory system; and

(D) consider risks identified by the actions undertaken to implement section 4 of this order.

(c) To promote the safe and responsible development and use of AI in the transportation sector, in consultation with relevant agencies:

(i) Within 30 days of the date of this order, the Secretary of Transportation shall direct the Nontraditional and Emerging Transportation Technology (NETT) Council to assess the need for information, technical assistance, and guidance regarding the use of AI in transportation. The Secretary of Transportation shall further direct the NETT Council, as part of any such efforts, to:

(A) support existing and future initiatives to pilot transportation-related applications of AI, as they align with policy priorities articulated in the Department of Transportation’s (DOT) Innovation Principles, including, as appropriate, through technical assistance and connecting stakeholders;

(B) evaluate the outcomes of such pilot programs in order to assess when DOT, or other Federal or State agencies, have sufficient information to take regulatory actions, as appropriate, and recommend appropriate actions when that information is available; and

(C) establish a new DOT Cross-Modal Executive Working Group, which will consist of members from different divisions of DOT and coordinate applicable work among these divisions, to solicit and use relevant input from appropriate stakeholders.

(ii) Within 90 days of the date of this order, the Secretary of Transportation shall direct appropriate Federal Advisory Committees of the DOT to provide advice on the safe and responsible use of AI in transportation. The committees shall include the Advanced Aviation Advisory Committee, the Transforming Transportation Advisory Committee, and the Intelligent Transportation Systems Program Advisory Committee.

(iii) Within 180 days of the date of this order, the Secretary of Transportation shall direct the Advanced Research Projects Agency-Infrastructure (ARPA-I) to explore the transportation-related opportunities and challenges of AI — including regarding software-defined AI enhancements impacting autonomous mobility ecosystems. The Secretary of Transportation shall further encourage ARPA-I to prioritize the allocation of grants to those opportunities, as appropriate. The work tasked to ARPA-I shall include soliciting input on these topics through a public consultation process, such as an RFI.

(d) To help ensure the responsible development and deployment of AI in the education sector, the Secretary of Education shall, within 365 days of the date of this order, develop resources, policies, and guidance regarding AI. These resources shall address safe, responsible, and nondiscriminatory uses of AI in education, including the impact AI systems have on vulnerable and underserved communities, and shall be developed in consultation with stakeholders as appropriate. They shall also include the development of an “AI toolkit” for education leaders implementing recommendations from the Department of Education’s AI and the Future of Teaching and Learning report, including appropriate human review of AI decisions, designing AI systems to enhance trust and safety and align with privacy-related laws and regulations in the educational context, and developing education-specific guardrails.

(e) The Federal Communications Commission is encouraged to consider actions related to how AI will affect communications networks and consumers, including by:

(i) examining the potential for AI to improve spectrum management, increase the efficiency of non-Federal spectrum usage, and expand opportunities for the sharing of non-Federal spectrum;

(ii) coordinating with the National Telecommunications and Information Administration to create opportunities for sharing spectrum between Federal and non-Federal spectrum operations;

(iii) providing support for efforts to improve network security, resiliency, and interoperability using next-generation technologies that incorporate AI, including self-healing networks, 6G, and Open RAN; and

(iv) encouraging, including through rulemaking, efforts to combat unwanted robocalls and robotexts that are facilitated or exacerbated by AI and to deploy AI technologies that better serve consumers by blocking unwanted robocalls and robotexts.

Sec. 9. Protecting Privacy. (a) To mitigate privacy risks potentially exacerbated by AI — including by AI’s facilitation of the collection or use of information about individuals, or the making of inferences about individuals — the Director of OMB shall:

(i) evaluate and take steps to identify commercially available information (CAI) procured by agencies, particularly CAI that contains personally identifiable information and including CAI procured from data brokers and CAI procured and processed indirectly through vendors, in appropriate agency inventory and reporting processes (other than when it is used for the purposes of national security);

(ii) evaluate, in consultation with the Federal Privacy Council and the Interagency Council on Statistical Policy, agency standards and procedures associated with the collection, processing, maintenance, use, sharing, dissemination, and disposition of CAI that contains personally identifiable information (other than when it is used for the purposes of national security) to inform potential guidance to agencies on ways to mitigate privacy and confidentiality risks from agencies’ activities related to CAI;

(iii) within 180 days of the date of this order, in consultation with the Attorney General, the Assistant to the President for Economic Policy, and the Director of OSTP, issue an RFI to inform potential revisions to guidance to agencies on implementing the privacy provisions of the E-Government Act of 2002 (Public Law 107-347). The RFI shall seek feedback regarding how privacy impact assessments may be more effective at mitigating privacy risks, including those that are further exacerbated by AI; and

(iv) take such steps as are necessary and appropriate, consistent with applicable law, to support and advance the near-term actions and long-term strategy identified through the RFI process, including issuing new or updated guidance or RFIs or consulting other agencies or the Federal Privacy Council.

(b) Within 365 days of the date of this order, to better enable agencies to use PETs to safeguard Americans’ privacy from the potential threats exacerbated by AI, the Secretary of Commerce, acting through the Director of NIST, shall create guidelines for agencies to evaluate the efficacy of differential-privacy-guarantee protections, including for AI. The guidelines shall, at a minimum, describe the significant factors that bear on differential-privacy safeguards and common risks to realizing differential privacy in practice.

(i) Within 120 days of the date of this order, the Director of NSF, in collaboration with the Secretary of Energy, shall fund the creation of a Research Coordination Network (RCN) dedicated to advancing privacy research and, in particular, the development, deployment, and scaling of PETs. The RCN shall serve to enable privacy researchers to share information, coordinate and collaborate in research, and develop standards for the privacy-research community.

(ii) Within 240 days of the date of this order, the Director of NSF shall engage with agencies to identify ongoing work and potential opportunities to incorporate PETs into their operations. The Director of NSF shall, where feasible and appropriate, prioritize research — including efforts to translate research discoveries into practical applications — that encourage the adoption of leading-edge PETs solutions for agencies’ use, including through research engagement through the RCN described in subsection (c)(i) of this section.

(iii) The Director of NSF shall use the results of the United States-United Kingdom PETs Prize Challenge to inform the approaches taken, and opportunities identified, for PETs research and adoption.

Sec. 10. Advancing Federal Government Use of AI.

10.1. Providing Guidance for AI Management. (a) To coordinate the use of AI across the Federal Government, within 60 days of the date of this order and on an ongoing basis as necessary, the Director of OMB shall convene and chair an interagency council to coordinate the development and use of AI in agencies’ programs and operations, other than the use of AI in national security systems. The Director of OSTP shall serve as Vice Chair for the interagency council. The interagency council’s membership shall include, at minimum, the heads of the agencies identified in 31 U.S.C. 901(b), the Director of National Intelligence, and other agencies as identified by the Chair. Until agencies designate their permanent Chief AI Officers consistent with the guidance described in subsection 10.1(b) of this section, they shall be represented on the interagency council by an appropriate official at the Assistant Secretary level or equivalent, as determined by the head of each agency.

(b) To provide guidance on Federal Government use of AI, within 150 days of the date of this order and updated periodically thereafter, the Director of OMB, in coordination with the Director of OSTP, and in consultation with the interagency council established in subsection 10.1(a) of this section, shall issue guidance to agencies to strengthen the effective and appropriate use of AI, advance AI innovation, and manage risks from AI in the Federal Government. The Director of OMB’s guidance shall specify, to the extent appropriate and consistent with applicable law:

(i) the requirement to designate at each agency within 60 days of the issuance of the guidance a Chief Artificial Intelligence Officer who shall hold primary responsibility in their agency, in coordination with other responsible officials, for coordinating their agency’s use of AI, promoting AI innovation in their agency, managing risks from their agency’s use of AI, and carrying out the responsibilities described in section 8(c) of Executive Order 13960 of December 3, 2020 (Promoting the Use of Trustworthy Artificial Intelligence in the Federal Government), and section 4(b) of Executive Order 14091;

(ii) the Chief Artificial Intelligence Officers’ roles, responsibilities, seniority, position, and reporting structures;

(iii) for the agencies identified in 31 U.S.C. 901(b), the creation of internal Artificial Intelligence Governance Boards, or other appropriate mechanisms, at each agency within 60 days of the issuance of the guidance to coordinate and govern AI issues through relevant senior leaders from across the agency;

(iv) required minimum risk-management practices for Government uses of AI that impact people’s rights or safety, including, where appropriate, the following practices derived from OSTP’s Blueprint for an AI Bill of Rights and the NIST AI Risk Management Framework: conducting public consultation; assessing data quality; assessing and mitigating disparate impacts and algorithmic discrimination; providing notice of the use of AI; continuously monitoring and evaluating deployed AI; and granting human consideration and remedies for adverse decisions made using AI;

(v) specific Federal Government uses of AI that are presumed by default to impact rights or safety;

(vi) recommendations to agencies to reduce barriers to the responsible use of AI, including barriers related to information technology infrastructure, data, workforce, budgetary restrictions, and cybersecurity processes;

(vii) requirements that agencies identified in 31 U.S.C. 901(b) develop AI strategies and pursue high-impact AI use cases;

(viii) in consultation with the Secretary of Commerce, the Secretary of Homeland Security, and the heads of other appropriate agencies as determined by the Director of OMB, recommendations to agencies regarding:

(A) external testing for AI, including AI red-teaming for generative AI, to be developed in coordination with the Cybersecurity and Infrastructure Security Agency;

(B) testing and safeguards against discriminatory, misleading, inflammatory, unsafe, or deceptive outputs, as well as against producing child sexual abuse material and against producing non-consensual intimate imagery of real individuals (including intimate digital depictions of the body or body parts of an identifiable individual), for generative AI;

(D) application of the mandatory minimum risk-management practices defined under subsection 10.1(b)(iv) of this section to procured AI;

(E) independent evaluation of vendors’ claims concerning both the effectiveness and risk mitigation of their AI offerings;

(F) documentation and oversight of procured AI;

(G) maximizing the value to agencies when relying on contractors to use and enrich Federal Government data for the purposes of AI development and operation;

(H) provision of incentives for the continuous improvement of procured AI; and

(I) training on AI in accordance with the principles set out in this order and in other references related to AI listed herein; and

(ix) requirements for public reporting on compliance with this guidance.

(c) To track agencies’ AI progress, within 60 days of the issuance of the guidance established in subsection 10.1(b) of this section and updated periodically thereafter, the Director of OMB shall develop a method for agencies to track and assess their ability to adopt AI into their programs and operations, manage its risks, and comply with Federal policy on AI. This method should draw on existing related efforts as appropriate and should address, as appropriate and consistent with applicable law, the practices, processes, and capabilities necessary for responsible AI adoption, training, and governance across, at a minimum, the areas of information technology infrastructure, data, workforce, leadership, and risk management.

(d) To assist agencies in implementing the guidance to be established in subsection 10.1(b) of this section:

(i) within 90 days of the issuance of the guidance, the Secretary of Commerce, acting through the Director of NIST, and in coordination with the Director of OMB and the Director of OSTP, shall develop guidelines, tools, and practices to support implementation of the minimum risk-management practices described in subsection 10.1(b)(iv) of this section; and

(ii) within 180 days of the issuance of the guidance, the Director of OMB shall develop an initial means to ensure that agency contracts for the acquisition of AI systems and services align with the guidance described in subsection 10.1(b) of this section and advance the other aims identified in section 7224(d)(1) of the Advancing American AI Act (Public Law 117-263, div. G, title LXXII, subtitle B).

(e) To improve transparency for agencies’ use of AI, the Director of OMB shall, on an annual basis, issue instructions to agencies for the collection, reporting, and publication of agency AI use cases, pursuant to section 7225(a) of the Advancing American AI Act. Through these instructions, the Director shall, as appropriate, expand agencies’ reporting on how they are managing risks from their AI use cases and update or replace the guidance originally established in section 5 of Executive Order 13960.

(f) To advance the responsible and secure use of generative AI in the Federal Government:

(i) As generative AI products become widely available and common in online platforms, agencies are discouraged from imposing broad general bans or blocks on agency use of generative AI. Agencies should instead limit access, as necessary, to specific generative AI services based on specific risk assessments; establish guidelines and limitations on the appropriate use of generative AI; and, with appropriate safeguards in place, provide their personnel and programs with access to secure and reliable generative AI capabilities, at least for the purposes of experimentation and routine tasks that carry a low risk of impacting Americans’ rights. To protect Federal Government information, agencies are also encouraged to employ risk-management practices, such as training their staff on proper use, protection, dissemination, and disposition of Federal information; negotiating appropriate terms of service with vendors; implementing measures designed to ensure compliance with record-keeping, cybersecurity, confidentiality, privacy, and data protection requirements; and deploying other measures to prevent misuse of Federal Government information in generative AI.

(ii) Within 90 days of the date of this order, the Administrator of General Services, in coordination with the Director of OMB, and in consultation with the Federal Secure Cloud Advisory Committee and other relevant agencies as the Administrator of General Services may deem appropriate, shall develop and issue a framework for prioritizing critical and emerging technologies offerings in the Federal Risk and Authorization Management Program authorization process, starting with generative AI offerings that have the primary purpose of providing large language model-based chat interfaces, code-generation and debugging tools, and associated application programming interfaces, as well as prompt-based image generators. This framework shall apply for no less than 2 years from the date of its issuance. Agency Chief Information Officers, Chief Information Security Officers, and authorizing officials are also encouraged to prioritize generative AI and other critical and emerging technologies in granting authorities for agency operation of information technology systems and any other applicable release or oversight processes, using continuous authorizations and approvals wherever feasible.

(iii) Within 180 days of the date of this order, the Director of the Office of Personnel Management (OPM), in coordination with the Director of OMB, shall develop guidance on the use of generative AI for work by the Federal workforce.

(g) Within 30 days of the date of this order, to increase agency investment in AI, the Technology Modernization Board shall consider, as it deems appropriate and consistent with applicable law, prioritizing funding for AI projects for the Technology Modernization Fund for a period of at least 1 year. Agencies are encouraged to submit to the Technology Modernization Fund project funding proposals that include AI — and particularly generative AI — in service of mission delivery.

(h) Within 180 days of the date of this order, to facilitate agencies’ access to commercial AI capabilities, the Administrator of General Services, in coordination with the Director of OMB, and in collaboration with the Secretary of Defense, the Secretary of Homeland Security, the Director of National Intelligence, the Administrator of the National Aeronautics and Space Administration, and the head of any other agency identified by the Administrator of General Services, shall take steps consistent with applicable law to facilitate access to Federal Government-wide acquisition solutions for specified types of AI services and products, such as through the creation of a resource guide or other tools to assist the acquisition workforce. Specified types of AI capabilities shall include generative AI and specialized computing infrastructure.

(i) The initial means, instructions, and guidance issued pursuant to subsections 10.1(a)-(h) of this section shall not apply to AI when it is used as a component of a national security system, which shall be addressed by the proposed National Security Memorandum described in subsection 4.8 of this order.

10.2. Increasing AI Talent in Government. (a) Within 45 days of the date of this order, to plan a national surge in AI talent in the Federal Government, the Director of OSTP and the Director of OMB, in consultation with the Assistant to the President for National Security Affairs, the Assistant to the President for Economic Policy, the Assistant to the President and Domestic Policy Advisor, and the Assistant to the President and Director of the Gender Policy Council, shall identify priority mission areas for increased Federal Government AI talent, the types of talent that are highest priority to recruit and develop to ensure adequate implementation of this order and use of relevant enforcement and regulatory authorities to address AI risks, and accelerated hiring pathways.

(b) Within 45 days of the date of this order, to coordinate rapid advances in the capacity of the Federal AI workforce, the Assistant to the President and Deputy Chief of Staff for Policy, in coordination with the Director of OSTP and the Director of OMB, and in consultation with the National Cyber Director, shall convene an AI and Technology Talent Task Force, which shall include the Director of OPM, the Director of the General Services Administration’s Technology Transformation Services, a representative from the Chief Human Capital Officers Council, the Assistant to the President for Presidential Personnel, members of appropriate agency technology talent programs, a representative of the Chief Data Officer Council, and a representative of the interagency council convened under subsection 10.1(a) of this section. The Task Force’s purpose shall be to accelerate and track the hiring of AI and AI-enabling talent across the Federal Government, including through the following actions:

(i) within 180 days of the date of this order, tracking and reporting progress to the President on increasing AI capacity across the Federal Government, including submitting to the President a report and recommendations for further increasing capacity;

(ii) identifying and circulating best practices for agencies to attract, hire, retain, train, and empower AI talent, including diversity, inclusion, and accessibility best practices, as well as to plan and budget adequately for AI workforce needs;

(iii) coordinating, in consultation with the Director of OPM, the use of fellowship programs and agency technology-talent programs and human-capital teams to build hiring capabilities, execute hires, and place AI talent to fill staffing gaps; and

(iv) convening a cross-agency forum for ongoing collaboration between AI professionals to share best practices and improve retention.

(c) Within 45 days of the date of this order, to advance existing Federal technology talent programs, the United States Digital Service, Presidential Innovation Fellowship, United States Digital Corps, OPM, and technology talent programs at agencies, with support from the AI and Technology Talent Task Force described in subsection 10.2(b) of this section, as appropriate and permitted by law, shall develop and begin to implement plans to support the rapid recruitment of individuals as part of a Federal Government-wide AI talent surge to accelerate the placement of key AI and AI-enabling talent in high-priority areas and to advance agencies’ data and technology strategies.

(d) To meet the critical hiring need for qualified personnel to execute the initiatives in this order, and to improve Federal hiring practices for AI talent, the Director of OPM, in consultation with the Director of OMB, shall:

(i) within 60 days of the date of this order, conduct an evidence-based review on the need for hiring and workplace flexibility, including Federal Government-wide direct-hire authority for AI and related data-science and technical roles, and, where the Director of OPM finds such authority is appropriate, grant it; this review shall include the following job series at all General Schedule (GS) levels: IT Specialist (2210), Computer Scientist (1550), Computer Engineer (0854), and Program Analyst (0343) focused on AI, and any subsequently developed job series derived from these job series;

(ii) within 60 days of the date of this order, consider authorizing the use of excepted service appointments under 5 C.F.R. 213.3102(i)(3) to address the need for hiring additional staff to implement directives of this order;

(iii) within 90 days of the date of this order, coordinate a pooled-hiring action informed by subject-matter experts and using skills-based assessments to support the recruitment of AI talent across agencies;

(iv) within 120 days of the date of this order, as appropriate and permitted by law, issue guidance for agency application of existing pay flexibilities or incentive pay programs for AI, AI-enabling, and other key technical positions to facilitate appropriate use of current pay incentives;

(v) within 180 days of the date of this order, establish guidance and policy on skills-based, Federal Government-wide hiring of AI, data, and technology talent in order to increase access to those with nontraditional academic backgrounds to Federal AI, data, and technology roles;

(vi) within 180 days of the date of this order, establish an interagency working group, staffed with both human-resources professionals and recruiting technical experts, to facilitate Federal Government-wide hiring of people with AI and other technical skills;

(vii) within 180 days of the date of this order, review existing Executive Core Qualifications (ECQs) for Senior Executive Service (SES) positions informed by data and AI literacy competencies and, within 365 days of the date of this order, implement new ECQs as appropriate in the SES assessment process;

(viii) within 180 days of the date of this order, complete a review of competencies for civil engineers (GS-0810 series) and, if applicable, other related occupations, and make recommendations for ensuring that adequate AI expertise and credentials in these occupations in the Federal Government reflect the increased use of AI in critical infrastructure; and

(ix) work with the Security, Suitability, and Credentialing Performance Accountability Council to assess mechanisms to streamline and accelerate personnel-vetting requirements, as appropriate, to support AI and fields related to other critical and emerging technologies.

(e) To expand the use of special authorities for AI hiring and retention, agencies shall use all appropriate hiring authorities, including Schedule A(r) excepted service hiring and direct-hire authority, as applicable and appropriate, to hire AI talent and AI-enabling talent rapidly. In addition to participating in OPM-led pooled hiring actions, agencies shall collaborate, where appropriate, on agency-led pooled hiring under the Competitive Service Act of 2015 (Public Law 114-137) and other shared hiring. Agencies shall also, where applicable, use existing incentives, pay-setting authorities, and other compensation flexibilities, similar to those used for cyber and information technology positions, for AI and data-science professionals, as well as plain-language job titles, to help recruit and retain these highly skilled professionals. Agencies shall ensure that AI and other related talent needs (such as technology governance and privacy) are reflected in strategic workforce planning and budget formulation.

(f) To facilitate the hiring of data scientists, the Chief Data Officer Council shall develop a position-description library for data scientists (job series 1560) and a hiring guide to support agencies in hiring data scientists.

(g) To help train the Federal workforce on AI issues, the head of each agency shall implement — or increase the availability and use of — AI training and familiarization programs for employees, managers, and leadership in technology as well as relevant policy, managerial, procurement, regulatory, ethical, governance, and legal fields. Such training programs should, for example, empower Federal employees, managers, and leaders to develop and maintain an operating knowledge of emerging AI technologies to assess opportunities to use these technologies to enhance the delivery of services to the public, and to mitigate risks associated with these technologies. Agencies that provide professional-development opportunities, grants, or funds for their staff should take appropriate steps to ensure that employees who do not serve in traditional technical roles, such as policy, managerial, procurement, or legal fields, are nonetheless eligible to receive funding for programs and courses that focus on AI, machine learning, data science, or other related subject areas.

(h) Within 180 days of the date of this order, to address gaps in AI talent for national defense, the Secretary of Defense shall submit a report to the President through the Assistant to the President for
National Security Affairs that includes:

(i) recommendations to address challenges in the Department of Defense’s ability to hire certain noncitizens, including at the Science and Technology Reinvention Laboratories;

(ii) recommendations to clarify and streamline processes for accessing classified information for certain noncitizens through Limited Access Authorization at Department of Defense laboratories;

(iii) recommendations for the appropriate use of enlistment authority under 10 U.S.C. 504(b)(2) for experts in AI and other critical and emerging technologies; and

(iv) recommendations for the Department of Defense and the Department of Homeland Security to work together to enhance the use of appropriate authorities for the retention of certain noncitizens of vital importance to national security by the Department of Defense and the Department of Homeland Security.

Sec. 11. Strengthening American Leadership Abroad. (a) To strengthen United States leadership of global efforts to unlock AI’s potential and meet its challenges, the Secretary of State, in coordination with the Assistant to the President for National Security Affairs, the Assistant to the President for Economic Policy, the Director of OSTP, and the heads of other relevant agencies as appropriate, shall:

(i) lead efforts outside of military and intelligence areas to expand engagements with international allies and partners in relevant bilateral, multilateral, and multi-stakeholder fora to advance those allies’ and partners’ understanding of existing and planned AI-related guidance and policies of the United States, as well as to enhance international collaboration; and

(ii) lead efforts to establish a strong international framework for managing the risks and harnessing the benefits of AI, including by encouraging international allies and partners to support voluntary commitments similar to those that United States companies have made in pursuit of these objectives and coordinating the activities directed by subsections (b), (c), (d), and (e) of this section, and to develop common regulatory and other accountability principles for foreign nations, including to manage the risk that AI systems pose.

(b) To advance responsible global technical standards for AI development and use outside of military and intelligence areas, the Secretary of Commerce, in coordination with the Secretary of State and the heads of other relevant agencies as appropriate, shall lead preparations for a coordinated effort with key international allies and partners and with standards development organizations, to drive the development and implementation of AI-related consensus standards, cooperation and coordination, and information sharing. In particular, the Secretary of Commerce shall:

(i) within 270 days of the date of this order, establish a plan for global engagement on promoting and developing AI standards, with lines of effort that may include:

(A) AI nomenclature and terminology;

(B) best practices regarding data capture, processing, protection, privacy, confidentiality, handling, and analysis;

(D) AI risk management;

(ii) within 180 days of the date the plan is established, submit a report to the President on priority actions taken pursuant to the plan; and

(iii) ensure that such efforts are guided by principles set out in the NIST AI Risk Management Framework and United States Government National Standards Strategy for Critical and Emerging Technology.

(c) Within 365 days of the date of this order, to promote safe, responsible, and rights-affirming development and deployment of AI abroad:

(i) The Secretary of State and the Administrator of the United States Agency for International Development, in coordination with the Secretary of Commerce, acting through the director of NIST, shall publish an AI in Global Development Playbook that incorporates the AI Risk Management Framework’s principles, guidelines, and best practices into the social, technical, economic, governance, human rights, and security conditions of contexts beyond United States borders. As part of this work, the Secretary of State and the Administrator of the United States Agency for International Development shall draw on lessons learned from programmatic uses of AI in global development.

(ii) The Secretary of State and the Administrator of the United States Agency for International Development, in collaboration with the Secretary of Energy and the Director of NSF, shall develop a Global AI Research Agenda to guide the objectives and implementation of AI-related research in contexts beyond United States borders. The Agenda shall:

(A) include principles, guidelines, priorities, and best practices aimed at ensuring the safe, responsible, beneficial, and sustainable global development and adoption of AI; and

(B) address AI’s labor-market implications across international contexts, including by recommending risk mitigations.

(d) To address cross-border and global AI risks to critical infrastructure, the Secretary of Homeland Security, in coordination with the Secretary of State, and in consultation with the heads of other relevant agencies as the Secretary of Homeland Security deems appropriate, shall lead efforts with international allies and partners to enhance cooperation to prevent, respond to, and recover from potential critical infrastructure disruptions resulting from incorporation of AI into critical infrastructure systems or malicious use of AI.

(i) Within 270 days of the date of this order, the Secretary of Homeland Security, in coordination with the Secretary of State, shall develop a plan for multilateral engagements to encourage the adoption of the AI safety and security guidelines for use by critical infrastructure owners and operators developed in section 4.3(a) of this order.

(ii) Within 180 days of establishing the plan described in subsection (d)(i) of this section, the Secretary of Homeland Security shall submit a report to the President on priority actions to mitigate cross-border risks to critical United States infrastructure.

Sec. 12. Implementation. (a) There is established, within the Executive Office of the President, the White House Artificial Intelligence Council (White House AI Council). The function of the White House AI Council is to coordinate the activities of agencies across the Federal Government to ensure the effective formulation, development, communication, industry engagement related to, and timely implementation of AI-related policies, including policies set forth in this order.

(b) The Assistant to the President and Deputy Chief of Staff for Policy shall serve as Chair of the White House AI Council.

(i) the Secretary of State;

(ii) the Secretary of the Treasury;

(iii) the Secretary of Defense;

(iv) the Attorney General;

(v) the Secretary of Agriculture;

(vi) the Secretary of Commerce;

(vii) the Secretary of Labor;

(viii) the Secretary of HHS;

(ix) the Secretary of Housing and Urban Development;

(x) the Secretary of Transportation;

(xi) the Secretary of Energy;

(xii) the Secretary of Education;

(xiii) the Secretary of Veterans Affairs;

(xiv) the Secretary of Homeland Security;

(xv) the Administrator of the Small Business Administration;

(xvi) the Administrator of the United States Agency for International Development;

(xvii) the Director of National Intelligence;

(xviii) the Director of NSF;

(xix) the Director of OMB;

(xx) the Director of OSTP;

(xxi) the Assistant to the President for National Security Affairs;

(xxii) the Assistant to the President for Economic Policy;

(xxiii) the Assistant to the President and Domestic Policy Advisor;

(xxiv) the Assistant to the President and Chief of Staff to the Vice President;

(xxv) the Assistant to the President and Director of the Gender Policy Council;

(xxvi) the Chairman of the Council of Economic Advisers;

(xxvii) the National Cyber Director;

(xxviii) the Chairman of the Joint Chiefs of Staff; and

(xxix) the heads of such other agencies, independent regulatory agencies, and executive offices as the Chair may from time to time designate or invite to participate.

(d) The Chair may create and coordinate subgroups consisting of White House AI Council members or their designees, as appropriate.

Sec. 13. General Provisions. (a) Nothing in this order shall be construed to impair or otherwise affect:

(i) the authority granted by law to an executive department or agency, or the head thereof; or

(ii) the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals.

(b) This order shall be implemented consistent with applicable law and subject to the availability of appropriations.

(c) This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.

JOSEPH R. BIDEN JR.

THE WHITE HOUSE,
October 30, 2023.

12Nov/24

BILL C-27 An Act to enact the Consumer Privacy Protection Act, the Personal Information and Data Protection Tribunal Act and the Artificial Intelligence and Data Act and to make consequential and related amendments to other Acts, first reading June 16, 2022

12 noviembre, 2024Canadá, Canada 2022, Ley2022, AI, Artificial Intelligence, Consumer Privacy Protection Act, Data act, Derecho Informático, Electronic Documents Act, June 16, Legislación Canadiense, Legislación Informática, Minister of innovation, Oersonal Information, science and industryJosé Cuervo

First Session, Forty-fourth Parliament, 70-71 Elizabeth II, 2021-2022. HOUSE OF COMMONS OF CANADA. BILL C-27 An Act to enact the Consumer Privacy Protection Act, the Personal Information and Data Protection Tribunal Act and the Artificial Intelligence and Data Act and to make consequential and related amendments to other Acts, first reading June 16, 2022

First Session, Forty-fourth Parliament,

70-71 Elizabeth II, 2021-2022

HOUSE OF COMMONS OF CANADA

BILL C-27

An Act to enact the Consumer Privacy Protection Act, the Personal Information and Data Protection Tribunal Act and the Artificial Intelligence and Data Act and to make consequential and related amendments to other Acts

FIRST READING, June 16, 2022

MINISTER OF INNOVATION, SCIENCE AND INDUSTRY

91102

SUMMARY

Part 1 enacts the Consumer Privacy Protection Act to govern the protection of personal information of individuals while taking into account the need of organizations to collect, use or disclose personal information in the course of commercial activities. In consequence, it repeals Part 1 of the Personal Information Protection and Electronic Documents Act and changes the short title of that Act to the Electronic Documents Act. It also makes consequential and related amendments to other Acts.

Part 2 enacts the Personal Information and Data Protection Tribunal Act, which establishes an administrative tribunal to hear appeals of certain decisions made by the Privacy Commissioner under the Consumer Privacy Protection Act and to impose penalties for the contravention of certain provisions of that Act. It also makes a related amendment to the Administrative Tribunals Support Service of Canada Act.

Part 3 enacts the Artificial Intelligence and Data Act to regulate international and interprovincial trade and commerce in artificial intelligence systems by requiring that certain persons adopt measures to mitigate risks of harm and biased output related to high-impact artificial intelligence systems. That Act provides for public reporting and authorizes the Minister to order the production of records related to artificial intelligence systems. That Act also establishes prohibitions related to the possession or use of illegally obtained personal information for the purpose of designing, developing, using or making available for use an artificial intelligence system and to the making available for use of an artificial intelligence system if its use causes serious harm to individuals.

Available on the House of Commons website at the following address:

www.ourcommons.ca

TABLE OF PROVISIONS

1st Session, 44th Parliament,

70-71 Elizabeth II, 2021-2022

HOUSE OF COMMONS OF CANADA

BILL C-27

Preamble

Whereas there is a need to modernize Canada’s legislative framework so that it is suited to the digital age;

Whereas the protection of the privacy interests of individuals with respect to their personal information is essential to individual autonomy and dignity and to the full enjoyment of fundamental rights and freedoms in Canada;

Whereas Parliament recognizes the importance of the privacy and data protection principles contained in various international instruments;

Whereas trust in the digital and data-driven economy is key to ensuring its growth and fostering a more inclusive and prosperous Canada;

Whereas Canada is a trading nation and trade and commerce rely on the analysis, circulation and exchange of personal information and data across borders and geographical boundaries;

Whereas the design, development and deployment of artificial intelligence systems across provincial and international borders should be consistent with national and international standards to protect individuals from potential harm;

Whereas organizations of all sizes operate in the digital and data-driven economy and an agile regulatory framework is necessary to facilitate compliance with rules by, and promote innovation within, those organizations;

Whereas individuals expect a regulatory framework that ensures transparency and accountability with respect to how organizations handle their personal information and that is backed by meaningful enforcement;

Whereas the modernization of national standards for privacy protection to align them with international standards ensures a level playing field for organizations across Canada and assists them in maintaining their competitive position;

Whereas a modern regulatory framework governing the protection of personal information should promote the responsible collection, use and disclosure of such information by organizations for purposes that are in the public interest;

Whereas Parliament recognizes that artificial intelligence systems and other emerging technologies should uphold Canadian norms and values in line with the principles of international human rights law;

And whereas this Act aims to support the Government of Canada’s efforts to foster an environment in which Canadians can seize the benefits of the digital and data-driven economy and to establish a regulatory framework that supports and protects Canadian norms and values, including the right to privacy;

Now, therefore, Her Majesty, by and with the advice and consent of the Senate and House of Commons of Canada, enacts as follows:

Short Title

Short title

1 This Act may be cited as the Digital Charter Implementation Act, 2022.

PART 1

Consumer Privacy Protection Act

Enactment of Act

Enactment

2 The Consumer Privacy Protection Act, whose text is as follows and whose schedule is set out in the schedule to this Act, is enacted:

An Act to support and promote electronic commerce by protecting personal information that is collected, used or disclosed in the course of commercial activities

Short Title

Short title

1 This Act may be cited as the Consumer Privacy Protection Act.

Interpretation

Definitions

2 (1) The following definitions apply in this Act.

alternative format, with respect to personal information, means a format that allows an individual with a sensory disability to read or listen to the personal information. (support de substitution)

anonymize means to irreversibly and permanently modify personal information, in accordance with generally accepted best practices, to ensure that no individual can be identified from the information, whether directly or indirectly, by any means. (anonymiser)

automated decision system means any technology that assists or replaces the judgment of human decision-makers through the use of a rules-based system, regression analysis, predictive analytics, machine learning, deep learning, a neural network or other technique. (système décisionnel automatisé)

breach of security safeguards means the loss of, unauthorized access to or unauthorized disclosure of personal information resulting from a breach of an organization’s security safeguards that are referred to in section 57 or from a failure to establish those safeguards. (atteinte aux mesures de sécurité)

business transaction includes

(a) the purchase, sale or other acquisition or disposition of an organization or a part of an organization, or any of its assets;

(b) the merger or amalgamation of two or more organizations;

(d) the creating of a charge on, or the taking of a security interest in or a security on, any assets or securities of an organization;

(e) the lease or licensing of any of an organization’s assets; and

(f) any other prescribed arrangement between two or more organizations to conduct a business activity. (transaction commerciale)

commercial activity means any particular transaction, act or conduct or any regular course of conduct that is of a commercial character, including the selling, bartering or leasing of donor, membership or other fundraising lists. (activité commerciale)

Commissioner means the Privacy Commissioner appointed under section 53 of the Privacy Act. (commissaire)

de-identify means to modify personal information so that an individual cannot be directly identified from it, though a risk of the individual being identified remains. (dépersonnaliser)

dispose means to permanently and irreversibly delete personal information or to anonymize it. (retrait)

federal work, undertaking or business means any work, undertaking or business that is within the legislative authority of Parliament. It includes

(a) a work, undertaking or business that is operated or carried on for or in connection with navigation and shipping, whether inland or maritime, including the operation of ships and transportation by ship anywhere in Canada;

(b) a railway, canal, telegraph or other work or undertaking that connects a province with another province, or that extends beyond the limits of a province;

(d) a ferry between a province and another province or between a province and a country other than Canada;

(e) aerodromes, aircraft or a line of air transportation;

(f) a radio broadcasting station;

(g) a bank or an authorized foreign bank as defined in section 2 of the Bank Act;

(h) a work that, although wholly situated within a province, is before or after its execution declared by Parliament to be for the general advantage of Canada or for the advantage of two or more provinces;

(i) a work, undertaking or business outside the exclusive legislative authority of the legislatures of the provinces; and

(j) a work, undertaking or business to which federal laws, within the meaning of section 2 of the Oceans Act, apply under section 20 of that Act and any regulations made under paragraph 26(1)‍(k) of that Act. (entreprises fédérales)

Minister means the member of the Queen’s Privy Council for Canada designated under section 3 or, if no member is designated, the Minister of Industry. (ministre)

organization includes an association, a partnership, a person or a trade union. (organisation)

personal information means information about an identifiable individual. (renseignement personnel)

prescribed means prescribed by regulation. (Version anglaise seulement)

record means any documentary material, regardless of medium or form. (document)

service provider means an organization, including a parent corporation, subsidiary, affiliate, contractor or subcontractor, that provides services for or on behalf of another organization to assist the organization in fulfilling its purposes. (fournisseur de services)

Tribunal means the Personal Information and Data Protection Tribunal established under section 4 of the Personal Information and Data Protection Tribunal Act. (Tribunal)

Interpretation — minors

(2) For the purposes of this Act, the personal information of minors is considered to be sensitive information.

Interpretation — de-identified information

(3) For the purposes of this Act, other than sections 20 and 21, subsections 22(1) and 39(1), sections 55 and 56, subsection 63(1) and sections 71, 72, 74, 75 and 116, personal information that has been de-identified is considered to be personal information.

Order designating Minister

3 The Governor in Council may, by order, designate any member of the Queen’s Privy Council for Canada to be the Minister for the purposes of this Act.

Authorized representatives

4 The rights and recourses provided under this Act may be exercised

(a) on behalf of a minor by a parent, guardian or tutor, unless the minor wishes to personally exercise those rights and recourses and is capable of doing so;

(b) on behalf of an individual, other than a minor, under a legal incapacity by a person authorized by law to administer the affairs or property of that individual; and

(c) on behalf of a deceased individual by a person authorized by law to administer the estate or succession of that individual, but only for the purpose of that administration.

Purpose and Application

Purpose

5 The purpose of this Act is to establish — in an era in which data is constantly flowing across borders and geographical boundaries and significant economic activity relies on the analysis, circulation and exchange of personal information — rules to govern the protection of personal information in a manner that recognizes the right of privacy of individuals with respect to their personal information and the need of organizations to collect, use or disclose personal information for purposes that a reasonable person would consider appropriate in the circumstances.

Application

6 (1) This Act applies to every organization in respect of personal information that

(a) the organization collects, uses or discloses in the course of commercial activities; or

(b) is about an employee of, or an applicant for employment with, the organization and that the organization collects, uses or discloses in connection with the operation of a federal work, undertaking or business.

For greater certainty

(2) For greater certainty, this Act applies in respect of personal information

(a) that is collected, used or disclosed interprovincially or internationally by an organization; or

(b) that is collected, used or disclosed by an organization within a province, to the extent that the organization is not exempt from the application of this Act under an order made under paragraph 122(2)‍(b).

Application

(3) This Act also applies to an organization set out in column 1 of the schedule in respect of personal information set out in column 2.

Limit

(4) This Act does not apply to

(a) any government institution to which the Privacy Act applies;

(b) any individual in respect of personal information that the individual collects, uses or discloses solely for personal or domestic purposes;

(c) any organization in respect of personal information that the organization collects, uses or discloses solely for journalistic, artistic or literary purposes;

(d) any organization in respect of an individual’s personal information that the organization collects, uses or discloses solely for the purpose of communicating or facilitating communication with the individual in relation to their employment, business or profession; or

(e) any organization that is, under an order made under paragraph 122(2)‍(b), exempt from the application of this Act in respect of the collection, use or disclosure of personal information that occurs within a province in respect of which the order was made.

For greater certainty

(5) For greater certainty, this Act does not apply in respect of personal information that has been anonymized.

Other Acts

(6) Every provision of this Act applies despite any provision, enacted after December 31, 2000, of any other Act of Parliament, unless the other Act expressly declares that that provision operates despite the provision of this Act.

PART 1

Obligations of Organizations

Accountability of Organizations

Accountability — personal information under organization’s control

7 (1) An organization is accountable for personal information that is under its control.

Personal information under control of organization

(2) Personal information is under the control of the organization that decides to collect it and that determines the purposes for its collection, use or disclosure, regardless of whether the information is collected, used or disclosed by the organization itself or by a service provider on behalf of the organization.

Designated individual

8 (1) An organization must designate one or more individuals to be responsible for matters related to its obligations under this Act. It must provide the designated individual’s business contact information to any person who requests it.

Effect of designation of individual

(2) The designation of an individual under subsection (1) does not relieve the organization of its obligations under this Act.

Privacy management program

9 (1) Every organization must implement and maintain a privacy management program that includes the policies, practices and procedures the organization has put in place to fulfill its obligations under this Act, including policies, practices and procedures respecting

(a) the protection of personal information;

(b) how requests for information and complaints are received and dealt with;

(c) the training and information provided to the organization’s staff respecting its policies, practices and procedures; and

(d) the development of materials to explain the organization’s policies and procedures.

Volume and sensitivity

(2) In developing its privacy management program, the organization must take into account the volume and sensitivity of the personal information under its control.

Access — privacy management program

10 (1) An organization must, on request of the Commissioner, provide the Commissioner with access to the policies, practices and procedures that are included in its privacy management program.

Guidance and corrective measures

(2) The Commissioner may, after reviewing the policies, practices and procedures, provide guidance on, or recommend that corrective measures be taken by the organization in relation to, its privacy management program.

Same protection

11 (1) If an organization transfers personal information to a service provider, the organization must ensure, by contract or otherwise, that the service provider provides a level of protection of the personal information equivalent to that which the organization is required to provide under this Act.

Service provider obligations

(2) The obligations under this Part, other than those set out in sections 57 and 61, do not apply to a service provider in respect of personal information that is transferred to it. However, the service provider is subject to all of the obligations under this Part if it collects, uses or discloses that information for any purpose other than the purposes for which the information was transferred.

Appropriate Purposes

Appropriate purposes

12 (1) An organization may collect, use or disclose personal information only in a manner and for purposes that a reasonable person would consider appropriate in the circumstances, whether or not consent is required under this Act.

Factors to consider

(2) The following factors must be taken into account in determining whether the manner and purposes referred to in subsection (1) are appropriate:

(a) the sensitivity of the personal information;

(b) whether the purposes represent legitimate business needs of the organization;

(d) whether there are less intrusive means of achieving those purposes at a comparable cost and with comparable benefits; and

(e) whether the individual’s loss of privacy is proportionate to the benefits in light of the measures, technical or otherwise, implemented by the organization to mitigate the impacts of the loss of privacy on the individual.

Purposes

(3) An organization must determine at or before the time of the collection of any personal information each of the purposes for which the information is to be collected, used or disclosed and record those purposes.

New purpose

(4) If the organization determines that the personal information it has collected is to be used or disclosed for a new purpose, the organization must record that new purpose before using or disclosing that information for the new purpose.

Limiting Collection, Use and Disclosure

Limiting collection

13 The organization may collect only the personal information that is necessary for the purposes determined and recorded under subsection 12(3).

New purpose

14 (1) An organization must not use or disclose personal information for a purpose other than a purpose determined and recorded under subsection 12(3), unless the organization obtains the individual’s valid consent before any use or disclosure for that other purpose.

Use or disclosure — other purposes

(2) Despite subsection (1), an organization may

(a) use personal information for a purpose other than a purpose determined and recorded under subsection 12(3) in any of the circumstances set out in sections 18, 20 and 21, subsections 22(1) and (3) and sections 23, 24, 26, 30, 41 and 51; or

(b) disclose personal information for a purpose other than a purpose determined and recorded under subsection 12(3) in any of the circumstances set out in subsections 22(1) and (3), sections 23 to 28, 31 to 37 and 39, subsection 40(3) and sections 42 and 43 to 51.

Consent

Consent required

15 (1) Unless this Act provides otherwise, an organization must obtain an individual’s valid consent for the collection, use or disclosure of the individual’s personal information.

Timing of consent

(2) The individual’s consent must be obtained at or before the time of the collection of the personal information or, if the information is to be used or disclosed for a purpose other than a purpose determined and recorded under subsection 12(3), before any use or disclosure of the information for that other purpose.

Information for consent to be valid

(3) The individual’s consent is valid only if, at or before the time that the organization seeks the individual’s consent, it provides the individual with the following information:

(a) the purposes for the collection, use or disclosure of the personal information determined by the organization and recorded under subsection 12(3) or (4);

(b) the manner in which the personal information is to be collected, used or disclosed;

(d) the specific type of personal information that is to be collected, used or disclosed; and

(e) the names of any third parties or types of third parties to which the organization may disclose the personal information.

Plain language

(4) The organization must provide the information referred to in subsection (3) in plain language that an individual to whom the organization’s activities are directed would reasonably be expected to understand.

Form of consent

(5) Consent must be expressly obtained unless, subject to subsection (6), it is appropriate to rely on an individual’s implied consent, taking into account the reasonable expectations of the individual and the sensitivity of the personal information that is to be collected, used or disclosed.

Business activities

(6) It is not appropriate to rely on an individual’s implied consent if their personal information is collected or used for an activity described in subsection 18(2) or (3).

Consent — provision of product or service

(7) The organization must not, as a condition of the provision of a product or service, require an individual to consent to the collection, use or disclosure of their personal information beyond what is necessary to provide the product or service.

Consent obtained by deception

16 An organization must not obtain or attempt to obtain an individual’s consent by providing false or misleading information or using deceptive or misleadingpractices. Any consent obtained under those circumstances is invalid.

Withdrawal of consent

17 (1) On giving reasonable notice to an organization, an individual may, at any time, subject to this Act, to federal or provincial law or to the reasonable terms of a contract, withdraw their consent in whole or in part.

Collection, use or disclosure to cease

(2) On receiving the notice from the individual, the organization must inform the individual of the consequences of the withdrawal of their consent and, as soon as feasible after that, cease the collection, use or disclosure of the individual’s personal information in respect of which the consent was withdrawn.

Exceptions to Requirement for Consent

Business Operations

Business activities

18 (1) An organization may collect or use an individual’s personal information without their knowledge or consent if the collection or use is made for the purpose of a business activity described in subsection (2) and

(a) a reasonable person would expect the collection or use for such an activity; and

(b) the personal information is not collected or used for the purpose of influencing the individual’s behaviour or decisions.

List of activities

(2) Subject to the regulations, the following activities are business activities for the purpose of subsection (1):

(a) an activity that is necessary to provide a product or service that the individual has requested from the organization;

(b) an activity that is necessary for the organization’s information, system or network security;

(d) any other prescribed activity.

Legitimate interest

(3) An organization may collect or use an individual’s personal information without their knowledge or consent if the collection or use is made for the purpose of an activity in which the organization has a legitimate interest that outweighs any potential adverse effect on the individual resulting from that collection or use and

(a) a reasonable person would expect the collection or use for such an activity; and

(b) the personal information is not collected or used for the purpose of influencing the individual’s behaviour or decisions.

Conditions precedent

(4) Prior to collecting or using personal information under subsection (3), the organization must

(a) identify any potential adverse effect on the individual that is likely to result from the collection or use;

(b) identify and take reasonable measures to reduce the likelihood that the effects will occur or to mitigate or eliminate them; and

Record of assessment

(5) The organization must record its assessment of how it meets the conditions set out in subsection (4) and must, on request, provide a copy of the assessment to the Commissioner.

Transfer to service provider

19 An organization may transfer an individual’s personal information to a service provider without their knowledge or consent.

De-identification of personal information

20 An organization may use an individual’s personal information without their knowledge or consent to de-identify the information.

Research, analysis and development

21 An organization may use an individual’s personal information without their knowledge or consent for the organization’s internal research, analysis and development purposes, if the information is de-identified before it is used.

Prospective business transaction

22 (1) Organizations that are parties to a prospective business transaction may use and disclose an individual’s personal information without their knowledge or consent if

(a) the information is de-identified before it is used or disclosed and remains so until the transaction is completed;

(b) the organizations have entered into an agreement that requires the organization that receives the information

(i) to use and disclose that information solely for purposes related to the transaction,

(ii) to protect the information by security safeguards proportionate to the sensitivity of the information, and

(iii) if the transaction does not proceed, to return the information to the organization that disclosed it, or dispose of it, within a reasonable time;

(d) the information is necessary

(i) to determine whether to proceed with the transaction, and

(ii) if the determination is made to proceed with the transaction, to complete it.

Exception — paragraph (1)‍(a)

(2) The requirement referred to in paragraph (1)‍(a) does not apply if it would undermine the objectives for carrying out the transaction and the organization has taken into account the risk of harm to the individual that could result from using or disclosing the information.

Completed business transaction

(3) If the business transaction is completed, the organizations that are parties to the transaction may use and disclose the personal information referred to in subsection (1) without the individual’s knowledge or consent if

(a) the organizations have entered into an agreement that requires each of them

(i) to use and disclose the information under its control solely for the purposes for which the information was collected or permitted to be used or disclosed before the transaction was completed,

(ii) to protect that information by security safeguards proportionate to the sensitivity of the information, and

(iii) to give effect to any withdrawal of consent made under subsection 17(1);

(b) the organizations comply with the terms of that agreement;

(d) one of the parties notifies the individual, within a reasonable time after the transaction is completed, that the transaction has been completed and that their information has been disclosed under subsection (1).

Exception

(4) Subsections (1) and (3) do not apply to a business transaction of which the primary purpose or result is the purchase, sale or other acquisition or disposition, or lease, of personal information.

Information produced in employment, business or profession

23 An organization may collect, use or disclose an individual’s personal information without their knowledge or consent if it was produced by the individual in the course of their employment, business or profession and the collection, use or disclosure is consistent with the purposes for which the information was produced.

Employment relationship — federal work, undertaking or business

24 An organization that operates a federal work, undertaking or business may collect, use or disclose an individual’s personal information without their consent if

(a) the collection, use or disclosure is necessary to establish, manage or terminate an employment relationship between the organization and the individual in connection with the operation of a federal work, undertaking or business; and

(b) the organization has informed the individual that the personal information will be or may be collected, used or disclosed for those purposes.

Disclosure to lawyer or notary

25 An organization may disclose an individual’s personal information without their knowledge or consent to a lawyer or, in Quebec, a lawyer or notary, who is representing the organization.

Witness statement

26 An organization may collect, use or disclose an individual’s personal information without their knowledge or consent if the information is contained in a witness statement and the collection, use or disclosure is necessary to assess, process or settle an insurance claim.

Prevention, detection or suppression of fraud

27 (1) An organization may disclose an individual’s personal information to another organization without the individual’s knowledge or consent if the disclosure is reasonable for the purposes of detecting or suppressing fraud or of preventing fraud that is likely to be committed and it is reasonable to expect that the disclosure with the individual’s knowledge or consent would compromise the ability to prevent, detect or suppress the fraud.

Collection

(2) An organization may collect or use an individual’s personal information without their knowledge or consent if the information was disclosed to it under subsection (1).

Debt collection

28 An organization may disclose an individual’s personal information without their knowledge or consent for the purpose of collecting a debt owed by the individual to the organization.

Public Interest

Individual’s interest

29 (1) An organization may collect an individual’s personal information without their knowledge or consent if the collection is clearly in the interests of the individual and consent cannot be obtained in a timely way.

Use

(2) An organization may use an individual’s personal information without their knowledge or consent if the information was collected under subsection (1).

Emergency — use

30 An organization may use an individual’s personal information without their knowledge or consent for the purpose of acting in respect of an emergency that threatens the life, health or security of any individual.

Emergency — disclosure

31 An organization may disclose an individual’s personal information without their knowledge or consent to a person who needs the information because of an emergency that threatens the life, health or security of any individual. If the individual whom the information is about is alive, the organization must inform that individual in writing without delay of the disclosure.

Identification of individual

32 An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is necessary to identify the individual who is injured, ill or deceased and is made to a government institution, a part of a government institution or the individual’s next of kin or authorized representative. If the individual is alive, the organization must inform them in writing without delay of the disclosure.

Communication with next of kin or authorized representative

33 An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that the disclosure is requested for the purpose of communicating with the next of kin or authorized representative of an injured, ill or deceased individual.

Financial abuse

34 An organization may on its own initiative disclose an individual’s personal information without their knowledge or consent to a government institution, a part of a government institution or the individual’s next of kin or authorized representative if

(a) the organization has reasonable grounds to believe that the individual has been, is or may be the victim of financial abuse;

(b) the disclosure is made solely for purposes related to preventing or investigating the abuse; and

(c) it is reasonable to expect that disclosure with the knowledge or consent of the individual would compromise the ability to prevent or investigate the abuse.

Statistics, study or research

35 An organization may disclose an individual’s personal information without their knowledge or consent if

(a) the disclosure is made for statistical purposes or for study or research purposes and those purposes cannot be achieved without disclosing the information;

(b) it is impracticable to obtain consent; and

Records of historic or archival importance

36 An organization may disclose an individual’s personal information without their knowledge or consent to an institution whose functions include the conservation of records of historic or archival importance, if the disclosure is made for the purpose of such conservation.

Disclosure after period of time

37 An organization may disclose an individual’s personal information without their knowledge or consent after the earlier of

(a) 100 years after the record containing the information was created, and

(b) 20 years after the death of the individual.

Journalistic, artistic or literary purposes

38 An organization may collect an individual’s personal information without their knowledge or consent if the collection is solely for journalistic, artistic or literary purposes.

Socially beneficial purposes

39 (1) An organization may disclose an individual’s personal information without their knowledge or consent if

(a) the personal information is de-identified before the disclosure is made;

(b) the disclosure is made to

(i) a government institution or part of a government institution in Canada,

(ii) a health care institution, post-secondary educational institution or public library in Canada,

(iii) any organization that is mandated, under a federal or provincial law or by contract with a government institution or part of a government institution in Canada, to carry out a socially beneficial purpose, or

(iv) any other prescribed entity; and

Definition of socially beneficial purpose

(2) For the purpose of this section, socially beneficial purpose means a purpose related to health, the provision or improvement of public amenities or infrastructure, the protection of the environment or any other prescribed purpose.

Investigations

Breach of agreement or contravention

40 (1) An organization may collect an individual’s personal information without their knowledge or consent if it is reasonable to expect that the collection with their knowledge or consent would compromise the availability or the accuracy of the information and the collection is reasonable for purposes related to investigating a breach of an agreement or a contravention of federal or provincial law.

Use

(2) An organization may use an individual’s personal information without their knowledge or consent if the information was collected under subsection (1).

Disclosure

(3) An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is made to another organization and is reasonable for the purposes of investigating a breach of an agreement or a contravention of federal or provincial law that has been, is being or is about to be committed and it is reasonable to expect that disclosure with the knowledge or consent of the individual would compromise the investigation.

Use for investigations

41 An organization may use an individual’s personal information without their knowledge or consent if, in the course of its activities, the organization becomes aware of information that it has reasonable grounds to believe could be useful in the investigation of a contravention of federal or provincial law or law of a foreign jurisdiction that has been, is being or is about to be committed and the information is used for the purpose of investigating that contravention.

Breach of security safeguards

42 An organization may disclose an individual’s personal information without their knowledge or consent if

(a) the disclosure is made to the other organization, government institution or part of a government institution that was notified of a breach under subsection 59(1); and

(b) the disclosure is made solely for the purposes of reducing the risk of harm to the individual that could result from the breach or mitigating that harm.

Disclosures to Government Institutions

Administering law — request of government institution

43 An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that the disclosure is requested for the purpose of administering federal or provincial law.

Law enforcement — request of government institution

44 An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that the disclosure is requested for the purpose of enforcing federal or provincial law or law of a foreign jurisdiction, carrying out an investigation relating to the enforcement of any such law or gathering intelligence for the purpose of enforcing any such law.

Contravention of law — initiative of organization

45 An organization may on its own initiative disclose an individual’s personal information without their knowledge or consent to a government institution or a part of a government institution if the organization has reasonable grounds to believe that the information relates to a contravention of federal or provincial law or law of a foreign jurisdiction that has been, is being or is about to be committed.

Proceeds of Crime (Money Laundering) and Terrorist Financing Act

46 An organization may disclose an individual’s personal information without their knowledge or consent to the government institution referred to in section 7 of the Proceeds of Crime (Money Laundering) and Terrorist Financing Act as required by that section.

National security, defence or international affairs — request by government institution

47 (1) An organization may disclose an individual’s personal information without their knowledge or consent to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that it suspects that the information relates to national security, the defence of Canada or the conduct of international affairs.

Collection

(2) An organization may collect an individual’s personal information without their knowledge or consent for the purpose of making a disclosure under subsection (1).

Use

(3) An organization may use an individual’s personal information without their knowledge or consent if it was collected under subsection (2).

National security, defence or international affairs — initiative of organization

48 (1) An organization may on its own initiative disclose an individual’s personal information without their knowledge or consent to a government institution or a part of a government institution if the organization suspects that the information relates to national security, the defence of Canada or the conduct of international affairs.

Collection

(2) An organization may collect an individual’s personal information without their knowledge or consent for the purpose of making a disclosure under subsection (1).

Use

(3) An organization may use an individual’s personal information without their knowledge or consent if it was collected under subsection (2).

Required by Law

Required by law — collection

49 (1) An organization may collect an individual’s personal information without their knowledge or consent for the purpose of making a disclosure that is required by law.

Use

(2) An organization may use an individual’s personal information without their knowledge or consent if it was collected under subsection (1).

Disclosure

(3) An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is required by law.

Subpoena, warrant or order

50 An organization may disclose an individual’s personal information without their knowledge or consent if the disclosure is required to comply with a subpoena or warrant issued or an order made by a court, person or body with jurisdiction to compel the production of information, or to comply with rules of procedure relating to the production of records.

Publicly Available Information

Information specified by regulations

51 An organization may collect, use or disclose an individual’s personal information without their knowledge or consent if the personal information is publicly available and is specified by the regulations.

Non-application of Certain Exceptions — Electronic Addresses and Computer Systems

Definitions

52 (1) The following definitions apply in this section.

access means to program, execute programs on, communicate with, store data in, retrieve data from or otherwise make use of any resources, including data or programs of a computer system or a computer network. (utiliser)

computer program has the same meaning as in subsection 342.‍1(2) of the Criminal Code. (programme d’ordinateur)

computer system has the same meaning as in subsection 342.‍1(2) of the Criminal Code. (ordinateur)

electronic address means an address used in connection with

(a) an electronic mail account;

(b) an instant messaging account; or

Collection and use of electronic addresses

(2) An organization is not authorized under any of sections 18, 23 and 26, subsection 29(1) and sections 30, 38, 41 and 51 to

(a) collect an individual’s electronic address without their knowledge or consent, if the address is collected by the use of a computer program that is designed or marketed primarily for use in generating or searching for, and collecting, electronic addresses; or

(b) use an individual’s electronic address without their knowledge or consent, if the address is collected by the use of a computer program described in paragraph (a).

Accessing computer system to collect personal information, etc.

(3) An organization is not authorized under any of sections 18, 23 and 26, subsection 29(1), sections 30 and 38, subsection 40(1) and sections 41 and 51 to

(a) collect an individual’s personal information without their knowledge or consent, through any means of telecommunication, if the information is collected by accessing a computer system or causing a computer system to be accessed in contravention of an Act of Parliament; or

(b) use an individual’s personal information without their knowledge or consent, if the information is collected in a manner described in paragraph (a).

Express consent

(4) Despite subsection 15(5), an organization is not to rely on an individual’s implied consent in respect of any collection of personal information described in paragraph (2)‍(a) or (3)‍(a) or any use of personal information described in paragraph (2)‍(b) or (3)‍(b).

Retention and Disposal of Personal Information

Period for retention and disposal

53 (1) An organization must not retain personal information for a period longer than necessary to

(a) fulfill the purposes for which the information was collected, used or disclosed; or

(b) comply with the requirements of this Act, of federal or provincial law or of the reasonable terms of a contract.

The organization must dispose of the information as soon as feasible after that period.

Sensitivity of personal information

(2) For the purposes of paragraph (1)‍(a), when determining the retention period, the organization must take into account the sensitivity of the information.

Personal information used for decision-making

54 An organization that uses personal information to make a decision about an individual must retain the information for a sufficient period of time to permit the individual to make a request for access under section 63.

Disposal at individual’s request

55 (1) If an organization receives a written request from an individual to dispose of their personal information that is under the organization’s control, the organization must, as soon as feasible, dispose of the information, if

(a) the information was collected, used or disclosed in contravention of this Act;

(b) the individual has withdrawn their consent, in whole or in part, to the collection, use or disclosure of the information; or

(c) the information is no longer necessary for the continued provision of a product or service requested by the individual.

Exception

(2) An organization may refuse a request to dispose of personal information in the circumstances described in paragraph (1)‍(b) or (c) if

(a) disposing of the information would result in the disposal of personal information about another individual and the information is not severable;

(b) there are other requirements of this Act, of federal or provincial law or of the reasonable terms of a contract that prevent it from disposing of the information;

(c) the information is necessary for the establishment of a legal defence or in the exercise of other legal remedies by the organization;

(d) the information is not in relation to a minor and the disposal of the information would have an undue adverse impact on the accuracy or integrity of information that is necessary to the ongoing provision of a product or service to the individual in question;

(e) the request is vexatious or made in bad faith; or

(f) the information is not in relation to a minor and it is scheduled to be disposed of in accordance with the organization’s information retention policy, and the organization informs the individual of the remaining period of time for which the information will be retained.

Reasons for refusal

(3) An organization that refuses to dispose of an individual’s personal information must inform them in writing of the refusal, setting out the reasons and any recourse that they may have under section 73 or subsection 82(1).

Disposal of transferred personal information

(4) If an organization disposes of personal information at an individual’s request, it must, as soon as feasible, inform any service provider to which it has transferred the information of the request and ensure that the service provider has disposed of the information.

Accuracy of Personal Information

Accuracy of information

56 (1) An organization must take reasonable steps to ensure that personal information under its control is as accurate, up-to-date and complete as is necessary to fulfill the purposes for which the information is collected, used or disclosed.

Extent of accuracy

(2) In determining the extent to which personal information must be accurate, complete and up-to-date, the organization must take into account the individual’s interests, including

(a) whether the information may be used to make a decision about the individual;

(b) whether the information is used on an ongoing basis; and

Routine updating

(3) An organization is not to routinely update personal information unless it is necessary to fulfill the purposes for which the information is collected, used or disclosed.

Security Safeguards

Security safeguards

57 (1) An organization must protect personal information through physical, organizational and technological security safeguards. The level of protection provided by those safeguards must be proportionate to the sensitivity of the information.

Factors to consider

(2) In addition to the sensitivity of the information, the organization must, in establishing its security safeguards, take into account the quantity, distribution, format and method of storage of the information.

Scope of security safeguards

(3) The security safeguards must protect personal information against, among other things, loss, theft and unauthorized access, disclosure, copying, use and modification and must include reasonable measures to authenticate the identity of the individual to whom the personal information relates.

Report to Commissioner

58 (1) An organization must report to the Commissioner any breach of security safeguards involving personal information under its control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to an individual.

Report requirements

(2) The report must contain the prescribed information and must be made in the prescribed form and manner as soon as feasible after the organization determines that the breach has occurred.

Notification to individual

(3) Unless otherwise prohibited by law, an organization must notify an individual of any breach of security safeguards involving the individual’s personal information under the organization’s control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to the individual.

Contents of notification

(4) The notification must contain sufficient information to allow the individual to understand the significance to them of the breach and to take steps, if any are possible, to reduce the risk of harm that could result from it or to mitigate that harm. It must also contain any other prescribed information.

Form and manner

(5) The notification must be conspicuous and must be given directly to the individual in the prescribed form and manner, except in prescribed circumstances, in which case it must be given indirectly in the prescribed form and manner.

Time to give notification

(6) The notification must be given as soon as feasible after the organization determines that the breach has occurred.

Definition of significant harm

(7) For the purpose of this section, significant harm includes bodily harm, humiliation, damage to reputation orrelationships, loss of employment, business or professional opportunities, financial loss, identity theft, negative effects on the credit record and damage to or loss of property.

Real risk of significant harm — factors

(8) The factors that are relevant to determining whether a breach of security safeguards creates a real risk of significant harm to the individual include

(a) the sensitivity of the personal information involved in the breach;

(b) the probability that the personal information has been, is being or will be misused; and

Notification to organizations

59 (1) An organization that notifies an individual of a breach of security safeguards under subsection 58(3) must notify any other organization, a government institution or a part of a government institution of the breach if the notifying organization believes that the other organization or the government institution or part concerned may be able to reduce the risk of harm that could result from it or mitigate that harm, or if any of the prescribed conditions are satisfied.

Time to give notification

(2) The notification must be given as soon as feasible after the organization determines that the breach has occurred.

Records

60 (1) An organization must, in accordance with any prescribed requirements, keep and maintain a record of every breach of security safeguards involving personal information under its control.

Provision to Commissioner

(2) An organization must, on request, provide the Commissioner with access to, or a copy of, the record.

Service providers

61 If a service provider determines that any breach of security safeguards has occurred that involves personal information, it must as soon as feasible notify the organization that controls the personal information.

Openness and Transparency

Policies and practices

62 (1) An organization must make readily available, in plain language, information that explains the organization’s policies and practices put in place to fulfill its obligations under this Act.

Additional information

(2) In fulfilling its obligation under subsection (1), an organization must make the following information available:

(a) a description of the type of personal information under the organization’s control;

(b) a general account of how the organization uses the personal information and of how it applies the exceptions to the requirement to obtain an individual’s consent under this Act, including a description of any activities referred to in subsection 18(3) in which it has a legitimate interest;

(c) a general account of the organization’s use of any automated decision system to make predictions, recommendations or decisions about individuals that could have a significant impact on them;

(d) whether or not the organization carries out any international or interprovincial transfer or disclosure of personal information that may have reasonably foreseeable privacy implications;

(e) the retention periods applicable to sensitive personal information;

(f) how an individual may make a request for disposal under section 55 or access under section 63; and

(g) the business contact information of the individual to whom complaints or requests for information may be made.

Access to and Amendment of Personal Information

Information and access

63 (1) On request by an individual, an organization must inform them of whether it has any personal information about them, how it uses the information and whether it has disclosed the information. It must also give the individual access to the information.

Names or types of third parties

(2) If the organization has disclosed the information, the organization must also provide to the individual the names of the third parties or types of third parties to which the disclosure was made, including in cases where the disclosure was made without the consent of the individual.

Automated decision system

(3) If the organization has used an automated decision system to make a prediction, recommendation or decision about the individual that could have a significant impact on them, the organization must, on request by the individual, provide them with an explanation of the prediction, recommendation or decision.

Explanation

(4) The explanation must indicate the type of personal information that was used to make the prediction, recommendation or decision, the source of the information and the reasons or principal factors that led to the prediction, recommendation or decision.

Request in writing

64 (1) A request under section 63 must be made in writing.

Assistance

(2) An organization must assist any individual who informs the organization that they need assistance in preparing a request to the organization.

Information to be provided

65 An organization may require the individual to provide it with sufficient information to allow the organization to fulfill its obligations under section 63.

Plain language

66 (1) The information referred to in section 63 must be provided to the individual in plain language.

Sensory disability

(2) For the purpose of section 63, an organization must give access to personal information in an alternative format to an individual with a sensory disability who requests that it be transmitted in that format if

(a) a version of the information already exists in that format; or

(b) its conversion into that format is reasonable and necessary in order for the individual to be able to exercise rights under this Act.

Sensitive medical information

(3) An organization may choose to give an individual access to sensitive medical information through a medical practitioner.

Time limit

67 (1) An organization must respond to a request made under section 63 with due diligence and in any case no later than 30 days after the day on which the request was received.

Extension of time limit

(2) An organization may extend the time limit

(a) for a maximum of 30 days if

(i) meeting the time limit would unreasonably interfere with the activities of the organization, or

(ii) the time required to undertake any consultations necessary to respond to the request would make the time limit impracticable to meet; or

(b) for the period that is necessary in order to be able to convert the personal information into an alternative format.

In either case, the organization must, no later than 30 days after the day on which the request was received, send a notice of extension to the individual, advising them of the new time limit, the reasons for extending the time limit and their right to make a complaint to the Commissioner in respect of the extension.

Reasons

(3) An organization that responds within the time limit and refuses a request must inform the individual in writing of the refusal, setting out the reasons and any recourse that they may have under section 73 or subsection 82(1).

Deemed refusal

(4) If the organization fails to respond within the time limit, the organization is deemed to have refused the request.

Costs for responding

68 An organization must not respond to the individual’s request made under section 63 at a cost unless

(a) the organization has informed the individual of the approximate cost;

(b) the cost to the individual is minimal; and

Retention of information

69 An organization that has personal information that is the subject of a request made under section 63 must retain the information for as long as is necessary to allow the individual to exhaust any recourse that they may have under this Act.

When access prohibited

70 (1) Despite section 63, an organization must not give an individual access to personal information under that section if doing so would likely reveal personal information about another individual. However, if the information about the other individual is severable from the information about the requester, the organization must sever the information about the other individual before giving the requester access.

Limit

(2) Subsection (1) does not apply if the other individual consents to the access or the requester needs the information because an individual’s life, health or security is threatened.

Information related to certain exceptions to consent

(3) An organization must comply with subsection (4) if an individual requests that the organization

(a) inform the individual about

(i) any disclosure to a government institution or a part of a government institution under section 44, 45 or 46, subsection 47(1) or 48(1) or section 50, or

(ii) the existence of any information that the organization has relating to a disclosure referred to in subparagraph (i), to a subpoena, warrant or order referred to in section 50 or to a request made by a government institution or a part of a government institution under section 44 or subsection 47(1); or

(b) give the individual access to the information referred to in subparagraph (a)‍(ii).

Notification and response

(4) An organization to which subsection (3) applies

(a) must, in writing and without delay, notify the institution or part concerned of the request made by the individual; and

(b) must not respond to the request before the earlier of

(i) the day on which it is notified under subsection (5), and

(ii) 30 days after the day on which the institution or part is notified.

Objection

(5) Within 30 days after the day on which it is notified under subsection (4), the institution or part must notify the organization of whether the institution or part objects to the organization complying with the request. The institution or part may object only if the institution or part is of the opinion that compliance with the request could reasonably be expected to be injurious to

(a) national security, the defence of Canada or the conduct of international affairs;

(b) the detection, prevention or deterrence of money laundering or the financing of terrorist activities; or

(c) the enforcement of federal or provincial law or law of a foreign jurisdiction, an investigation relating to the enforcement of any such law or the gathering of intelligence for the purpose of enforcing any such law.

Prohibition

(6) Despite section 63, if an organization is notified under subsection (5) that the institution or part objects to the organization complying with the request, the organization

(a) must refuse the request to the extent that it relates to paragraph (3)‍(a) or to information referred to in subparagraph (3)‍(a)‍(ii);

(b) must notify the Commissioner, in writing and without delay, of the refusal;

(c) must not give the individual access to any information that the organization has relating to a disclosure to a government institution or a part of a government institution under section 44, 45 or 46, subsection 47(1) or 48(1) or section 50 or to a request made by a government institution or part of a government institution under section 44 or subsection 47(1);

(d) must not provide to the individual the name of the government institution or part to which the disclosure was made or its type; and

(e) must not disclose to the individual the fact that the organization notified an institution or part under paragraph (4)‍(a), that the institution or part objects or that the Commissioner was notified under paragraph (b).

When access may be refused

(7) Despite section 63, an organization is not required to give access to personal information if

(a) the information is protected by solicitor-client privilege or the professional secrecy of advocates and notaries or by litigation privilege;

(b) to do so would reveal confidential commercial information;

(d) the information was collected under subsection 40(1);

(e) the information was generated in the course of a formal dispute resolution process; or

(f) the information was created for the purpose of making a disclosure under the Public Servants Disclosure Protection Act or in the course of an investigation into a disclosure under that Act.

However, in the circumstances described in paragraph (b) or (c), if giving access to the information would reveal confidential commercial information or could reasonably be expected to threaten the life or security of another individual, as the case may be, and that information is severable from any other information for which access is requested, the organization must give the individual access after severing.

Limit

(8) Subsection (7) does not apply if the individual needs the information because an individual’s life, health or security is threatened.

Notice

(9) If an organization decides not to give access to personal information in the circumstances set out in paragraph (7)‍(d), the organization must, in writing, notify the Commissioner, and must provide any information that the Commissioner may specify.

Amendment of personal information

71 (1) If an individual has been given access to their personal information and demonstrates that the information is not accurate, up-to-date or complete, the organization must amend the information as required.

Third party

(2) The organization must, if it is appropriate to do so, transmit the amended information to any third party that has access to the information.

Record of determination

(3) If the organization and the individual do not agree on the amendments that are to be made to the information, the organization must record the disagreement and, if it is appropriate to do so, inform third parties that have access to the information of the fact that there is a disagreement.

Mobility of Personal Information

Disclosure under data mobility framework

72 Subject to the regulations, on the request of an individual, an organization must as soon as feasible disclose the personal information that it has collected from the individual to an organization designated by the individual, if both organizations are subject to a data mobility framework.

Challenging Compliance

Complaints and requests for information

73 (1) An individual may make a complaint, or a request for information, to an organization with respect to its compliance with this Part. The organization must respond to any complaint or request that it receives.

Process for making complaint or request

(2) An organization must make readily available information about the process for making a complaint or request.

Investigation of complaints

(3) An organization must investigate any complaint that it receives and make any necessary changes to its policies, practices and procedures as a result of the investigation.

De-identification of Personal Information

Proportionality of technical and administrative measures

74 An organization that de-identifies personal information must ensure that any technical and administrative measures applied to the information are proportionate to the purpose for which the information is de-identified and the sensitivity of the personal information.

Prohibition

75 An organization must not use information that has been de-identified, alone or in combination with other information, to identify an individual except

(a) to conduct testing of the effectiveness of security safeguards that it has put in place;

(b) to comply with any requirements under this Act or under federal or provincial law;

(c) to conduct testing of the fairness and accuracy of models, processes and systems that were developed using information that has been de-identified;

(d) to conduct testing of the effectiveness of its de-identification processes;

(e) for a purpose or situation authorized by the Commissioner under section 116; and

(f) in any other prescribed circumstance.

PART 2

Commissioner’s Powers, Duties and Functions and General Provisions

Codes of Practice and Certification Programs

Definition of entity

76 (1) For the purpose of this section and sections 77 to 81, entity includes any organization, regardless of whether it is an organization to which this Act applies, or a government institution.

Code of practice

(2) An entity may, in accordance with the regulations, apply to the Commissioner for approval of a code of practice that provides for substantially the same or greater protection of personal information as some or all of the protection provided under this Act.

Approval by Commissioner

(3) The Commissioner may approve the code of practice if the Commissioner determines that the code meets the criteria set out in the regulations.

Certification program

77 (1) An entity may, in accordance with the regulations, apply to the Commissioner for approval of a certification program that includes

(a) a code of practice that provides for substantially the same or greater protection of personal information as some or all of the protection provided under this Act;

(b) guidelines for interpreting and implementing the code of practice;

(c) a mechanism by which an entity that operates the program may certify that an organization is in compliance with the code of practice;

(d) a mechanism for the independent verification of an organization’s compliance with the code of practice;

(e) disciplinary measures for non-compliance with the code of practice by an organization, including the revocation of an organization’s certification; and

(f) anything else that is provided in the regulations.

Approval by Commissioner

(2) The Commissioner may approve the certification program if the Commissioner determines that the program meets the criteria set out in the regulations.

Response by Commissioner

78 The Commissioner must respond in writing to an application under subsection 76(2) or 77(1) in the time specified in the regulations.

Approval made public

79 The Commissioner must make public a decision to approve a code of practice or certification program.

For greater certainty

80 For greater certainty, compliance with the requirements of a code of practice or a certification program does not relieve an organization of its obligations under this Act.

Powers of Commissioner

81 The Commissioner may

(a) request that an entity that operates an approved certification program provide the Commissioner with information that relates to the program;

(b) cooperate with an entity that operates an approved certification program for the purpose of the exercise of the Commissioner’s powers and the performance of the Commissioner’s duties and functions under this Act;

(c) in accordance with the regulations, recommend to an entity that operates an approved certification program that an organization’s certification be withdrawn, in the circumstances and according to the criteria set out in the regulations, if the Commissioner is of the opinion that the organization is not in compliance with the requirements of the program;

(d) disclose information to the Commissioner of Competition, under an agreement or arrangement entered into under section 118, that relates to an entity that operates an approved certification program or an organization that is certified under an approved certification program;

(e) in accordance with the regulations, revoke an approval of a certification program in the circumstances and according to the criteria set out in the regulations; or

(f) consult with federal government institutions respecting codes of practice or certification programs.

Recourses

Filing of Complaints

Contravention

82 (1) An individual may file with the Commissioner a written complaint against an organization for contravening Part 1.

Commissioner may initiate complaint

(2) If the Commissioner is satisfied that there are reasonable grounds to investigate a matter under this Act, the Commissioner may initiate a complaint in respect of the matter.

Time limit

(3) A complaint that results from the refusal to grant a request made under section 63 must be filed within six months, or any longer period that the Commissioner allows, after the refusal or after the expiry of the time limit for responding to the request, as the case may be.

Notice

(4) The Commissioner must give notice of a complaint to the organization against which the complaint was made, unless the Commissioner decides under section 84 not to carry out an investigation.

Investigation of Complaints and Dispute Resolution

Investigation of complaint by Commissioner

83 (1) The Commissioner must carry out an investigation in respect of a complaint, unless the Commissioner is of the opinion that

(a) the complainant should first exhaust grievance or review procedures otherwise reasonably available;

(b) the complaint could more appropriately be dealt with, initially or completely, by means of a procedure provided for under any federal law, other than this Act, or provincial law;

(c) the complaint was not filed within a reasonable period after the day on which the subject matter of the complaint arose;

(d) the complaint raises an issue in respect of which a certification program that was approved by the Commissioner under subsection 77(2) applies and the organization is certified under that program;

(e) there is insufficient evidence to pursue the investigation;

(f) the complaint is trivial, frivolous or vexatious or is made in bad faith;

(g) the organization has provided a fair and reasonable response to the complaint;

(h) the matter is already the object of an ongoing investigation or inquiry under this Act;

(i) the matter has already been the subject of a report or decision by the Commissioner;

(j) the matter is being or has already been addressed under a procedure referred to in paragraph (a) or (b);

(k) the matter is the object of a compliance agreement entered into under subsection 87(1); or

(l) an investigation or any further investigation is unnecessary having regard to all the circumstances of the complaint.

Notification

(2) The Commissioner must notify the complainant and the organization of the Commissioner’s decision not to investigate the complaint or any act referred to in the complaint and give reasons for the decision. However, if the decision is made for any of the reasons set out in section 84, the Commissioner must not notify the organization.

Compelling reasons

(3) The Commissioner may reconsider a decision not to investigate under subsection (1) if the Commissioner is satisfied that the complainant has established that there are compelling reasons to investigate.

Exception

84 Despite subsection 83(1), the Commissioner is not required to carry out an investigation in respect of an act referred to in a complaint if the Commissioner is of the opinion that the act, if proved, would constitute a contravention of any of sections 6 to 9 of An Act to promote the efficiency and adaptability of the Canadian economy by regulating certain activities that discourage reliance on electronic means of carrying out commercial activities, and to amend the Canadian Radio-television and Telecommunications Commission Act, the Competition Act, the Personal Information Protection and Electronic Documents Act and the Telecommunications Act or section 52.‍01 of the Competition Act or would constitute conduct that is reviewable under section 74.‍011 of that Act.

Discontinuance

85 The Commissioner may discontinue the investigation of a complaint if the Commissioner has formed an opinion referred to in subsection 83(1) or section 84. The Commissioner must notify the complainant and the organization of the discontinuance and give reasons for the decision.

Dispute resolution mechanisms

86 The Commissioner may attempt to resolve a complaint by means of a dispute resolution mechanism such as mediation and conciliation, unless an inquiry is being conducted in respect of the complaint.

Compliance Agreements

Entering into compliance agreement

87 (1) If, in the course of an investigation, the Commissioner believes on reasonable grounds that an organization has committed, is about to commit or is likely to commit an act or omission that could constitute a contravention of Part 1, the Commissioner may enter into a compliance agreement with that organization, aimed at ensuring compliance with this Act.

Terms

(2) A compliance agreement may contain any terms that the Commissioner considers necessary to ensure compliance with this Act.

Effect of compliance agreement

(3) The Commissioner must not commence an inquiry under section 89 in respect of any matter covered under the agreement.

For greater certainty

(4) For greater certainty, a compliance agreement does not preclude the prosecution of an offence under this Act.

Notification

Notification and reasons

88 The Commissioner must notify the complainant and the organization and give reasons for the decision if an investigation has concluded and the Commissioner has decided not to conduct an inquiry.

Inquiry

Inquiry — complaint

89 (1) After investigating a complaint, the Commissioner may conduct an inquiry in respect of the complaint if the matter is not

(a) the subject of dispute resolution under section 86;

(b) discontinued; or

Notice

(2) The Commissioner must give notice of the inquiry to the complainant and the organization.

Inquiry — compliance agreement

90 (1) If the Commissioner believes on reasonable grounds that an organization is not complying with the terms of a compliance agreement entered into under subsection 87(1), the Commissioner may conduct an inquiry in respect of the non-compliance.

Notice

(2) The Commissioner must give notice of the inquiry to the organization.

Nature of inquiries

91 (1) Subject to subsection (2), the Commissioner is not bound by any legal or technical rules of evidence in conducting an inquiry and must deal with the matter as informally and expeditiously as the circumstances and considerations of fairness and natural justice permit.

Restriction

(2) The Commissioner must not receive or accept as evidence anything that would be inadmissible in a court by reason of any privilege under the law of evidence.

Opportunity to be heard

(3) In conducting the inquiry, the Commissioner must give the organization and the complainant an opportunity to be heard and to be assisted or represented by counsel or by any person.

Inquiry in private

(4) The Commissioner may hold all or any part of the inquiry in private.

Rules

92 The Commissioner must make rules respecting the conduct of an inquiry, including the procedure and rules of evidence to be followed, and must make those rules publicly available.

Decision

93 (1) The Commissioner must complete an inquiry by rendering a decision that sets out

(a) the Commissioner’s findings on whether the organization has contravened this Act or has not complied with the terms of a compliance agreement;

(b) any order made under subsection (2);

(d) the Commissioner’s reasons for the findings, order or decision.

Compliance order

(2) The Commissioner may, to the extent that is reasonably necessary to ensure compliance with this Act, order the organization to

(a) take measures to comply with this Act;

(b) stop doing something that is in contravention of this Act;

(d) make public any measures taken or proposed to be taken to correct the policies, practices or procedures that the organization has put in place to fulfill its obligations under this Act.

Communication of decision

(3) The decision must be sent to the complainant and the organization without delay.

Extension of time

(4) An inquiry conducted under section 89 must be completed within one year after the day on which the complaint is filed or is initiated by the Commissioner. However, the Commissioner may extend the time limit, for a period not exceeding one year, by notifying the complainant and the organization of the anticipated date on which the decision is to be made.

Administrative Monetary Penalties

Recommendation

94 (1) If, on completing an inquiry under section 89 or 90, the Commissioner finds that an organization has contravened one or more of the following provisions, the Commissioner must decide whether to recommend that a penalty be imposed on the organization by the Tribunal:

(a) subsection 9(1);

(b) subsection 11(1);

(d) section 13;

(e) subsection 14(1);

(f) subsections 15(1) and (7);

(g) section 16;

(h) subsection 17(2);

(i) section 53;

(j) subsections 55(1) and (4);

(k) subsection 57(1);

(l) subsections 58(1) and (3);

(m) section 61; and

(n) subsection 62(1).

Factors to consider

(2) In making the decision, the Commissioner must take into account the following factors:

(a) the nature and scope of the contravention;

(b) any evidence that the organization exercised due diligence to avoid the contravention;

(d) the organization’s history of compliance with this Act;

(e) any prescribed factor; and

(f) any other relevant factor.

Limitation

(3) The Commissioner must not recommend that a penalty be imposed on an organization if the Commissioner is of the opinion that, at the time of the contravention of the provision in question, the organization was in compliance with the requirements of a certification program that was in relation to that provision and was approved by the Commissioner under subsection 77(2).

Notice to Tribunal

(4) If the Commissioner decides to recommend that a penalty be imposed on an organization, the Commissioner must file with the Tribunal a copy of the decision rendered under subsection 93(1) that sets out the decision to recommend.

Imposition of penalty

95 (1) The Tribunal may, by order, impose a penalty on an organization if

(a) the Commissioner files a copy of a decision in relation to the organization in accordance with subsection 94(4) or the Tribunal, on appeal, substitutes its own decision to recommend that a penalty be imposed on the organization for the Commissioner’s decision not to recommend;

(b) the organization and the Commissioner are given the opportunity to make representations; and

Findings

(2) In determining whether it is appropriate to impose a penalty on an organization, the Tribunal must rely on the findings set out in the decision that is rendered by the Commissioner under subsection 93(1) in relation to the organization or on the Tribunal’s own findings if, on appeal, it substitutes its own findings for those of the Commissioner.

Limitations

(3) The Tribunal must not impose a penalty on an organization in relation to a contravention if a prosecution for the act or omission that constitutes the contravention has been instituted against the organization or if the organization establishes that it exercised due diligence to prevent the contravention.

Maximum penalty

(4) The maximum penalty for all the contraventions in a recommendation taken together is the higher of $10,000,000 and 3% of the organization’s gross global revenue in its financial year before the one in which the penalty is imposed.

Factors to consider

(5) In determining whether it is appropriate to impose a penalty on an organization and in determining the amount of a penalty, the Tribunal must take the following factors into account:

(a) the factors set out in subsection 94(2);

(b) the organization’s ability to pay the penalty and the likely effect of paying it on the organization’s ability to carry on its business; and

Purpose of penalty

(6) The purpose of a penalty is to promote compliance with this Act and not to punish.

Recovery as debt due to Her Majesty

96 A penalty imposed under section 95 constitutes a debt due to Her Majesty and the debt is payable and may be recovered by the Minister as of the day on which it is imposed.

Audits

Ensure compliance

97 The Commissioner may, on reasonable notice and at any reasonable time, audit the personal information management practices of an organization if the Commissioner has reasonable grounds to believe that the organization has contravened, is contravening or is likely to contravene Part 1.

Report of findings and recommendations

98 (1) After an audit, the Commissioner must provide the audited organization with a report that contains the findings of the audit and any recommendations that the Commissioner considers appropriate.

Reports may be included in annual reports

(2) The report may be included in a report made under section 121.

Commissioner’s Powers — Investigations, Inquiries and Audits

Powers of Commissioner

99 (1) In carrying out an investigation of a complaint, conducting an inquiry or carrying out an audit, the Commissioner may

(a) summon and enforce the appearance of persons before the Commissioner and compel them to give oral or written evidence on oath and to produce any records and things that the Commissioner considers necessary to carry out the investigation, conduct the inquiry or carry out the audit, in the same manner and to the same extent as a superior court of record;

(b) administer oaths;

(c) receive and accept any evidence and other information, whether on oath, by affidavit or otherwise, that the Commissioner sees fit, whether or not it is or would be admissible in a court of law;

(d) make any interim order that the Commissioner considers appropriate;

(e) order an organization that has information that is relevant to the investigation, inquiry or audit to retain the information for as long as is necessary to allow the Commissioner to carry out the investigation, conduct the inquiry or carry out the audit;

(f) at any reasonable time, enter any premises, other than a dwelling-house, occupied by an organization on satisfying any security requirements of the organization relating to the premises;

(g) converse in private with any person in any premises entered under paragraph (f) and otherwise make any inquiries in those premises that the Commissioner sees fit; and

(h) examine or obtain copies of or extracts from records found in any premises entered under paragraph (f) that contain any matter relevant to the investigation, inquiry or audit.

Return of records

(2) The Commissioner or the Commissioner’s delegate must return to a person or an organization any record or thing that they produced under this section within 10 days after the day on which they make a request to the Commissioner or the delegate, but nothing precludes the Commissioner or the delegate from again requiring that the record or thing be produced.

Delegation

100 (1) The Commissioner may delegate any of the powers, duties or functions set out in sections 83 to 97 and subsection 99(1).

Certificate of delegation

(2) Any person to whom powers set out in subsection 99(1) are delegated must be given a certificate of the delegation and the delegate must produce the certificate, on request, to the person in charge of any premises to be entered under paragraph (f) of that subsection.

Appeals

Right of appeal

101 (1) A complainant or organization that is affected by any of the following findings, orders or decisions may appeal it to the Tribunal:

(a) a finding that is set out in a decision rendered under subsection 93(1);

(b) an order made under subsection 93(2); or

Time limit — appeal

(2) The time limit for making an appeal is 30 days after the day on which the Commissioner renders the decision under subsection 93(1) that sets out the finding, order or decision.

Appeal with leave

102 (1) A complainant or organization that is affected by an interim order made under paragraph 99(1)‍(d) may, with leave of the Tribunal, appeal the order to the Tribunal.

Time limit — leave to appeal

(2) The time limit for making an application for leave to appeal is 30 days after the day on which the order is made.

Disposition of appeals

103 (1) The Tribunal may dispose of an appeal by dismissing it or by allowing it and, in allowing the appeal, the Tribunal may substitute its own finding, order or decision for the one under appeal.

Standard of review

(2) The standard of review for an appeal is correctness for questions of law and palpable and overriding error for questions of fact or questions of mixed law and fact.

Enforcement of Orders

Compliance orders

104 (1) If an order made by the Commissioner under subsection 93(2) is not appealed to the Tribunal or an appeal of the order is dismissed by the Tribunal, the order may, for the purposes of its enforcement, be made an order of the Federal Court and is enforceable in the same manner as an order of that Court.

Interim orders

(2) If an application for leave to appeal to the Tribunal is not made in relation to an order made by the Commissioner under paragraph 99(1)‍(d), a leave application in relation to the order is dismissed by the Tribunal or a leave application in relation to the order is granted by the Tribunal but the appeal is dismissed, then the order may, for the purposes of its enforcement, be made an order of the Federal Court and is enforceable in the same manner as an order of that Court.

Tribunal orders

105 If the Tribunal, on appeal, substitutes its own order for an order of the Commissioner made under subsection 93(2) or paragraph 99(1)‍(d), the Tribunal’s order may, for the purposes of its enforcement, be made an order of the Federal Court and is enforceable in the same manner as an order of that Court.

Filing with Court

106 An order referred to in section 104 or 105 is made an order of the Federal Court by filing a certified copy of it with the Registrar of that Court.

Private Right of Action

Damages — contravention of Act

107 (1) An individual who is affected by an act or omission by an organization that constitutes a contravention of this Act has a cause of action against the organization for damages for loss or injury that the individual has suffered as a result of the contravention if

(a) the Commissioner has made a finding under paragraph 93(1)‍(a) that the organization has contravened this Act and

(i) the finding is not appealed and the time limit for making an appeal under subsection 101(2) has expired, or

(ii) the Tribunal has dismissed an appeal of the finding under subsection 103(1); or

(b) the Tribunal has made a finding under subsection 103(1) that the organization has contravened this Act.

Damages — offence

(2) If an organization has been convicted of an offence under section 128, an individual affected by the act or omission that gave rise to the offence has a cause of action against the organization for damages for loss or injury that the individual has suffered as a result of the act or omission.

Limitation period or prescription

(3) An action must not be brought later than two years after the day on which the individual becomes aware of

(a) in the case of an action under subsection (1), the Commissioner’s finding or, if there is an appeal, the Tribunal’s decision; and

(b) in the case of an action under subsection (2), the conviction.

Court of competent jurisdiction

(4) An action referred to in subsection (1) or (2) may be brought in the Federal Court or a superior court of a province.

Certificate Under Canada Evidence Act

Certificate under Canada Evidence Act

108 (1) If a certificate under section 38.‍13 of the Canada Evidence Act prohibiting the disclosure of personal information of a specific individual is issued before a complaint is filed by that individual under this Act in respect of a request for access to that information, the provisions of this Act respecting that individual’s right of access to their personal information do not apply to the information that is subject to the certificate.

Certificate following filing of complaint

(2) Despite any other provision of this Act, if a certificate under section 38.‍13 of the Canada Evidence Act prohibiting the disclosure of personal information of a specific individual is issued after the filing of a complaint under this Act in relation to a request for access to that information,

(a) all proceedings under this Act in respect of that information, including an investigation, inquiry, audit, appeal or judicial review, are discontinued;

(b) the Commissioner must not disclose the information and must take all necessary precautions to prevent its disclosure; and

(c) the Commissioner must, within 10 days after the day on which the certificate is published in the Canada Gazette, return the information to the organization that provided the information.

Information not to be disclosed

(3) The Commissioner and every person acting on behalf or under the direction of the Commissioner, in exercising their powers and performing their duties and functions under this Act, must not disclose information subject to a certificate issued under section 38.‍13 of the Canada Evidence Act and must take every reasonable precaution to avoid the disclosure of that information.

Power to delegate

(4) The Commissioner must not delegate the investigation or inquiry in respect of any complaint relating to information subject to a certificate issued under section 38.‍13 of the Canada Evidence Act except to one of a maximum of four officers or employees of the Commissioner specifically designated by the Commissioner for the purpose of conducting that investigation or inquiry, as the case may be.

Powers, Duties and Functions of Commissioner

Factors to consider

109 In exercising any powers and performing the any duties and functions under this Act, the Commissioner must take into account

(a) the purpose of this Act;

(b) the size and revenue of organizations;

(d) matters of general public interest.

Promoting purposes of Act

110 (1) The Commissioner must, in the form and manner that the Commissioner considers appropriate,

(a) develop and conduct information programs to foster public understanding of this Act and recognition of its purposes;

(b) develop guidance materials and tools for organizations in relation to their compliance with this Act — including any guidance materials and tools that are requested by the Minister — in consultation with stakeholders, including any relevant federal government institutions;

(c) undertake and publish research that is related to the protection of personal information, including any research that is requested by the Minister;

(d) undertake and publish any research related to the operation or implementation of this Act that is requested by the Minister;

(e) on request by an organization, provide guidance on — and, if the Commissioner considers it appropriate, recommend corrective measures in relation to — its privacy management program; and

(f) promote, by any other means that the Commissioner considers appropriate, the purposes of this Act.

For greater certainty

(2) For greater certainty, for the purpose of paragraph (1)‍(e), the Commissioner may prioritize the requests of organizations that the Commissioner considers to be in greatest need of guidance and is not required to act on a request that the Commissioner considers unreasonable.

Prohibition — use for initiating complaint or audit

111 The Commissioner must not use the information the Commissioner receives under section 10 or paragraph 110(1)‍(e) as grounds to initiate a complaint under subsection 82(2) or to carry out an audit under section 97 unless the Commissioner considers that the organization has wilfully disregarded the corrective measures that were recommended in relation to its privacy management program.

Information — powers, duties or functions

112 The Commissioner must make readily available information on the manner in which the Commissioner exercises the Commissioner’s powers or performs the Commissioner’s duties or functions under this Act.

Confidentiality

113 (1) Subject to subsections (3) to (8), section 79, paragraph 81(c), subsections 82(4) and 83(2), section 88, subsections 89(2) and 90(2), section 93, subsections 94(4), 98(1), 118(2), 119(3) and 120(1) and section 121, the Commissioner or any person acting on behalf or under the direction of the Commissioner must not disclose any information that comes to their knowledge as a result of the exercise of any of the Commissioner’s powers or the performance of any of the Commissioner’s duties or functions under this Act other than those referred to in subsection 58(1) or 60(2).

Confidentiality — reports and records

(2) Subject to subsections (3) to (8), section 79, paragraph 81(c), subsections 82(4) and 83(2), section 88, subsections 89(2) and 90(2), section 93, subsections 94(4), 98(1), 118(2), 119(3) and 120(1) and section 121, the Commissioner or any person acting on behalf or under the direction of the Commissioner must not disclose any information contained in a report made under subsection 58(1) or in a record obtained under subsection 60(2).

Public interest

(3) The Commissioner may, if the Commissioner considers that it is in the public interest to do so, make public any information that comes to the Commissioner’s knowledge in the exercise of any of the Commissioner’s powers or the performance of any of the Commissioner’s duties or functions under this Act.

Disclosure of necessary information

(4) The Commissioner may disclose, or may authorize any person acting on behalf or under the direction of the Commissioner to disclose, information that in the Commissioner’s opinion is necessary to

(a) carry out an investigation, conduct an inquiry or carry out an audit under this Act; or

(b) establish the grounds for findings and recommendations contained in any decision or report made under this Act.

Disclosure in the course of proceedings

(5) The Commissioner may disclose, or may authorize any person acting on behalf or under the direction of the Commissioner to disclose, information in the course of

(a) a prosecution for an offence under section 128;

(b) a prosecution for an offence under section 132 of the Criminal Code (perjury) in respect of a statement made under this Act;

(d) a judicial review in relation to the exercise of any of the Commissioner’s powers or the performance of any of the Commissioner’s duties or functions under this Act or in relation to a decision of the Tribunal.

Disclosure of offence authorized

(6) The Commissioner may disclose to the Attorney General of Canada or of a province, as the case may be, information relating to the commission of an offence under any federal or provincial law on the part of an officer or employee of an organization if, in the Commissioner’s opinion, there is evidence of an offence.

Disclosure of breach of security safeguards

(7) The Commissioner may disclose, or may authorize any person acting on behalf or under the direction of the Commissioner to disclose, to a government institution or a part of a government institution, any information contained in a report made under subsection 58(1) or in a record obtained under subsection 60(2) if the Commissioner has reasonable grounds to believe that the information could be useful in the investigation of a contravention of any federal or provincial law that has been, is being or is about to be committed.

Disclosure

(8) The Commissioner may disclose information, or may authorize any person acting on behalf or under the direction of the Commissioner to disclose information, in the course of proceedings in which the Commissioner has intervened under paragraph 50(c) of An Act to promote the efficiency and adaptability of the Canadian economy by regulating certain activities that discourage reliance on electronic means of carrying out commercial activities, and to amend the Canadian Radio-television and Telecommunications Commission Act, the Competition Act, the Personal Information Protection and Electronic Documents Act and the Telecommunications Act or in accordance with subsection 58(3) or 60(1) of that Act.

Not competent witness

114 The Commissioner or any person acting on behalf or under the direction of the Commissioner is not a competent witness in respect of any matter that comes to their knowledge as a result of the exercise of any of the Commissioner’s powers or the performance of any of the Commissioner’s duties or functions under this Act in any proceeding other than

(a) a prosecution for an offence under section 128;

(b) a prosecution for an offence under section 132 of the Criminal Code (perjury) in respect of a statement made under this Act; or

Protection of Commissioner

115 (1) No criminal or civil proceedings lie against the Commissioner, or against any person acting on behalf or under the direction of the Commissioner, for anything done, reported, decided or said in good faith as a result of the exercise or purported exercise of any power of the Commissioner or the performance or purported performance of any duty or function of the Commissioner under this Act.

Defamation

(2) No action lies in defamation with respect to

(a) anything said, any information supplied or any record or thing produced in good faith in the course of an investigation or audit carried out or an inquiry conducted by or on behalf of the Commissioner under this Act; and

(b) any report or decision made in good faith by the Commissioner under this Act and any fair and accurate account of the report or decision made in good faith for the purpose of news reporting.

De-identified information

116 For the purpose of paragraph 75(e), the Commissioner may, on request by an organization, authorize a purpose or situation in which the organization may use information that has been de-identified, alone or in combination with other information, to identify an individual if, in the Commissioner’s opinion, it is clearly in the interests of the individual.

Agreements or arrangements — Minister

117 The Commissioner may enter into an agreement or arrangement with the Minister relating to the administration of this Act.

Agreements or arrangements — CRTC and Commissioner of Competition

118 (1) The Commissioner may enter into agreements or arrangements with the Canadian Radio-television and Telecommunications Commission or the Commissioner of Competition in order to

(a) undertake and publish research on issues of mutual interest; and

(b) develop procedures for disclosing information referred to in subsection (2).

Disclosure of information

(2) The Commissioner may, in accordance with any procedure established under paragraph (1)‍(b), disclose information, other than information the Commissioner has received under section 10 or paragraph 110(1)‍(e), to the Canadian Radio-television and Telecommunications Commission or the Commissioner of Competition if the information is relevant to their powers, duties or functions.

Purpose and confidentiality

(3) The procedures referred to in paragraph (1)‍(b) must

(a) restrict the use of the information to the purpose for which it was originally disclosed; and

(b) stipulate that the information be treated in a confidential manner and not be further disclosed without the express consent of the Commissioner.

Consultations with provinces

119 (1) If the Commissioner considers it appropriate to do so, or on the request of an interested person, the Commissioner may, in order to ensure that personal information is protected in as consistent a manner as possible, consult with any person who, under provincial legislation, has powers, duties and functions similar to those of the Commissioner with respect to the protection of personal information.

Agreements or arrangements with provinces

(2) The Commissioner may enter into agreements or arrangements with any person referred to in subsection (1) in order to

(a) coordinate the activities of their offices and the office of the Commissioner, including to provide for mechanisms for the handling of any complaint in which they are mutually interested;

(b) undertake and publish research or develop and publish guidelines or other documents related to the protection of personal information;

(c) develop model contracts or other documents related to the protection of personal information that is collected, used or disclosed interprovincially or internationally; and

(d) develop procedures for disclosing information referred to in subsection (3).

Disclosure of information to provinces

(3) The Commissioner may, in accordance with any procedure established under paragraph (2)‍(d), disclose information, other than information the Commissioner has received under section 10 or paragraph 110(1)‍(e), to any person referred to in subsection (1), if the information

(a) could be relevant to an ongoing or potential investigation of a complaint, inquiry or audit under this Act or provincial legislation that has objectives that are similar to this Act; or

(b) could assist the Commissioner or that person in the exercise of their powers or the performance of their duties or functions with respect to the protection of personal information.

Purpose and confidentiality

(4) The procedures referred to in paragraph (2)‍(d) must

(a) restrict the use of the information to the purpose for which it was originally disclosed; and

(b) stipulate that the information be treated in a confidential manner and not be further disclosed without the express consent of the Commissioner.

Disclosure of information to foreign state

120 (1) Subject to subsection (3), the Commissioner may, in accordance with any procedure established under paragraph (4)‍(b), disclose information referred to in subsection (2), other than information the Commissioner has received under section 10 or paragraph 110(1)‍(e), that has come to the Commissioner’s knowledge as a result of the exercise of any of the Commissioner’s powers or the performance of any of the Commissioner’s duties and functions under this Act to any person or body who, under the legislation of a foreign state, has

(a) powers, duties and functions similar to those of the Commissioner with respect to the protection of personal information; or

(b) responsibilities that relate to conduct that is substantially similar to conduct that would be in contravention of this Act.

Information that can be disclosed

(2) The information that the Commissioner is authorized to disclose under subsection (1) is information that the Commissioner believes

(a) would be relevant to an ongoing or potential investigation or proceeding in respect of a contravention of the laws of a foreign state that address conduct that is substantially similar to conduct that would be in contravention of this Act; or

(b) is necessary to disclose in order to obtain from the person or body information that may be useful to an ongoing or potential investigation, inquiry or audit under this Act.

Written arrangements

(3) The Commissioner may only disclose information to the person or body referred to in subsection (1) if the Commissioner has entered into a written arrangement with that person or body that

(a) limits the information to be disclosed to that which is necessary for the purpose set out in paragraph (2)‍(a) or (b);

(b) restricts the use of the information to the purpose for which it was originally disclosed; and

(c) stipulates that the information be treated in a confidential manner and not be further disclosed without the express consent of the Commissioner.

Arrangements

(4) The Commissioner may enter into arrangements with one or more persons or bodies referred to in subsection (1) in order to

(a) provide for cooperation with respect to the enforcement of laws protecting personal information, including the disclosure of information referred to in subsection (2) and the provision of mechanisms for the handling of any complaint in which they are mutually interested;

(b) establish procedures for disclosing information referred to in subsection (2);

(c) develop recommendations, resolutions, rules, standards or other documents with respect to the protection of personal information;

(d) undertake and publish research related to the protection of personal information;

(e) share knowledge and expertise by different means, including through staff exchanges; or

(f) identify issues of mutual interest and determine priorities pertaining to the protection of personal information.

Annual report

121 (1) The Commissioner must, within three months after the end of each financial year, cause to be tabled in each House of Parliament a report concerning the application of this Act, the extent to which the provinces have enacted legislation that is substantially similar to this Act and the application of any such legislation.

Consultation

(2) Before preparing the report, the Commissioner must consult with those persons in the provinces who, in the Commissioner’s opinion, are in a position to assist the Commissioner in making a report respecting personal information that is collected, used or disclosed interprovincially or internationally.

General

Regulations

122 (1) The Governor in Council may make regulations for carrying out the purposes and provisions of this Act, including regulations

(a) respecting the scope of any of the activities set out in paragraphs 18(2)‍(a) to (c), including specifying activities that are excluded from the application of this Act;

(b) specifying what is a government institution or part of a government institution for the purposes of any provision of this Act;

(d) specifying information to be kept and maintained under subsection 60(1); and

(e) prescribing anything that by this Act is to be prescribed.

Orders

(2) The Governor in Council may, by order,

(a) provide that this Act is binding on any agent of Her Majesty in right of Canada to which the Privacy Act does not apply;

(b) if satisfied that legislation of a province that is substantially similar to this Act applies to an organization, a class of organizations, an activity or a class of activities, exempt the organization, activity or class from the application of this Act in respect of the collection, use or disclosure of personal information that occurs within that province; and

(c) amend the schedule by adding or deleting, in column 1, a reference to an organization or by adding or deleting, in column 2, the description of personal information in relation to an organization in column 1.

Regulations — substantially similar provincial legislation

(3) The Governor in Council may make regulations establishing

(a) criteria that are to be applied in making a determination under paragraph (2)‍(b) that provincial legislation is substantially similar to this Act, or in reconsidering that determination; and

(b) the process for making or reconsidering that determination.

Data mobility frameworks

123 The Governor in Council may make regulations respecting the disclosure of personal information under section 72, including regulations

(a) respecting data mobility frameworks and prescribing

(i) safeguards that must be put in place by organizations to enable the secure disclosure of personal information under section 72 and the collection of that information, and

(ii) parameters for the technical means for ensuring interoperability in respect of the disclosure and collection of that information;

(b) specifying organizations that are subject to a data mobility framework; and

(c) providing for exceptions to the requirement to disclose personal information under that section, including exceptions related to the protection of proprietary or confidential commercial information.

Distinguishing — classes

124 Regulations made under subsection 122(1) or section 123 may distinguish among different classes of activities, government institutions or parts of government institutions, information, organizations or entities.

Regulations — codes of conduct and certification programs

125 The Minister may make regulations

(a) respecting the making of an application under subsection 76(2);

(b) setting out criteria for the purpose of subsection 76(3);

(d) respecting the making of an application under subsection 77(1);

(e) providing for anything else that must be included in a certification program for the purpose of paragraph 77(1)‍(f);

(f) setting out criteria for the purpose of subsection 77(2);

(g) respecting the reconsideration of a determination made under subsection 77(2);

(h) specifying, for the purpose of section 78, the time for responding to an application;

(i) respecting the criteria for and the manner and the circumstances in which a recommendation may be made under paragraph 81(c);

(j) respecting the criteria for and the manner and the circumstances in which an approval may be revoked under paragraph 81(e); and

(k) respecting record-keeping and reporting obligations of an entity that operates an approved certification program, including obligations to provide reports to the Commissioner in respect of an approved certification program.

Whistleblowing

126 (1) Any person who has reasonable grounds to believe that a person has contravened or intends to contravene Part 1 may notify the Commissioner of the particulars of the matter and may request that their identity be kept confidential with respect to the notification.

Confidentiality

(2) The Commissioner must keep confidential the identity of a person who has notified the Commissioner under subsection (1) and to whom an assurance of confidentiality has been provided by the Commissioner.

Prohibition

127 (1) An employer must not dismiss, suspend, demote, discipline, harass or otherwise disadvantage an employee, or deny an employee a benefit of employment, by reason that

(a) the employee, acting in good faith and on the basis of reasonable belief, has disclosed to the Commissioner that the employer or any other person has contravened or intends to contravene Part 1;

(b) the employee, acting in good faith and on the basis of reasonable belief, has refused or stated an intention of refusing to do anything that is a contravention of Part 1;

(c) the employee, acting in good faith and on the basis of reasonable belief, has done or stated an intention of doing anything that is required to be done in order that Part 1 not be contravened; or

(d) the employer believes that the employee will do anything referred to in paragraph (a), (b) or (c).

Saving

(2) Nothing in this section impairs any right of an employee, either at law or under an employment contract or collective agreement.

Definitions of employee and employer

(3) In this section, employee includes an independent contractor and employer has a corresponding meaning.

Offence and punishment

128 Every organization that knowingly contravenes section 58, subsection 60(1), section 69 or 75 or subsection 127(1) or an order under subsection 93(2) or that obstructs the Commissioner or the Commissioner’s delegate in the investigation of a complaint, in conducting an inquiry or in carrying out an audit is

(a) guilty of an indictable offence and liable to a fine not exceeding the higher of $25,000,000 and 5% of the organization’s gross global revenue in its financial year before the one in which the organization is sentenced; or

(b) guilty of an offence punishable on summary conviction and liable to a fine not exceeding the higher of $20,000,000 and 4% of the organization’s gross global revenue in its financial year before the one in which the organization is sentenced.

Review by parliamentary committee

129 (1) Five years after the day on which this section comes into force, and every five years after that, a comprehensive review of the provisions and operation of this Act is to be commenced by a committee of the Senate, of the House of Commons or of both Houses of Parliament that may be designated or established by the Senate, the House of Commons or both Houses of Parliament, as the case may be, for that purpose.

Report

(2) Within one year, or any further time that is authorized by the Senate, the House of Commons or both Houses of Parliament, as the case may be, after the day on which the review is commenced, the committee must submit a report on that review to the Senate, the House of Commons or both Houses of Parliament, as the case may be, together with a statement of any changes recommended by the committee.

PART 3

Coming into Force

Order in council

130 (1) Subject to subsections (2) and (3), this Act comes into force on the day on which section 3 of the Digital Charter Implementation Act, 2022 comes into force.

Order in council

(2) Sections 72 and 123 come into force on a day to be fixed by order of the Governor in Council.

Order in council

(3) Sections 76 to 81, paragraph 83(1)‍(d), subsection 94(3) and section 125 come into force on a day to be fixed by order of the Governor in Council.

Consequential and Related Amendments

2000, c. 5

Personal Information Protection and Electronic Documents Act

3 The long title of the Personal Information Protection and Electronic Documents Act is replaced by the following:

An Act to Insertion startprovideInsertion end for the use of electronic means to communicate or record information or transactions

2000, c. 17, par. 97(1)‍(b) and (d); 2001, c. 41, ss. 81, 82 and 103; 2002, c. 8, par. 183(1)‍(r); 2004, c. 15, s. 98; 2005, c. 46, s. 57; 2006, c. 9, s. 223; 2010, c. 23, ss. 82 to 84, 86(2) and 87; 2015, c. 32, ss. 2 to 7, 8(F), 9 to 17, 18(1) and (2)‍(E), 19, 20(1) and (2)‍(E), 21 to 24 and 26(2) and (3), c. 36, s. 164 and 165; 2019, c. 18, s. 61

4 Sections 1 to 30 of the Act are replaced by the following:

Short title

1 This Act may be cited as the Electronic Documents Act.

5 Section 31 of the Act is amended by adding the following after subsection (2):

Designation of Minister

Start of inserted block

(3) The Governor in Council may, by order, designate a member of the Queen’s Privy Council for Canada as the Minister responsible for this Act.

End of inserted block

6 Parts 3 to 5 of the Act are repealed.

7 Schedule 1 to the Act is repealed.

2015, c. 36, s. 166

8 Schedule 4 to the Act is repealed.

R.‍S.‍, c. A-1

Access to Information Act

2015, c. 32, s. 25

9 (1) Schedule II to the Access to Information Act is amended by striking out the reference to

Personal Information Protection and Electronic Documents Act

Loi sur la protection des renseignements personnels et les documents électroniques

and the corresponding reference to “subsection 20(1.‍1)”.

(2) Schedule II to the Act is amended by adding, in alphabetical order, a reference to

Start of inserted block

Consumer Privacy Protection Act

Loi sur la protection de la vie privée des consommateurs

End of inserted block

and a corresponding reference to “subsection 113(2)”.

R.‍S.‍, c. A-2

Aeronautics Act

2011, c. 9, s. 2(1)

10 Subsection 4.‍83(1) of the Aeronautics Act is replaced by the following:

Foreign states requiring information

4.‍83 (1) Despite Insertion startPart 1Insertion end of the Insertion startConsumer PrivacyInsertion end Protection Act, to the extent that that Insertion startPartInsertion end relates to obligations relating to the disclosure of information, anoperator of an aircraft departing from Canada that is due to land in a foreign state or fly over the United States and land outside Canada or of a Canadian aircraft departing from any place outside Canada that is due to land in a foreign state or fly over the United States may, in accordance with the regulations, provide to a competent authority in that foreign state any information that is in the operator’s control relating to persons on board or expected to be on board the aircraft and that is required by the laws of the foreign state.

R.‍S.‍, c. C-5

Canada Evidence Act

2001, c. 41, s. 44

11 Item 14 of the schedule to the Canada Evidence Act is replaced by the following:

14 The Privacy Commissioner, for the purposes of the Insertion startConsumer PrivacyInsertion end Protection Act

2001, c. 41, s. 44

12 Item 17 of the schedule to the Act is replaced by the following:

17 The Personal Information and Insertion startDataInsertion end Protection Insertion startTribunalInsertion end, for the purposes of the Insertion startConsumer PrivacyInsertion end Protection Act

R.‍S.‍, c. C-22

Canadian Radio-television and Telecommunications Commission Act

13 The Canadian Radio-television and Telecommunications Commission Act is amended by adding the following after section 12:

Agreements or arrangements — Privacy Commissioner

Start of inserted block

12.‍1 (1) The Commission may enter into an agreement or arrangement with the Privacy Commissioner in order to

(a) undertake and publish research on issues of mutual interest; and

(b) develop procedures for disclosing information referred to in subsection (2).

End of inserted block

Disclosure of information

Start of inserted block

(2) The Commission may, in accordance with any procedure established under paragraph (1)‍(b), disclose information to the Privacy Commissioner if the information is relevant to the Commissioner’s powers, duties or functions under the Consumer Privacy Protection Act.

End of inserted block

Purpose and confidentiality

Start of inserted block

(3) The procedures referred to in paragraph (1)‍(b) shall

(a) restrict the use of the information to the purpose for which it was originally disclosed; and

(b) stipulate that the information be treated in a confidential manner and not be further disclosed without the express consent of the Commission.

End of inserted block

R.‍S.‍, c. C-34; R.‍S.‍, c. 19 (2nd Supp.‍), s. 19

Competition Act

14 The Competition Act is amended by adding the following after section 29.‍2:

Agreements or arrangements — Privacy Commissioner

Start of inserted block

29.‍3 (1) Despite subsection 29(1), the Commissioner may enter into an agreement or arrangement with the Privacy Commissioner in order to

(a) undertake and publish research on issues of mutual interest; and

(b) develop procedures for disclosing information referred to in subsection (2).

End of inserted block

Disclosure of information

Start of inserted block

(2) The Commissioner may, in accordance with any procedure established under paragraph (1)‍(b), disclose information to the Privacy Commissioner if the information is relevant to the Privacy Commissioner’s powers, duties or functions under the Consumer Privacy Protection Act.

End of inserted block

Purpose and confidentiality

Start of inserted block

(3) The procedures referred to in paragraph (1)‍(b) shall

(a) restrict the use of the information to the purpose for which it was originally disclosed; and

(b) stipulate that the information be treated in a confidential manner and not be further disclosed without the express consent of the Commissioner.

End of inserted block

R.‍S.‍, c. C-44; 1994, c. 24, s. 1(F)

Canada Business Corporations Act

2018, c. 27, s. 183

15 Subsection 21.‍1(5) of the Canada Business Corporations Act is replaced by the following:

Disposal of personal information

(5) Within one year after the sixth anniversary of the day on which an individual ceases to be an individual with significant control over the corporation, the corporation shall — subject to any other Act of Parliament and to any Act of the legislature of a province that provides for a longer retention period — dispose of any of that individual’s personal information, as defined in Insertion startsubsectionInsertion end 2Insertion start(1)Insertion end of the Insertion startConsumer PrivacyInsertion end Protection Act, that is recorded in the register.

1993, c. 38

Telecommunications Act

2010, c. 23, s. 88(1)

16 (1) Subsection 39(2) of the Telecommunications Act is replaced by the following:

Information not to be disclosed

(2) Subject to subsections (4), (5) and (5.‍1) Insertion starttoInsertion end (6), if a person designates information as confidential and the designation is not withdrawn by that person, no person described in subsection (3) shall knowingly disclose the information, or knowingly allow it to be disclosed, to any other person in any manner that is calculated or likely to make it available for the use of any person who may benefit from the information or use the information to the detriment of any person to whose business or affairs the information relates.

(2) Section 39 of the Act is amended by adding the following after subsection (5.‍1):

Disclosure to Privacy Commissioner

Start of inserted block

(5.‍2) The Commission may disclose designated information obtained by it in the exercise of its powers or the performance of its duties or functions under this Act to the Privacy Commissioner in accordance with section 12.‍1 of the Canadian Radio-television and Telecommunications Commission Act.

End of inserted block

2005, c. 46

Public Servants Disclosure Protection Act

17 Paragraph 15(a) of the Public Servants Disclosure Protection Act is replaced by the following:

(a) Insertion startPart 1Insertion end of the Insertion startConsumer PrivacyInsertion end Protection Act, to the extent that that Insertion startPartInsertion end relates to obligations relating to the disclosure of information; and

18 Subsection 16(1.‍1) of the Act is replaced by the following:

Limitation

(1.‍1) Subsection (1) does not apply in respect of information the disclosure of which is subject to any restriction created by or under any Act of Parliament, including the Insertion startConsumer PrivacyInsertion end Protection Act.

19 Section 50 of the Act is replaced by the following:

Personal information

50 Despite Insertion startPart 1Insertion end of the Insertion startConsumer PrivacyInsertion end Protection Act, to the extent that that Insertion startPartInsertion end relates to obligations relating to the disclosure of information, and despite any other Act of Parliament that restricts the disclosure of information, a report by a chief executive in response to recommendations made by the Commissioner to the chief executive under this Act may include personal information within the meaning of subsection 2(1) of that Act, or section 3 of the Privacy Act, depending on which of those Acts applies to the portion of the public sector for which the chief executive is responsible.

2010, c. 23

Chapter 23 of the Statutes of Canada, 2010

20 Section 2 of An Act to promote the efficiency and adaptability of the Canadian economy by regulating certain activities that discourage reliance on electronic means of carrying out commercial activities, and to amend the Canadian Radio-television and Telecommunications Commission Act, the Competition Act, the Personal Information Protection and Electronic Documents Act and the Telecommunications Act is replaced by the following:

Precedence of this Act

2 In the event of a conflict between a provision of this Act and a provision of the Insertion startConsumer PrivacyInsertion end Protection Act, the provision of this Act operates despite the provision of that Insertion startActInsertion end, to the extent of the conflict.

21 Paragraph 20(3)‍(c) of the Act is replaced by the following:

(Insertion startiInsertion end) any previous violation of this Act,

(Insertion startiiInsertion end) any previous conduct that is reviewable under section 74.‍011 of the Competition Act,

(Insertion startiiiInsertion end) any previous contravention of section 5 of the Personal Information Protection and Electronic Documents Act, Insertion startas it read immediately before the day on which section 4 of the Digital Charter Implementation Act, 2022 comes into forceInsertion end, that relates to a collection or use described in subsection 7.‍1(2) or (3) of that Act, and

Start of inserted block

(iv) any previous contravention of Part 1 of the Consumer Privacy Protection Act that relates to a collection or use described in subsection 52(2) or (3) of that Act;

End of inserted block

22 (1) Subsection 47(1) of the Act is replaced by the following:

Application

47 (1) A person who alleges that they are affected by an act or omission that constitutes a contravention of any of sections 6 to 9 of this Act or a contravention of Insertion startPartInsertion end 1 of the Insertion startConsumer PrivacyInsertion end Protection Act that relates to a collection or use described in subsection Insertion start52Insertion end(2) or (3) of that Act — or that constitutes conduct that is reviewable under section 74.‍011 of the Competition Act — may apply to a court of competent jurisdiction for an order under section 51 against one or more persons Insertion startwhomInsertion end they allege have committed the act or omission or Insertion startwhomInsertion end they allege are liable for the contravention or reviewable conduct by reason of section 52 or 53.

(2) Subsection 47(4) of the Act is replaced by the following:

Notice

(4) The applicant must, without delay, serve a copy of the application on every person against whom an order is sought, on the Commission if the application identifies a contravention of this Act, on the Commissioner of Competition if the application identifies conduct that is reviewable under section 74.‍011 of the Competition Act and on the Privacy Commissioner if the application identifies a contravention of the Insertion startConsumer PrivacyInsertion end Protection Act.

23 Paragraph 50(c) of the Act is replaced by the following:

(c) the Privacy Commissioner, if the application identifies a contravention of the Insertion startConsumer PrivacyInsertion end Protection Act.

24 (1) Subparagraph 51(1)‍(b)‍(vi) of the Act is replaced by the following:

(vi) in the case of a contravention of Insertion startPartInsertion end 1 of the Insertion startConsumer PrivacyInsertion end Protection Act that relates to a collection or use described in subsection Insertion start52Insertion end(2) or (3) of that Act, $1,000,000 for each day on which a contravention occurred, and

(2) Subsection 51(2) of the Act is replaced by the following:

Purpose of order

(2) The purpose of an order under paragraph (1)‍(b) is to promote compliance with this Act, the Insertion startConsumer PrivacyInsertion end Protection Act or the Competition Act, as the case may be, and not to punish.

(3) Paragraph 51(3)‍(c) of the Act is replaced by the following:

(Insertion startiInsertion end) any previous contravention of this Act,

(Insertion startiiInsertion end) Insertion startany previousInsertion end contravention of section 5 of the Personal Information Protection and Electronic Documents Act, Insertion startas it read immediately before the day on which section 4 of the Digital Charter Implementation Act, 2022 comes into forceInsertion end, that relates to a collection or use described in subsection 7.‍1(2) or (3) of that Act,

Start of inserted block

(iii) any previous contravention of Part 1 of the Consumer Privacy Protection Act that relates to a collection or use described in subsection 52(2) or (3) of that Act, and

End of inserted block

(Insertion startivInsertion end) any previous conduct that is reviewable under section 74.‍011 of the Competition Act;

25 Sections 52 to 54 of the Act are replaced by the following:

Directors and officers of corporations

52 An officer, director Insertion startorInsertion end agent or mandatary of a corporation that commits a contravention of any of sections 6 to 9 of this Act or of Insertion startPartInsertion end 1 of the Insertion startConsumer PrivacyInsertion end Protection Act that relates to a collection or use described in subsection Insertion start52Insertion end(2) or (3) of that Act, or that engages in conduct that is reviewable under section 74.‍011 of the Competition Act, is liable for the contravention or reviewable conduct, as the case may be, if they directed, authorized, assented to, acquiesced in or participated in the commission of that contravention, or engaged in that conduct, whether or not the corporation is proceeded against.

Vicarious liability

53 A person is liable for a contravention of any of sections 6 to 9 of this Act or of Insertion startPartInsertion end 1 of the Insertion startConsumer PrivacyInsertion end Protection Act that relates to a collection or use described in subsection Insertion start52Insertion end(2) or (3) of that Act, or for conduct that is reviewable under section 74.‍011 of the Competition Act, that is committed or engaged in, as the case may be, by their employee acting within the scope of their employment or their agent or mandatary acting within the scope of their authority, whether or not the employee Insertion startorInsertion end agent or mandatary is identified or proceeded against.

Defence

54 (1) A person must not be found to have committed a contravention of any of sections 6 to 9 of this Act or of Insertion startPartInsertion end 1 of the Insertion startConsumer PrivacyInsertion end Protection Act that relates to a collection or use described in subsection Insertion start52Insertion end(2) or (3) of that Act, or to have engaged in conduct that is reviewable under section 74.‍011 of the Competition Act, if they establish that they exercised due diligence to prevent the contravention or conduct, as the case may be.

Common law principles

(2) Every rule and principle of the common law that makes any circumstance a justification or excuse in relation to a charge for an offence applies in respect of a contravention or conduct Insertion startreferred to in subsection (1)Insertion end, to theextent that it is not inconsistent with this Act or the Insertion startConsumer PrivacyInsertion end Protection Act or the Competition Act, as the case may be.

26 (1) The portion of section 56 of the Act before paragraph (a) is replaced by the following:

Disclosure by an organization

56 Any organization to which the Insertion startConsumer PrivacyInsertion end Protection Act applies may on its own initiative disclose to the Commission, the Commissioner of Competition or the Privacy Commissioner any information in its possession that it believes relates to

(2) Subparagraph 56(a)‍(iii) of the Act is replaced by the following:

(iii) Insertion startPartInsertion end 1 of the Insertion startConsumer PrivacyInsertion end Protection Act, which contravention relates to a collection or use described in subsection Insertion start52Insertion end(2) or (3) of that Act, or

27 Section 57 of the Act is replaced by the following:

Consultation

57 The Commission, the Commissioner of Competition and the Privacy Commissioner must consult with each other to the extent that they consider appropriate to ensure the effective regulation, under this Act, the Competition Act, the Insertion startConsumer PrivacyInsertion end Protection Act and the Telecommunications Act, of commercial conduct that discourages the use of electronic means to carry out commercial activities, and to coordinate their activities under those Acts as they relate to the regulation of that type of conduct.

28 (1) Paragraph 58(1)‍(a) of the Act is replaced by the following:

(a) to the Privacy Commissioner, if the Commission believes that the information relates to the exercise of the Privacy Commissioner’s powers Insertion startor the performance of the Privacy Commissioner’sInsertion end duties or Insertion startfunctionsInsertion end under the Insertion startConsumer PrivacyInsertion end Protection Act in respect of a collection or use described in subsection Insertion start52Insertion end(2) or (3) of that Act; and

(2) Paragraph 58(2)‍(a) of the Act is replaced by the following:

(a) to the Privacy Commissioner, if the Commissioner of Competition believes that the information relates to the exercise of the Privacy Commissioner’s powers Insertion startor the performance of the Privacy Commissioner’sInsertion end duties or Insertion startfunctionsInsertion end under the Insertion startConsumer PrivacyInsertion end Protection Act in respect of a collection or use described in subsection Insertion start52Insertion end(2) or (3) of that Act; and

(3) The portion of subsection 58(3) of the Act before paragraph (a) is replaced by the following:

Disclosure by Privacy Commissioner

(3) The Privacy Commissioner may disclose information obtained by Insertion startthe Privacy CommissionerInsertion end in the exercise of the Insertion startPrivacy Commissioner’sInsertion end powers Insertion startor the performance of the Privacy Commissioner’s dutiesInsertion end or functions under the Insertion startConsumer PrivacyInsertion end Protection Act if the information relates to a collection or use described in subsection Insertion start52Insertion end(2) or (3) of that Act or to an act alleged in a complaint in respect of which the Privacy Commissioner decides, under Insertion startsection 84Insertion end of that Act, to not conduct an investigation or to discontinue an investigation,

29 Subsection 59(3) of the Act is replaced by the following:

Use of information by Privacy Commissioner

(3) The Privacy Commissioner may use the information that is disclosed to Insertion startthe Privacy CommissionerInsertion end under paragraph 58(1)‍(a) or (2)‍(a) only for the purpose of exercising the Insertion startPrivacy Commissioner’sInsertion end powers Insertion startor performing the Privacy Commissioner’s dutiesInsertion end or functions under the Insertion startConsumer PrivacyInsertion end Protection Act in respect of a collection or use described in subsection Insertion start52Insertion end(2) or (3) of that Act.

30 (1) Subparagraph 60(1)‍(a)‍(ii) of the Act is replaced by the following:

(ii) conduct that contravenes Insertion startPartInsertion end 1 of the Insertion startConsumer PrivacyInsertion end Protection Act and that relates to a collection or use described in subsection Insertion start52Insertion end(2) or (3) of that Act,

(2) Subparagraph 60(1)‍(b)‍(iii) of the Act is replaced by the following:

(iii) the exercise by the Privacy Commissioner of the Insertion startPrivacy Commissioner’sInsertion end powers Insertion startor the performance of the Privacy Commissioner’s dutiesInsertion end or functions under the Insertion startConsumer PrivacyInsertion end Protection Act in respect of a collection or use described in subsection Insertion start52Insertion end(2) or (3) of that Act, or

31 Section 61 of the Act is replaced by the following:

Reports to Minister of Industry

61 The Commission, the Commissioner of Competition and the Privacy Commissioner must provide the Minister of Industry with any reports that Insertion startthe MinisterInsertion end requests for the purpose of coordinating the implementation of sections 6 to 9 of this Act, sections 52.‍01 and 74.‍011 of the Competition Act and section Insertion start52Insertion end of the Insertion startConsumer PrivacyInsertion end Protection Act.

2018, c. 10

Transportation Modernization Act

32 Section 62 of the Transportation Modernization Act is amended by replacing the subsection 17.‍91(4) that it enacts with the following:

Consumer Privacy Protection Act and provincial legislation

(4) A company that collects, uses or communicates information under this section, section 17.‍31 or 17.‍94, subsection 28(1.‍1) or 36(2) or regulations made under section 17.‍95 may do so

(a) despite Insertion startPart 1Insertion end of the Insertion startConsumer PrivacyInsertion end Protection Act, to the extent that that Insertion startPartInsertion end relates to obligations relating to the collection, use, disclosure, retention Insertion startand disposalInsertion end of information; and

(b) despite any provision of provincial legislation that is substantially similar to Insertion startthatInsertion end Act and that limits the collection, use, communication or preservation of information.

Terminology

Replacement of “Personal Information Protection and Electronic Documents Act”

33 Every reference to the “Personal Information Protection and Electronic Documents Act” is replaced by a reference to the “Electronic Documents Act” in the following provisions:

(a) the definition secure electronic signature in section 31.‍8 of the Canada Evidence Act;

(b) subsection 95(2) of the Canadian Forces Superannuation Act;

(d) subsection 74(2) of the Public Service Superannuation Act;

(e) subsection 44(2) of the Royal Canadian Mounted Police Superannuation Act;

(f) subparagraph 205.‍124(1)‍(u)‍(ii) of the Canada–Newfoundland and Labrador Atlantic Accord Implementation Act;

(g) subparagraph 210.‍126(1)‍(u)‍(ii) of the Canada-Nova Scotia Offshore Petroleum Resources Accord Implementation Act;

(h) subsections 539.‍1(2) and (3) of the Trust and Loan Companies Act;

(i) subsections 1001(2) and (3) of the Bank Act;

(j) subsections 1043(2) and (3) of the Insurance Companies Act;

(k) subsections 487.‍1(2) and (3) of the Cooperative Credit Associations Act;

(l) subsections 361.‍6(2) and (3) of the Canada Cooperatives Act; and

(m) subsections 269(2) and (3) of the Canada Not-for-profit Corporations Act.

Transitional Provisions

Definitions

34 (1) The following definitions apply in this section.

former Act means the Personal Information Protection and Electronic Documents Act, as it read immediately before the day on which section 82 of the Consumer Privacy Protection Act, enacted by section 2, comes into force. (ancienne loi)

new Act means the Consumer Privacy Protection Act. (nouvelle loi)

Pending complaints

(2) If a complaint was filed or initiated under section 11 of the former Act before the day on which section 82 of the new Act comes into force and it has not been dealt with or disposed of on that day, the complaint is to be dealt with and disposed of in accordance with the former Act. However, if the Privacy Commissioner has reasonable grounds to believe that the contravention that is alleged in the complaint is continuing after that day, the complaint is to be dealt with and disposed of in accordance with the new Act.

Contraventions before coming into force

(3) If a complaint is filed or initiated on or after the day on which section 82 of the new Act comes into force in respect of a contravention that is alleged to have occurred before that day, the complaint is to be dealt with and disposed of in accordance with the former Act. However, if the Privacy Commissioner has reasonable grounds to believe that the contravention that is alleged in the complaint is continuing after that day, the complaint is to be dealt with and disposed of in accordance with the new Act.

Coordinating Amendments

Bill C-11

35 If Bill C-11, introduced in the 1st session of the 44th Parliament and entitled the Online Streaming Act, receives royal assent, then on the first day on which both section 22 of that Act and section 13 of this Act are in force,

(a) subsection 25.‍3(2) of the Broadcasting Act is replaced by the following:

Information not to be disclosed

(2) Subject to subsections (4) to (5.‍1) and (7), if a person designates information as confidential and the designation is not withdrawn by that person, no person described in subsection (3) shall knowingly disclose the information, or knowingly allow it to be disclosed, to any other person in any manner that is intended or likely to make it available for the use of any person who may benefit from the information or use it to the detriment of any person to whose business or affairs the information relates.

(b) section 25.‍3 of the Broadcasting Act, as enacted by that section 22, is amended by adding the following after subsection (5):

Disclosure to Privacy Commissioner

(5.‍1) The Commission may disclose designated information obtained by it in the exercise of its powers or the performance of its duties or functions under this Act to the Privacy Commissioner in accordance with section 12.‍1 of the Canadian Radio-television and Telecommunications Commission Act.

2018, c. 10

36 (1) In this section, other Act means the Transportation Modernization Act.

(2) If section 62 of the other Act comes into force before section 2 of this Act, then

(a) section 32 of this Act is repealed; and

(b) on the coming into force of section 2 of this Act, subsection 17.‍91(4) of the Railway Safety Act is replaced by the following:

Consumer Privacy Protection Act and provincial legislation

(4) A company that collects, uses or communicates information under this section, section 17.‍31 or 17.‍94, subsection 28(1.‍1) or 36(2) or regulations made under section 17.‍95 may do so

(a) despite Part 1 of the Consumer Privacy Protection Act, to the extent that that Part relates to obligations relating to the collection, use, disclosure, retention and disposal of information; and

(b) despite any provision of provincial legislation that is substantially similar to that Act and that limits the collection, use, communication or preservation of information.

(3) If section 62 of the other Act comes into force on the same day as section 32 of this Act, then that section 32 is deemed to have come into force before that section 62.

PART 2

Personal Information and Data Protection Tribunal Act

Enactment of Act

Enactment

37 The Personal Information and Data Protection Tribunal Act is enacted as follows:

An Act to establish the Personal Information and Data Protection Tribunal

Short title

1 This Act may be cited as the Personal Information and Data Protection Tribunal Act.

Definition of Minister

2 In this Act, Minister means the member of the Queen’s Privy Council for Canada designated under section 3 or, if no member is designated, the Minister of Industry.

Order designating Minister

3 The Governor in Council may, by order, designate any member of the Queen’s Privy Council for Canada to be the Minister for the purposes of this Act.

Establishment

4 A tribunal to be called the Personal Information and Data Protection Tribunal (“the Tribunal”) is established.

Jurisdiction

5 The Tribunal has jurisdiction in respect of all appeals that may be made under section 101 or 102 of the Consumer Privacy Protection Act and in respect of the imposition of penalties under section 95 of that Act.

Members

6 (1) The Tribunal consists of three to six members to be appointed by the Governor in Council on the recommendation of the Minister.

Full- or part-time members

(2) Members may be appointed as full-time or part-time members.

Full-time occupation

(3) Full-time members must devote the whole of their time to the performance of their duties and functions under this Act.

Experience

(4) At least three of the members must have experience in the field of information and privacy law.

Chairperson and Vice-Chairperson

7 The Governor in Council must designate one member as Chairperson of the Tribunal and may designate one member as Vice-Chairperson. The Chairperson must be a full-time member.

Duties of Chairperson

8 (1) The Chairperson has supervision over, and direction of the work of the Tribunal, including

(a) the distribution of work among members and the assignment of members to hear matters brought before the Tribunal and, if the Chairperson considers it appropriate for matters to be heard by panels, the assignment of members to panels and to preside over panels; and

(b) the conduct of the work of the Tribunal and the management of its internal affairs.

Acting Chairperson

(2) In the event of the absence or incapacity of the Chairperson or if the office of Chairperson is vacant, the Vice-Chairperson acts as Chairperson.

Acting Chairperson

9 In the event of the absence or incapacity of the Chairperson and the Vice-Chairperson or if both of those offices are vacant, a member of the Tribunal designated by the Minister acts as Chairperson. The designated member is not however authorized to act as Chairperson for a period of more than 90 days without the approval of the Governor in Council.

Term of office

10 (1) A member is to be appointed to hold office during good behaviour for a term not exceeding five years and may be removed for cause by the Governor in Council.

Reappointment

(2) A member is eligible to be reappointed for one or more terms not exceeding three years each.

Disposition after expiry of appointment

(3) A member whose appointment expires may, at the request of the Chairperson and for a period of not more than six months, make or take part in a decision on a matter that they heard as a member. For that purpose, the former member is deemed to be a part-time member.

Remuneration

11 (1) Members are to receive the remuneration that is fixed by the Governor in Council.

Expenses

(2) Each member is entitled to be paid reasonable travel and living expenses incurred while absent in the course of their duties from, in the case of a full-time member, their ordinary place of work and, in the case of a part-time member, their ordinary place of residence.

Status

(3) Members are deemed to be employees for the purposes of the Government Employees Compensation Act and to be employed in the federal public administration for the purposes of any regulations made under section 9 of the Aeronautics Act.

Public Service Superannuation Act

(4) Full-time members are also deemed to be persons employed in the public service for the purposes of the Public Service Superannuation Act.

Inconsistent interests

12 If a member who is assigned to hear or is hearing any matter before the Tribunal, either alone or as a member of a panel, holds any pecuniary or other interest that could be inconsistent with the proper performance of their duties and functions in relation to the matter, the member must disclose the interest to the Chairperson without delay.

Principal office

13 The principal office of the Tribunal must be in a place in Canada that is designated by the Governor in Council or, if no place is designated, in the National Capital Region described in the schedule to the National Capital Act.

Sittings

14 The Tribunal is to sit at those times and places in Canada and in the manner that the Chairperson considers necessary for the proper performance of its duties and functions.

Nature of hearings

15 (1) Subject to subsection (2), the Tribunal is not bound by any legal or technical rules of evidence in conducting a hearing in relation to any matter that comes before it and it must deal with all matters as informally and expeditiously as the circumstances and considerations of fairness and natural justice permit.

Restriction

(2) The Tribunal must not receive or accept as evidence anything that would be inadmissible in a court by reason of any privilege under the law of evidence.

Appearance

(3) A party to a proceeding before the Tribunal may appear in person or be represented by another person, including legal counsel.

Private hearings

(4) Hearings must be held in public. However, the Tribunal may hold all or any part of a hearing in private if it is of the opinion that

(a) a public hearing would not be in the public interest; or

(b) confidential information may be disclosed and the desirability of ensuring that the information is not publicly disclosed outweighs the desirability of adhering to the principle that hearings be open to the public.

Standard of proof

(5) In any proceeding before the Tribunal, a party that has the burden of proof discharges it by proof on the balance of probabilities.

Decision of panel

(6) A decision of the majority of the members of a panel referred to in paragraph 8(1)‍(a) is a decision of the Tribunal.

Powers

16 (1) The Tribunal has, with respect to the appearance, swearing and examination of witnesses, the production and inspection of documents, the enforcement of its decisions and other matters necessary or proper for the due exercise of its jurisdiction, all the powers, rights and privileges that are vested in a superior court of record.

Enforcement of decisions

(2) Any decision of the Tribunal may, for the purposes of its enforcement, be made an order of the Federal Court or of any superior court and is enforceable in the same manner as an order of the court.

Procedure

(3) To make a decision of the Tribunal an order of a court, the usual practice and procedure of the court in such matters may be followed or a certified copy of the decision may be filed with the registrar of the court, at which time the decision becomes an order of the court.

Reasons

17 The Tribunal must provide a decision, with reasons, in writing to all parties to a proceeding.

Public availability — decisions

18 (1) The Tribunal must make its decisions, and the reasons for them, publicly available in accordance with its rules.

Complainants

(2) If the Tribunal makes a decision in relation to a complaint filed under the Consumer Privacy Protection Act, the Tribunal must not make the complainant’s name or any personal information that could be used to identify the complainant publicly available without the complainant’s consent.

Rules

19 (1) The Tribunal may, with the approval of the Governor in Council, make rules that are not inconsistent with this Act or the Consumer Privacy Protection Act to govern the management of its affairs and the practice and procedure in connection with matters brought before it, including rules respecting when decisions are to be made public and the factors to be taken into consideration in deciding whether to name an organization affected by a decision in the decision.

Public availability — rules

(2) The Tribunal must make its rules publicly available.

Cost

20 (1) The Tribunal may, in accordance with its rules, award costs.

Certificate

(2) Costs under subsection (1) that have not been paid may be certified by the Tribunal.

Registration of certificate

(3) On production to the Federal Court, a certificate must be registered. When it is registered, a certificate has the same force and effect as if it were a judgment obtained in the Federal Court for a debt of the amount specified in it and all reasonable costs and charges attendant on its registration, recoverable in that Court or in any other court of competent jurisdiction.

Decisions final

21 A decision of the Tribunal is final and binding and, except for judicial review under the Federal Courts Act, is not subject to appeal or to review by any court.

2014, c. 20, s. 376

Related Amendment to the Administrative Tribunals Support Service of Canada Act

38 The schedule to the Administrative Tribunals Support Service of Canada Act is amended by adding the following in alphabetical order:

Start of inserted block

Personal Information and Data Protection Tribunal

Tribunal de la protection des renseignements personnels et des données

End of inserted block

PART 3

Artificial Intelligence and Data Act

Enactment of Act

39 The Artificial Intelligence and Data Act is enacted as follows:

An Act respecting artificial intelligence systems and data used in artificial intelligence systems

Short Title

Short title

1 This Act may be cited as the Artificial Intelligence and Data Act.

Definitions and Application

Definitions

2 The following definitions apply in this Act.

artificial intelligence system means a technological system that, autonomously or partly autonomously, processes data related to human activities through the use of a genetic algorithm, a neural network, machine learning or another technique in order to generate content or make decisions, recommendations or predictions. (système d’intelligence artificielle)

person includes a trust, a joint venture, a partnership, an unincorporated association and any other legal entity. (personne)

personal information has the meaning assigned by subsections 2(1) and (3) of the Consumer Privacy Protection Act. (renseignement personnel)

Non-application

3 (1) This Act does not apply with respect to a government institution as defined in section 3 of the Privacy Act.

Product, service or activity

(2) This Act does not apply with respect to a product, service or activity that is under the direction or control of

(a) the Minister of National Defence;

(b) the Director of the Canadian Security Intelligence Service;

(d) any other person who is responsible for a federal or provincial department or agency and who is prescribed by regulation.

Regulations

(3) The Governor in Council may make regulations prescribing persons for the purpose of paragraph (2)‍(d).

Purposes of Act

Purposes

4 The purposes of this Act are

(a) to regulate international and interprovincial trade and commerce in artificial intelligence systems by establishing common requirements, applicable across Canada, for the design, development and use of those systems; and

(b) to prohibit certain conduct in relation to artificial intelligence systems that may result in serious harm to individuals or harm to their interests.

PART 1

Regulation of Artificial Intelligence Systems in the Private Sector

Interpretation

Definitions

5 (1) The following definitions apply in this Part.

biased output means content that is generated, or a decision, recommendation or prediction that is made, by an artificial intelligence system and that adversely differentiates, directly or indirectly and without justification, in relation to an individual on one or more of the prohibited grounds of discrimination set out in section 3 of the Canadian Human Rights Act, or on a combination of such prohibited grounds. It does not include content, or a decision, recommendation or prediction, the purpose and effect of which are to prevent disadvantages that are likely to be suffered by, or to eliminate or reduce disadvantages that are suffered by, any group of individuals when those disadvantages would be based on or related to the prohibited grounds. (résultat biaisé)

confidential business information, in respect of a person to whose business or affairs the information relates, means business information

(a) that is not publicly available;

(b) in respect of which the person has taken measures that are reasonable in the circumstances to ensure that it remains not publicly available; and

(c) that has actual or potential economic value to the person or their competitors because it is not publicly available and its disclosure would result in a material financial loss to the person or a material financial gain to their competitors. (renseignements commerciaux confidentiels)

harm means

(a) physical or psychological harm to an individual;

(b) damage to an individual’s property; or

high-impact system means an artificial intelligence system that meets the criteria for a high-impact system that are established in regulations. (système à incidence élevée)

Minister means the member of the Queen’s Privy Council for Canada designated under section 31 or, if no member is so designated, the Minister of Industry. (ministre)

regulated activity means any of the following activities carried out in the course of international or interprovincial trade and commerce:

(a) processing or making available for use any data relating to human activities for the purpose of designing, developing or using an artificial intelligence system;

(b) designing, developing or making available for use an artificial intelligence system or managing its operations. (activité réglementée)

Person responsible

(2) For the purposes of this Part, a person is responsible for an artificial intelligence system, including a high-impact system, if, in the course of international or interprovincial trade and commerce, they design, develop or make available for use the artificial intelligence system or manage its operation.

Requirements

Anonymized data

6 A person who carries out any regulated activity and who processes or makes available for use anonymized data in the course of that activity must, in accordance with the regulations, establish measures with respect to

(a) the manner in which data is anonymized; and

(b) the use or management of anonymized data.

Assessment — high-impact system

7 A person who is responsible for an artificial intelligence system must, in accordance with the regulations, assess whether it is a high-impact system.

Measures related to risks

8 A person who is responsible for a high-impact system must, in accordance with the regulations, establish measures to identify, assess and mitigate the risks of harm or biased output that could result from the use of the system.

Monitoring of mitigation measures

9 A person who is responsible for a high-impact system must, in accordance with the regulations, establish measures to monitor compliance with the mitigation measures they are required to establish under section 8 and the effectiveness of those mitigation measures.

Keeping general records

10 (1) A person who carries out any regulated activity must, in accordance with the regulations, keep records describing in general terms, as the case may be,

(a) the measures they establish under sections 6, 8 and 9; and

(b) the reasons supporting their assessment under section 7.

Additional records

(2) The person must, in accordance with the regulations, keep any other records in respect of the requirements under sections 6 to 9 that apply to them.

Publication of description — making system available for use

11 (1) A person who makes available for use a high-impact system must, in the time and manner that may be prescribed by regulation, publish on a publicly available website a plain-language description of the system that includes an explanation of

(a) how the system is intended to be used;

(b) the types of content that it is intended to generate and the decisions, recommendations or predictions that it is intended to make;

(d) any other information that may be prescribed by regulation.

Publication of description — managing operation of system

(2) A person who manages the operation of a high-impact system must, in the time and manner that may be prescribed by regulation, publish on a publicly available website a plain-language description of the system that includes an explanation of

(a) how the system is used;

(b) the types of content that it generates and the decisions, recommendations or predictions that it makes;

(d) any other information that may be prescribed by regulation.

Notification of material harm

12 A person who is responsible for a high-impact system must, in accordance with the regulations and as soon as feasible, notify the Minister if the use of the system results or is likely to result in material harm.

Ministerial Orders

Provision of subsection 10(1) records

13 The Minister may, by order, require that a person referred to in subsection 10(1) provide the Minister with any of the records referred to in that subsection.

Provision of subsection 10(2) records

14 If the Minister has reasonable grounds to believe that the use of a high-impact system could result in harm or biased output, the Minister may, by order, require that a person referred to in subsection 10(2) provide the Minister, in the form specified in the order, with any of the records referred to in that subsection that relate to that system.

Audit

15 (1) If the Minister has reasonable grounds to believe that a person has contravened any of sections 6 to 12 or an order made under section 13 or 14, the Minister may, by order, require that the person

(a) conduct an audit with respect to the possible contravention; or

(b) engage the services of an independent auditor to conduct the audit.

Qualifications

(2) The audit must be conducted by a person who meets the qualifications that are prescribed by regulation.

Assistance

(3) If the audit is conducted by an independent auditor, the person who is audited must give all assistance that is reasonably required to enable the auditor to conduct the audit, including by providing any records or other information specified by the auditor.

Report

(4) The person who is audited must provide the Minister with the audit report.

Cost

(5) In all cases, the cost of the audit is payable by the person who is audited.

Implementation of measures

16 The Minister may, by order, require that a person who has been audited implement any measure specified in the order to address anything referred to in the audit report.

Cessation

17 (1) The Minister may, by order, require that any person who is responsible for a high-impact system cease using it or making it available for use if the Minister has reasonable grounds to believe that the use of the system gives rise to a serious risk of imminent harm.

Statutory Instruments Act

(2) The order is exempt from the application of sections 3 and 9 of the Statutory Instruments Act.

Publication

18 (1) The Minister may, by order, require that a person referred to in any of sections 6 to 12, 15 and 16 publish, on a publicly available website, any information related to any of those sections. However, the Minister is not permitted to require that the person disclose confidential business information.

Regulations

(2) The person must publish the information under subsection (1) in accordance with any regulations.

Compliance

19 A person who is the subject of an order made by the Minister under this Part must comply with the order.

Filing — Federal Court

20 The Minister may file a certified copy of an order made under any of sections 13 to 18 in the Federal Court and, on the certified copy being filed, the order becomes and may be enforced as an order of the Federal Court.

Statutory Instruments Act

21 An order made under any of sections 13 to 16 and 18 is not a statutory instrument as defined in subsection 2(1) of the Statutory Instruments Act.

Information

Confidential nature maintained

22 For greater certainty, confidential business information that is obtained by the Minister under this Part does not lose its confidential nature by the mere fact that it is so obtained or that it has been disclosed by the Minister under section 25 or 26.

Obligation of Minister

23 Subject to sections 24 to 26, the Minister must take measures to maintain the confidentiality of any confidential business information that the Minister obtains under this Part.

Disclosure of confidential business information — subpoena, warrant, etc.

24 The Minister may disclose confidential business information for the purpose of complying with a subpoena or warrant issued or order made by a court, person or body with jurisdiction to compel the production of information or for the purpose of complying with rules of court relating to the production of information.

Disclosure of information — analyst

25 (1) The Minister may disclose any information that is obtained under this Part to an analyst designated under section 34.

Conditions — confidentiality

(2) The Minister may impose any condition on the analyst in order to protect the confidentiality of information that the Minister discloses.

Duty and restriction

(3) An analyst must maintain the confidentiality of information disclosed to them under subsection (1) and may use the information only for the administration and enforcement of this Part.

Disclosure of information — others

26 (1) The Minister may disclose any information obtained under this Part to any of the following recipients, if the Minister has reasonable grounds to believe that a person who carries out any regulated activity has contravened, or is likely to contravene, another Act of Parliament or a provincial legislature that is administered or enforced by the intended recipient of the information and if the information is relevant to the intended recipient’s powers, duties or functions under that Act:

(a) the Privacy Commissioner;

(b) the Canadian Human Rights Commission;

(d) the Canadian Radio-television and Telecommunications Commission;

(e) any person appointed by the government of a province, or any provincial entity, with powers, duties and functions that are similar to those of the Privacy Commissioner or the Canadian Human Rights Commission;

(f) any other person or entity prescribed by regulation.

Restriction

(2) The Minister may disclose personal information or confidential business information under subsection (1) only if

(a) the Minister is satisfied that the disclosure is necessary for the purposes of enabling the recipient to administer or enforce the Act in question; and

(b) the recipient agrees in writing to maintain the confidentiality of the information except as necessary for any of those purposes.

Restriction — use

(3) The recipient may use the disclosed information only for the purpose of the administration and enforcement of the Act in question.

Publication of information — contravention

27 (1) If the Minister considers that it is in the public interest to do so, the Minister may, for the purpose of encouraging compliance with this Part, publish information about any contravention of this Part on a publicly available website.

Restriction

(2) However, the Minister is not permitted to publish confidential business information under subsection (1).

Publication of information — harm

28 (1) Without the consent of the person to whom the information relates and without notifying that person, the Minister may publish, on a publicly available website, information that relates to an artificial intelligence system and that is obtained under this Part if the Minister has reasonable grounds to believe that

(a) the use of the system gives rise to a serious risk of imminent harm; and

(b) the publication of the information is essential to prevent the harm.

Restriction

(2) However, the Minister is not permitted to publish personal information or confidential business information under subsection (1).

Administrative Monetary Penalties

Administrative monetary penalties

29 (1) A person who is found under the regulations to have committed a violation is liable to the administrative monetary penalty established by the regulations.

Purpose of penalty

(2) The purpose of an administrative monetary penalty is to promote compliance with this Part and not to punish.

Violation or offence

(3) If an act or omission may be proceeded with as a violation or as an offence, proceeding with it in one manner precludes proceeding with it in the other.

Regulations

(4) The Governor in Council may make regulations respecting an administrative monetary penalties scheme, including regulations

(a) designating the provisions of this Part or of the regulations the contravention of which constitutes a violation, including those provisions the contravention of which, if continued on more than one day, constitutes a separate violation in respect of each day during which the violation is continued;

(b) classifying each violation as a minor violation, a serious violation or a very serious violation;

(i) commencing the proceedings,

(ii) maintaining the confidentiality of confidential business information in the proceedings,

(iii) the defences that may be available in respect of a violation, and

(iv) the circumstances in which the proceedings may be brought to an end;

(d) respecting the administrative monetary penalties that may be imposed for a violation, including in relation to

(i) the amount, or range of amounts, of the administrative monetary penalties that may be imposed on persons or classes of persons,

(ii) the factors to be taken into account in imposing an administrative monetary penalty,

(iii) the payment of administrative monetary penalties that have been imposed, and

(iv) the recovery, as a debt, of unpaid administrative monetary penalties;

(e) respecting reviews or appeals of findings that a violation has been committed and of the imposition of administrative monetary penalties;

(f) respecting compliance agreements; and

(g) respecting the persons or classes of persons who may exercise any power, or perform any duty or function, in relation to the scheme, including the designation of such persons or classes of persons by the Minister.

Offences

Contravention — sections 6 to 12

30 (1) Every person who contravenes any of sections 6 to 12 is guilty of an offence.

Obstruction or providing false or misleading information

(2) Every person who carries out a regulated activity is guilty of an offence if the person obstructs — or provides false or misleading information to — the Minister, anyone acting on behalf of the Minister or an independent auditor in the exercise of their powers or performance of their duties or functions under this Part.

Punishment

(3) A person who commits an offence under subsection (1) or (2)

(a) is liable, on conviction on indictment,

(i) to a fine of not more than the greater of $10,000,000 and 3% of the person’s gross global revenues in its financial year before the one in which the person is sentenced, in the case of a person who is not an individual, and

(ii) to a fine at the discretion of the court, in the case of an individual; or

(b) is liable, on summary conviction,

(i) to a fine of not more than the greater of $5,000,000 and 2% of the person’s gross global revenues in its financial year before the one in which the person is sentenced, in the case of a person who is not an individual, and

(ii) to a fine of not more than $50,000, in the case of an individual.

Defence of due diligence

(4) A person is not to be found guilty of an offence under subsection (1) or (2) if they establish that they exercised due diligence to prevent the commission of the offence.

Employee, agent or mandatary

(5) It is sufficient proof of an offence under subsection (1) or (2) to establish that it was committed by an employee, agent or mandatary of the accused, whether or not the employee, agent or mandatary is identified or has been prosecuted for the offence, unless the accused establishes that the offence was committed without the knowledge or consent of the accused.

Administration

Designation

31 The Governor in Council may, by order, designate any member of the Queen’s Privy Council for Canada to be the Minister for the purposes of this Part.

General powers of Minister

32 The Minister may

(a) promote public awareness of this Act and provide education with respect to it;

(b) make recommendations and cause to be prepared reports on the establishment of measures to facilitate compliance with this Part; and

Artificial Intelligence and Data Commissioner

33 (1) The Minister may designate a senior official of the department over which the Minister presides to be called the Artificial Intelligence and Data Commissioner, whose role is to assist the Minister in the administration and enforcement of this Part.

Delegation

(2) The Minister may delegate to the Commissioner any power, duty or function conferred on the Minister under this Part, except the power to make regulations under section 37.

Analysts

34 The Minister may designate any individual or class of individuals as analysts for the administration and enforcement of this Part.

Advisory committee

35 (1) The Minister may establish a committee to provide the Minister with advice on any matters related to this Part.

Advice available to public

(2) The Minister may cause the advice that the committee provides to the Minister to be published on a publicly available website.

Remuneration and expenses

(3) Each committee member is to be paid the remuneration fixed by the Governor in Council and is entitled to the reasonable travel and living expenses that they incur while performing their duties away from their ordinary place of residence.

Regulations — Governor in Council

36 The Governor in Council may make regulations for the purposes of this Part, including regulations

(a) respecting what constitutes or does not constitute justification for the purpose of the definition biased output in subsection 5(1);

(b) establishing criteria for the purpose of the definition high-impact system in subsection 5(1);

(d) respecting the assessment for the purposes of section 7;

(e) respecting what constitutes or does not constitute material harm for the purpose of section 12;

(f) prescribing qualifications for the purposes of subsection 15(2); and

(g) prescribing persons and entities for the purpose of paragraph 26(1)‍(f).

Regulations — Minister

37 The Minister may make regulations

(a) respecting the records required to be kept under section 10;

(b) prescribing, for the purposes of subsections 11(1) and (2), the time and the manner in which descriptions are to be published and the information to be included in the descriptions;

(d) respecting the publication of information under section 18.

PART 2

General Offences Related to Artificial Intelligence Systems

Possession or use of personal information

38 Every person commits an offence if, for the purpose of designing, developing, using or making available for use an artificial intelligence system, the person possesses — within the meaning of subsection 4(3) of the Criminal Code — or uses personal information, knowing or believing that the information is obtained or derived, directly or indirectly, as a result of

(a) the commission in Canada of an offence under an Act of Parliament or a provincial legislature; or

(b) an act or omission anywhere that, if it had occurred in Canada, would have constituted such an offence.

Making system available for use

39 Every person commits an offence if the person

(a) without lawful excuse and knowing that or being reckless as to whether the use of an artificial intelligence system is likely to cause serious physical or psychological harm to an individual or substantial damage to an individual’s property, makes the artificial intelligence system available for use and the use of the system causes such harm or damage; or

(b) with intent to defraud the public and to cause substantial economic loss to an individual, makes an artificial intelligence system available for use and its use causes that loss.

Punishment

40 Every person who commits an offence under section 38 or 39

(a) is liable, on conviction on indictment,

(i) to a fine of not more than the greater of $25,000,000 and 5% of the person’s gross global revenues in its financial year before the one in which the person is sentenced, in the case of a person who is not an individual, and

(ii) to a fine in the discretion of the court or to a term of imprisonment of up to five years less a day, or to both, in the case of an individual; or

(b) is liable, on summary conviction,

(i) to a fine of not more than the greater of $20,000,000 and 4% of the person’s gross global revenues in its financial year before the one in which the person is sentenced, in the case of a person who is not an individual, and

(ii) to a fine of not more than $100,000 or to a term of imprisonment of up to two years less a day, or to both, in the case of an individual.

PART 3

Coming into Force

Order in council

41 The provisions of this Act come into force on a day or days to be fixed by order of the Governor in Council.

PART 4

Coming into Force

Order in council

40 This Act, other than sections 2, 35, 36 and 39, comes into force on a day to be fixed by order of the Governor in Council.

SCHEDULE

(Section 2)

SCHEDULE

(Subsection 6(3) and paragraph 122(2)‍(c))

Organizations

Column 1

Column 2

Item

Organization

Personal Information

World Anti-Doping Agency

Agence mondiale antidopage

Personal information that the organization collects, uses or discloses in the course of its interprovincial or international activities

EXPLANATORY NOTES

Personal Information Protection and Electronic Documents Act

Clause 3: Existing text of the long title:

An Act to support and promote electronic commerce by protecting personal information that is collected, used or disclosed in certain circumstances, by providing for the use of electronic means to communicate or record information or transactions and by amending the Canada Evidence Act, the Statutory Instruments Act and the Statute Revision Act

Clause 4: Existing text of sections 1 to 30:

1 This Act may be cited as the Personal Information Protection and Electronic Documents Act.

PART 1

Protection of Personal Information in the Private Sector

Interpretation

2 (1) The definitions in this subsection apply in this Part.

alternative format, with respect to personal information, means a format that allows a person with a sensory disability to read or listen to the personal information. (support de substitution)

breach of security safeguards means the loss of, unauthorized access to or unauthorized disclosure of personal information resulting from a breach of an organization’s security safeguards that are referred to in clause 4.‍7 of Schedule 1 or from a failure to establish those safeguards. (atteinte aux mesures de sécurité)

business contact information means any information that is used for the purpose of communicating or facilitating communication with an individual in relation to their employment, business or profession such as the individual’s name, position name or title, work address, work telephone number, work fax number or work electronic address. (coordonnées d’affaires)

business transaction includes

(a) the purchase, sale or other acquisition or disposition of an organization or a part of an organization, or any of its assets;

(b) the merger or amalgamation of two or more organizations;

(d) the creating of a charge on, or the taking of a security interest in or a security on, any assets or securities of an organization;

(e) the lease or licensing of any of an organization’s assets; and

(f) any other prescribed arrangement between two or more organizations to conduct a business activity. (transaction commerciale)

Commissioner means the Privacy Commissioner appointed under section 53 of the Privacy Act. (commissaire)

Court means the Federal Court. (Cour)

federal work, undertaking or business means any work, undertaking or business that is within the legislative authority of Parliament. It includes

(b) a railway, canal, telegraph or other work or undertaking that connects a province with another province, or that extends beyond the limits of a province;

(d) a ferry between a province and another province or between a province and a country other than Canada;

(e) aerodromes, aircraft or a line of air transportation;

(f) a radio broadcasting station;

(g) a bank or an authorized foreign bank as defined in section 2 of the Bank Act;

(i) a work, undertaking or business outside the exclusive legislative authority of the legislatures of the provinces; and

organization includes an association, a partnership, a person and a trade union. (organisation)

personal health information, with respect to an individual, whether living or deceased, means

(a) information concerning the physical or mental health of the individual;

(b) information concerning any health service provided to the individual;

(c) information concerning the donation by the individual of any body part or any bodily substance of the individual or information derived from the testing or examination of a body part or bodily substance of the individual;

(d) information that is collected in the course of providing health services to the individual; or

(e) information that is collected incidentally to the provision of health services to the individual. (renseignement personnel sur la santé)

personal information means information about an identifiable individual. (renseignement personnel)

prescribed means prescribed by regulation. (Version anglaise seulement)

record includes any correspondence, memorandum, book, plan, map, drawing, diagram, pictorial or graphic work, photograph, film, microform, sound recording, videotape, machine-readable record and any other documentary material, regardless of physical form or characteristics, and any copy of any of those things. (document)

(2) In this Part, a reference to clause 4.‍3 or 4.‍9 of Schedule 1 does not include a reference to the note that accompanies that clause.

Purpose

3 The purpose of this Part is to establish, in an era in which technology increasingly facilitates the circulation and exchange of information, rules to govern the collection, use and disclosure of personal information in a manner that recognizes the right of privacy of individuals with respect to their personal information and the need of organizations to collect, use or disclose personal information for purposes that a reasonable person would consider appropriate in the circumstances.

Application

4 (1) This Part applies to every organization in respect of personal information that

(a) the organization collects, uses or discloses in the course of commercial activities; or

(1.‍1) This Part applies to an organization set out in column 1 of Schedule 4 in respect of personal information set out in column 2.

(2) This Part does not apply to

(a) any government institution to which the Privacy Act applies;

(b) any individual in respect of personal information that the individual collects, uses or discloses for personal or domestic purposes and does not collect, use or disclose for any other purpose; or

(c) any organization in respect of personal information that the organization collects, uses or discloses for journalistic, artistic or literary purposes and does not collect, use or disclose for any other purpose.

*(3) Every provision of this Part applies despite any provision, enacted after this subsection comes into force, of any other Act of Parliament, unless the other Act expressly declares that that provision operates despite the provision of this Part.

* [Note: Subsection 4(3) in force January 1, 2001, see SI/2000-29.‍]

4.‍01 This Part does not apply to an organization in respect of the business contact information of an individual that the organization collects, uses or discloses solely for the purpose of communicating or facilitating communication with the individual in relation to their employment, business or profession.

4.‍1 (1) Where a certificate under section 38.‍13 of the Canada Evidence Act prohibiting the disclosure of personal information of a specific individual is issued before a complaint is filed by that individual under this Part in respect of a request for access to that information, the provisions of this Part respecting that individual’s right of access to his or her personal information do not apply to the information that is subject to the certificate.

(2) Notwithstanding any other provision of this Part, where a certificate under section 38.‍13 of the Canada Evidence Act prohibiting the disclosure of personal information of a specific individual is issued after the filing of a complaint under this Part in relation to a request for access to that information:

(a) all proceedings under this Part in respect of that information, including an investigation, audit, appeal or judicial review, are discontinued;

(b) the Commissioner shall not disclose the information and shall take all necessary precautions to prevent its disclosure; and

(c) the Commissioner shall, within 10 days after the certificate is published in the Canada Gazette, return the information to the organization that provided the information.

(3) The Commissioner and every person acting on behalf or under the direction of the Commissioner, in carrying out their functions under this Part, shall not disclose information subject to a certificate issued under section 38.‍13 of the Canada Evidence Act, and shall take every reasonable precaution to avoid the disclosure of that information.

(4) The Commissioner may not delegate the investigation of any complaint relating to information subject to a certificate issued under section 38.‍13 of the Canada Evidence Act except to one of a maximum of four officers or employees of the Commissioner specifically designated by the Commissioner for the purpose of conducting that investigation.

DIVISION 1

Protection of Personal Information

5 (1) Subject to sections 6 to 9, every organization shall comply with the obligations set out in Schedule 1.

(2) The word should, when used in Schedule 1, indicates a recommendation and does not impose an obligation.

(3) An organization may collect, use or disclose personal information only for purposes that a reasonable person would consider are appropriate in the circumstances.

6 The designation of an individual under clause 4.‍1 of Schedule 1 does not relieve the organization of the obligation to comply with the obligations set out in that Schedule.

6.‍1 For the purposes of clause 4.‍3 of Schedule 1, the consent of an individual is only valid if it is reasonable to expect that an individual to whom the organization’s activities are directed would understand the nature, purpose and consequences of the collection, use or disclosure of the personal information to which they are consenting.

7 (1) For the purpose of clause 4.‍3 of Schedule 1, and despite the note that accompanies that clause, an organization may collect personal information without the knowledge or consent of the individual only if

(a) the collection is clearly in the interests of the individual and consent cannot be obtained in a timely way;

(b) it is reasonable to expect that the collection with the knowledge or consent of the individual would compromise the availability or the accuracy of the information and the collection is reasonable for purposes related to investigating a breach of an agreement or a contravention of the laws of Canada or a province;

(b.‍1) it is contained in a witness statement and the collection is necessary to assess, process or settle an insurance claim;

(b.‍2) it was produced by the individual in the course of their employment, business or profession and the collection is consistent with the purposes for which the information was produced;

(d) the information is publicly available and is specified by the regulations; or

(e) the collection is made for the purpose of making a disclosure

(i) under subparagraph (3)‍(c.‍1)‍(i) or (d)‍(ii), or

(ii) that is required by law.

(2) For the purpose of clause 4.‍3 of Schedule 1, and despite the note that accompanies that clause, an organization may, without the knowledge or consent of the individual, use personal information only if

(a) in the course of its activities, the organization becomes aware of information that it has reasonable grounds to believe could be useful in the investigation of a contravention of the laws of Canada, a province or a foreign jurisdiction that has been, is being or is about to be committed, and the information is used for the purpose of investigating that contravention;

(b) it is used for the purpose of acting in respect of an emergency that threatens the life, health or security of an individual;

(b.‍1) the information is contained in a witness statement and the use is necessary to assess, process or settle an insurance claim;

(b.‍2) the information was produced by the individual in the course of their employment, business or profession and the use is consistent with the purposes for which the information was produced;

(c) it is used for statistical, or scholarly study or research, purposes that cannot be achieved without using the information, the information is used in a manner that will ensure its confidentiality, it is impracticable to obtain consent and the organization informs the Commissioner of the use before the information is used;

(c.‍1) it is publicly available and is specified by the regulations; or

(d) it was collected under paragraph (1)‍(a), (b) or (e).

(3) For the purpose of clause 4.‍3 of Schedule 1, and despite the note that accompanies that clause, an organization may disclose personal information without the knowledge or consent of the individual only if the disclosure is

(a) made to, in the Province of Quebec, an advocate or notary or, in any other province, a barrister or solicitor who is representing the organization;

(b) for the purpose of collecting a debt owed by the individual to the organization;

(c) required to comply with a subpoena or warrant issued or an order made by a court, person or body with jurisdiction to compel the production of information, or to comply with rules of court relating to the production of records;

(c.‍1) made to a government institution or part of a government institution that has made a request for the information, identified its lawful authority to obtain the information and indicated that

(i) it suspects that the information relates to national security, the defence of Canada or the conduct of international affairs,

(ii) the disclosure is requested for the purpose of enforcing any law of Canada, a province or a foreign jurisdiction, carrying out an investigation relating to the enforcement of any such law or gathering intelligence for the purpose of enforcing any such law,

(iii) the disclosure is requested for the purpose of administering any law of Canada or a province, or

(iv) the disclosure is requested for the purpose of communicating with the next of kin or authorized representative of an injured, ill or deceased individual;

(c.‍2) made to the government institution mentioned in section 7 of the Proceeds of Crime (Money Laundering) and Terrorist Financing Act as required by that section;

(d) made on the initiative of the organization to a government institution or a part of a government institution and the organization

(i) has reasonable grounds to believe that the information relates to a contravention of the laws of Canada, a province or a foreign jurisdiction that has been, is being or is about to be committed, or

(ii) suspects that the information relates to national security, the defence of Canada or the conduct of international affairs;

(d.‍1) made to another organization and is reasonable for the purposes of investigating a breach of an agreement or a contravention of the laws of Canada or a province that has been, is being or is about to be committed and it is reasonable to expect that disclosure with the knowledge or consent of the individual would compromise the investigation;

(d.‍2) made to another organization and is reasonable for the purposes of detecting or suppressing fraud or of preventing fraud that is likely to be committed and it is reasonable to expect that the disclosure with the knowledge or consent of the individual would compromise the ability to prevent, detect or suppress the fraud;

(d.‍3) made on the initiative of the organization to a government institution, a part of a government institution or the individual’s next of kin or authorized representative and

(i) the organization has reasonable grounds to believe that the individual has been, is or may be the victim of financial abuse,

(ii) the disclosure is made solely for purposes related to preventing or investigating the abuse, and

(iii) it is reasonable to expect that disclosure with the knowledge or consent of the individual would compromise the ability to prevent or investigate the abuse;

(d.‍4) necessary to identify the individual who is injured, ill or deceased, made to a government institution, a part of a government institution or the individual’s next of kin or authorized representative and, if the individual is alive, the organization informs that individual in writing without delay of the disclosure;

(e) made to a person who needs the information because of an emergency that threatens the life, health or security of an individual and, if the individual whom the information is about is alive, the organization informs that individual in writing without delay of the disclosure;

(e.‍1) of information that is contained in a witness statement and the disclosure is necessary to assess, process or settle an insurance claim;

(e.‍2) of information that was produced by the individual in the course of their employment, business or profession and the disclosure is consistent with the purposes for which the information was produced;

(f) for statistical, or scholarly study or research, purposes that cannot be achieved without disclosing the information, it is impracticable to obtain consent and the organization informs the Commissioner of the disclosure before the information is disclosed;

(g) made to an institution whose functions include the conservation of records of historic or archival importance, and the disclosure is made for the purpose of such conservation;

(h) made after the earlier of

(i) one hundred years after the record containing the information was created, and

(ii) twenty years after the death of the individual whom the information is about;

(h.‍1) of information that is publicly available and is specified by the regulations; or

(h.‍2) [Repealed, 2015, c. 32, s. 6]

(i) required by law.

(4) Despite clause 4.‍5 of Schedule 1, an organization may use personal information for purposes other than those for which it was collected in any of the circumstances set out in subsection (2).

(5) Despite clause 4.‍5 of Schedule 1, an organization may disclose personal information for purposes other than those for which it was collected in any of the circumstances set out in paragraphs (3)‍(a) to (h.‍1).

7.‍1 (1) The following definitions apply in this section.

access means to program, to execute programs on, to communicate with, to store data in, to retrieve data from, or to otherwise make use of any resources, including data or programs on a computer system or a computer network. (utiliser)

computer program has the same meaning as in subsection 342.‍1(2) of the Criminal Code. (programme d’ordinateur)

computer system has the same meaning as in subsection 342.‍1(2) of the Criminal Code. (ordinateur)

electronic address means an address used in connection with

(a) an electronic mail account;

(b) an instant messaging account; or

(2) Paragraphs 7(1)‍(a) and (b.‍1) to (d) and (2)‍(a) to (c.‍1) and the exception set out in clause 4.‍3 of Schedule 1 do not apply in respect of

(a) the collection of an individual’s electronic address, if the address is collected by the use of a computer program that is designed or marketed primarily for use in generating or searching for, and collecting, electronic addresses; or

(b) the use of an individual’s electronic address, if the address is collected by the use of a computer program described in paragraph (a).

(3) Paragraphs 7(1)‍(a) to (d) and (2)‍(a) to (c.‍1) and the exception set out in clause 4.‍3 of Schedule 1 do not apply in respect of

(a) the collection of personal information, through any means of telecommunication, if the collection is made by accessing a computer system or causing a computer system to be accessed in contravention of an Act of Parliament; or

(b) the use of personal information that is collected in a manner described in paragraph (a).

7.‍2 (1) In addition to the circumstances set out in subsections 7(2) and (3), for the purpose of clause 4.‍3 of Schedule 1, and despite the note that accompanies that clause, organizations that are parties to a prospective business transaction may use and disclose personal information without the knowledge or consent of the individual if

(a) the organizations have entered into an agreement that requires the organization that receives the personal information

(i) to use and disclose that information solely for purposes related to the transaction,

(ii) to protect that information by security safeguards appropriate to the sensitivity of the information, and

(iii) if the transaction does not proceed, to return that information to the organization that disclosed it, or destroy it, within a reasonable time; and

(b) the personal information is necessary

(i) to determine whether to proceed with the transaction, and

(ii) if the determination is made to proceed with the transaction, to complete it.

(2) In addition to the circumstances set out in subsections 7(2) and (3), for the purpose of clause 4.‍3 of Schedule 1, and despite the note that accompanies that clause, if the business transaction is completed, organizations that are parties to the transaction may use and disclose personal information, which was disclosed under subsection (1), without the knowledge or consent of the individual if

(a) the organizations have entered into an agreement that requires each of them

(i) to use and disclose the personal information under its control solely for the purposes for which the personal information was collected, permitted to be used or disclosed before the transaction was completed,

(ii) to protect that information by security safeguards appropriate to the sensitivity of the information, and

(iii) to give effect to any withdrawal of consent made under clause 4.‍3.‍8 of Schedule 1;

(b) the personal information is necessary for carrying on the business or activity that was the object of the transaction; and

(c) one of the parties notifies the individual, within a reasonable time after the transaction is completed, that the transaction has been completed and that their personal information has been disclosed under subsection (1).

(3) An organization shall comply with the terms of any agreement into which it enters under paragraph (1)‍(a) or (2)‍(a).

(4) Subsections (1) and (2) do not apply to a business transaction of which the primary purpose or result is the purchase, sale or other acquisition or disposition, or lease, of personal information.

7.‍3 In addition to the circumstances set out in section 7, for the purpose of clause 4.‍3 of Schedule 1, and despite the note that accompanies that clause, a federal work, undertaking or business may collect, use and disclose personal information without the consent of the individual if

(a) the collection, use or disclosure is necessary to establish, manage or terminate an employment relationship between the federal work, undertaking or business and the individual; and

(b) the federal work, undertaking or business has informed the individual that the personal information will be or may be collected, used or disclosed for those purposes.

7.‍4 (1) Despite clause 4.‍5 of Schedule 1, an organization may use personal information for purposes other than those for which it was collected in any of the circumstances set out in subsection 7.‍2(1) or (2) or section 7.‍3.

(2) Despite clause 4.‍5 of Schedule 1, an organization may disclose personal information for purposes other than those for which it was collected in any of the circumstances set out in subsection 7.‍2(1) or (2) or section 7.‍3.

8 (1) A request under clause 4.‍9 of Schedule 1 must be made in writing.

(2) An organization shall assist any individual who informs the organization that they need assistance in preparing a request to the organization.

(3) An organization shall respond to a request with due diligence and in any case not later than thirty days after receipt of the request.

(4) An organization may extend the time limit

(a) for a maximum of thirty days if

(i) meeting the time limit would unreasonably interfere with the activities of the organization, or

(ii) the time required to undertake any consultations necessary to respond to the request would make the time limit impracticable to meet; or

(b) for the period that is necessary in order to be able to convert the personal information into an alternative format.

In either case, the organization shall, no later than thirty days after the date of the request, send a notice of extension to the individual, advising them of the new time limit, the reasons for extending the time limit and of their right to make a complaint to the Commissioner in respect of the extension.

(5) If the organization fails to respond within the time limit, the organization is deemed to have refused the request.

(6) An organization may respond to an individual’s request at a cost to the individual only if

(a) the organization has informed the individual of the approximate cost; and

(b) the individual has advised the organization that the request is not being withdrawn.

(7) An organization that responds within the time limit and refuses a request shall inform the individual in writing of the refusal, setting out the reasons and any recourse that they may have under this Part.

(8) Despite clause 4.‍5 of Schedule 1, an organization that has personal information that is the subject of a request shall retain the information for as long as is necessary to allow the individual to exhaust any recourse under this Part that they may have.

9 (1) Despite clause 4.‍9 of Schedule 1, an organization shall not give an individual access to personal information if doing so would likely reveal personal information about a third party. However, if the information about the third party is severable from the record containing the information about the individual, the organization shall sever the information about the third party before giving the individual access.

(2) Subsection (1) does not apply if the third party consents to the access or the individual needs the information because an individual’s life, health or security is threatened.

(2.‍1) An organization shall comply with subsection (2.‍2) if an individual requests that the organization

(a) inform the individual about

(i) any disclosure of information to a government institution or a part of a government institution under paragraph 7(3)‍(c), subparagraph 7(3)‍(c.‍1)‍(i) or (ii) or paragraph 7(3)‍(c.‍2) or (d), or

(ii) the existence of any information that the organization has relating to a disclosure referred to in subparagraph (i), to a subpoena, warrant or order referred to in paragraph 7(3)‍(c) or to a request made by a government institution or a part of a government institution under subparagraph 7(3)‍(c.‍1)‍(i) or (ii); or

(b) give the individual access to the information referred to in subparagraph (a)‍(ii).

(2.‍2) An organization to which subsection (2.‍1) applies

(a) shall, in writing and without delay, notify the institution or part concerned of the request made by the individual; and

(b) shall not respond to the request before the earlier of

(i) the day on which it is notified under subsection (2.‍3), and

(ii) thirty days after the day on which the institution or part was notified.

(2.‍3) Within thirty days after the day on which it is notified under subsection (2.‍2), the institution or part shall notify the organization whether or not the institution or part objects to the organization complying with the request. The institution or part may object only if the institution or part is of the opinion that compliance with the request could reasonably be expected to be injurious to

(a) national security, the defence of Canada or the conduct of international affairs;

(a.‍1) the detection, prevention or deterrence of money laundering or the financing of terrorist activities; or

(b) the enforcement of any law of Canada, a province or a foreign jurisdiction, an investigation relating to the enforcement of any such law or the gathering of intelligence for the purpose of enforcing any such law.

(2.‍4) Despite clause 4.‍9 of Schedule 1, if an organization is notified under subsection (2.‍3) that the institution or part objects to the organization complying with the request, the organization

(a) shall refuse the request to the extent that it relates to paragraph (2.‍1)‍(a) or to information referred to in subparagraph (2.‍1)‍(a)‍(ii);

(b) shall notify the Commissioner, in writing and without delay, of the refusal; and

(i) any information that the organization has relating to a disclosure to a government institution or a part of a government institution under paragraph 7(3)‍(c), subparagraph 7(3)‍(c.‍1)‍(i) or (ii) or paragraph 7(3)‍(c.‍2) or (d) or to a request made by a government institution under either of those subparagraphs,

(ii) that the organization notified an institution or part under paragraph (2.‍2)‍(a) or the Commissioner under paragraph (b), or

(iii) that the institution or part objects.

(3) Despite the note that accompanies clause 4.‍9 of Schedule 1, an organization is not required to give access to personal information only if

(a) the information is protected by solicitor-client privilege or the professional secrecy of advocates and notaries or by litigation privilege;

(b) to do so would reveal confidential commercial information;

(c.‍1) the information was collected under paragraph 7(1)‍(b);

(d) the information was generated in the course of a formal dispute resolution process; or

(e) the information was created for the purpose of making a disclosure under the Public Servants Disclosure Protection Act or in the course of an investigation into a disclosure under that Act.

However, in the circumstances described in paragraph (b) or (c), if giving access to the information would reveal confidential commercial information or could reasonably be expected to threaten the life or security of another individual, as the case may be, and that information is severable from the record containing any other information for which access is requested, the organization shall give the individual access after severing.

(4) Subsection (3) does not apply if the individual needs the information because an individual’s life, health or security is threatened.

(5) If an organization decides not to give access to personal information in the circumstances set out in paragraph (3)‍(c.‍1), the organization shall, in writing, so notify the Commissioner, and shall include in the notification any information that the Commissioner may specify.

10 An organization shall give access to personal information in an alternative format to an individual with a sensory disability who has a right of access to personal information under this Part and who requests that it be transmitted in the alternative format if

(a) a version of the information already exists in that format; or

(b) its conversion into that format is reasonable and necessary in order for the individual to be able to exercise rights under this Part.

DIVISION 1.‍1

Breaches of Security Safeguards

10.‍1 (1) An organization shall report to the Commissioner any breach of security safeguards involving personal information under its control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to an individual.

(2) The report shall contain the prescribed information and shall be made in the prescribed form and manner as soon as feasible after the organization determines that the breach has occurred.

(3) Unless otherwise prohibited by law, an organization shall notify an individual of any breach of security safeguards involving the individual’s personal information under the organization’s control if it is reasonable in the circumstances to believe that the breach creates a real risk of significant harm to the individual.

(4) The notification shall contain sufficient information to allow the individual to understand the significance to them of the breach and to take steps, if any are possible, to reduce the risk of harm that could result from it or to mitigate that harm. It shall also contain any other prescribed information.

(5) The notification shall be conspicuous and shall be given directly to the individual in the prescribed form and manner, except in prescribed circumstances, in which case it shall be given indirectly in the prescribed form and manner.

(6) The notification shall be given as soon as feasible after the organization determines that the breach has occurred.

(7) For the purpose of this section, significant harm includes bodily harm, humiliation, damage to reputation or relationships, loss of employment, business or professional opportunities, financial loss, identity theft, negative effects on the credit record and damage to or loss of property.

(8) The factors that are relevant to determining whether a breach of security safeguards creates a real risk of significant harm to the individual include

(a) the sensitivity of the personal information involved in the breach;

(b) the probability that the personal information has been, is being or will be misused; and

10.‍2 (1) An organization that notifies an individual of a breach of security safeguards under subsection 10.‍1(3) shall notify any other organization, a government institution or a part of a government institution of the breach if the notifying organization believes that the other organization or the government institution or part concerned may be able to reduce the risk of harm that could result from it or mitigate that harm, or if any of the prescribed conditions are satisfied.

(2) The notification shall be given as soon as feasible after the organization determines that the breach has occurred.

(3) In addition to the circumstances set out in subsection 7(3), for the purpose of clause 4.‍3 of Schedule 1, and despite the note that accompanies that clause, an organization may disclose personal information without the knowledge or consent of the individual if

(a) the disclosure is made to the other organization, the government institution or the part of a government institution that was notified of the breach under subsection (1); and

(b) the disclosure is made solely for the purposes of reducing the risk of harm to the individual that could result from the breach or mitigating that harm.

(4) Despite clause 4.‍5 of Schedule 1, an organization may disclose personal information for purposes other than those for which it was collected in the circumstance set out in subsection (3).

10.‍3 (1) An organization shall, in accordance with any prescribed requirements, keep and maintain a record of every breach of security safeguards involving personal information under its control.

(2) An organization shall, on request, provide the Commissioner with access to, or a copy of, a record.

DIVISION 2

Remedies

Filing of Complaints

11 (1) An individual may file with the Commissioner a written complaint against an organization for contravening a provision of Division 1 or 1.‍1 or for not following a recommendation set out in Schedule 1.

(2) If the Commissioner is satisfied that there are reasonable grounds to investigate a matter under this Part, the Commissioner may initiate a complaint in respect of the matter.

(3) A complaint that results from the refusal to grant a request under section 8 must be filed within six months, or any longer period that the Commissioner allows, after the refusal or after the expiry of the time limit for responding to the request, as the case may be.

(4) The Commissioner shall give notice of a complaint to the organization against which the complaint was made.

Investigations of Complaints

12 (1) The Commissioner shall conduct an investigation in respect of a complaint, unless the Commissioner is of the opinion that

(a) the complainant ought first to exhaust grievance or review procedures otherwise reasonably available;

(b) the complaint could more appropriately be dealt with, initially or completely, by means of a procedure provided for under the laws of Canada, other than this Part, or the laws of a province; or

(c) the complaint was not filed within a reasonable period after the day on which the subject matter of the complaint arose.

(2) Despite subsection (1), the Commissioner is not required to conduct an investigation in respect of an act alleged in a complaint if the Commissioner is of the opinion that the act, if proved, would constitute a contravention of any of sections 6 to 9 of An Act to promote the efficiency and adaptability of the Canadian economy by regulating certain activities that discourage reliance on electronic means of carrying out commercial activities, and to amend the Canadian Radio-television and Telecommunications Commission Act, the Competition Act, the Personal Information Protection and Electronic Documents Act and the Telecommunications Act or section 52.‍01 of the Competition Act or would constitute conduct that is reviewable under section 74.‍011 of that Act.

(3) The Commissioner shall notify the complainant and the organization that the Commissioner will not investigate the complaint or any act alleged in the complaint and give reasons.

(4) The Commissioner may reconsider a decision not to investigate under subsection (1), if the Commissioner is satisfied that the complainant has established that there are compelling reasons to investigate.

12.‍1 (1) In the conduct of an investigation of a complaint, the Commissioner may

(a) summon and enforce the appearance of persons before the Commissioner and compel them to give oral or written evidence on oath and to produce any records and things that the Commissioner considers necessary to investigate the complaint, in the same manner and to the same extent as a superior court of record;

(b) administer oaths;

(c) receive and accept any evidence and other information, whether on oath, by affidavit or otherwise, that the Commissioner sees fit, whether or not it is or would be admissible in a court of law;

(d) at any reasonable time, enter any premises, other than a dwelling-house, occupied by an organization on satisfying any security requirements of the organization relating to the premises;

(e) converse in private with any person in any premises entered under paragraph (d) and otherwise carry out in those premises any inquiries that the Commissioner sees fit; and

(f) examine or obtain copies of or extracts from records found in any premises entered under paragraph (d) that contain any matter relevant to the investigation.

(2) The Commissioner may attempt to resolve complaints by means of dispute resolution mechanisms such as mediation and conciliation.

(3) The Commissioner may delegate any of the powers set out in subsection (1) or (2).

(4) The Commissioner or the delegate shall return to a person or an organization any record or thing that they produced under this section within 10 days after they make a request to the Commissioner or the delegate, but nothing precludes the Commissioner or the delegate from again requiring that the record or thing be produced.

(5) Any person to whom powers set out in subsection (1) are delegated shall be given a certificate of the delegation and the delegate shall produce the certificate, on request, to the person in charge of any premises to be entered under paragraph (1)‍(d).

Discontinuance of Investigation

12.‍2 (1) The Commissioner may discontinue the investigation of a complaint if the Commissioner is of the opinion that

(a) there is insufficient evidence to pursue the investigation;

(b) the complaint is trivial, frivolous or vexatious or is made in bad faith;

(c.‍1) the matter is the object of a compliance agreement entered into under subsection 17.‍1(1);

(d) the matter is already the object of an ongoing investigation under this Part;

(e) the matter has already been the subject of a report by the Commissioner;

(f) any of the circumstances mentioned in paragraph 12(1)‍(a), (b) or (c) apply; or

(g) the matter is being or has already been addressed under a procedure referred to in paragraph 12(1)‍(a) or (b).

(2) The Commissioner may discontinue an investigation in respect of an act alleged in a complaint if the Commissioner is of the opinion that the act, if proved, would constitute a contravention of any of sections 6 to 9 of An Act to promote the efficiency and adaptability of the Canadian economy by regulating certain activities that discourage reliance on electronic means of carrying out commercial activities, and to amend the Canadian Radio-television and Telecommunications Commission Act, the Competition Act, the Personal Information Protection and Electronic Documents Act and the Telecommunications Act or section 52.‍01 of the Competition Act or would constitute conduct that is reviewable under section 74.‍011 of that Act.

(3) The Commissioner shall notify the complainant and the organization that the investigation has been discontinued and give reasons.

Commissioner’s Report

13 (1) The Commissioner shall, within one year after the day on which a complaint is filed or is initiated by the Commissioner, prepare a report that contains

(a) the Commissioner’s findings and recommendations;

(b) any settlement that was reached by the parties;

(c) if appropriate, a request that the organization give the Commissioner, within a specified time, notice of any action taken or proposed to be taken to implement the recommendations contained in the report or reasons why no such action has been or is proposed to be taken; and

(d) the recourse, if any, that is available under section 14.

(2) [Repealed, 2010, c. 23, s. 84]

(3) The report shall be sent to the complainant and the organization without delay.

Hearing by Court

14 (1) A complainant may, after receiving the Commissioner’s report or being notified under subsection 12.‍2(3) that the investigation of the complaint has been discontinued, apply to the Court for a hearing in respect of any matter in respect of which the complaint was made, or that is referred to in the Commissioner’s report, and that is referred to in clause 4.‍1.‍3, 4.‍2, 4.‍3.‍3, 4.‍4, 4.‍6, 4.‍7 or 4.‍8 of Schedule 1, in clause 4.‍3, 4.‍5 or 4.‍9 of that Schedule as modified or clarified by Division 1 or 1.‍1, in subsection 5(3) or 8(6) or (7), in section 10 or in Division 1.‍1.

(2) A complainant shall make an application within one year after the report or notification is sent or within any longer period that the Court may, either before or after the expiry of that year, allow.

(3) For greater certainty, subsections (1) and (2) apply in the same manner to complaints referred to in subsection 11(2) as to complaints referred to in subsection 11(1).

15 The Commissioner may, in respect of a complaint that the Commissioner did not initiate,

(a) apply to the Court, within the time limited by section 14, for a hearing in respect of any matter described in that section, if the Commissioner has the consent of the complainant;

(b) appear before the Court on behalf of any complainant who has applied for a hearing under section 14; or

16 The Court may, in addition to any other remedies it may give,

(a) order an organization to correct its practices in order to comply with Divisions 1 and 1.‍1;

(b) order an organization to publish a notice of any action taken or proposed to be taken to correct its practices, whether or not ordered to correct them under paragraph (a); and

17 (1) An application made under section 14 or 15 shall be heard and determined without delay and in a summary way unless the Court considers it inappropriate to do so.

(2) In any proceedings arising from an application made under section 14 or 15, the Court shall take every reasonable precaution, including, when appropriate, receiving representations ex parte and conducting hearings in camera, to avoid the disclosure by the Court or any person of any information or other material that the organization would be authorized to refuse to disclose if it were requested under clause 4.‍9 of Schedule 1.

Compliance Agreements

17.‍1 (1) If the Commissioner believes on reasonable grounds that an organization has committed, is about to commit or is likely to commit an act or omission that could constitute a contravention of a provision of Division 1 or 1.‍1 or a failure to follow a recommendation set out in Schedule 1, the Commissioner may enter into a compliance agreement, aimed at ensuring compliance with this Part, with that organization.

(2) A compliance agreement may contain any terms that the Commissioner considers necessary to ensure compliance with this Part.

(3) When a compliance agreement is entered into, the Commissioner, in respect of any matter covered under the agreement,

(a) shall not apply to the Court for a hearing under subsection 14(1) or paragraph 15(a); and

(b) shall apply to the court for the suspension of any pending applications that were made by the Commissioner under those provisions.

(4) For greater certainty, a compliance agreement does not preclude

(a) an individual from applying for a hearing under section 14; or

(b) the prosecution of an offence under the Act.

17.‍2 (1) If the Commissioner is of the opinion that a compliance agreement has been complied with, the Commissioner shall provide written notice to that effect to the organization and withdraw any applications that were made under subsection 14(1) or paragraph 15(a) in respect of any matter covered under the agreement.

(2) If the Commissioner is of the opinion that an organization is not complying with the terms of a compliance agreement, the Commissioner shall notify the organization and may apply to the Court for

(a) an order requiring the organization to comply with the terms of the agreement, in addition to any other remedies it may give; or

(b) a hearing under subsection 14(1) or paragraph 15(a) or to reinstate proceedings that have been suspended as a result of an application made under paragraph 17.‍1(3)‍(b).

(3) Despite subsection 14(2), the application shall be made within one year after notification is sent or within any longer period that the Court may, either before or after the expiry of that year, allow.

DIVISION 3

Audits

18 (1) The Commissioner may, on reasonable notice and at any reasonable time, audit the personal information management practices of an organization if the Commissioner has reasonable grounds to believe that the organization has contravened a provision of Division 1 or 1.‍1 or is not following a recommendation set out in Schedule 1, and for that purpose may

(a) summon and enforce the appearance of persons before the Commissioner and compel them to give oral or written evidence on oath and to produce any records and things that the Commissioner considers necessary for the audit, in the same manner and to the same extent as a superior court of record;

(b) administer oaths;

(c) receive and accept any evidence and other information, whether on oath, by affidavit or otherwise, that the Commissioner sees fit, whether or not it is or would be admissible in a court of law;

(d) at any reasonable time, enter any premises, other than a dwelling-house, occupied by the organization on satisfying any security requirements of the organization relating to the premises;

(e) converse in private with any person in any premises entered under paragraph (d) and otherwise carry out in those premises any inquiries that the Commissioner sees fit; and

(f) examine or obtain copies of or extracts from records found in any premises entered under paragraph (d) that contain any matter relevant to the audit.

(2) The Commissioner may delegate any of the powers set out in subsection (1).

(3) The Commissioner or the delegate shall return to a person or an organization any record or thing they produced under this section within ten days after they make a request to the Commissioner or the delegate, but nothing precludes the Commissioner or the delegate from again requiring that the record or thing be produced.

(4) Any person to whom powers set out in subsection (1) are delegated shall be given a certificate of the delegation and the delegate shall produce the certificate, on request, to the person in charge of any premises to be entered under paragraph (1)‍(d).

19 (1) After an audit, the Commissioner shall provide the audited organization with a report that contains the findings of the audit and any recommendations that the Commissioner considers appropriate.

(2) The report may be included in a report made under section 25.

DIVISION 4

General

20 (1) Subject to subsections (2) to (7), 12(3), 12.‍2(3), 13(3), 19(1), 23(3) and 23.‍1(1) and section 25, the Commissioner or any person acting on behalf or under the direction of the Commissioner shall not disclose any information that comes to their knowledge as a result of the performance or exercise of any of the Commissioner’s duties or powers under this Part other than those referred to in subsection 10.‍1(1) or 10.‍3(2).

(1.‍1) Subject to subsections (2) to (7), 12(3), 12.‍2(3), 13(3), 19(1), 23(3) and 23.‍1(1) and section 25, the Commissioner or any person acting on behalf or under the direction of the Commissioner shall not disclose any information contained in a report made under subsection 10.‍1(1) or in a record obtained under subsection 10.‍3(2).

(2) The Commissioner may, if the Commissioner considers that it is in the public interest to do so, make public any information that comes to his or her knowledge in the performance or exercise of any of his or her duties or powers under this Part.

(3) The Commissioner may disclose, or may authorize any person acting on behalf or under the direction of the Commissioner to disclose, information that in the Commissioner’s opinion is necessary to

(a) conduct an investigation or audit under this Part; or

(b) establish the grounds for findings and recommendations contained in any report under this Part.

(4) The Commissioner may disclose, or may authorize any person acting on behalf or under the direction of the Commissioner to disclose, information in the course of

(a) a prosecution for an offence under section 28;

(b) a prosecution for an offence under section 132 of the Criminal Code (perjury) in respect of a statement made under this Part;

(d) an appeal from a decision of the Court; or

(e) a judicial review in relation to the performance or exercise of any of the Commissioner’s duties or powers under this Part.

(5) The Commissioner may disclose to the Attorney General of Canada or of a province, as the case may be, information relating to the commission of an offence against any law of Canada or a province on the part of an officer or employee of an organization if, in the Commissioner’s opinion, there is evidence of an offence.

(6) The Commissioner may disclose, or may authorize any person acting on behalf or under the direction of the Commissioner to disclose to a government institution or a part of a government institution, any information contained in a report made under subsection 10.‍1(1) or in a record obtained under subsection 10.‍3(2) if the Commissioner has reasonable grounds to believe that the information could be useful in the investigation of a contravention of the laws of Canada or a province that has been, is being or is about to be committed.

(7) The Commissioner may disclose information, or may authorize any person acting on behalf or under the direction of the Commissioner to disclose information, in the course of proceedings in which the Commissioner has intervened under paragraph 50(c) of An Act to promote the efficiency and adaptability of the Canadian economy by regulating certain activities that discourage reliance on electronic means of carrying out commercial activities, and to amend the Canadian Radio-television and Telecommunications Commission Act, the Competition Act, the Personal Information Protection and Electronic Documents Act and the Telecommunications Act or in accordance with subsection 58(3) or 60(1) of that Act.

21 The Commissioner or person acting on behalf or under the direction of the Commissioner is not a competent witness in respect of any matter that comes to their knowledge as a result of the performance or exercise of any of the Commissioner’s duties or powers under this Part in any proceeding other than

(a) a prosecution for an offence under section 28;

(b) a prosecution for an offence under section 132 of the Criminal Code (perjury) in respect of a statement made under this Part;

(d) an appeal from a decision of the Court.

22 (1) No criminal or civil proceedings lie against the Commissioner, or against any person acting on behalf or under the direction of the Commissioner, for anything done, reported or said in good faith as a result of the performance or exercise or purported performance or exercise of any duty or power of the Commissioner under this Part.

(2) No action lies in defamation with respect to

(a) anything said, any information supplied or any record or thing produced in good faith in the course of an investigation or audit carried out by or on behalf of the Commissioner under this Part; and

(b) any report made in good faith by the Commissioner under this Part and any fair and accurate account of the report made in good faith for the purpose of news reporting.

23 (1) If the Commissioner considers it appropriate to do so, or on the request of an interested person, the Commissioner may, in order to ensure that personal information is protected in as consistent a manner as possible, consult with any person who, under provincial legislation, has functions and duties similar to those of the Commissioner with respect to the protection of such information.

(2) The Commissioner may enter into agreements or arrangements with any person referred to in subsection (1) in order to

(a) coordinate the activities of their offices and the office of the Commissioner, including to provide for mechanisms for the handling of any complaint in which they are mutually interested;

(b) undertake and publish research or develop and publish guidelines or other instruments related to the protection of personal information;

(c) develop model contracts or other instruments for the protection of personal information that is collected, used or disclosed interprovincially or internationally; and

(d) develop procedures for sharing information referred to in subsection (3).

(3) The Commissioner may, in accordance with any procedure established under paragraph (2)‍(d), share information with any person referred to in subsection (1), if the information

(a) could be relevant to an ongoing or potential investigation of a complaint or audit under this Part or provincial legislation that has objectives that are similar to this Part; or

(b) could assist the Commissioner or that person in the exercise of their functions and duties with respect to the protection of personal information.

(4) The procedures referred to in paragraph (2)‍(d) shall

(a) restrict the use of the information to the purpose for which it was originally shared; and

(b) stipulate that the information be treated in a confidential manner and not be further disclosed without the express consent of the Commissioner.

23.‍1 (1) Subject to subsection (3), the Commissioner may, in accordance with any procedure established under paragraph (4)‍(b), disclose information referred to in subsection (2) that has come to the Commissioner’s knowledge as a result of the performance or exercise of any of the Commissioner’s duties or powers under this Part to any person or body who, under the legislation of a foreign state, has

(a) functions and duties similar to those of the Commissioner with respect to the protection of personal information; or

(b) responsibilities that relate to conduct that is substantially similar to conduct that would be in contravention of this Part.

(2) The information that the Commissioner is authorized to disclose under subsection (1) is information that the Commissioner believes

(b) is necessary to disclose in order to obtain from the person or body information that may be useful to an ongoing or potential investigation or audit under this Part.

(3) The Commissioner may only disclose information to the person or body referred to in subsection (1) if the Commissioner has entered into a written arrangement with that person or body that

(a) limits the information to be disclosed to that which is necessary for the purpose set out in paragraph (2)‍(a) or (b);

(b) restricts the use of the information to the purpose for which it was originally shared; and

(c) stipulates that the information be treated in a confidential manner and not be further disclosed without the express consent of the Commissioner.

(4) The Commissioner may enter into arrangements with one or more persons or bodies referred to in subsection (1) in order to

(a) provide for cooperation with respect to the enforcement of laws protecting personal information, including the sharing of information referred to in subsection (2) and the provision of mechanisms for the handling of any complaint in which they are mutually interested;

(b) establish procedures for sharing information referred to in subsection (2);

(c) develop recommendations, resolutions, rules, standards or other instruments with respect to the protection of personal information;

(d) undertake and publish research related to the protection of personal information;

(e) share knowledge and expertise by different means, including through staff exchanges; or

(f) identify issues of mutual interest and determine priorities pertaining to the protection of personal information.

24 The Commissioner shall

(a) develop and conduct information programs to foster public understanding, and recognition of the purposes, of this Part;

(b) undertake and publish research that is related to the protection of personal information, including any such research that is requested by the Minister of Industry;

(c) encourage organizations to develop detailed policies and practices, including organizational codes of practice, to comply with Divisions 1 and 1.‍1; and

(d) promote, by any means that the Commissioner considers appropriate, the purposes of this Part.

25 (1) The Commissioner shall, within three months after the end of each financial year, submit to Parliament a report concerning the application of this Part, the extent to which the provinces have enacted legislation that is substantially similar to this Part and the application of any such legislation.

(2) Before preparing the report, the Commissioner shall consult with those persons in the provinces who, in the Commissioner’s opinion, are in a position to assist the Commissioner in making a report respecting personal information that is collected, used or disclosed interprovincially or internationally.

26 (1) The Governor in Council may make regulations for carrying out the purposes and provisions of this Part, including regulations

(a) specifying, by name or by class, what is a government institution or part of a government institution for the purposes of any provision of this Part;

(a.‍01) [Repealed, 2015, c. 32, s. 21]

(a.‍1) specifying information or classes of information for the purpose of paragraph 7(1)‍(d), (2)‍(c.‍1) or (3)‍(h.‍1);

(b) specifying information to be kept and maintained under subsection 10.‍3(1); and

(2) The Governor in Council may, by order,

(a) provide that this Part is binding on any agent of Her Majesty in right of Canada to which the Privacy Act does not apply;

(b) if satisfied that legislation of a province that is substantially similar to this Part applies to an organization, a class of organizations, an activity or a class of activities, exempt the organization, activity or class from the application of this Part in respect of the collection, use or disclosure of personal information that occurs within that province; and

27 (1) Any person who has reasonable grounds to believe that a person has contravened or intends to contravene a provision of Division 1 or 1.‍1 may notify the Commissioner of the particulars of the matter and may request that their identity be kept confidential with respect to the notification.

(2) The Commissioner shall keep confidential the identity of a person who has notified the Commissioner under subsection (1) and to whom an assurance of confidentiality has been provided by the Commissioner.

27.‍1 (1) No employer shall dismiss, suspend, demote, discipline, harass or otherwise disadvantage an employee, or deny an employee a benefit of employment, by reason that

(a) the employee, acting in good faith and on the basis of reasonable belief, has disclosed to the Commissioner that the employer or any other person has contravened or intends to contravene a provision of Division 1 or 1.‍1;

(b) the employee, acting in good faith and on the basis of reasonable belief, has refused or stated an intention of refusing to do anything that is a contravention of a provision of Division 1 or 1.‍1;

(c) the employee, acting in good faith and on the basis of reasonable belief, has done or stated an intention of doing anything that is required to be done in order that a provision of Division 1 or 1.‍1 not be contravened; or

(d) the employer believes that the employee will do anything referred to in paragraph (a), (b) or (c).

(2) Nothing in this section impairs any right of an employee either at law or under an employment contract or collective agreement.

(3) In this section, employee includes an independent contractor and employer has a corresponding meaning.

28 Every organization that knowingly contravenes subsection 8(8), section 10.‍1 or subsection 10.‍3(1) or 27.‍1(1) or that obstructs the Commissioner or the Commissioner’s delegate in the investigation of a complaint or in conducting an audit is guilty of

(a) an offence punishable on summary conviction and liable to a fine not exceeding $10,000; or

(b) an indictable offence and liable to a fine not exceeding $100,000.

*29 (1) The administration of this Part shall, every five years after this Part comes into force, be reviewed by the committee of the House of Commons, or of both Houses of Parliament, that may be designated or established by Parliament for that purpose.

* [Note: Part 1 in force January 1, 2001, see SI/2000-29.‍]

(2) The committee shall undertake a review of the provisions and operation of this Part and shall, within a year after the review is undertaken or within any further period that the House of Commons may authorize, submit a report to Parliament that includes a statement of any changes to this Part or its administration that the committee recommends.

DIVISION 5

Transitional Provisions

30 (1) This Part does not apply to any organization in respect of personal information that it collects, uses or discloses within a province whose legislature has the power to regulate the collection, use or disclosure of the information, unless the organization does it in connection with the operation of a federal work, undertaking or business or the organization discloses the information outside the province for consideration.

(1.‍1) This Part does not apply to any organization in respect of personal health information that it collects, uses or discloses.

*(2) Subsection (1) ceases to have effect three years after the day on which this section comes into force.

* [Note: Section 30 in force January 1, 2001, see SI/2000-29.‍]

*(2.‍1) Subsection (1.‍1) ceases to have effect one year after the day on which this section comes into force.

* [Note: Section 30 in force January 1, 2001, see SI/2000-29.‍]

Clause 5: New.

Clause 6: Spent consequential amendments.

Aeronautics Act

Clause 10: Existing text of subsection 4.‍83(1):

4.‍83 (1) Despite section 5 of the Personal Information Protection and Electronic Documents Act, to the extent that that section relates to obligations set out in Schedule 1 to that Act relating to the disclosure of information, and despite subsection 7(3) of that Act, an operator of an aircraft departing from Canada that is due to land in a foreign state or fly over the United States and land outside Canada or of a Canadian aircraft departing from any place outside Canada that is due to land in a foreign state or fly over the United States may, in accordance with the regulations, provide to a competent authority in that foreign state any information that is in the operator’s control relating to persons on board or expected to be on board the aircraft and that is required by the laws of the foreign state.

Canadian Radio-television and Telecommunications Commission Act

Clause 13: New.

Competition Act

Clause 14: New.

Canada Business Corporations Act

Clause 15: Existing text of subsection 21.‍1(5):

(5) Within one year after the sixth anniversary of the day on which an individual ceases to be an individual with significant control over the corporation, the corporation shall — subject to any other Act of Parliament and to any Act of the legislature of a province that provides for a longer retention period — dispose of any of that individual’s personal information, as defined in subsection 2(1) of the Personal Information Protection and Electronic Documents Act, that is recorded in the register.

Telecommunications Act

Clause 16: (1) Existing text of subsection 39(2):

(2) Subject to subsections (4), (5), (5.‍1) and (6), where a person designates information as confidential and the designation is not withdrawn by that person, no person described in subsection (3) shall knowingly disclose the information, or knowingly allow it to be disclosed, to any other person in any manner that is calculated or likely to make it available for the use of any person who may benefit from the information or use the information to the detriment of any person to whose business or affairs the information relates.

(2) New.

Public Servants Disclosure Protection Act

Clause 17: Relevant portion of section 15:

15 Sections 12 to 14 apply despite

(a) section 5 of the Personal Information Protection and Electronic Documents Act, to the extent that that section relates to obligations set out in Schedule 1 to that Act relating to the disclosure of information; and

Clause 18: Existing text of subsection 16(1.‍1):

(1.‍1) Subsection (1) does not apply in respect of information the disclosure of which is subject to any restriction created by or under any Act of Parliament, including the Personal Information Protection and Electronic Documents Act.

Clause 19: Existing text of section 50:

50 Despite section 5 of the Personal Information Protection and Electronic Documents Act, to the extent that that section relates to obligations set out in Schedule 1 to that Act relating to the disclosure of information, and despite any other Act of Parliament that restricts the disclosure of information, a report by a chief executive in response to recommendations made by the Commissioner to the chief executive under this Act may include personal information within the meaning of subsection 2(1) of that Act, or section 3 of the Privacy Act, depending on which of those Acts applies to the portion of the public sector for which the chief executive is responsible.

An Act to promote the efficiency and adaptability of the Canadian economy by regulating certain activities that discourage reliance on electronic means of carrying out commercial activities, and to amend the Canadian Radio-television and Telecommunications Commission Act, the Competition Act, the Personal Information Protection and Electronic Documents Act and the Telecommunications Act

Clause 20: Existing text of section 2:

2 In the event of a conflict between a provision of this Act and a provision of Part 1 of the Personal Information Protection and Electronic Documents Act, the provision of this Act operates despite the provision of that Part, to the extent of the conflict.

Clause 21: Relevant portion of subsection 20(3):

(3) The following factors must be taken into account when determining the amount of a penalty:

.‍.‍.

(c) the person’s history with respect to any previous violation under this Act, any previous conduct that is reviewable under section 74.‍011 of the Competition Act and any previous contravention of section 5 of the Personal Information Protection and Electronic Documents Act that relates to a collection or use described in subsection 7.‍1(2) or (3) of that Act;

Clause 22: Existing text of subsection 47(1):

47 (1) A person who alleges that they are affected by an act or omission that constitutes a contravention of any of sections 6 to 9 of this Act or of section 5 of the Personal Information Protection and Electronic Documents Act that relates to a collection or use described in subsection 7.‍1(2) or (3) of that Act — or that constitutes conduct that is reviewable under section 74.‍011 of the Competition Act — may apply to a court of competent jurisdiction for an order under section 51 against one or more persons who they allege have committed the act or omission or who they allege are liable for the contravention or reviewable conduct by reason of section 52 or 53.

(2) Existing text of subsection 47(4):

(4) The applicant must, without delay, serve a copy of the application on every person against whom an order is sought, on the Commission if the application identifies a contravention of this Act, on the Commissioner of Competition if the application identifies conduct that is reviewable under section 74.‍011 of the Competition Act and on the Privacy Commissioner if the application identifies a contravention of the Personal Information Protection and Electronic Documents Act.

Clause 23: Relevant portion of section 50:

50 The following may intervene in any proceedings in connection with an application under subsection 47(1) for an order under paragraph 51(1)‍(b) and in any related proceedings:

.‍.‍.

(c) the Privacy Commissioner, if the application identifies a contravention of the Personal Information Protection and Electronic Documents Act.

Clause 24: Relevant portion of subsection 51(1):

51 (1) If, after hearing the application, the court is satisfied that one or more persons have contravened any of the provisions referred to in the application or engaged in conduct referred to in it that is reviewable under section 74.‍011 of the Competition Act, the court may order the person or persons, as the case may be, to pay the applicant

.‍.‍.

(b) a maximum of

.‍.‍.

(vi) in the case of a contravention of section 5 of the Personal Information Protection and Electronic Documents Act that relates to a collection or use described in subsection 7.‍1(2) or (3) of that Act, $1,000,000 for each day on which a contravention occurred, and

(2) Text of subsection 51(2):

(2) The purpose of an order under paragraph (1)‍(b) is to promote compliance with this Act, the Personal Information Protection and Electronic Documents Act or the Competition Act, as the case may be, and not to punish.

(2) Relevant portion of subsection 51(3):

(3) The court must consider the following factors when it determines the amount payable under paragraph (1)‍(b) for each contravention or each occurrence of the reviewable conduct:

.‍.‍.

(c) the person’s history, or each person’s history, as the case may be, with respect to any previous contravention of this Act and of section 5 of the Personal Information Protection and Electronic Documents Act that relates to a collection or use described in subsection 7.‍1(2) or (3) of that Act and with respect to any previous conduct that is reviewable under section 74.‍011 of the Competition Act;

Clause 25: Existing text of sections 52 to 54:

52 An officer, director, agent or mandatary of a corporation that commits a contravention of any of sections 6 to 9 of this Act or of section 5 of the Personal Information Protection and Electronic Documents Act that relates to a collection or use described in subsection 7.‍1(2) or (3) of that Act, or that engages in conduct that is reviewable under section 74.‍011 of the Competition Act, is liable for the contravention or reviewable conduct, as the case may be, if they directed, authorized, assented to, acquiesced in or participated in the commission of that contravention, or engaged in that conduct, whether or not the corporation is proceeded against.

53 A person is liable for a contravention of any of sections 6 to 9 of this Act or of section 5 of the Personal Information Protection and Electronic Documents Act that relates to a collection or use described in subsection 7.‍1(2) or (3) of that Act, or for conduct that is reviewable under section 74.‍011 of the Competition Act, that is committed or engaged in, as the case may be, by their employee acting within the scope of their employment or their agent or mandatary acting within the scope of their authority, whether or not the employee, agent or mandatary is identified or proceeded against.

54 (1) A person must not be found to have committed a contravention of any of sections 6 to 9 of this Act or of section 5 of the Personal Information Protection and Electronic Documents Act that relates to a collection or use described in subsection 7.‍1(2) or (3) of that Act, or to have engaged in conduct that is reviewable under section 74.‍011 of the Competition Act, if they establish that they exercised due diligence to prevent the contravention or conduct, as the case may be.

(2) Every rule and principle of the common law that makes any circumstance a justification or excuse in relation to a charge for an offence applies in respect of a contravention of any of sections 6 to 9 of this Act or of section 5 of the Personal Information Protection and Electronic Documents Act that relates to a collection or use described in subsection 7.‍1(2) or (3) of that Act, or in respect of conduct that is reviewable under section 74.‍011 of the Competition Act, to the extent that it is not inconsistent with this Act or the Personal Information Protection and Electronic Documents Act or the Competition Act, as the case may be.

Clause 26: (1) and (2) Relevant portion of section 56:

56 Despite subsection 7(3) of the Personal Information Protection and Electronic Documents Act, any organization to which Part 1 of that Act applies may on its own initiative disclose to the Commission, the Commissioner of Competition or the Privacy Commissioner any information in its possession that it believes relates to

(a) a contravention of

.‍.‍.

(iii) section 5 of the Personal Information Protection and Electronic Documents Act, which contravention relates to a collection or use described in subsection 7.‍1(2) or (3) of that Act, or

Clause 27: Existing text of section 57:

57 The Commission, the Commissioner of Competition and the Privacy Commissioner must consult with each other to the extent that they consider appropriate to ensure the effective regulation, under this Act, the Competition Act, the Personal Information Protection and Electronic Documents Act and the Telecommunications Act, of commercial conduct that discourages the use of electronic means to carry out commercial activities, and to coordinate their activities under those Acts as they relate to the regulation of that type of conduct.

Clause 28: (1) Relevant portion of subsection 58(1):

58 (1) The Commission may disclose information obtained by it in the performance or exercise of its duties or powers related to any of sections 6 to 9 of this Act and, in respect of conduct carried out by electronic means, to section 41 of the Telecommunications Act,

(a) to the Privacy Commissioner, if the Commission believes that the information relates to the performance or exercise of the Privacy Commissioner’s duties or powers under Part 1 of the Personal Information Protection and Electronic Documents Act in respect of a collection or use described in subsection 7.‍1(2) or (3) of that Act; and

(2) Relevant portion of subsection 58(2):

(2) Despite section 29 of the Competition Act, the Commissioner of Competition may disclose information obtained by him or her in the performance or exercise of his or her duties or powers related to section 52.‍01 or 74.‍011 of that Act or, in respect of conduct carried out by electronic means, to section 52, 52.‍1, 53, 55, 55.‍1, 74.‍01, 74.‍02, 74.‍04, 74.‍05 or 74.‍06 of that Act,

(a) to the Privacy Commissioner, if the Commissioner of Competition believes that the information relates to the performance or exercise of the Privacy Commissioner’s duties or powers under Part 1 of the Personal Information Protection and Electronic Documents Act in respect of a collection or use described in subsection 7.‍1(2) or (3) of that Act; and

(3) Relevant portion of subsection 58(3):

(3) The Privacy Commissioner may disclose information obtained by him or her in the performance or exercise of his or her duties or powers under Part 1 of the Personal Information Protection and Electronic Documents Act if the information relates to a collection or use described in subsection 7.‍1(2) or (3) of that Act or to an act alleged in a complaint in respect of which the Privacy Commissioner decides, under subsection 12(2) or 12.‍2(2) of that Act, to not conduct an investigation or to discontinue an investigation,

Clause 29: Existing text of subsection 59(3):

(3) The Privacy Commissioner may use the information that is disclosed to him or her under paragraph 58(1)‍(a) or (2)‍(a) only for the purpose of performing or exercising his or her duties or powers under Part 1 of the Personal Information Protection and Electronic Documents Act in respect of a collection or use described in subsection 7.‍1(2) or (3) of that Act.

Clause 30: (1) and (2) Relevant portion of subsection 60(1):

60 (1) Information may be disclosed under an agreement or arrangement in writing between the Government of Canada, the Commission, the Commissioner of Competition or the Privacy Commissioner and the government of a foreign state, an international organization of states or an international organization established by the governments of states, or any institution of any such government or organization, if the person responsible for disclosing the information believes that

(a) the information may be relevant to an investigation or proceeding in respect of a contravention of the laws of a foreign state that address conduct that is substantially similar to

.‍.‍.

(ii) conduct that contravenes section 5 of the Personal Information Protection and Electronic Documents Act and that relates to a collection or use described in subsection 7.‍1(2) or (3) of that Act,

(b) the disclosure is necessary in order to obtain from that foreign state, organization or institution information that may be relevant for any of the following purposes and no more information will be disclosed than is required for that purpose:

.‍.‍.

(iii) the performance or exercise by the Privacy Commissioner of his or her duties or powers under Part 1 of the Personal Information Protection and Electronic Documents Act in respect of a collection or use described in subsection 7.‍1(2) or (3) of that Act, or

Clause 31: Existing text of section 61:

61 The Commission, the Commissioner of Competition and the Privacy Commissioner must provide the Minister of Industry with any reports that he or she requests for the purpose of coordinating the implementation of sections 6 to 9 of this Act, sections 52.‍01 and 74.‍011 of the Competition Act and section 7.‍1 of the Personal Information Protection and Electronic Documents Act.

Transportation Modernization Act

Clause 32: Existing text of subsection 17.‍91(4):

(4) A company that collects, uses or communicates information under this section, section 17.‍31 or 17.‍94, subsection 28(1.‍1) or 36(2) or regulations made under section 17.‍95 may do so

(a) despite section 5 of the Personal Information Protection and Electronic Documents Act, to the extent that that section relates to obligations set out in Schedule 1 to that Act relating to the collection, use, disclosure and retention of information, and despite section 7 of that Act; and

(b) dspite any provision of provincial legislation that is substantially similar to Part 1 of the Act referred to in paragraph (a) and that limits the collection, use, communication or preservation of information.

10Nov/24

Canada 2022

10 noviembre, 2024Canada 2022, Legislación Informática, Legislación Informática de CanadaJosé Cuervo

Digital Charter Implementation Act. 2022. C-27 ,44th Parliament, 1st session, Monday, November 22, 2021, to present An Act to enact the Consumer Privacy Protection Act, the Personal Information and Data Protection Tribunal Act and the Artificial Intelligence and Data Act and to make consequential and related amendments to other Acts

10Nov/24

Real Decreto 210/2024, de 27 de febrero,

10 noviembre, 2024España, Real DecretoAESIA, Agencia Española Supervisión Inteligencia Artificial, de 9 diciembre, Decreto 403/2020, Derecho Informático, Digital Europè, Digitalización, FEDER, IA, inteligencia artificial, Legislación Española, Legislación Informática, Ley 19/2013, Ley 25/2013, Ministerio Transformación Digital, Real Decreto 4/2010, SA-SME, SEMYS SA-SME, Tecnologias Digitales Avanzadas, Telecomunicaciones e Infraestructuras Digitales, Transformación DigitalJosé Cuervo

Real Decreto 210/2024, de 27 de febrero, por el que se establece la estructura orgánica básica del Ministerio para la Transformación Digital y de la Función Pública.

MINISTERIO PARA LA TRANSFORMACIÓN DIGITALY DE LA FUNCIÓN PÚBLICA

Real Decreto 210/2024, de 27 de febrero, por el que se establece la estructura orgánica básica del Ministerio para la Transformación Digital y de la Función Pública.

El Real Decreto 829/2023, de 20 de noviembre, por el que se reestructuran los departamentos ministeriales, modificado por el Real Decreto 1230/2023, de 29 de diciembre, ha creado el Ministerio para la Transformación Digital y de la Función Pública. El Ministerio cuenta con tres órganos superiores: la Secretaría de Estado de Digitalización e Inteligencia Artificial, la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y la Secretaría de Estado de Función Pública.

Asimismo, el Real Decreto 1009/2023, de 5 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales, configura los órganos superiores y directivos de cada departamento.

Procede ahora desarrollar la estructura orgánica básica del Ministerio para la Transformación Digital y de la Función Pública, determinando sus órganos superiores y directivos hasta el nivel orgánico de subdirección general y definiendo las competencias de cada uno de estos órganos.

En el articulado se desarrollan dichos órganos superiores y directivos, así como las competencias de cada uno.

En las disposiciones adicionales se regula el régimen de suplencia, la delegación y desconcentración de competencias y la supresión de órganos, así como la revisión de la clasificación de entidades del sector público empresarial y fundacional de carácter tecnológico o científico.

Las disposiciones transitorias regulan la situación de las unidades y puestos de trabajo con nivel orgánico inferior a subdirección general, la gestión temporal de medios y servicios y a los órganos de asistencia en la contratación, así como el régimen transitorio vinculado a la supresión de la Comisión Interministerial de Retribuciones.

La disposición derogatoria deroga las disposiciones de rango igual o inferior que se opongan a lo establecido en el real decreto, así como, en lo que se oponga a este Real Decreto, los reales decretos 403/2020, de 25 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Asuntos Económicos y Transformación Digital, y 682/2021, de 3 de agosto, por el que se desarrolla la estructura orgánica básica del Ministerio de Hacienda y Función Pública. Se deroga asimismo el Real Decreto 469/1987, de 3 de abril, por el que se articulan las competencias conjuntas atribuidas al Ministerio para las Administraciones Públicas y al Ministerio de Economía y Hacienda. Se pone con ello fin al régimen de competencias compartidas entre los Ministerios de Hacienda y para la Transformación Digital y de la Función Pública, de modo que se permita una mejor delimitación de los ámbitos de actuación de ambos ministerios, mediante una identificación del ámbito del sector público institucional en el que cada uno de los departamentos asume sus respectivas competencias, con el fin trabajar conjuntamente en la transformación del modelo de recursos humanos en un modelo basado en la gestión por competencias, tal y como se establece en las reformas comprometidas en el Plan de Recuperación, Transformación y Resiliencia.

La disposición final primera añade una nueva atribución a la Comisión Superior de Personal, con el fin de que puedan atribuirse a este órgano colegiado competencias para adoptar las medidas de coordinación necesarias con el fin de asegurar un enfoque coherente de la planificación de recursos humanos de ámbito general, específica y de reestructuración sobre la base de instrumentos comunes, en el marco de las reformas comprometidas por el Plan de Recuperación, Transformación y Resiliencia.

Mediante la disposición final segunda se modifica el Real Decreto del extinto Ministerio de Asuntos Económicos y Transformación Digital al objeto de asignarle el Instituto para la Evaluación de Políticas Públicas al actual Ministerio de Economía, Comercio y Empresa.

Mediante la disposición final tercera se modifica el Real Decreto 1009/2023, de 5 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales, al objeto de adaptarlo a las modificaciones organizativas derivadas del Real Decreto 1230/2023, de 29 de diciembre, por el que se modifica el Real Decreto 829/2023, de 20 de noviembre, por el que se reestructuran los departamentos ministeriales, así como para incorporar la Dirección General del Dato como órgano directivo dependiente de la Secretaría de Estado de Digitalización e Inteligencia Artificial.

La disposición final cuarta se refiere al mandato para la modificación del Real Decreto 451/2012, de 5 de marzo, por el que se regula el régimen retributivo de los máximos responsables y directivos en el sector público empresarial y otras entidades.

Las disposiciones finales quinta y sexta son relativas a las facultades de desarrollo y ejecución y a la entrada en vigor.

Este real decreto es coherente con los principios de buena regulación a que se refiere el artículo 129 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas. En concreto, cumple con los principios de necesidad y eficacia, pues se trata del instrumento más adecuado para garantizar el interés general y la efectiva ejecución de las políticas públicas del Gobierno en la materia. También se adecua al principio de proporcionalidad, pues no existe otra alternativa para crear un nuevo marco orgánico de este departamento. En cuanto a los principios de seguridad jurídica, transparencia y eficiencia, dicha norma se adecua a los mismos pues es coherente con el resto del ordenamiento jurídico, y se racionaliza, en su aplicación, la gestión de los recursos públicos.

En su virtud, a propuesta del Ministro para la Transformación Digital y de la Función Pública, previa deliberación del Consejo de Ministros en su reunión del día 27 de febrero de 2024,

DISPONGO:

Artículo 1. Organización general del departamento.

1. Corresponde al Ministerio para la Transformación Digital y de la Función Pública la propuesta y ejecución de la política del Gobierno en materia de telecomunicaciones, sociedad de la información, transformación digital y el desarrollo y fomento de la inteligencia artificial.

Asimismo corresponde al Ministerio para la Transformación Digital y de la Función Pública la propuesta y ejecución de la política del Gobierno en materia de administración pública, función pública, y gobernanza pública.

2. Las competencias atribuidas en este Real Decreto se entenderán en coordinación y sin perjuicio de aquellas que corresponden a otros departamentos ministeriales.

3. El Ministerio para la Transformación Digital y de la Función Pública, bajo la superior dirección de la persona titular del departamento, desarrolla las funciones que legalmente le corresponden a través de los órganos superiores y directivos siguientes:

a) La Secretaría de Estado de Digitalización e Inteligencia Artificial, de la que dependen la Dirección General de Digitalización e Inteligencia Artificial, la Dirección General del Dato y la Dirección General de Planificación Estratégica en Tecnologías Digitales Avanzadas y Nueva Economía de la Lengua.

b) La Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, de la que depende la Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual.

c) La Secretaría de Estado de Función Pública, de la que dependen la Secretaría General de Administración Digital, la Dirección General de Función Pública, con rango de Subsecretaría, y la Dirección General de Gobernanza Pública. Asimismo depende de esta Secretaría de Estado la Oficina de Conflictos de Intereses, con rango de Dirección General.

4. Depende directamente de la persona titular del departamento la Subsecretaría para la Transformación Digital y de la Función Pública.

5. Como órgano de asistencia inmediata a la persona titular del Departamento existe un Gabinete, con rango de dirección general, con la estructura que se establece en el artículo 23.2 del Real Decreto 1009/2023, de 5 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales.

6. De acuerdo con lo dispuesto en el artículo 23.4 del citado Real Decreto 1009/2023, de 5 de diciembre, existirá en el Gabinete una unidad de comunicación, responsable de la comunicación oficial del departamento, al que corresponderá dirigir y mantener las relaciones informativas con los medios de comunicación social y difundir la información de carácter general del departamento.

Artículo 2. Secretaría de Estado de Digitalización e Inteligencia Artificial.

1. La Secretaría de Estado de Digitalización e Inteligencia Artificial, bajo la superior dirección de la persona titular del Ministerio para la Transformación Digital y de la Función Pública, ejercerá las funciones previstas en el artículo 62 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público en el ámbito de sus competencias, relativas a la política de impulso a la digitalización de la sociedad y economía de forma respetuosa con los derechos individuales y colectivos, así como con los valores del ordenamiento jurídico español. A tal fin, le corresponden las funciones de fomento y regulación de los servicios digitales y de la economía y sociedad digitales, la interlocución con los sectores profesionales, industriales y académicos y la coordinación y cooperación interministerial y con otras administraciones públicas respecto a dichas materias, sin perjuicio de las competencias atribuidas a otros departamentos ministeriales.

Le corresponde específicamente el ejercicio de las siguientes funciones:

a) La propuesta, coordinación y seguimiento de las relaciones internacionales en materia de la sociedad digital, y la representación internacional del Reino de España en estas materias en colaboración con el Ministerio de Asuntos Exteriores, Unión Europea y Cooperación y sin perjuicio de sus competencias.

b) La gestión económico-presupuestaria de los gastos correspondientes a los créditos presupuestarios de la Secretaría de Estado de Digitalización e Inteligencia Artificial, elaboración del Presupuesto de la Secretaría de Estado y el seguimiento de su ejecución.

c) La preparación y tramitación de las modificaciones presupuestarias en el Presupuesto que correspondan al ámbito de la Secretaría de Estado de Digitalización e Inteligencia Artificial, así como de la gestión económica y administrativa de las subvenciones nominativas y transferencias establecidas en el Presupuesto que correspondan al ámbito de la Secretaría de Estado.

d) La gestión económico-presupuestaria de los programas de ayudas públicas que sean competencia de la Secretaría de Estado de Digitalización e Inteligencia Artificial y, en particular, el seguimiento de las obligaciones financieras contraídas por la Secretaría de Estado de Digitalización e Inteligencia Artificial con los beneficiarios de las citadas ayudas, la instrucción de los expedientes de amortización anticipada, y de asunción de deuda, los acuerdos de ejecución o cancelación de las garantías prestadas por los beneficiarios de todo tipo de ayudas y subvenciones públicas, en el ámbito de sus competencias materiales, la tramitación y gestión de obligaciones financieras de entidades beneficiarias en concurso y la ejecución económica de decisiones de órganos judiciales.

e) La coordinación de las actuaciones de la Secretaría de Estado Digitalización e Inteligencia Artificial en materia de contratación.

f) La gestión económico-presupuestaria en el ámbito de la Secretaría de Estado de Digitalización e Inteligencia Artificial y, la gestión económico-administrativa de la contratación, encargos a medios propios y convenios en el ámbito de la Secretaría de Estado, la comunicación e inscripción de los mismos, la elevación de los expedientes de contratación en el ámbito de la Secretaría de Estado que sean competencia de la Junta de Contratación o de la Mesa de contratación del Ministerio.

g) La colaboración con la Dirección General de Racionalización y Centralización de la Contratación del Ministerio de Hacienda en la gestión centralizada de la contratación en el ámbito competencial de la Secretaría de Estado de Digitalización e Inteligencia Artificial.

h) La concesión de subvenciones y ayudas con cargo a los créditos de gasto propios de la Secretaría de estado, incluyendo la elaboración de propuestas de financiación para la concesión de las ayudas, la elaboración de las resoluciones de desistimiento, denegación y concesión para las solicitudes que haya determinado en su caso la Comisión de Evaluación, así como sus posibles modificaciones, el seguimiento técnico-económico, comprobación de cuentas justificativas, control de las obligaciones de publicidad y certificación de cumplimientos, los procedimientos de reintegro y reconocimiento y devolución de ingresos indebidos, tramitación y firma de las liquidaciones y, la suspensión y levantamiento de liquidaciones, la elaboración de los requerimientos de carácter técnico y operativo necesarios para la funcionalidad adecuada de cada fase del procedimiento de instrucción que deban ser tenidos en cuenta por el resto de Subdirecciones Generales proponentes y la gestión de los procedimientos de instrucción de la concesión de las convocatorias; todo ello sin perjuicio de las atribuidas a la Subdirección General de Ciberseguridad y sin perjuicio de los informes técnicos competencia de las Subdirecciones Generales proponentes, a petición de la Subdirección General de Ayudas, que sirvan de apoyo a la Comisión de Evaluación.

2. De la Secretaría de Estado de Digitalización e Inteligencia Artificial dependen orgánicamente la Dirección General de Digitalización e Inteligencia Artificial, la Dirección General del Dato y la Dirección General de Planificación estratégica en Tecnologías Digitales Avanzadas y Nueva Economía de la Lengua.

3. Dependen directamente de la Secretaría de Estado de Digitalización e Inteligencia Artificial:

a) La Subdirección General de Ayudas a la que le corresponderán las funciones señaladas en el párrafo h) del apartado 1 de este artículo.

b) Con el nivel orgánico que se determine en la Relación de Puestos de Trabajo, la División de Planificación y Ejecución de Programas, que ejercerá las funciones señaladas en los párrafos b) a g) del apartado 1.

c) Con el nivel orgánico que se determine en la Relación de Puestos de Trabajo, la Unidad Temporal del Plan de Recuperación, Transformación y Resiliencia para el impulso y el seguimiento de la ejecución de las inversiones y medidas, así como la coordinación y el apoyo respecto al cumplimiento de los principios transversales descritos en el artículo 2.2. de la Orden HFP/1030/2021, de 29 de septiembre, por la que se configura el sistema de gestión del Plan de Recuperación, Transformación y Resiliencia, asociados a los proyectos de inversión y medidas del Plan de Recuperación, Transformación y Resiliencia gestionados por los Órganos Gestores y el resto de órganos directivos dependientes de la Secretaría de Estado de Digitalización e Inteligencia Artificial.

4. De la persona titular de la Secretaría de Estado de Digitalización e Inteligencia Artificial depende directamente un Gabinete, como órgano de asistencia inmediata a su titular, con nivel orgánico de subdirección general, y con la estructura que se establece en el artículo 23 del Real Decreto 1009/2023, de 5 de diciembre.

5. Para el asesoramiento jurídico de la Secretaría de Estado de Digitalización e Inteligencia Artificial existirá una Abogacía del Estado, integrada orgánicamente en la del departamento.

6. La Inspección General del Ministerio de Hacienda dependerá funcionalmente de la persona titular de la Secretaría de Estado de Digitalización e Inteligencia Artificial para el ejercicio de sus competencias respecto de órganos y materias del ámbito de atribuciones de dicha Secretaría de Estado.

7. Se adscribe al Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, la Entidad pública empresarial Red.es., M.P., cuya presidencia corresponderá a la persona titular de la Secretaría de Estado.

8. El Ministerio ejerce la tutela, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, de la sociedad mercantil estatal Instituto Nacional de Ciberseguridad de España, M.P., SA.

9. Se adscribe al Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, la Agencia Española de Supervisión de Inteligencia Artificial (AESIA).

Artículo 3. Dirección General de Digitalización e Inteligencia Artificial.

1. La Dirección General de Digitalización e Inteligencia Artificial ejercerá las funciones previstas en el artículo 66 de la Ley 40/2015, de 1 de octubre, en el ámbito de sus competencias, y sin perjuicio de las atribuidas por la legislación nacional y europea al Instituto Nacional de Estadística, correspondiéndole en particular las siguientes:

a) La elaboración, formulación, coordinación y evaluación de la Estrategia española de Inteligencia Artificial en colaboración con otros departamentos, órganos y organismos con competencias en esta materia.

b) El desarrollo normativo, aspectos éticos y regulación en materia de inteligencia artificial y demás tecnologías habilitadoras digitales (tecnologías del lenguaje e imágenes, Internet de las cosas, tecnologías de registro distribuido, ciberseguridad, entre otras) para la transformación de la economía y la sociedad.

c) La participación en comisiones, grupos de trabajo y otros foros de carácter internacional o nacional, tanto públicos como privados, en el ámbito de la inteligencia artificial y resto de tecnologías habilitadoras digitales, así como el seguimiento y participación en iniciativas y foros relacionados con estas materias.

d) La definición y gestión coordinada de los programas y actuaciones, impulso y fomento de la I+D+i en el ámbito de la inteligencia artificial, incluyendo la coordinación de la aplicación de los datos abiertos a la inteligencia artificial y resto de tecnologías habilitadoras digitales en los sectores productivos de la economía y de la sociedad.

e) El impulso, coordinación y ejecución de los planes y líneas de actuación de las administraciones públicas en inteligencia artificial y otras tecnologías habilitadoras digitales en colaboración con el conjunto de agentes del sector con los correspondientes programas e iniciativas de la Unión Europea y con otros programas internacionales.

f) La coordinación de las estrategias, planes, programas e iniciativas sectoriales de transformación digital de los departamentos ministeriales y el aseguramiento de la coherencia y eficacia de las actuaciones, mediante la evaluación en fase temprana de las iniciativas y el seguimiento de la ejecución.

g) El ejercicio de las funciones de secretaría que se le atribuyan en las comisiones interministeriales que se establezcan para la coordinación y el seguimiento de las políticas de digitalización.

h) El diseño, impulso y seguimiento de planes, programas, proyectos y actuaciones para el fomento de la transformación digital en todos los sectores productivos de la economía, en coordinación con otros departamentos ministeriales.

i) La coordinación e impulso de iniciativas que fomenten el despliegue de capacidades e infraestructuras comunes, normas técnicas y esquemas de gobernanza que contribuyan a acelerar los procesos de transformación digital, reforzar la cooperación y asegurar su eficiencia.

j) La interlocución y coordinación con los agentes representativos de la economía digital y la participación en comisiones, grupos de trabajo y otros foros en materia de transformación digital.

k) El control e impulso del libre flujo de datos no personales, su portabilidad, y la elaboración de códigos de conducta armonizados con la Unión Europea y otros foros de carácter internacional, así como la elaboración y propuesta de normativa en materia de gobernanza, acceso y compartición de datos, en coordinación con la Dirección General del Dato.

l) La elaboración y propuesta de normativa en materia de servicios digitales y sus prestadores, en particular sobre identificación electrónica y servicios electrónicos de confianza, comercio electrónico y nombres de dominio de Internet.

m) La elaboración de normativa, en colaboración con otros departamentos, referente a la regulación de las plataformas e intermediarios digitales, entre otras, la relativa a su responsabilidad y obligaciones, la privacidad y protección de la información, así como a la garantía de equidad y respeto a los derechos digitales de usuarios y empresas.

n) La supervisión, control, inspección y sanción en materia de la sociedad digital, de conformidad con la legislación aplicable, incluyendo la gestión de la lista de prestadores de servicios de confianza cualificados.

ñ) La participación en comisiones, grupos de trabajo y otros foros de carácter internacional o nacional, tanto públicos como privados, en materia de sociedad digital, así como el seguimiento y participación en iniciativas y foros relacionados con la Gobernanza de Internet.

o) El impulso, coordinación y apoyo a las iniciativas para la capacitación profesional en el ámbito de las tecnologías de la información y las comunicaciones (TIC), y de programas de atracción, desarrollo y retención del talento digital.

p) La elaboración, gestión y seguimiento de planes, proyectos y programas de actuaciones orientados al desarrollo de habilidades digitales en coordinación con otros departamentos ministeriales, así como la definición y gestión coordinada de esta política con los correspondientes programas europeos e internacionales en estas materias.

q) La elaboración y propuesta normativa, impulso, coordinación y apoyo a las iniciativas para promover la iniciativa emprendedora y el desarrollo de las empresas digitales en colaboración con otras unidades y departamentos.

r) El impulso, coordinación y apoyo a las iniciativas destinadas a la creación de contenidos digitales, y demás iniciativas que promuevan el desarrollo de empresas tecnológicas en sectores estratégicos para la transformación e inclusión digital en colaboración con otros departamentos, órganos u organismos.

s) La promoción y asistencia a la internacionalización de las empresas de tecnologías digitales, de la sociedad digital y de contenidos digitales, sin perjuicio de las competencias de la Secretaría de Estado de Comercio.

t) El diseño y desarrollo de planes y programas destinados a fomentar el acceso y uso de los servicios digitales por los ciudadanos y facilitar la disponibilidad y accesibilidad de las tecnologías digitales, contribuyendo a la corrección de las brechas digitales en coordinación con otros departamentos ministeriales con competencias en otras políticas con las que esas materias estén relacionadas.

u) La planificación, coordinación, desarrollo e impulso de políticas, planes, programas, proyectos y actuaciones para la incorporación de la ciberseguridad en la transformación digital del sector privado y la ciudadanía, en coordinación con la sociedad mercantil estatal (en adelante, S.M.E) Instituto Nacional de Ciberseguridad de España, M.P., SA y departamentos ministeriales con competencias en la materia así como la gestión coordinada de los correspondientes programas europeos e internacionales en esta materia, sin perjuicio de las competencias de otros órganos en la materia.

v) Fomento del ecosistema de empresas emergentes en materia de ciberseguridad y ciber-resiliencia, en coordinación con la Subdirección General de Talento y Emprendimiento Digital.

w) El impulso y la promoción de la definición de regulación y estrategias que fomenten desde la administración la mejora de las políticas de ciberseguridad en el entorno privado, en especial las relativas a sus Centros Operativos de Seguridad (SOC), en colaboración con la S.M.E Instituto Nacional de Ciberseguridad de España, M.P., SA.

x) La supervisión, control, e inspección como autoridad competente en materia de ciberseguridad y ciber-resiliencia de los servicios y productos digitales en coordinación con otros órganos y organismos con competencia en la materia. Así como el impulso y coordinación de iniciativas para la garantía del derecho a la confianza y seguridad digital, en especial a la protección de los menores y colectivos vulnerables, en el ámbito competencial de la Secretaría de Estado de Digitalización e Inteligencia Artificial y en coordinación con la S.M.E Instituto Nacional de Ciberseguridad de España, M.P., SA.

y) La elaboración y propuesta de normativa en materia de ciberseguridad y ciber-resiliencia para el sector privado, en colaboración con otros órganos u organismos con competencias en la materia y los sectores económicos y sociales públicos y privados afectados, para la transformación segura de la economía y la sociedad, en el ámbito competencial de la Secretaría de Estado de Digitalización e Inteligencia Artificial.

z) La participación en comisiones, grupos de trabajo y otros foros de carácter nacional, europeo e internacional, tanto públicos como privados, en el ámbito de la ciberseguridad, sin perjuicio de la participación de los órganos de la Secretaría General de Administración Digital.

aa) La gestión de ayudas y subvenciones públicas en el ámbito de la ciberseguridad y de la ciber-resiliencia y en particular del Centro Nacional de Coordinación de Ciberseguridad (CNC). El fomento de actuaciones y programas en materia de ciberseguridad, sin perjuicio de las competencias de otros órganos en la materia.

ab) La gestión de programas operativos cofinanciados por los fondos comunitarios y, en particular el Digital Europe, en el ámbito de la ciberseguridad, de la ciber-resiliencia y de la cibersolidaridad; y la representación nacional en dichos fondos.

2. De la Dirección General de Digitalización e Inteligencia Artificial dependen directamente las siguientes subdirecciones generales:

a) La Subdirección General de Inteligencia Artificial y Tecnologías Habilitadoras Digitales, a la que corresponden las funciones a las que se refieren los párrafos a), b), c), d) y e) del apartado 1.

b) La División de Economía Digital, a la que corresponden las funciones recogidas en los párrafos f), g), h), i) y j) del apartado 1.

c) La Subdirección General para la Sociedad Digital, a la que corresponden las funciones recogidas en los párrafos k), l), m), n) y ñ) del apartado 1.

d) La Subdirección General de Talento y Emprendimiento Digital, a la que corresponden las funciones recogidas en los párrafos o), p), q), r), s) y t) del apartado 1.

e) La Subdirección General de Ciberseguridad a la que le corresponderán las funciones de los párrafos u), v), w), x), y), z), aa) y ab) del apartado 1 de este artículo.

3. El ejercicio de las anteriores funciones se coordinará mediante los procedimientos de gestión de ayudas que se acuerden con la Subdirección General de Ayudas necesarios para la correcta instrucción, tramitación y seguimiento de las ayudas.

4. El ejercicio de las funciones anteriores se ejercerán, en lo que pudiesen afectar a las competencias de la Dirección General del Dato y la Dirección General de Planificación Estratégica en Tecnologías Digitales Avanzadas y Nueva Economía de la Lengua, en coordinación con éstas.

Artículo 4. Dirección General del Dato.

1. La Dirección General del Dato tendrá como misión el fomento del uso de datos por las Administraciones Públicas, empresas y ciudadanos, así como la compartición en espacios de datos interoperables, contribuyendo al desarrollo del mercado único digital para Europa, en coordinación con los departamentos ministeriales sectoriales competentes y en colaboración con las Comunidades Autónomas y Entidades Locales. En particular, llevará a cabo las siguientes funciones:

a) La interlocución y coordinación con los agentes representativos de la economía del dato y la participación en comisiones, grupos de trabajo y otros foros al dato de carácter internacional o nacional, tanto públicos como privados, e incluyendo la representación nacional en el Comité Europeo de Innovación de Datos.

b) La coordinación, seguimiento de las estrategias, planes, programas, y cualquiera otra iniciativa en materia de digitalización de los distintos departamentos ministeriales y entidades dependientes, fomentando el diseño orientado al dato, su eficacia, eficiencia e impacto, así como su alineamiento con el marco de las estrategias y programas de la Unión Europea y demás organismos internacionales.

c) El diseño, implementación, y seguimiento de estrategias, planes, programas, y cualquiera otra iniciativa para el fomento del empleo masivo y compartición de los datos entre empresas, ciudadanos y Sector Público, así como para el impulso del desarrollo y despliegue de los espacios de datos en los sectores productivos de la economía.

d) El diseño, desarrollo, impulso y seguimiento de políticas y esquemas de gobernanza, modelos de referencia, catálogos federados de conjuntos y recursos de datos, normas técnicas y tecnologías que fomenten la economía del dato en los sectores productivos de la economía.

e) La promoción y difusión de mejores prácticas e iniciativas de valor en materia de datos, así como el desarrollo de mecanismos de transferencia de conocimiento, en particular, en los departamentos ministeriales y las Administraciones Públicas.

f) La apertura y reutilización en las Administraciones Públicas, coordinando la gestión del punto de acceso y la puesta a disposición de los conjuntos de datos de alto valor públicos.

g) El fomento del uso de los datos para el apoyo a la toma de decisiones en la gestión pública, en especial el uso de los conjuntos de datos de alto valor públicos para la evaluación de políticas públicas en todas las fases de planificación, implementación, ejecución y evaluación de impacto, así como el diseño y desarrollo de los pilotos y sistemas técnicos de apoyo, en colaboración con los organismos competentes en materia de evaluación de las políticas públicas en el ámbito de la Administración General del Estado.

h) El diseño, impulso y seguimiento de programas, actuaciones e instrumentos para el despliegue de capacidades, infraestructuras y plataformas que contribuyan a acelerar el empleo de los datos, desarrollar políticas públicas más eficaces y fomenten su soberanía, en coordinación con el resto de unidades competentes en el departamento ministerial.

i) El diseño, impulso, coordinación y seguimiento de las estrategias, planes, programas e iniciativas que fomenten la investigación, el desarrollo y la innovación en tecnologías, servicios y productos para la economía del dato, contribuyendo al desarrollo de una industria nacional competitiva, en colaboración con el resto de entidades relevantes.

j) La definición y el diseño y la aplicación, esta última en coordinación con la Secretaría General de Administración Digital, de políticas para la gobernanza y la gestión de datos en la Administración General del Estado y sus organismos públicos y entidades de Derecho Público vinculados o dependientes.

2. De la Dirección General del Dato dependen las siguientes unidades:

a) La Subdirección General de Programas, Gobernanza y Promoción a la que corresponden las funciones a las que se refieren los párrafos b, c), d), éste en colaboración con la División de Diseño, Innovación y Explotación, y e), del apartado 1.

b) La División de Diseño, Innovación y Explotación, a la que corresponden las funciones recogidas en los párrafos f), g), h), i), j) del apartado 1, con el rango que determine la Relación de Puestos de Trabajo.

4. El ejercicio de las funciones anteriores se ejercerán, en lo que pudiesen afectar a las competencias de la Dirección General de Digitalización e Inteligencia Artificial y de la Dirección General de Planificación Estratégica en Tecnologías Digitales Avanzadas y Nueva Economía de la Lengua, en coordinación con éstas.

Artículo 5. Dirección General de Planificación Estratégica en Tecnologías Digitales Avanzadas y Nueva Economía de la Lengua.

1. La Dirección General de Planificación Estratégica en Tecnologías Digitales Avanzadas y Nueva Economía de la Lengua, ejercerá las funciones de análisis, prospectiva y asesoría con las que identificar y determinar los desafíos y tendencias en el ámbito de las tecnologías digitales avanzadas en su dimensión más estratégica, en línea con la propuesta europea de impulso a tecnologías críticas y transformadoras, y las oportunidades y retos en el sector de la Nueva Economía de la Lengua. Se pretenden así garantizar los recursos informados necesarios que permitan la previsión y ayuden a preparar al país ante los retos a medio y largo plazo en estas materias. En particular, llevará a cabo las siguientes funciones:

a) Análisis de políticas, planes e instrumentos puestos en marcha en materia de tecnologías innovadoras, así como la comparación con las estrategias análogas en otros países y su seguimiento.

b) Elaboración de propuestas relativas a planificación estratégica en materia de tecnologías digitales avanzadas, así como la coordinación y análisis de estudios y estadísticas en este ámbito, en coordinación con la Dirección General de Digitalización e Inteligencia Artificial y la Dirección General del Dato, así como con otras unidades del Ministerio de Transformación Digital y de la Función Pública, y de otros ministerios.

c) Análisis y explotación de herramientas de vigilancia tecnológica, prospectiva y agregación de sistemas de información como soporte para la formulación de políticas basadas en datos y evidencia, en colaboración con la Dirección General del Dato.

d) Propuesta e impulso de nuevas capacidades de simulación, experimentación y desarrollo de servicios de tecnologías innovadoras para el análisis, evaluación, articulación y prototipado de políticas en el ámbito competencial de la Secretaría de Estado de Digitalización e Inteligencia Artificial.

e) Análisis y propuesta de actuaciones para desplegar Tecnologías Digitales Avanzadas en diferentes unidades de la Administración del Estado.

f) Incorporación de instrumentos de carácter metodológico para habilitar la participación democrática en la definición y el diseño de las políticas públicas en el ámbito competencial de la Secretaría de Estado de Digitalización e Inteligencia Artificial, facilitando que la consulta y la interlocución con la sociedad civil fomente la cooperación y el intercambio de mejores prácticas.

g) Generación de espacios de debate y foros de discusión con la ciudadanía en torno al impacto de las tecnologías innovadoras y emergentes, impulsando iniciativas orientadas a promover el debate crítico en torno a la realidad, a los riesgos y a las posibilidades de las tecnologías innovadoras en la administración y en la sociedad.

h) Promoción de estrategias, políticas y medidas que potencien la Nueva Economía de la Lengua en nuestro país, tanto en el ámbito de colaboración público-privada, como en la búsqueda de sinergias con iniciativas de otros departamentos ministeriales y organismos públicos, en los ámbitos de su competencia.

i) Seguimiento y supervisión de las actuaciones del Proyecto Estratégico para la Recuperación y Transformación de la Economía (PERTE) en Nueva Economía de la Lengua de las actuaciones del PERTE, así como la colaboración en el diseño de las actuaciones del PERTE asignadas al Ministerio de Transformación Digital y las Administraciones Públicas, en el marco del Plan de Recuperación, Transformación y Resiliencia, en colaboración con la Dirección General de Digitalización e Inteligencia Artificial.

j) Participación de representantes de esta Dirección General en comisiones, grupos de trabajo y otros foros de carácter internacional o nacional, en la materia de sus actuaciones.

2. De la Dirección General de Planificación Estratégica en Tecnologías Digitales Avanzadas y Nueva Economía de la Lengua depende la División de Planificación Estratégica en Tecnologías Digitales Avanzadas y Nueva Economía de la Lengua, con el rango que determine la Relación de Puestos de Trabajo, y a la que corresponden las funciones recogidas en el punto anterior.

3. El ejercicio de las anteriores funciones se coordinará, en el caso de que fuesen necesarios, mediante los procedimientos de gestión de ayudas que se acuerden con la Subdirección General de Ayudas.

4. El ejercicio de las funciones anteriores se ejercerán, en lo que pudiesen afectar a competencias de la Dirección General de Digitalización e Inteligencia Artificial y de la Dirección General del Dato, en acuerdo y coordinación con éstas.

Artículo 6. Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.

1. La Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, bajo la superior dirección de la persona titular del Ministerio para la Transformación Digital y de la Función Pública, ejercerá las funciones previstas en el artículo 62 de la Ley 40/2015, de 1 de octubre, en el ámbito de sus competencias, relativas a la política de impulso al sector de las telecomunicaciones, de los servicios de comunicación audiovisual, el despliegue de infraestructuras y servicios para garantizar la conectividad de los ciudadanos y empresas e impulsar la productividad y el crecimiento económico. A tal fin, le corresponden las funciones de fomento y regulación del sector de las telecomunicaciones y de los servicios de comunicación audiovisual, la interlocución con los sectores profesionales, industriales y académicos y la coordinación o cooperación interministerial y con otras Administraciones Públicas respecto a dichas materias, sin perjuicio de las competencias atribuidas a otros departamentos ministeriales, en particular, al Ministerio de Cultura y a la Comisión Nacional de los Mercados y la Competencia. Específicamente le corresponderá el ejercicio de las siguientes funciones:

a) El estudio, propuesta y ejecución de la política general y la planificación estratégica y de acción sobre telecomunicaciones, las infraestructuras digitales y los servicios de comunicación audiovisual, así como la elaboración y propuesta de normativa a la ordenación y regulación en estas materias, en consonancia con las disposiciones nacionales, europeas e internacionales vigentes.

b) La promoción y desarrollo de las infraestructuras digitales y de las redes y servicios de telecomunicaciones y servicios de comunicación audiovisual.

c) La elaboración, gestión y seguimiento de planes, proyectos tecnológicos y programas de actuaciones orientados al desarrollo de las infraestructuras digitales y la conectividad para impulsar la vertebración territorial, el fomento de la oferta de nuevas tecnologías, servicios, aplicaciones y contenidos en el ámbito de las telecomunicaciones y servicios de comunicación audiovisual y gestión coordinada de esta política con los correspondientes programas europeos e internacionales en estas materias.

d) El impulso y la coordinación de los planes, proyectos y programas para el fomento de la actividad de normalización, estandarización y certificación en el sector de las telecomunicaciones e infraestructuras digitales.

e) La promoción y asistencia a la internacionalización de las empresas de servicios de comunicación audiovisual, sin perjuicio de las competencias de la Secretaría de Estado de Comercio.

f) La propuesta, coordinación y seguimiento de las relaciones internacionales en materia de telecomunicaciones e infraestructuras digitales y servicios de comunicación audiovisual, y la representación internacional del departamento en estas materias en colaboración con el Ministerio de Asuntos Exteriores, Unión Europea y Cooperación.

g) El análisis y evaluación del impacto de otras políticas públicas en el sector de las telecomunicaciones y las infraestructuras digitales y los servicios de comunicación audiovisual.

h) La elaboración, gestión y seguimiento de programas y actuaciones para fomentar el acceso y uso de las telecomunicaciones y los servicios de comunicación audiovisual y facilitar la disponibilidad y accesibilidad de las infraestructuras y las tecnologías digitales y los servicios de comunicación audiovisual, especialmente para aquellos ciudadanos con necesidades específicas, en su caso en coordinación con otros departamentos ministeriales con competencias en otras políticas con las que esas materias estén relacionadas.

i) La colaboración con la Secretaría de Estado de Economía y Apoyo a la Empresa en materia de precios y valoración de los costes de prestación de los servicios de comunicaciones electrónicas.

j) La planificación, gestión y control de los recursos públicos en el ámbito de las telecomunicaciones, en particular, del dominio público radioeléctrico, la numeración, direccionamiento, denominación y los recursos órbita espectro, y la tramitación y el otorgamiento de los títulos habilitantes para el uso de dichos recursos.

k) La tramitación y el otorgamiento de los títulos habilitantes de los servicios de comunicación audiovisual, en el ámbito de las competencias de la Administración General del Estado.

l) El mantenimiento de las relaciones de la Administración General del Estado con los prestadores de redes y servicios de comunicaciones electrónicas, así como el control del cumplimiento de las obligaciones de servicio público.

m) El control, la inspección y la imposición de sanciones en materia de telecomunicaciones y los servicios de comunicación audiovisual.

n) La resolución de controversias entre operadores y usuarios de telecomunicaciones y de los servicios digitales en los términos previstos en la normativa vigente.

ñ) La gestión, liquidación y recaudación en periodo voluntario de las tasas en materia de telecomunicaciones y el apoyo a su gestión en periodo ejecutivo, de acuerdo con lo previsto en la normativa vigente.

o) La gestión de Programas Operativos cofinanciados por los fondos comunitarios (Digital Europe, Horizon Europe, Connecting Europe Facility) y, en particular, el Fondo Europeo de Desarrollo Regional (FEDER) en el ámbito de las telecomunicaciones y las infraestructuras digitales.

p) Aquellas otras que atribuya la legislación vigente al departamento en los sectores de las telecomunicaciones, las infraestructuras digitales y los servicios de comunicación audiovisual.

q) La gestión económico-presupuestaria de los gastos correspondientes a los créditos presupuestarios de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, de la Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual, elaboración del Presupuesto de la Secretaría de Estado y el seguimiento de su ejecución.

r) La preparación y tramitación de las modificaciones presupuestarias en el Presupuesto que correspondan al ámbito de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, la Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual, así como de la gestión económica y administrativa de las subvenciones nominativas y transferencias establecidas en el Presupuesto que correspondan al ámbito de la Secretaría de Estado.

s) La gestión económico-presupuestaria de los ingresos de la Secretaría de Estado, en particular el seguimiento de la recaudación en periodo voluntario de las tasas en materia de telecomunicaciones y el apoyo a su gestión en periodo ejecutivo, de acuerdo con lo previsto en la normativa vigente. También se incluyen las resoluciones sobre devolución de ingresos indebidos de tasas en materia de telecomunicaciones, incluida la firma de liquidaciones de devolución de ingresos y la propuesta de pago, así como las diligencias de cancelación de avales relacionados con la suspensión de liquidaciones de tasas en materia de telecomunicaciones reguladas en el anexo I de la Ley 11/2022, de 28 de junio, General de Telecomunicaciones, y las resoluciones sobre suspensión de la ejecución de liquidaciones de la tasa por reserva del dominio público radioeléctrico.

t) La gestión económico-presupuestaria de los programas de ayudas públicas que sean competencia de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y, en particular, el seguimiento de las obligaciones financieras contraídas por los beneficiarios de las citadas ayudas, la devolución de ingresos indebidos, la tramitación y firma de las liquidaciones, las propuestas de pago y la suspensión/levantamiento de liquidaciones, la instrucción de los expedientes de amortización anticipada, y de asunción de deuda, los acuerdos de ejecución o cancelación de las garantías prestadas por los beneficiarios de todo tipo de ayudas y subvenciones públicas, en el ámbito de sus competencias materiales, la tramitación y gestión de obligaciones financieras de entidades beneficiarias en concurso y la ejecución económica de decisiones de órganos judiciales y las liquidaciones de intereses de demora en casos de suspensión de la liquidación por interposición de recurso de reposición o reclamación económico-administrativa con garantía, así como los acuerdos de inicio de los expedientes de pérdida de derecho de cobro y de la ayuda asociada y los de establecimientos de medidas cautelares directamente relacionados con los mismos dentro del ámbito de sus competencias materiales.

u) La coordinación de las actuaciones de la Secretaría de Estado en materia de contratación.

v) La gestión económico-presupuestaria en el ámbito de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, la gestión económico-administrativa de la contratación, encargos a medios propios y convenios en el ámbito de la Secretaría de Estado, incluida la firma de la memoria justificativa, cuestionario y la solicitud de autorizaciones que hayan de acompañar a los convenios, la comunicación e inscripción de los mismos, la elevación de los expedientes de contratación en el ámbito de la Secretaría de Estado que sean competencia de la Junta de Contratación o de la Mesa de contratación del Ministerio.

w) La colaboración con la Dirección General de Racionalización y Centralización de la Contratación del Ministerio de Hacienda en la gestión centralizada de la contratación en el ámbito competencial de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.

x) La titularidad del Organismo Intermedio del Fondo Europeo de Desarrollo Regional (FEDER), cuando así se acuerde con la Autoridad de Gestión del FEDER, en atención a lo dispuesto en el Reglamento 2021/1060 (UE) 2021/1060 del Parlamento Europeo y del Consejo, de 24 de junio de 2021, por el que se establecen las disposiciones comunes relativas al Fondo Europeo de Desarrollo Regional, al Fondo Social Europeo Plus, al Fondo de Cohesión, al Fondo de Transición Justa y al Fondo Europeo Marítimo, de Pesca y de Acuicultura, así como las normas financieras para dichos Fondos y para el Fondo de Asilo, Migración e Integración, el Fondo de Seguridad Interior y el Instrumento de Apoyo Financiero a la Gestión de Fronteras y la Política de Visados.

y) La supervisión de las actuaciones relacionadas con la gestión de los Programas Operativos de FEDER en la Secretaría de Estado, en la Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual, realizando la selección de operaciones, aprobación de las verificaciones y la presentación de las solicitudes de reembolso; así como la representación en los comités de seguimiento de los Programas Operativos.

2. La persona titular de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales presidirá por delegación de la persona titular del Ministerio para la Transformación Digital y de la Función Pública las correspondientes Conferencias Sectoriales en materia de telecomunicaciones, infraestructuras digitales y servicios de comunicación audiovisual.

3. De la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales depende la Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual, con rango de Subsecretaría, que ejercerá las funciones que se enumeran en el artículo 7.

4. Dependen directamente de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales:

a) La Subdirección General de Coordinación y Ejecución de Programas, que ejercerá las funciones señaladas en los párrafos q) a y) del apartado 1.

Con el nivel orgánico que se determine en la Relación de Puestos de Trabajo, depende de la persona titular de la Subdirección General de Coordinación y Ejecución de Programas la División del Organismo Intermedio del Fondo Europeo de Desarrollo Regional. Esta División ejercerá de Organismo Intermedio del Fondo Europeo de Desarrollo Regional, a la que corresponde la gestión ordinaria de las actuaciones de los Programas Operativos de este Fondo y el apoyo tanto a la coordinación del Organismo Intermedio, como a la realización de las funciones encomendadas por la Autoridad de Gestión. Dicha gestión ordinaria hace referencia a la participación en la evaluación de las actuaciones, las declaraciones de fiabilidad, los informes anuales y final, la estrategia de comunicación y la aplicación de medidas antifraude.

b) Con el nivel orgánico que se determine en la Relación de Puestos de Trabajo, la División para la Ejecución de los Fondos Europeos, para el impulso y el seguimiento de la ejecución de las inversiones y medidas de reforma del Plan de Recuperación, Transformación y Resiliencia, así como el seguimiento y verificación de las medidas antifraude y demás principios transversales en el diseño y ejecución de las inversiones y medidas del citado Plan.

5. De la persona titular de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales depende directamente un Gabinete, como órgano de asistencia inmediata al titular de la Secretaría de Estado, con nivel orgánico de subdirección general, con la estructura que se establece en el artículo 23.3 del Real Decreto 1009/2023, de 5 de diciembre.

6. Para el asesoramiento jurídico de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales existirá una Abogacía del Estado, integrada orgánicamente en la del Departamento.

7. El Ministerio ejerce la tutela, a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, de la Sociedad Estatal de Microelectrónica y Semiconductores SA-SME (SEMYS SA-SME).

Artículo 7. Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual.

1. La Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual ejerce las funciones que le atribuye el artículo 64 de la Ley 40/2015, de 1 de octubre, y, específicamente, las siguientes:

a) La ordenación, promoción y desarrollo de las telecomunicaciones, las infraestructuras digitales y los servicios de comunicación audiovisual y la participación en los organismos y grupos de trabajo internacionales de telecomunicaciones y de los servicios de comunicación audiovisual.

b) La elaboración y propuesta de normativa referente a la ordenación y regulación del sector de las telecomunicaciones e infraestructuras digitales.

c) La elaboración y propuesta de normativa técnica referente a la regulación de los sistemas de radiodifusión y televisión, cualquiera que sea su soporte técnico.

d) La supervisión del cumplimiento de los requisitos y condiciones exigibles para la instalación y explotación de redes públicas y prestación de servicios de comunicaciones electrónicas.

e) La tramitación de los asuntos relacionados con los derechos de los operadores de redes y servicios de comunicaciones electrónicas a la ocupación del dominio público y de la propiedad privada y a su uso compartido, a ser beneficiarios en el procedimiento de expropiación forzosa y al establecimiento a su favor de servidumbres y limitaciones a la propiedad.

f) Las relativas al acceso a las redes y recursos asociados y a su interconexión, así como en lo referente a la interoperabilidad de los servicios de comunicaciones electrónicas que correspondan a la Secretaría de Estado.

g) Las que corresponden a la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales relacionadas con la regulación ex ante de los mercados de referencia y operadores con poder significativo en el mercado, y con la separación funcional.

h) Las relacionadas con la numeración, direccionamiento y denominación, en particular, la propuesta de planes nacionales de numeración, llevar a cabo la atribución de los derechos de uso de los recursos públicos regulados en dichos planes y ejercer las demás competencias que le atribuye el capítulo VII del título II de la Ley 11/2022, de 28 de junio, así como las actuaciones contra el tráfico no permitido y el tráfico irregular con fines fraudulentos en redes y servicios de comunicaciones electrónicas.

i) Las relacionadas con las obligaciones de servicio público y las restantes obligaciones de carácter público, en particular, el servicio universal de telecomunicaciones.

j) El estudio de los instrumentos de planificación territorial o urbanística que afecten a la instalación o explotación de las redes públicas de comunicaciones electrónicas y recursos asociados a efecto de emitir el informe contemplado en el artículo 50.2 de la Ley 11/2022, de 28 de junio.

k) Las relacionadas con la colaboración entre las administraciones públicas que afecten al despliegue de las redes públicas de comunicaciones electrónicas, previstas en la Ley 11/2022, de 28 de junio, y en su normativa de desarrollo.

l) Las relacionadas con las condiciones técnicas que deben cumplir las redes e infraestructuras de comunicaciones electrónicas tanto en exteriores como las infraestructuras comunes de telecomunicaciones y redes de comunicaciones en los edificios; con el acceso a las infraestructuras susceptibles de alojar redes públicas de comunicaciones electrónicas, así como las relacionadas con las condiciones que deben cumplir las instalaciones y los instaladores de telecomunicaciones, y su supervisión, incluyendo la gestión del Registro de empresas instaladoras de telecomunicación.

m) La definición, gestión y seguimiento de programas y actuaciones para promover la extensión, el desarrollo y la cobertura de las comunicaciones electrónicas para impulsar la vertebración territorial en particular los relativos a la Estrategia Nacional de Redes Ultrarrápidas, incluyendo la elaboración de estudios geográficos sobre el alcance y extensión de las redes de banda ancha, del informe de cobertura y los programas para promover la extensión y adopción de la banda ancha, así como la coordinación de diferentes programas de extensión de redes de banda ancha, y con las iniciativas de la Unión Europea y otros programas internacionales en estas materias.

n) La propuesta de planificación del uso del dominio público radioeléctrico, incluyendo la elaboración de propuestas del Cuadro nacional de atribución de frecuencias y de los planes técnicos nacionales de radiodifusión y televisión, y su desarrollo.

ñ) La gestión del dominio público radioeléctrico y el establecimiento de las condiciones de uso de las bandas de frecuencias para los diferentes servicios de radiocomunicaciones, las actuaciones para el otorgamiento, modificación, extinción y revocación de los títulos habilitantes para el uso del dominio público radioeléctrico y la asignación de los recursos órbita espectro.

o) La gestión del registro público de concesiones de dominio público radioeléctrico.

p) La tramitación de los procedimientos para la aprobación de proyectos técnicos de radiocomunicaciones, así como las actuaciones relativas al mercado secundario del dominio público radioeléctrico y la gestión y liquidación en periodo voluntario de la tasa por reserva del dominio público radioeléctrico.

q) El ejercicio de las funciones inspectoras en materia de telecomunicaciones, la inspección y el control de las redes y de los servicios de telecomunicaciones y de las condiciones para su prestación y explotación, de las obligaciones de los operadores, en particular, de las establecidas para la protección de los derechos de los usuarios finales de comunicaciones electrónicas, de los equipos y aparatos de telecomunicaciones y de las instalaciones.

r) El control y protección del dominio público radioeléctrico, incluyendo la inspección o reconocimiento de las instalaciones radioeléctricas y la autorización para su puesta en servicio, la comprobación técnica de emisiones radioeléctricas, en particular, para la localización, identificación y eliminación de interferencias perjudiciales y de emisiones no autorizadas, así como el control de los niveles únicos de exposición a las emisiones radioeléctricas a que se refiere el artículo 86.b) de la Ley 11/2022, de 28 de junio, y de las relacionadas con la protección activa del espectro.

s) La evaluación de la conformidad de equipos y aparatos de telecomunicaciones, incluidas las potestades como autoridad de vigilancia del mercado y como autoridad notificante, a la normalización técnica, así como la inspección y control de los equipos y aparatos de telecomunicación puestos en el mercado y comprobación del cumplimiento de la evaluación de la conformidad.

t) Las funciones relacionadas con el secreto de las comunicaciones y la interceptación legal de las telecomunicaciones que correspondan a la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.

u) Las funciones relacionadas con la calidad de las redes y servicios de comunicaciones electrónicas que correspondan a la Secretaría de Estado.

v) La coordinación de las Jefaturas Provinciales de Inspección de Telecomunicaciones, así como la gestión de los medios y recursos necesarios para realizar sus funciones.

w) La tramitación y supervisión de los asuntos relacionados con los derechos de los consumidores y usuarios finales de los servicios de comunicaciones electrónicas, así como los relativos a los contratos y la transparencia y publicación de información, y a los servicios de tarificación adicional y sus condiciones de uso.

x) La resolución de controversias entre operadores y usuarios finales de los servicios de comunicaciones electrónicas, así como la información y atención al usuario de servicios de telecomunicaciones y digitales.

y) La supervisión del cumplimiento de los requisitos, acuerdos y las condiciones establecidas en el artículo 76 de la Ley 11/2022, de 28 de junio, para garantizar el derecho de los usuarios finales de acceso abierto a internet y publicar el informe anual al que se refiere dicho artículo.

z) La verificación del cumplimiento de los requisitos y las condiciones establecidas en el Reglamento (UE) 2022/612 del Parlamento Europeo y del Consejo, de 6 de abril de 2022, relativo a la itinerancia en las redes públicas de comunicaciones móviles en la Unión, en materia de acceso de los usuarios finales a los servicios de comunicaciones electrónicas de voz, SMS y datos en itinerancia en la Unión Europea, incluida su venta por separado, la correcta prestación de servicios regulados de itinerancia al por menor, la correcta aplicación de las tarifas al por menor de servicios regulados de itinerancia, la no inclusión de recargos y de sus condiciones y mecanismos de transparencia, así como la correcta aplicación por los operadores de itinerancia de su política de utilización razonable al consumo de servicios regulados de itinerancia al por menor, la resolución de controversias entre usuarios finales y operadores por la prestación de servicios de itinerancia y el control y supervisión de la itinerancia involuntaria en zonas fronterizas.

aa) La verificación de la correcta aplicación de las tarifas al por menor de las comunicaciones intracomunitarias reguladas en los términos establecidos en el Reglamento (UE) 2015/2120 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, a excepción de la materia relativa a la sostenibilidad del modelo de tarificación nacional de un operador.

ab) La incoación y tramitación de procedimientos correspondientes a la aplicación del régimen sancionador relacionado con las redes y servicios de comunicaciones electrónicas y los servicios de tarificación adicional.

ac) La elaboración y propuesta de normativa referente a los servicios de comunicación audiovisual, en particular, la normativa relativa a comunicaciones comerciales y protección de los usuarios, promoción de obra audiovisual europea y accesibilidad.

ad) La colaboración con el Ministerio de Cultura en la propuesta normativa en materia de protección de la propiedad intelectual.

ae) La gestión del Registro estatal de prestadores del servicio de comunicación audiovisual, de prestadores del servicio de intercambio de videos a través de plataformas y de prestadores del servicio de agregación de servicios de comunicación audiovisual.

af) La recepción de las comunicaciones de inicio de actividad de los prestadores del servicio de comunicación audiovisual, así como la tramitación de los títulos habilitantes de los servicios de comunicación audiovisual y su seguimiento y control, en el ámbito de competencias de la Administración General del Estado.

ag) La promoción y asistencia a la internacionalización de las empresas de servicios de comunicación audiovisual, sin perjuicio de las competencias de la Secretaría de Estado de Comercio, así como la interlocución con los sectores profesionales e industriales vinculados a dichas empresas.

ah) La propuesta de autorización de negocios jurídicos cuyo objeto sea una licencia de comunicación audiovisual, en el ámbito de competencias de la Administración General del Estado.

ai) Coordinación e impulso de las políticas públicas de apoyo al sector audiovisual, incluido el videojuego.

aj) La incoación y tramitación de procedimientos correspondientes a la aplicación del régimen sancionador relacionado con los servicios de comunicación audiovisual.

ak) La asistencia a comités, grupos de trabajo y otros foros en el ámbito de la Unión Europea y demás organismos internacionales competentes en materia de servicios de comunicación audiovisual. En particular, la asistencia a la persona titular del Ministerio para la Transformación Digital y de la Función Pública en la preparación de las reuniones del Consejo de Ministros de Cultura y Audiovisual de la Unión Europea, en todo lo relacionado con los servicios de comunicación audiovisual.

al) Cualesquiera otras relativas al sector de las telecomunicaciones, infraestructuras digitales y los servicios de comunicación audiovisual que el ordenamiento jurídico atribuya al departamento, y que no estén específicamente asignadas a otros órganos.

am) La definición, gestión e instrucción de procedimientos de concesión de ayudas de los programas de impulso y actuaciones para la promoción de inversiones dentro de las materias de su competencia.

an) El asesoramiento técnico al seguimiento, supervisión y verificación administrativa y material de las ayudas concedidas en los programas de impulso y actuaciones de promoción.

añ) Aquellas que se atribuyen al Ministerio para la Transformación Digital y de la Función Pública en el Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación.

ao) Formular propuestas para desarrollar, concretar y detallar el contenido del Esquema Nacional de Seguridad de redes y servicios 5G.

ap) Formular requerimientos de información a los sujetos obligados por la normativa reguladora de los requisitos de seguridad para la instalación, el despliegue y la explotación de redes de comunicaciones electrónicas y la prestación de servicios de comunicaciones electrónicas e inalámbricas basados en la tecnología de quinta generación (5G).

aq) Verificar y controlar el cumplimiento de las obligaciones impuestas a los sujetos obligados por la normativa reguladora de los requisitos de seguridad para la instalación, el despliegue y la explotación de redes de comunicaciones electrónicas y la prestación de servicios de comunicaciones electrónicas e inalámbricas basados en la tecnología 5G.

ar) Realizar auditorías u ordenar su realización para verificar y controlar el cumplimiento de las obligaciones mencionadas en la letra anterior.

as) La realización de actuaciones de impulso y de ejecución de la planificación estratégica y de acción en materia de infraestructuras digitales, en coordinación con la Dirección General del Dato en lo relativo a infraestructuras de datos soberanas.

at) La ejecución de las actuaciones de promoción y desarrollo de las infraestructuras digitales.

au) La elaboración, gestión y seguimiento de planes, proyectos tecnológicos y programas de actuaciones orientados al desarrollo de las infraestructuras digitales.

av) El impulso y la coordinación de los planes, proyectos y programas para el fomento de la actividad de normalización, estandarización y certificación en el ámbito de las infraestructuras digitales.

aw) La promoción y desarrollo de las infraestructuras de microelectrónica y semiconductores y la coordinación de las actuaciones del Departamento en este ámbito.

2. La Secretaría General de Telecomunicaciones, Ordenación de los Servicios de Comunicación Audiovisual se estructura en las siguientes subdirecciones generales:

a) La Subdirección General de Ordenación de las Telecomunicaciones, que ejercerá las funciones atribuidas a la Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual en los párrafos b), c) del apartado 1, así como en los am) y an) de dicho apartado en el ámbito de sus competencias.

b) La Subdirección General de Operadores de Telecomunicaciones e Infraestructuras Digitales, que ejercerá que ejercerá las funciones atribuidas a la Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual en los párrafos d), e), f), g), h), i), j), k), l), m), as), at), au), av) y aw) del apartado 1, así como en los am) y an) de dicho apartado en el ámbito de sus competencias.

c) La Subdirección General de Planificación y Gestión del Espectro Radioeléctrico, que ejercerá las funciones atribuidas a la Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual en los párrafos n), ñ), o), p) del apartado 1, así como en los am) y an) de dicho apartado en el ámbito de sus competencias.

d) La Subdirección General de Inspección de las Telecomunicaciones e Infraestructuras Digitales, que ejercerá las funciones atribuidas a la Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual en los párrafos q), r), s), t), u), v) del apartado 1, así como en los am) y an) de dicho apartado en el ámbito de sus competencias.

e) La Subdirección General de Atención al Usuario de Telecomunicaciones y Servicios Digitales, que ejercerá las funciones atribuidas a la Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual en los párrafos w), x) y), z), aa), ab) del apartado 1, así como en los am) y an) de dicho apartado en el ámbito de sus competencias.

f) La Subdirección General de Ordenación de los Servicios de Comunicación Audiovisual, que ejercerá las funciones atribuidas a la Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual en los párrafos ac), ad), ae), af), ag), ah), ai), aj), ak) del apartado 1, así como en los am) y an) de dicho apartado en el ámbito de sus competencias.

g) La Subdirección General de Integridad de las Telecomunicaciones, que ejercerá las funciones atribuidas a la Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual en los párrafos am), an) del apartado 1 en el ámbito de sus competencias, así como en los párrafos añ), ao), ap), aq) y ar) de dicho apartado.

3. Dependen, asimismo, de la Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual, las Jefaturas Provinciales de Inspección de Telecomunicaciones. Corresponde a las Jefaturas Provinciales de Inspección de Telecomunicaciones, entre otras funciones, realizar las actuaciones que faciliten el ejercicio material de las funciones de supervisión, inspección y control, así como las tareas de administración del espectro radioeléctrico que corresponden a la Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual.

4. Como órgano de apoyo y asistencia inmediata al titular de la Secretaría General existe un Gabinete técnico, con nivel orgánico de Subdirección General, que dependerá directamente de la Secretaría General.

5. Con el nivel orgánico que se determine en la Relación de Puestos de Trabajo, depende de la persona titular de la Secretaría General la División de Seguimiento y Supervisión de Ayudas, que llevará a cabo el seguimiento y supervisión administrativa y material de la ejecución de las ayudas concedidas en los programas de impulso y actuaciones para la promoción gestionados por la Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual o la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, el apoyo administrativo en la gestión de estos programas y actuaciones, así como la gestión del Plan de control de riesgos y fraude de los citados programas y actuaciones, salvo la gestión del Plan de control de riesgos y fraude de los programas relativos al Plan de Recuperación, Transformación y Resiliencia.

Artículo 8. Secretaría de Estado de Función Pública.

1. La Secretaría de Estado de Función Pública es el órgano al que corresponde, bajo la superior dirección de la persona titular del departamento, el impulso, la dirección y gestión de la política del Gobierno en materia de administración pública y administración digital; la función pública y el empleo público; la gobernanza pública, organización, procedimientos e inspección de servicios de la Administración General del Estado; el régimen de incompatibilidades y conflictos de intereses de los miembros del Gobierno y altos cargos; la selección y formación de las empleadas y empleados públicos y el régimen de mutualismo administrativo del personal funcionario civil del Estado. Le corresponde asimismo la coordinación de la política de personal entre las distintas administraciones públicas, las relaciones con las organizaciones sindicales en el ámbito de la función pública y la coordinación, impulso y gestión de los asuntos de carácter internacional que se produzcan en el ámbito de la Secretaría de Estado.

En particular, corresponden a la Secretaría de Estado de Función Pública las funciones que se enumeran a continuación:

a) El impulso, la programación y la supervisión de las actuaciones en ejecución de la política del Gobierno en materia de administración digital y del fomento de la administración electrónica, en especial en lo referente al proceso de transformación digital e innovación de la Administración a través de las tecnologías de la información y de las comunicaciones, y la adopción de soluciones digitales que permitan la prestación eficiente de los servicios públicos incluyendo los servicios públicos esenciales.

b) La creación de servicios públicos electrónicos universales y de calidad, y en su caso transfronterizos.

c) La promoción, en un marco de corresponsabilidad, de la cooperación con las administraciones públicas en materia de administración digital, potenciando la interoperabilidad y el uso de los servicios de información titularidad de la Secretaría de Estado para eliminar la brecha digital, así como el fomento de programas de atención a la ciudadanía y, en particular, promoviendo el uso de plataformas comunes para la integración de los servicios de las diferentes sedes electrónicas de las administraciones públicas.

d) Aquellas otras que atribuya la legislación vigente al departamento en el ámbito de la administración electrónica y servicios públicos digitales y la incorporación de las tecnologías de la información y comunicaciones en el conjunto de la Administración General del Estado y del sector público institucional estatal.

e) El régimen jurídico y retributivo de la función pública y del empleo público en la Administración General del Estado.

f) El régimen jurídico y retributivo de la función pública y del empleo público en los organismos públicos y entidades del sector público administrativo y del sector público empresarial y fundacional de carácter tecnológico y científico, así como la autorización de contratación indefinida o temporal del personal laboral en ese ámbito subjetivo.

g) La propuesta de clasificación de organismos públicos y entidades de Derecho Público del sector público administrativo y del sector público empresarial y fundacional de carácter tecnológico y científico.

h) La coordinación de la política de personal entre la Administración General del Estado, las administraciones de las comunidades autónomas y de las ciudades de Ceuta y Melilla, y las entidades locales.

i) La gestión de talento en la Administración General del Estado y la convocatoria de pruebas selectivas para el acceso o integración en los cuerpos y escalas de carácter interdepartamental adscritas a la Secretaría de Estado de Función Pública.

j) Las relaciones con las organizaciones sindicales en el ámbito de la Administración General del Estado; la coordinación de acuerdos y pactos en relación con la negociación colectiva de las empleadas y empleados públicos de la Administración General del Estado derivadas de las mesas de negociación de personal funcionario y laboral.

k) El impulso de propuestas de reforma de la Administración Pública, teniendo en cuenta, en particular, las iniciativas que propongan los órganos, entidades, organismos, organizaciones sectoriales y cualesquiera otras asociaciones o entidades públicas o privadas.

l) La racionalización y modernización de las estructuras organizativas de la Administración General del Estado y de sus procedimientos, así como la inspección de servicios de dicha administración y los organismos públicos vinculados o dependientes de ella.

m) La elaboración de proyectos de disposiciones de carácter general en materia de organización, procedimientos, así como de actuación y funcionamiento del sector público por medios electrónicos.

n) La política de reducción de cargas administrativas y la simplificación y mejora de los procedimientos administrativos y de la calidad de los servicios públicos, en el ámbito de la Administración General del Estado.

ñ) El fomento de los programas de atención a la ciudadanía y la gestión del Portal de Transparencia de la Administración General del Estado y el Punto de Acceso General.

o) El impulso, la coordinación y el seguimiento de los planes de gobierno abierto, en iniciativas orientadas al desarrollo de los principios de la transparencia, la participación ciudadana, la rendición de cuentas y la colaboración.

p) La coordinación de las unidades de información de la Administración General del Estado previstas en el artículo 21 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, así como dictar indicaciones para la dinamización e impulso del derecho de acceso.

q) La gestión del régimen de incompatibilidades y conflictos de intereses de los miembros del Gobierno, altos cargos y del personal al servicio de la Administración General del Estado y del sector público institucional estatal.

r) La formación de las empleadas y empleados públicos.

s) El régimen del mutualismo administrativo del personal funcionario civil del Estado.

t) La coordinación e impulso de los asuntos de carácter internacional que se produzcan en el ámbito de la Secretaría de Estado, sin perjuicio de las funciones que correspondan al Ministerio de Asuntos Exteriores, Unión Europea y Cooperación.

u) Las relaciones con la profesión titulada de gestor administrativo.

v) La tramitación de la aprobación previa a que se refiere el artículo 26.5 de la Ley 50/1997, de 27 de noviembre, del Gobierno.

2. La persona titular de la Secretaría de Estado de Función Pública presidirá la Comisión Coordinadora de Inspecciones Generales de Servicios de los departamentos ministeriales, el Foro de Gobierno Abierto y la Comisión Sectorial de Gobierno Abierto.

3. Asimismo, corresponde a la Secretaría de Estado de Función Pública la Presidencia de la Comisión Superior de Personal y la vicepresidencia de la Conferencia Sectorial de Administración Pública.

4. Depende directamente de la persona titular de la Secretaría de Estado de Función Pública, con nivel orgánico de Subdirección General, el Gabinete, como órgano de asistencia inmediata a aquel, con la estructura que se establece en el artículo 23.3 del Real Decreto 1009/2023, de 5 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales.

5. Con el nivel orgánico que se determine en la Relación de Puestos de Trabajo, depende de la persona titular de la Secretaría de Estado la División de Planificación, Seguimiento y Ejecución, a la que corresponde el ejercicio de las siguientes funciones:

a) La gestión de los medios personales y materiales y el régimen interior de los servicios centrales de la Secretaría de Estado.

b) La planificación, coordinación, ejecución y seguimiento de proyectos y programas de la Secretaría de Estado, incluyendo los financiados por fondos europeos.

c) La planificación, coordinación, ejecución y seguimiento en materia presupuestaria y de contratación de la Secretaría de Estado.

6. Se adscriben al Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Función Pública, los organismos autónomos Mutualidad General de Funcionarios Civiles del Estado e Instituto Nacional de Administración Pública.

7. La Autoridad Administrativa Independiente Consejo de Transparencia y Buen Gobierno estará vinculada al departamento en los términos que establecen los artículos 109 y 110 de la Ley 40/2015, de 1 de octubre.

8. De la Secretaría de Estado de Función Pública dependen los siguientes órganos directivos:

a) La Secretaría General de Administración Digital.

b) La Dirección General de la Función Pública, con rango de Subsecretaría.

c) La Dirección General de Gobernanza Pública.

d) La Oficina de Conflictos de Intereses, con rango de Dirección General.

9. Para el asesoramiento jurídico de la Secretaría de Estado de Función Pública, existirá una Abogacía del Estado, integrada orgánicamente en la del Departamento.

Artículo 9. Secretaría General de Administración Digital.

1. La Secretaría General de Administración Digital es el órgano directivo al que corresponde la dirección, coordinación y ejecución de las competencias atribuidas al departamento en materia de transformación digital de la administración, incluyendo el desarrollo técnico y aplicación de las Leyes 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y 40/2015, de 1 de octubre, el Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos y resto de su normativa reglamentaria, en lo que concierne a la actuación y funcionamiento del sector público por medios electrónicos.

Asimismo, le corresponde la preparación de la estrategia en materia de administración digital y servicios públicos digitales de la Administración General del Estado y sus organismos públicos y entidades de derecho público vinculados o dependientes, así como del proceso de innovación, y el establecimiento de las decisiones y directrices necesarias para su ejecución, con arreglo al modelo de gobernanza establecido en el Real Decreto 806/2014, de 19 de septiembre, sobre organización e instrumentos operativos de las tecnologías de la información y las comunicaciones en la Administración General del Estado y sus organismos públicos.

Por otra parte, le corresponden las competencias sobre los Esquemas Nacionales de Seguridad e Interoperabilidad, la racionalización de las tecnologías de la información y las comunicaciones en el ámbito de la Administración General del Estado y sus organismos públicos y entidades de derecho público vinculados o dependientes, la dirección del Centro de Operaciones de Ciberseguridad y la definición de los medios y servicios comunes digitales, incluidos los declarados compartidos y, en su caso, su provisión, explotación y gestión para el conjunto de las administraciones públicas.

Por último, le corresponde, en coordinación con los demás departamentos ministeriales, el ejercicio de cuantas acciones se deriven de los planes de acción para la implantación de las Estrategias nacionales e internacionales en el ámbito de la transformación digital.

2. Corresponden a la Secretaría General de Administración Digital las siguientes funciones:

a) El impulso, la programación y la supervisión de las actuaciones en ejecución de la política de Gobierno en materia de administración digital y del fomento de la administración electrónica, en especial lo referente al proceso de transformación digital e innovación de la Administración a través de las tecnologías de la información y de las comunicaciones, y la adopción de soluciones digitales que permitan la prestación eficiente de los servicios públicos incluyendo los servicios públicos esenciales.

b) La creación de servicios públicos electrónicos universales y de calidad, y en su caso transfronterizos.

c) La promoción, en un marco de corresponsabilidad, de la cooperación con las administraciones públicas en materia de administración digital, potenciando el uso de los servicios de información titularidad de la Secretaría de Estado para eliminar la brecha digital, así como el fomento de programas de atención al ciudadano y, en particular promoviendo el uso de plataformas comunes para la integración de los servicios de las diferentes sedes electrónicas de las administraciones públicas.

d) Aquellas otras que atribuya la legislación vigente al departamento en el ámbito de la administración electrónica y servicios públicos digitales, y la incorporación de las tecnologías de la información y las comunicaciones en el conjunto de la Administración General del Estado y del sector público institucional estatal.

e) La actuación como órgano referente nacional e interlocutor ante organismos e instituciones europeas e internacionales en el ámbito de la administración digital.

f) La supervisión, con el apoyo de las Comisiones Ministeriales de Administración Digital, de la ejecución de las medidas específicas establecidas en los planes de acción departamentales en materia de transformación digital.

g) La elaboración, desarrollo, implantación y gestión del Catálogo de Medios y Servicios Comunes, incluidos los Compartidos.

h) La preparación de los asuntos que se sometan a la Comisión de Estrategia TIC (CE-TIC), el Comité Ejecutivo de la Comisión de Estrategia TIC (CE-CETIC), el Comité de Dirección de las Tecnologías de Información y las Comunicaciones (CD-TIC), así como a la Comisión Sectorial de Administración Electrónica (CSAE).

i) El ejercicio de las competencias que corresponden al Coordinador Nacional de la pasarela digital única europea previstas en el Reglamento (UE) 2018/1724 del Parlamento Europeo y del Consejo de 2 de octubre de 2018, relativo a la creación de una pasarela digital única de acceso a información, procedimientos y servicios de asistencia y resolución de problemas y por el que se modifica el Reglamento (UE) n.º 1024/2012. Actuará de acuerdo con la Dirección General de Gobernanza Pública en las funciones que esta desempeñe como coordinador de información de la Pasarela Digital Única Europea previstas en dicho Reglamento.

j) El desempeño de las funciones de órgano de seguimiento y presentación de informes establecidas en el Real Decreto 1112/2018, de 7 de septiembre, sobre accesibilidad de los sitios web y aplicaciones móviles del sector público.

k) El diseño técnico, implantación y gestión de los medios y servicios digitales necesarios para evolucionar los servicios públicos actuales hacia servicios públicos universales de calidad orientados a los ciudadanos y empresas, promoviendo la incorporación de las tecnologías de la información y las comunicaciones y la digitalización a los procedimientos administrativos y la adaptación de la gestión pública al uso de medios digitales.

l) En coordinación con la Dirección General del Dato, la aplicación de políticas para la gobernanza y la gestión de datos en la Administración General del Estado y sus organismos públicos y entidades de Derecho Público vinculados o dependientes y el desarrollo de acciones para coordinar a los diferentes organismos y entidades con el objetivo de conseguir una efectiva implementación de las mismas para la prestación de los servicios públicos digitales y garantizar el cumplimiento de las previsiones de las Leyes 39/2015, de 1 de octubre, y 40/2015, de 1 de octubre.

m) La elaboración, desarrollo, implantación, coordinación y seguimiento del Catálogo de tipos de datos compartibles para facilitar la localización y acceso a información elaborada por la Administración General del Estado que sean necesarios a efectos de un procedimiento administrativo, mediante el uso de instrumentos como la Plataforma de Intermediación de Datos, y para implementar los mecanismos de conexión con la pasarela digital única de la Unión Europea.

n) La definición de estándares, de directrices técnicas y de gobierno TIC, de normas de calidad e interoperabilidad de aplicación a las Administraciones Públicas y el desarrollo y aplicación de lo dispuesto en el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica y sus Normas Técnicas de Interoperabilidad, sin perjuicio de las competencias de la Dirección General del Dato en lo relativo a las tecnologías y estándares de datos.

ñ) El análisis de requerimientos, diseño técnico y desarrollo del registro de funcionarios habilitados, del registro electrónico de apoderamientos, del registro electrónico general de la Administración General del Estado, del Sistema de Información Administrativa de los procedimientos en el ámbito de la Administración General del Estado y el sistema de notificaciones, de acuerdo con las instrucciones de la Dirección General de Gobernanza Pública y en coordinación con los departamentos ministeriales y sus organismos públicos y entidades de derecho público vinculadas o dependientes.

o) El análisis de requerimientos, diseño, implantación y la gestión compartida, mediante coordinación o prestación directa, en un marco de corresponsabilidad, de los servicios comunes, declarados o no como compartidos, de sistemas de información y comunicación para la Administración General del Estado y sus organismos públicos y entidades de derecho público vinculados o dependientes, en los términos que se establezcan por resolución de la persona titular de la Secretaria General de Administración Digital.

p) El diseño técnico, implantación y gestión del Punto General de Entrada de Facturas Electrónicas (FACe) que corresponden al ámbito de la Administración General del Estado y a otras administraciones públicas adheridas al mismo, de acuerdo con lo previsto en la Ley 25/2013, de 27 de diciembre, de impulso de la factura electrónica y creación del registro contable de facturas en el Sector Público.

q) El análisis de requerimientos, diseño técnico y desarrollo del Punto de Acceso General Electrónico de la Administración General del Estado del Directorio Común de Unidades Orgánicas y Oficinas, en los términos que establezca la Dirección General de Gobernanza Pública y en coordinación con los departamentos ministeriales y sus organismos públicos y entidades de derecho público vinculadas o dependientes.

r) El análisis de requerimientos, diseño técnico y desarrollo del Portal de Transparencia de la Administración General del Estado previsto en la Ley 19/2013, de 9 de diciembre, en los términos que establezca la Dirección General de Gobernanza Pública y en coordinación con los departamentos ministeriales y sus organismos públicos y entidades de derecho público vinculadas o dependientes.

s) La elaboración y tramitación, junto con la Dirección General de Gobernanza Pública, de los proyectos normativos en materia de organización y procedimientos que afecten a la actuación y funcionamiento del sector público por medios electrónicos.

t) La colaboración con la Dirección General de Gobernanza Pública en la identificación, diseño, e impulso de programas y proyectos para facilitar el acceso de los ciudadanos y las empresas a los servicios públicos así como la elaboración y desarrollo de programas de atención, información y asistencia a los ciudadanos a través de los distintos canales disponibles, todo ello en los aspectos relativos a la administración electrónica, y en coordinación con los departamentos ministeriales y sus organismos públicos dependientes, así como con otras administraciones públicas.

u) El estudio y planificación de la evolución de las plataformas tecnológicas para la prestación de servicios comunes, incluidos los declarados compartidos.

v) El diseño, provisión, explotación y evolución de los centros de proceso de datos de referencia para la prestación de servicios comunes, en coordinación con la Dirección General del Dato.

w) El diseño, provisión y explotación de los servicios y las infraestructuras de comunicaciones unificadas de la Administración General del Estado y sus organismos públicos y entidades de derecho público vinculados o dependientes, así como de la Red SARA, que interconecta con otras administraciones públicas y la Unión Europea.

x) El diseño, provisión y explotación de las infraestructuras tecnológicas y de los servicios de seguridad necesarios para la prestación de servicios comunes, incluidos los declarados compartidos, que correspondan a la Secretaría General de Administración Digital.

y) El diseño, provisión y explotación de las infraestructuras tecnológicas y de los servicios del teléfono 060, en los términos que establezca la Dirección General de Gobernanza Pública y en el marco de los convenios suscritos.

z) El análisis de requerimientos, diseño, desarrollo, pruebas y mantenimiento de las aplicaciones y herramientas necesarias para dar soporte a los servicios horizontales de la Administración General del Estado y sus organismos públicos y entidades de derecho público vinculados o dependientes, entre otros los relativos a la gestión de recursos humanos, en los términos que establezca la Dirección General de Función Pública.

aa) En relación con la gestión del portal y sede electrónica del personal al servicio de la Administración General del Estado (FUNCIONA) y su autenticación, el diseño técnico y gestión de las plataformas tecnológicas que los soportan, en los términos que establezca la Dirección General de la Función Pública.

ab) La provisión de aplicaciones y servicios en materia de tecnologías de la información y comunicaciones prestados a las Delegaciones y Subdelegaciones del Gobierno y a las Direcciones Insulares en todos sus ámbitos de actuación, en los términos que establezca la Dirección General de la Administración General del Estado en el Territorio, en coordinación con los ministerios implicados por cuestión de la materia.

ac) La colaboración con la Dirección General de Racionalización y Centralización de la Contratación del Ministerio de Hacienda en la gestión centralizada de la contratación en el ámbito competencial de la Secretaría General de Administración Digital.

ad) La elaboración, en colaboración con la Dirección General de Racionalización y Centralización de la Contratación del Ministerio de Hacienda, cuando afecte al ámbito de competencias de la Secretaría General de Administración Digital, de propuestas relacionadas con las políticas de adquisiciones de bienes informáticos y con los pliegos de prescripciones técnicas en la contratación pública de estos bienes y servicios TIC en la Administración General del Estado y sus organismos públicos y entidades de derecho público vinculados o dependientes.

ae) El soporte a la contratación y a la gestión económico-presupuestaria en el ámbito de la Secretaría General de Administración Digital y el estudio, planificación, impulso y seguimiento de los procesos de contratación en materia TIC y aquellos otros ámbitos relacionados. Asimismo, emitir el Informe técnico preceptivo de los convenios y encargos que tengan por objeto la adquisición de bienes y servicios informáticos y de las memorias y pliegos de prescripciones técnicas de las contrataciones de bienes y servicios informáticos en la Administración General del Estado y sus organismos públicos y entidades de derecho público vinculados o dependientes en los términos establecidos en el Real Decreto 806/2014, de 19 de septiembre, sobre Organización e instrumentos operativos de las Tecnologías de la Información y las Comunicaciones en la Administración General del Estado y sus Organismos Públicos.

af) La definición y gestión de un sistema común de imputación de costes TIC para toda la Administración General del Estado y sus organismos públicos y entidades de derecho público vinculados o dependientes.

ag) La dirección técnica y estratégica del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus organismos públicos y entidades de derecho público vinculados o dependientes. De forma especial, asumirá la coordinación en la respuesta a incidentes.

ah) El desarrollo y aplicación de lo dispuesto en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad y sus Instrucciones Técnicas de Seguridad. En especial, la definición de estándares, de directrices técnicas y de gobierno TIC, de normas de seguridad de aplicación a las Administraciones Públicas y la realización de propuestas e interlocución con el Centro Criptológico Nacional en el desarrollo de guías de seguridad.

ai) La provisión, gestión y administración de equipos informáticos y de comunicaciones y la implantación de medidas de seguridad informática del Departamento.

aj) El desarrollo y mantenimiento de los sistemas de información necesarios para el funcionamiento de los servicios, el impulso de la transformación digital y la innovación en el Departamento.

ak) La coordinación y la publicación de los contenidos digitales en intranet, en el Portal de internet y la gestión de la sede electrónica asociada del Departamento.

al) La elaboración de informes sobre las Tecnologías de la Información y las Comunicaciones en las Administraciones Públicas, así como colaborar con el Instituto Nacional de Estadística en la elaboración de las operaciones estadísticas relativas a las tecnologías de la información y las comunicaciones en las Administraciones Públicas.

3. De la Secretaría General de Administración Digital dependen las siguientes Subdirecciones Generales:

a) La Subdirección General de Planificación y Gobernanza de la Administración Digital, a la que corresponden las funciones a las que se refieren los párrafos f), g), h), i) y j) del apartado 2. Asimismo, en coordinación con la Subdirección General de Impulso de la Digitalización de la Administración, le corresponden las funciones a las que se refieren los párrafos k), l), m), n) y ñ).

b) La Subdirección General de Impulso de la Digitalización de la Administración, a la que corresponden, las funciones recogidas en los párrafos o), p), q) y r) del apartado 2. Asimismo, le corresponden las funciones a las que se refieren los párrafos k), l), m), n) y ñ), en coordinación con la Subdirección General de Planificación y Gobernanza de la Administración Digital.

c) La Subdirección General de Infraestructuras y Operaciones, a la que corresponden las funciones a las que se refieren los párrafos u), v), w), x) e y) del apartado 2 de este artículo. En el caso de las funciones a que se refiere el párrafo x), la función concerniente al diseño, provisión y explotación de los servicios de seguridad se llevará a cabo en coordinación con la División de Planificación y Coordinación de Ciberseguridad.

d) La Subdirección General de Servicios Digitales para la Gestión, a la que le corresponden las funciones recogidas en los párrafos z), aa) y ab) incluidas en el apartado 2.

e) La Subdirección General de Presupuestos y Contratación TIC, a la que corresponden las funciones recogidas en los párrafos ac), ad), ae) y af) del apartado 2.

4. Como órgano de apoyo y asistencia inmediata al titular de la Secretaría General existe un Gabinete técnico, con nivel orgánico de Subdirección General.

5. Para el ejercicio de las competencias asignadas, la Subdirección General de Planificación y Gobernanza de la Administración Digital podrá recabar la información necesaria para el ejercicio de las funciones atribuidas a la Secretaría General de Administración Digital, con excepción de la información relativa a los sistemas de mando y control, consulta política, situaciones de crisis y Seguridad del Estado.

6. Con el nivel orgánico que se determine en la Relación de Puestos de Trabajo, depende de la persona titular de la Secretaría General de Administración Digital la División de Planificación y Coordinación de Ciberseguridad, a la que corresponden las funciones recogidas en los párrafos ag) y ah) del apartado 2.

7. Con el nivel orgánico que se determine en la Relación de Puestos de Trabajo, depende de la persona titular de la Secretaría General de Administración Digital la División de Tecnologías de la Información y Comunicaciones del Ministerio para la Transformación Digital y de la Función Pública a la que, en cooperación con el resto de unidades de la Secretaría General, corresponden las funciones recogidas en los párrafos ai), aj) ak) y al) del apartado 2.

Artículo 10. Dirección General de la Función Pública.

1. Corresponde a la Dirección General de la Función Pública, con rango de Subsecretaría, el ejercicio de las siguientes funciones:

a) En relación con la Administración General del Estado, los organismos y entidades integrantes del sector público administrativo con arreglo a lo dispuesto por el artículo 3.1 de la Ley 47/2003, de 26 de noviembre, General Presupuestaria, así como de los organismos y entidades del sector público empresarial y fundacional adscritos a los Ministerios para la Transformación Digital y de la Función Pública y de Ciencia, Innovación y Universidades, en el marco de planificación estratégica de recursos humanos y de la envolvente aprobada de gasto de los regímenes retributivos del sector público, de acuerdo con los criterios comunes adoptados en el seno de la Comisión Superior de Personal, y sin perjuicio de la independencia y autonomía funcional legalmente atribuida a las autoridades administrativas independientes y otras entidades de derecho público:

1.º La planificación de los recursos humanos, a partir del análisis basado en datos de las necesidades de personal, perfiles profesionales y retribuciones para asegurar la calidad del empleo público y una asignación funcional y eficiente de los efectivos.

2.º La elaboración de normativa e informes en materia de empleo público.

3.º La aprobación y modificación de las relaciones, catálogos y dotaciones de puestos de trabajo, retribuciones e incentivos al rendimiento.

4.º La elaboración, propuesta y seguimiento de la Oferta de Empleo Público, la autorización de nombramientos de personal funcionario interino, de personal estatutario temporal y de contratos de personal laboral temporal; así como la elaboración de bases comunes y el informe de las convocatorias para el acceso a la condición de personal empleado público.

5.º La tramitación de los procesos de adquisición y pérdida de la condición de personal funcionario, el ejercicio de las competencias atribuidas a la Secretaría de Estado de Función Pública en materia de situaciones administrativas y la gestión de los procedimientos de personal derivados de la dependencia orgánica de los cuerpos y escalas adscritos al Ministerio a través de la Secretaría de Estado de Función Pública.

6.º La propuesta de medidas de estructuración del empleo público, tanto de personal funcionario como de personal laboral, así como la ordenación de la provisión y de la movilidad mediante la autorización y, en su caso, gestión de los procesos de movilidad interministerial y provisión de puestos de personal funcionario y laboral del ámbito del convenio único de la Administración General del Estado.

7.º La coordinación de la provisión y de la movilidad interadministrativa mediante la autorización y, en su caso, tramitación de las comisiones de servicio y otras formas para la provisión de puestos en la Administración General del Estado por personal procedente de otras administraciones públicas, con la excepción de los procedimientos de concurso y libre designación, y la autorización previa para la provisión de puestos en otras administraciones públicas, mediante libre designación, por personal funcionario de cuerpos y escalas adscritos a la Secretaría de Estado de Función Pública.

8.º La asesoría en materia de recursos humanos a los departamentos ministeriales, así como la información a las empleadas y empleados públicos de la política de los recursos humanos.

9.º La coordinación funcional de las subdirecciones generales de recursos humanos e inspección de servicios de los departamentos ministeriales a los efectos de la ejecución de proyectos y programas que resulten estratégicos para el conjunto de la Administración General del Estado y de sus organismos vinculados o dependientes, cuando sean acordados en el seno de la Comisión Superior de Personal.

10.º El diseño del Sistema de Datos sobre Empleo Público, en el que se integren el conjunto de datos relevantes para la adopción de las decisiones relativas a la planificación estratégica, oferta y estructuración de los recursos humanos, a partir del análisis de las necesidades de personal, evolución tecnológica, perfiles profesionales y retribuciones, entre otros elementos, con arreglo a las políticas y estándares en la gestión y análisis de datos que establezca la Dirección General del Dato.

11.º La elaboración y divulgación de estadísticas, indicadores y datos sobre empleo público, con la asistencia de la Secretaría General de Administración Digital.

12.º La gestión del Registro Central de Personal.

13.º La gestión del repertorio de puestos de personal directivo público profesional.

14.º Las relaciones con las organizaciones sindicales en el ámbito de la Administración General del Estado; la dirección y coordinación de la negociación colectiva del personal empleado público de este ámbito y la propuesta de acuerdos y pactos derivados de las mesas de negociación de personal funcionario y laboral, así como el asesoramiento en materia de negociación colectiva y la coordinación y apoyo en los procesos de elecciones sindicales en el ámbito de la Administración General del Estado.

15.º El impulso de la prevención de riesgos laborales, en el marco de lo dispuesto en la normativa aplicable, así como de criterios comunes, funciones de coordinación y promoción, planes de formación, en materia de acción social, responsabilidad social corporativa e igualdad y no discriminación del personal empleado de la Administración General del Estado.

16.º La elaboración de la propuesta de clasificación de entidades del sector público estatal contempladas en el apartado a), de acuerdo con su normativa específica, en colaboración con la Dirección General de Gobernanza Pública.

b) El estudio y análisis basado en datos en materia de empleo público y la preparación del Boletín estadístico del personal al servicio de las Administraciones Públicas.

c) La elaboración de normativa básica e informes en materia de empleo público sobre el conjunto de las administraciones públicas.

d) La asesoría en materia de recursos humanos a las administraciones públicas, así como la asistencia técnico-jurídica en la transposición y aplicación de directivas y otros instrumentos jurídicos de la Unión Europea o internacionales en esta materia.

e) La participación en foros europeos y otros organismos internacionales que afecten a las competencias de la Dirección General, así como la coordinación y cooperación con los órganos competentes en materia de función pública de las administraciones de las comunidades autónomas y administración local.

f) El informe de los actos y disposiciones en materia de función pública emanadas de las comunidades autónomas, el seguimiento de sus ofertas de empleo público, el estudio de la política de empleo público internacional, autonómico y local.

g) La emisión de informes y contestación de consultas formuladas por otras administraciones públicas relativas a la Función Pública Local respecto a la normativa básica estatal.

h) El ejercicio de las funciones que correspondan a la Administración General del Estado en relación con el personal funcionario de Administración Local con habilitación de carácter nacional, salvo las que correspondan al órgano competente en materia de Haciendas Locales, y la gestión del registro integrado de este personal.

i) La incoación de expedientes disciplinarios a personal funcionario de Administración Local con habilitación de carácter nacional, en el marco de lo dispuesto en la normativa aplicable.

j) El informe y autorización, en los términos previstos en la correspondiente ley de presupuestos generales del estado, de los acuerdos, convenios, pactos o cualesquiera otros instrumentos de negociación colectiva, así como de las medidas que se adopten en su cumplimiento o desarrollo, cuyo contenido se refiera a gastos imputables al capítulo de gastos de personal de los presupuestos y demás condiciones de trabajo de los organismos y entidades mencionados en el párrafo a).

k) La realización de proyectos de atracción, desarrollo y retención de talento.

2. Dependen de la Dirección General de la Función Pública los siguientes órganos:

a) La Subdirección General de Planificación de Recursos Humanos y Retribuciones, a la que corresponden las funciones enumeradas en los párrafos a) 1.º, 3.º y 4.º de este artículo en relación con los departamentos ministeriales de la Administración General del Estado, así como la función enumerada en el párrafo a) 13.º

b) La Subdirección General de Ordenación de Recursos Humanos, a la que corresponde el ejercicio de las funciones enumeradas en los párrafos a) 5.º, 6.º y 7.º de este artículo.

c) La Subdirección General de Régimen Jurídico, a la que corresponde el ejercicio de las funciones enumeradas en los párrafos a) 2.º, 8.º y 9.º, c) y d) de este artículo.

d) La Subdirección General de Datos para el Empleo Público, a la que corresponde el ejercicio de las funciones enumeradas en los párrafos a) 10.º, 11.º, 12 º y b) de este artículo, ejerciendo la persona titular de esta unidad la jefatura del Registro Central de Personal.

e) La Subdirección General de Relaciones Laborales, a la que corresponde el ejercicio de las funciones enumeradas en las letras a) 14.º y 15.ª del apartado 1 de este artículo.

f) La Subdirección General de Relaciones con otras Administraciones, a la que corresponde el ejercicio de las funciones enumeradas en las letras e), f) g) h) e i) del apartado 1 de este artículo.

g) La Subdirección General del Sector Público Institucional, a la que corresponde el ejercicio de las funciones enumeradas en los párrafos a) 1.º, 3.º 4.º y 16.º de este artículo, y j) en relación con las entidades del sector público de carácter administrativo y del sector público empresarial y fundacional adscritas a los Ministerios de Ciencia, Innovación y Universidades y para la Transformación Digital y de la Función Pública.

Artículo 11. Dirección General de Gobernanza Pública.

1. Corresponde a la Dirección General de Gobernanza Pública al ejercicio de las siguientes funciones:

a) El análisis y evaluación de las estructuras organizativas de la Administración General del Estado y sus organismos públicos y entidades de derecho público; la elaboración de las disposiciones de carácter organizativo cuya propuesta sea competencia del Ministerio y las disposiciones de carácter general en materia de procedimientos y la realización de propuestas organizativas para mejorar la racionalidad y eficiencia de las estructuras administrativas; así como el informe de los proyectos que se sometan a la aprobación previa a que se refiere el artículo 26.5 de la Ley 50/1997, de 27 de noviembre, del Gobierno, en aquellos aspectos de la competencia de esta Dirección General.

b) El asesoramiento y apoyo técnico en materia de organización y procedimientos a los departamentos ministeriales y organismos públicos, incluida la realización de estudios de consultoría organizativa.

c) La gobernanza y gestión en el ámbito de la Administración General del Estado del Sistema de Información Administrativa de los procedimientos.

d) El diseño, impulso y seguimiento en el ámbito de la Administración General del Estado de las actuaciones para reducir las cargas administrativas y regulatorias, y simplificar los procedimientos administrativos, asegurando la coordinación interdepartamental y promoviendo la cooperación entre todas las administraciones públicas.

e) Favorecer a la mejora continua de la gestión mediante el impulso, desarrollo y seguimiento de los programas de calidad en los servicios públicos, basados en la búsqueda de la excelencia y el fomento de la innovación. En particular la gestión e impulso de los programas de calidad previstos en el Real Decreto 951/2005, de 29 de julio, por el que se establece el marco general para la mejora de la calidad en la Administración General del Estado.

f) El ejercicio de las atribuciones en materia de inspección y mejora de los servicios de la Administración General del Estado y de los organismos públicos vinculados o dependientes de ella; la fijación de criterios que faciliten la atención a los ciudadanos, especialmente mediante el análisis integral de las quejas y sugerencias que puedan producirse; la coordinación funcional de las subdirecciones generales de recursos humanos y de las inspecciones de servicios para la ejecución de proyectos y programas que resulten estratégicos y que sean acordados en el seno de la Comisión Coordinadora de las Inspecciones de Servicios; la promoción, dirección y coordinación de planes de inspección específicos para evaluar la eficacia y eficiencia de los servicios; la consultoría operativa de los servicios; y la promoción de programas de formación especializada e intercambio de las metodologías y técnicas aplicadas, en particular la organización y desarrollo del curso selectivo sobre el desarrollo de la función inspectora en la Administración General del Estado regulado en la Orden TFP/1125/2020, de 25 de noviembre.

g) La identificación, diseño, e impulso de programas y proyectos para facilitar el acceso de la ciudadanía y las empresas a los servicios públicos así como la elaboración y desarrollo de programas de atención, información y asistencia a la ciudadanía a través de los distintos canales disponibles, en colaboración con la Secretaría General de Administración Digital en los aspectos relativos a la administración electrónica y en coordinación con los departamentos ministeriales y sus organismos dependientes así como con otras administraciones.

h) La gobernanza del teléfono 060, la gestión del Centro de Información Administrativa y la normalización de documentos e imagen institucional.

i) La gobernanza del Punto de Acceso General Electrónico de la Administración General del Estado y la gestión de la publicación de sus contenidos y del Directorio Común de Unidades Orgánicas y Oficinas en coordinación con los departamentos ministeriales y sus organismos.

La Dirección General de Gobernanza Pública actuará también como coordinador de información de la Pasarela Digital Única Europea de acuerdo con el Coordinador Nacional de la Pasarela Digital Única Europea designado por la Secretaría General de Administración Digital.

j) La creación y desarrollo del Sistema de Datos sobre Gobernanza Pública, en el que se integren el conjunto de datos relevantes para la adopción de las decisiones relativas a la organización, procedimientos, calidad y servicios a la ciudadanía, a partir del análisis de necesidades y evolución tecnológica con arreglo a las políticas y estándares en la gestión y análisis de datos que establezca la Dirección General del Dato.

k) La gobernanza y gestión del registro de funcionarios habilitados, del registro electrónico de apoderamientos y del registro electrónico general de la Administración General del Estado y la definición funcional y gobernanza del sistema de notificaciones.

l) El impulso, la coordinación y el seguimiento de los planes de Gobierno Abierto de los departamentos ministeriales, en iniciativas orientadas al desarrollo de los principios de la transparencia, la participación ciudadana, la rendición de cuentas y la colaboración, así como la programación y ejecución de proyectos sobre la materia, en el ámbito de las competencias de la Dirección General; la promoción de la cooperación entre todas las administraciones públicas en dicho ámbito y servir de punto de contacto de la Administración General del Estado con los organismos internacionales en materia de gobierno abierto, sin perjuicio de las competencias de otros centros directivos por razón de la materia.

m) El impulso de los planes y programas de transparencia, incluyendo la atención e información a los ciudadanos en esta materia y la gestión del Portal de Transparencia de la Administración General del Estado previsto en la Ley 19/2013, de 9 de diciembre, con el soporte técnico de la Secretaría General de Administración Digital. En relación con la coordinación de las unidades de información de la Administración General del Estado previstas en el artículo 21 de la Ley 19/2013, de 9 de diciembre, corresponde a la Dirección General de Gobernanza Pública prestar el apoyo y soporte necesario para el ejercicio de dicha competencia, como Unidad de Información de Transparencia Central.

2. Dependen de la Dirección General de Gobernanza Pública, los siguientes órganos:

a) La Subdirección General de Organización y Procedimientos, a la que corresponde el ejercicio de las funciones enumeradas en las letras a), b), c) y d) del apartado 1 de este artículo. La función de la letra b) se ejercerá en coordinación con la Subdirección General de Inspección y Consultoría.

b) La Subdirección General de Inspección y Consultoría, a la que corresponde el ejercicio de las funciones enumeradas en las letras b), e), f), y m) del apartado 1 de este artículo, siendo ejercida la de la letra b) en coordinación con la Subdirección General de Organización y Procedimientos y la de la letra m) en coordinación con la Subdirección General de Transparencia y Atención al Ciudadano.

La persona titular de esta Subdirección General ostenta la Secretaría de la Comisión Coordinadora de Inspecciones Generales de Servicios de los ministerios de la Administración General del Estado.

c) La Subdirección General de Transparencia y Atención al Ciudadano, a la que corresponde el ejercicio de las funciones enumeradas en las letras g), h), i) y l) del apartado 1 de este artículo; siendo ejercida la de la letra apartado g) en coordinación con la Subdirección General de Datos para la Gobernanza Pública y la de la letra m) en coordinación con la Subdirección General de Inspección y Consultoría.

d) La Subdirección General de Datos para la Gobernanza Pública, a la que corresponde el ejercicio de las funciones previstas en la letra j) y k) del apartado 1 de este artículo y la de la letra g) en coordinación con la Subdirección General de Transparencia y Atención al Ciudadano y en colaboración con la Dirección General del Dato.

e) La Subdirección General de Gobierno Abierto, a la que corresponde el ejercicio de las funciones previstas en la letra l) del apartado 1 de este artículo.

3. A la persona titular de la Dirección General de Gobernanza Pública corresponde la condición de titular de la Inspección General de Servicios de la Administración Pública, con las facultades inherentes a la misma. Igualmente le corresponde la Vicepresidencia de la Comisión Coordinadora de Inspecciones Generales de Servicios de los ministerios de la Administración General del Estado.

A tal efecto, se adscriben a la Dirección General de Gobernanza Pública dos Inspectores Generales de Servicios, con nivel orgánico de Subdirector General, para el desarrollo de las tareas que aquélla les encomiende. Asimismo podrán adscribirse inspectores generales de servicios a la Dirección General de acuerdo con lo que se determine en la relación de puestos de trabajo del departamento.

4. Igualmente, corresponde a la persona titular de la Dirección General de Gobernanza Pública la Vicepresidencia primera del Foro de Gobierno Abierto y de la Comisión Sectorial de Gobierno Abierto.

Artículo 12. Oficina de Conflictos de Intereses.

1. Corresponden a la Oficina de Conflictos de Intereses, con plena autonomía funcional, las siguientes funciones:

a) Las previstas en la Ley 3/2015, de 30 de marzo, reguladora del ejercicio del alto cargo de la Administración General del Estado.

b) Las previstas en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

c) Las correspondientes al régimen de incompatibilidades del personal al servicio de la Administración General del Estado, de sus organismos públicos y del sector público estatal.

d) El fomento de los valores y principios de ética e integridad pública y la prevención de conflictos de intereses en colaboración con otros órganos, organismos y entidades en particular mediante el desarrollo de acciones de información y formación.

2. Dependen de la Oficina de Conflictos de Intereses, con rango de Subdirección General, los siguientes órganos:

a) La Subdirección General de Régimen de los Altos Cargos, a la que corresponde el ejercicio de las funciones enumeradas en las letras a) y b) del apartado 1 de este artículo.

b) La Subdirección General de Régimen de Incompatibilidades de los Empleados Públicos, a la que corresponde el ejercicio de la función enumerada en la letra c) del apartado 1 de este artículo.

Artículo 13. Subsecretaría para la Transformación Digital y de la Función Pública.

1. La Subsecretaría ostenta la representación ordinaria del Ministerio y la dirección de sus servicios comunes, así como el ejercicio de las atribuciones a que se refiere el artículo 63 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y la dirección, impulso y supervisión de los órganos directivos y de las unidades directamente dependientes.

2. Como órgano directivo directamente dependiente de la persona titular del Ministerio corresponderá a la persona titular de la Subsecretaría para la Transformación Digital y de la Función Pública el ejercicio de las siguientes funciones:

a) La representación ordinaria del Ministerio.

b) La dirección, impulso y coordinación general de los servicios comunes del Departamento y el ejercicio de las competencias correspondientes a dichos servicios comunes.

c) El apoyo y asesoramiento técnico a la persona titular del Departamento en la elaboración y aprobación de los planes de actuación del Departamento, así como en el control de eficacia del Ministerio y sus organismos dependientes.

d) El estudio de los distintos elementos organizativos del Departamento y la dirección y realización de los proyectos organizativos de ámbito ministerial.

e) La dirección, impulso, coordinación y supervisión de la fundamentación técnico-jurídica relativa a la participación del Departamento en los órganos colegiados del Gobierno y en los de colaboración y apoyo al Gobierno.

f) La elaboración de los planes del Departamento en materia normativa, así como el impulso, coordinación, apoyo y supervisión de las actividades de elaboración de disposiciones generales del departamento y el informe de los proyectos de normas de otros Ministerios, coordinando las actuaciones dentro del Ministerio y con los demás departamentos que hayan de intervenir en el procedimiento.

3. En particular, la Subsecretaría ejercerá las siguientes funciones:

a) La elaboración de la propuesta de presupuesto anual del Departamento y la coordinación de los correspondientes a sus entidades adscritas, así como el seguimiento de la ejecución presupuestaria y la tramitación de sus modificaciones.

b) La gestión económica y financiera y de la tesorería del Departamento, así como la planificación, tramitación y seguimiento de la contratación administrativa y la coordinación de los órganos colegiados del Departamento en materia de contratación.

c) La evaluación de los distintos programas de gasto desarrollados en el ministerio, orientada a lograr políticas de gasto más eficientes.

d) La planificación, gestión y administración de los recursos humanos del Departamento, la elaboración de las propuestas de aprobación y modificación de las relaciones de puestos de trabajo y los planes de empleo, la tramitación de los procesos para la cobertura de los puestos de trabajo, y las relaciones con las organizaciones sindicales y las asociaciones profesionales de funcionarios, así como la gestión de los planes de formación, de la acción social y de los programas de prevención de riesgos laborales.

e) La ejecución de los planes y programas de inspección de los servicios y la evaluación del funcionamiento, la eficacia y rendimiento del personal y servicios de los órganos y unidades de los servicios centrales, entidades y organismos públicos adscritos así como la coordinación de las actividades vinculadas con las evaluaciones de las políticas públicas de competencia del Departamento.

f) El desarrollo de las funciones propias de la Unidad de Igualdad del Departamento, previstas en el artículo 77 de la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres.

g) El ejercicio de las competencias relativas al Delegado de Protección de Datos, previstas en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, para el ámbito del Ministerio.

h) Las actuaciones relacionadas con la publicación de disposiciones y actos administrativos del Departamento en el «Boletín Oficial del Estado».

i) El ejercicio de las funciones de la Unidad de Información de Transparencia del Ministerio para la Transformación Digital y de la Función Pública, según lo previsto en el artículo 21 de la Ley 19/2013, de 9 de diciembre, y el apoyo en la coordinación de las iniciativas en materia de Gobierno abierto en el ámbito del Ministerio.

j) El desarrollo y coordinación de las actividades de información administrativa y atención al ciudadano, así como la publicidad institucional.

k) La gestión de los medios materiales del Departamento, muebles e inmuebles; su inventario; la gestión de los arrendamientos; la adecuación y conservación de dichos inmuebles; el mantenimiento de sus instalaciones; y la planificación, coordinación, elaboración y dirección de los proyectos de obras correspondientes.

l) La gestión del registro general del Departamento, así como la dirección y gestión de los servicios técnicos, de seguridad, de reprografía y, en general, de los servicios generales y de régimen interior.

m) La dirección, organización y gestión de bibliotecas, archivos y servicios de documentación del Departamento.

n) La colaboración con las Secretarías de Estado en la programación económica y presupuestaria relativa a los proyectos de inversión y a las medidas del Plan de Recuperación, Transformación y Resiliencia, del ámbito del Ministerio para la Transformación Digital y de la Función Pública.

ñ) La coordinación y seguimiento de la ejecución de las inversiones y reformas del Plan de Recuperación, Transformación y Resiliencia que correspondan al Ministerio para la Transformación Digital y de la Función Pública, incluyendo el seguimiento y detección de desviaciones respecto al cumplimiento de hitos y objetivos y de los principios transversales definidos en el artículo 2 de la Orden HFP/1030/2021, de 29 de septiembre, por la que se configura el sistema de gestión del Plan de Recuperación, Transformación y Resiliencia.

o) La realización de informes de seguimiento de hitos y objetivos y cumplimiento de principios transversales, e informes en relación con la gestión económico-financiera de la aplicación de fondos europeos, asociados al Plan de Recuperación, Transformación y Resiliencia en los ámbitos propios del Ministerio.

p) El seguimiento de la aplicación de medidas correctoras por parte de los órganos responsables de las medidas, en caso de desviaciones respecto al cumplimiento de hitos y objetivos y el cumplimiento de principios transversales.

q) Punto de contacto con la Secretaría General de Fondos Europeos para el seguimiento de las medidas del Plan de Recuperación, Transformación y Resiliencia que correspondan al Ministerio para la Transformación Digital y de la Función Pública.

r) La interlocución con otros Departamentos y con las Secretarías de Estado del Ministerio en relación con el seguimiento del Plan de Recuperación, Transformación y Resiliencia.

s) La elaboración, firma y tramitación del Informe de gestión de los componentes de los cuales es responsable el Ministerio.

t) La revisión de los informes de previsiones firmados por los órganos responsables de las medidas, identificación de riesgos de incumplimiento, desviaciones respecto a la planificación y seguimiento de la ejecución de las acciones correctivas por parte de los órganos responsables de la medida.

u) La elaboración del Plan Estratégico de Subvenciones.

4. De la Subsecretaría para la Transformación Digital y de la Función Pública depende directamente, con rango de dirección general, la Secretaría General Técnica, que ejerce las funciones que se establecen en el artículo 14.

5. Asimismo, de la persona titular de la Subsecretaría dependen directamente las siguientes unidades con nivel orgánico de subdirección general:

a) La Subdirección General de Gestión Económica y Oficina Presupuestaria, que ejercerá las funciones señaladas en las letras a), b) y c) del apartado 3 y, en particular, las que se recogen en el Real Decreto 2855/1979, de 21 de diciembre, por el que se crean Oficinas Presupuestarias.

b) La Subdirección General de Recursos Humanos e Inspección de Servicios, que ejercerá las funciones señaladas en las letras d), e), f) y g) del apartado 3.

c) La Subdirección General de Servicios y Coordinación, que ejercerá las funciones previstas en las letras h), i), j), k), l, y m) del apartado 3.

d) La Subdirección General de Coordinación y Seguimiento de fondos europeos, que ejercerá las funciones previstas en el párrafo n), ñ), o), p), q), r), s) y t) del apartado 1.

6. Dependiendo directamente de la Subsecretaría, y como órgano de apoyo y asistencia inmediata de su titular, existe un Gabinete Técnico con nivel de subdirección general.

7. Asimismo, están adscritos a la Subsecretaría, con las funciones que les atribuyen sus normas específicas, y sin perjuicio de su dependencia de los Ministerios de Presidencia, Justicia y Relaciones con las Cortes y de Hacienda, los siguientes órganos con rango de subdirección general:

a) La Abogacía del Estado del Departamento, en la que se integran orgánicamente las que asumen el asesoramiento jurídico de la Secretaría de Estado de Digitalización e Inteligencia Artificial, la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y la Secretaría de Estado de Función Pública.

b) La Intervención Delegada de la Intervención General de la Administración del Estado, dirigida por un Interventor Delegado Jefe, que se estructura en tres áreas: de Fiscalización, de Auditoría y de Contabilidad, las dos primeras con rango de subdirección general.

Artículo 14. Secretaría General Técnica.

1. La Secretaría General Técnica del Ministerio para la Transformación Digital y de la Función Pública, bajo la inmediata dependencia de la persona titular de la Subsecretaría del Departamento, ejerce las funciones que le atribuye el artículo 65 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y específicamente, las siguientes:

a) La prestación de asistencia técnica, jurídica y administrativa a la persona titular del Ministerio y demás altos cargos del Departamento.

b) La preparación de documentación, y el examen e informe, así como la tramitación y coordinación, de las actuaciones relativas a los asuntos que se sometan al Consejo de Ministros, a las Comisiones Delegadas del Gobierno y a la Comisión General de Secretarios de Estado y Subsecretarios.

c) La coordinación de las propuestas del Departamento para su inclusión en el Plan Anual Normativo de la Administración General del Estado, y en el informe anual de evaluación normativa, así como del cumplimiento de dicho Plan.

d) La elaboración del programa editorial del Departamento y la gestión, en coordinación con los organismos adscritos al Ministerio, de la edición, distribución y venta, en su caso, de las publicaciones oficiales, así como las funciones que, en conexión con el proceso editorial, le atribuye la normativa específica sobre la materia.

e) La coordinación de toda la actividad de estudio e investigación del Departamento y, en particular, coordinar la elaboración del programa de estudios y la difusión de los estudios realizados.

f) La coordinación de la actividad normativa del Ministerio, la realización de los informes de los proyectos normativos que corresponda dictar o proponer al Departamento, así como de los proyectos de otros ministerios que afecten a las materias de competencia de este, y la tramitación y participación en la elaboración de los proyectos normativos a propuesta del Departamento.

g) El seguimiento e informe de los actos y disposiciones de las comunidades autónomas y la tramitación de los convenios suscritos con ellas.

h) La coordinación de la tramitación de proyectos de convenios entre el Departamento y cualesquiera otros sujetos de Derecho público o privado.

i) El seguimiento y coordinación de las cuestiones prejudiciales y procedimientos contenciosos con la Unión Europea y de la transposición de directivas, así como el ejercicio, en coordinación con el Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, del resto de las competencias en relación con la Unión Europea y con los organismos internacionales en las materias propias del departamento no expresamente asignadas a otros órganos directivos.

j) La tramitación y propuesta de resolución de los recursos administrativos interpuestos contra los actos dictados por las autoridades del Departamento, la tramitación y propuesta de resolución de los procedimientos de responsabilidad patrimonial, de declaración de lesividad y de las revisiones de oficio.

k) Las relaciones del Departamento con la Administración de Justicia.

2. La Secretaría General Técnica se estructura en las siguientes Subdirecciones Generales:

a) La Vicesecretaría General Técnica, que ejercerá las funciones señaladas en las letras a), b), c), d) y e) del apartado 1.

b) La Subdirección General de Coordinación Jurídica, que ejerce las funciones señaladas en las letras f), g), h) e i) del apartado 1.

c) La Subdirección General de Recursos y Relaciones con la Administración de Justicia, que ejerce las funciones señaladas en las letras j) y k) del apartado 1.

Disposición adicional primera. Suplencia de las personas titulares de órganos directivos.

En los casos de vacante, ausencia o enfermedad de un órgano directivo y, en defecto de designación de suplente conforme a lo previsto en el artículo 13 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, la suplencia se realizará de la siguiente manera:

a) La persona titular de la Secretaría General de Administración Digital será suplida por la persona titular de la Subdirección General de Planificación y Gobernanza de la Administración Digital, salvo que la persona superior jerárquica establezca expresamente otro orden de sustitución.

c) La persona titular de la Subsecretaría para la Transformación Digital y de la Función Pública será sustituida por la persona titular de la Secretaría General Técnica, salvo que la persona superior jerárquica establezca expresamente otro orden de sustitución.

d) Las personas titulares de las Direcciones Generales y de la Secretaría General Técnica serán sustituidas por las personas titulares de las Subdirecciones Generales de su dependencia, siguiendo el orden en el que aparecen mencionadas por primera vez en este Real Decreto, salvo que la persona superior jerárquica común a todos ellos establezca expresamente otro orden de sustitución.

Disposición adicional segunda. Delegación de competencias.

Las delegaciones de competencias otorgadas en el ámbito de actuación material que corresponde al Ministerio para la Transformación Digital y de la Función Pública por los distintos órganos superiores y directivos afectados por este Real Decreto y por el Real Decreto 829/2023, de 20 de noviembre, por el que se reestructuran los departamentos ministeriales y el Real Decreto 1009/2023, de 5 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales, continuarán siendo válidas y eficaces hasta que sean expresamente revocadas o nuevamente otorgadas, en los términos previstos en la Orden ETD/1218/2021, de 25 de octubre, sobre fijación de límites para la administración de determinados créditos para gastos y de delegación de competencias, así como en la Orden HAC/134/2021, de 17 de febrero, de delegación de competencias y por la que se fijan los límites de las competencias de gestión presupuestaria y concesión de subvenciones y ayudas de los titulares de las Secretarías de Estado, en el ámbito de competencias de la Secretaría de Estado de Función Pública.

Las referencias realizadas a la Comisión Interministerial de Retribuciones y a su Comisión Ejecutiva se entenderán realizadas a la Secretaría de Estado de Función Pública y a la Dirección General de la Función Pública, respectivamente, cuando afecten a los organismos y entidades enumeradas en el artículo 10.1.a).

Cuando las delegaciones de competencias que mantienen sus efectos en virtud del párrafo anterior se hubiesen efectuado en favor de órganos suprimidos por alguno de los reales decretos citados, las referidas delegaciones se entenderán otorgadas a favor de los órganos en cuyo ámbito de actuación se encuadre la correspondiente competencia, en los términos previstos en las citadas órdenes.

Disposición adicional tercera. Supresión de órganos.

1. Se suprimen los siguientes órganos:

a) La Subdirección General de Economía del Dato y Digitalización.

b) El Comisionado Especial para la Alianza por la Nueva Economía de la Lengua.

c) La Oficina del Comisionado especial para la Alianza por la Nueva Economía de la Lengua.

d) La Dirección General de Ciudadanía y Gobierno Abierto.

e) La Subdirección General de Gestión de Procedimientos de Personal.

f) La Subdirección General de Consultoría, Asesoramiento y Asistencia de Recursos Humanos.

g) La Subdirección General del Registro Central de Personal.

h) La Subdirección General de la Inspección General de Servicios de la Administración General del Estado.

i) La Subdirección General de Gobernanza en materia de Registros.

j) División de la Oficina del Dato.

k) División de Tecnologías de la Información.

l) Unidad de Instrucción de los expedientes disciplinarios de los funcionarios de la Administración Local con habilitación de carácter nacional.

2. Las referencias del ordenamiento jurídico a los órganos señalados en el apartado anterior se entenderán realizadas a los que, de acuerdo con este real decreto, asumen las correspondientes competencias.

3. Asimismo, las referencias contenidas en el ordenamiento jurídico a la Comisión Interministerial de Retribuciones y la Comisión Ejecutiva de la Comisión Interministerial de Retribuciones se entenderán realizadas, respectivamente, a la Secretaría de Estado de Función Pública y a la Dirección General de la Función Pública.

Disposición adicional cuarta. Desconcentración.

Corresponderá a la persona titular de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales el ejercicio de las competencias y funciones administrativas que, por la normativa vigente de rango reglamentario, se atribuyen a la persona titular del Ministerio para la Transformación Digital y de la Función Pública en materia de títulos habilitantes de telecomunicaciones y de servicios de comunicación audiovisual, interconexión y numeración, gestión del dominio público radioeléctrico, control del cumplimiento de las obligaciones de servicio público de telecomunicaciones y servicios de comunicación audiovisual, e imposición de sanciones en estas materias.

Disposición adicional quinta. Revisión de la clasificación de las entidades del sector público empresarial y fundacional de carácter tecnológico y científico.

En el plazo de seis meses desde la entrada en vigor del presente real decreto se procederá a la revisión de la clasificación de los entes del sector público fundacional y empresarial del ámbito científico y tecnológico, a propuesta motivada del Ministerio para la Transformación Digital y de la Función Pública y evaluada por los ministerios de Hacienda y de Economía, Comercio y Empresa.

Disposición adicional sexta. Modificaciones presupuestarias.

Por el Ministerio de Hacienda se efectuarán las modificaciones presupuestarias precisas para el cumplimiento de lo previsto en este Real Decreto.

Disposición transitoria primera. Unidades y puestos de trabajo con nivel orgánico inferior a subdirección general.

1. Las unidades y puestos de trabajo con nivel orgánico inferior al de subdirección general, encuadrados en los órganos afectados por las modificaciones orgánicas establecidas en este Real Decreto, continuarán subsistentes y serán retribuidos con cargo a los mismos créditos presupuestarios.

2. Hasta que se apruebe la nueva relación de puestos de trabajo, las unidades y puestos de trabajo encuadrados en los órganos suprimidos por este Real Decreto se adscribirán provisionalmente, a los órganos regulados en este Real Decreto en función de las atribuciones que tengan asignadas.

Disposición transitoria segunda. Gestión temporal de medios y servicios.

1. Por resolución conjunta de la Subsecretaría de Economía, Comercio y Empresa y de la Subsecretaría de Transformación Digital y de la Función Pública; y de esta última y de la Subsecretaría de Hacienda se realizará la integración efectiva de los créditos presupuestarios y de los medios materiales, y se definirán, en su caso los términos en los que se prestarán los servicios comunes de estos ministerios.

2. Por resolución conjunta de las Subsecretarías de Economía, Comercio y Empresa y de Transformación Digital y de la Función Pública se arbitrarán las medidas precisas para asignar a la Secretaría de Estado de Economía y Apoyo a la Empresa los créditos presupuestarios y medios materiales adscritos a la Secretaría de Estado de Función Pública para el ejercicio de las funciones relativas al Instituto para la Evaluación de Políticas Públicas.

Disposición transitoria tercera. Órganos de asistencia en la contratación.

Sin perjuicio de lo establecido en la disposición transitoria primera acerca de la subsistencia de unidades y puestos de trabajo, y hasta tanto se creen los órganos de contratación y asistencia de conformidad con lo dispuesto en los artículos 323 y 326 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, adaptados a la estructura establecida en el presente Real Decreto, mantendrán su composición y continuarán desempeñando sus funciones aquellos que venían ejerciéndolas en relación con las materias propias de este Departamento.

Disposición transitoria cuarta. Comisión Interministerial de Retribuciones.

Los expedientes ya presentados ante la Comisión Interministerial de Retribuciones y a su Comisión Ejecutiva continuarán tramitándose por las reglas en vigor en el momento de su presentación.

Hasta tanto no se dicten nuevas reglas, a las que se refiere el párrafo tercero de esta disposición, por la Secretaría de Estado de Función Pública, los nuevos expedientes serán presentados ante la Dirección General de Función Pública, acompañados del documento de retención de crédito de capítulo 1 correspondiente al impacto de gasto presupuestario que suponga el mismo, se regirán por las reglas a que se refiere el párrafo anterior, y serán resueltos por la citada Dirección General.

Una vez que se adopten las órdenes ministeriales contempladas en el artículo 107.4 del Real Decreto-ley 6/2023, de 19 de diciembre, por el que se aprueban medidas urgentes para la ejecución del Plan de Recuperación, Transformación y Resiliencia en materia de servicio público de justicia, función pública, régimen local y mecenazgo, la Secretaría de Estado de Función Pública dictará nuevas reglas para la tramitación de los expedientes.

Disposición transitoria quinta. Prestación de servicios en materia de tecnologías de la información y comunicaciones a los servicios centrales del Departamento.

La Secretaría General de Administración Digital del Ministerio para la Transformación Digital y de la Función Pública, continuará colaborando con la Subsecretaría de Política Territorial y Memoria Democrática en la dirección, impulso y coordinación de la administración electrónica en el Departamento y en la provisión de servicios en materia de tecnologías de la información y comunicaciones, hasta tanto se firme la resolución conjunta entre la Subsecretaría del Ministerio para la Transformación Digital y de la Función Pública y la Subsecretaría del Ministerio de Política Territorial y Memoria Democrática por la que se efectúe la distribución de medios materiales y presupuestarios.

Disposición derogatoria única. Derogación normativa.

1. Quedan derogados, en lo que se oponga a este Real Decreto, el Real Decreto 403/2020, de 25 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Asuntos Económicos y Transformación Digital, así como el Real Decreto 682/2021, de 3 de agosto, por el que se desarrolla la estructura orgánica básica del Ministerio de Hacienda y Función Pública.

2. Queda derogado el Real Decreto 469/1987, de 3 de abril, por el que se articulan las competencias conjuntas atribuidas al Ministerio para las Administraciones Públicas y al Ministerio de Economía y Hacienda, en la Ley 21/1986, de 23 de diciembre, de Presupuestos Generales del Estado para 1987.

3. Asimismo, quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo establecido en este Real Decreto.

Disposición final primera. Modificación del Real Decreto 349/2001, de 4 de abril, por el que se regula la composición y funciones de la Comisión Superior de Personal.

Se añade una letra j) al artículo 2, con la siguiente redacción:

«j) Adoptar las medidas de coordinación necesarias para asegurar un enfoque coherente de la planificación de recursos humanos de ámbito general, específica y de reestructuración sobre la base de instrumentos comunes.»

Disposición final segunda. Modificación del Real Decreto 403/2020, de 25 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Asuntos Económicos y Transformación Digital.

Se modifica el artículo 5, añadiendo un apartado 3 con la siguiente redacción:

«3. Se adscribe a la Dirección General de Política Económica, con nivel orgánico de Subdirección General, el Instituto para la Evaluación de Políticas Públicas, al que le corresponde en el ámbito de la Administración General del Estado y sus organismos públicos:

a) La evaluación de las políticas públicas y de los planes y programas cuya evaluación se le encomiende, en coordinación con los departamentos ministeriales.

b) El fomento de la cultura de evaluación de las políticas públicas.

c) La formulación y difusión de metodologías de evaluación.

d) El fomento de la formación de las empleadas y empleados públicos en esta materia, en coordinación con el organismo autónomo Instituto Nacional de Administración Pública.

e) El apoyo instrumental necesario para realizar los análisis que requieran los procesos de modernización o planificación que se impulsen desde la Secretaría de Estado de Función Pública.»

Disposición final tercera. Modificación del Real Decreto 1009/2023, de 5 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales.

Uno. Se modifica el artículo 21, que queda redactado como sigue:

«El Ministerio para la Transformación Digital y de la Función Pública se estructura en los siguientes órganos superiores y directivos:

A) La Secretaría de Estado de Digitalización e Inteligencia Artificial, de la que depende la Dirección General de Digitalización e Inteligencia Artificial, la Dirección General del Dato y la Dirección General de Planificación Estratégica en Tecnologías Digitales Avanzadas y Nueva Economía de la Lengua.

B) La Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, de la que depende la Secretaría General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual.

C) La Secretaría de Estado de Función Pública, de la que dependen la Secretaría General de Administración Digital, la Dirección General de Función Pública, con rango de subsecretaría, y la Dirección General de Gobernanza Pública. Asimismo, depende de esta Secretaría de Estado la Oficina de Conflictos de Intereses, con rango de Dirección General.

D) La Subsecretaría para la Transformación Digital y de la Función Pública, de la que depende la Secretaría General Técnica.»

Dos. Se modifica la disposición transitoria tercera, que pasa a tener la siguiente redacción:

«Los servicios comunes de los ministerios en los que se hayan producido transferencias de actividad a otros departamentos ministeriales seguirán prestando dichos servicios a los Ministerios a los que correspondan dichas áreas de actividad hasta tanto se desarrolle la estructura orgánica básica de los ministerios y se establezca la distribución de efectivos mediante acuerdo de los ministerios afectados por la reestructuración y, en su defecto, Resolución de la Secretaría de Estado de Función Pública con arreglo a lo previsto por el Real Decreto 364/1995, de 10 de marzo, por el que se aprueba el Reglamento General de Ingreso del Personal al servicio de la Administración General del Estado y de Provisión de Puestos de Trabajo y Promoción Profesional de los Funcionarios Civiles de la Administración General del Estado.»

Disposición final cuarta. Mandato para la modificación del Real Decreto 451/2012 por el que se regula el régimen retributivo de los máximos responsables y directivos en el sector público empresarial y otras entidades.

En el plazo de seis meses desde la entrada en vigor del presente real decreto se procederá a la modificación del Real Decreto 451/2012 por el que se regula el régimen retributivo de los máximos responsables y directivos en el sector público empresarial y otras entidades con el fin de promover la competitividad y la captación y retención del talento en sectores estratégicos.

Disposición final quinta. Facultades de desarrollo normativo.

Se autoriza a la persona titular del Ministerio para la Transformación Digital y de la Función Pública para que adopte las disposiciones necesarias para el desarrollo y ejecución de este Real Decreto.

Disposición final sexta. Entrada en vigor.

El presente Real Decreto entrará en vigor el mismo día de su publicación en el «Boletín Oficial del Estado».

Dado en Madrid, el 27 de febrero de 2024.

FELIPE R.

El Ministro para la Transformación Digitaly de la Función Pública, JOSÉ LUIS ESCRIVÁ BELMONTE

10Nov/24

Real Decreto 1118/2024, de 5 de noviembre

10 noviembre, 2024España, Real DecretoAgencia Estatal Administración Digital, Derecho Informático, Digitalización Administraciones Públicas 2021-2025, Legislación Española, Legislación Informática, Ley 19/2013, Real Decreto 1125/2024, Reglamento (UE) 2016/679, Tecnologias Información Comunicaciones, TIC, Transformación DigitalJosé Cuervo

Real Decreto 1118/2024, de 5 de noviembre, por el que se aprueba el Estatuto de la Agencia Estatal de Administración Digital. (BOE nº 268 de 6 de noviembre de 2024)

Real Decreto 1118/2024, de 5 de noviembre, por el que se aprueba el Estatuto de la Agencia Estatal de Administración Digital.

La Ley 11/2020, de 30 de diciembre, de Presupuestos Generales del Estado para el año 2021, ha reintroducido la figura de las agencias estatales en el marco de la regulación del sector público institucional estatal previsto en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que esta había suprimido al derogar la Ley 28/2006, de 18 de julio, de Agencias estatales para la mejora de los servicios públicos.

La nueva regulación en el capítulo III del título II de la Ley 40/2015, de 1 de octubre, configura las agencias estatales como entidades de Derecho público, dotadas de personalidad jurídica pública, patrimonio propio y autonomía en su gestión, facultadas para ejercer potestades administrativas, que son creadas por el Gobierno para el cumplimiento de los programas correspondientes a las políticas públicas que desarrolle la Administración General del Estado en el ámbito de sus competencias. Las agencias estatales están dotadas de los mecanismos de autonomía funcional, responsabilidad por la gestión y control de resultados establecidos en dicha ley.

Conforme a lo expresado en el preámbulo del Real Decreto-ley 36/2020, de 30 de diciembre, por el que se aprueban medidas urgentes para la modernización de la Administración Pública y para la ejecución del Plan de Recuperación, Transformación y Resiliencia la figura de la agencia estatal permite reintroducir «una fórmula organizativa dotada de un mayor nivel de autonomía y de flexibilidad en la gestión, que cuenta con mecanismos de control de eficacia, y que promueve una cultura de responsabilidad por resultados. Un modelo que cuenta con un enfoque organizativo y funcional y con una filosofía subyacente de gestión dirigida al cumplimiento de objetivos que previamente hayan sido fijados de forma concreta y evaluable».

En este contexto, la Ley 22/2021, de 28 de diciembre, de Presupuestos Generales del Estado para el año 2022, ha dispuesto la creación de la Agencia Estatal de Administración Digital (en adelante, la Agencia) por medio de su disposición adicional centésima décima séptima.

La creación de la Agencia ha obedecido a razones de interés cualitativo y de mejora en la prestación digital de los servicios públicos.

Por una parte, en la actualidad se avanza hacia escenarios que van a suponer un cambio sin precedentes de la cultura administrativa digital, lo que generará un proceso verdaderamente transformador de la relación de la ciudadanía y empresas con la Administración, desarrollando unos servicios públicos digitales más inclusivos, eficientes, personalizados, proactivos y de calidad, lo que requiere un conjunto elevado de proyectos estratégicos de ámbito tecnológico. La construcción de una administración basada en datos plenamente preparada para aprovechar todo el potencial de la inteligencia artificial, la utilización y reutilización eficiente de la información, la economía del dato y la forma de dar respuesta a los cambios acelerados que se están produciendo con la progresiva maduración de tecnologías disruptivas y su aplicación a la gestión de la información y la ejecución de políticas públicas, son grandes desafíos que, para ser afrontados con éxito y para que coadyuven a la transformación digital, exigen como uno de sus presupuestos básicos contar con un marco organizativo adecuado, en el que se incardina la nueva Agencia. Es necesario trabajar de forma coordinada y colaborativa para maximizar los resultados de su desempeño de cara a la ciudadanía, empresas y empleados públicos, mejorando la eficiencia y eficacia de las actuaciones en materia digital de las distintas Administraciones, agilizar la toma de decisiones, favorecer la generación de sinergias y la colaboración interadministrativa, y garantizar la sostenibilidad en el tiempo de las fuertes inversiones que se vienen realizando.

Con este propósito general, el marco jurídico de las agencias, recuperado en la Ley 40/2015, de 1 de octubre, ofrece, frente al aplicable a un órgano directivo ministerial como es la Secretaría General de Administración Digital, mecanismos de agilidad, flexibilidad y eficiencia en los procesos de gestión, imprescindibles para poder diseñar, ejecutar y evaluar con éxito las medidas para la transformación digital de la Administración y los mencionados proyectos estratégicos de ámbito tecnológico y, en especial, que se pueda gestionar y optimizar el extraordinario volumen de recursos procedentes del Plan de Recuperación, Transformación y Resiliencia en los ajustados plazos de ejecución delimitados por la Unión Europea, lo que justifica la necesidad de la configuración de este nuevo modelo jurídico-institucional.

Asimismo, el apartado 9.4 del Plan de Digitalización de las Administraciones Públicas 2021-2025, referido a Reforma Normativa para la transformación de la Secretaria General de Administración Digital, prevé que, con el objetivo de abordar con garantías la ejecución de las medidas y para afrontar adecuadamente el proceso de transformación digital que implica la implantación de este Plan se desarrollarán las reformas normativas y organizativas necesarias con el objetivo de dotar a la Secretaria General de Administración Digital de la capacidad y flexibilidad suficientes para garantizar la ejecución de los fondos recibidos.

La Agencia obedece al cumplimiento de un conjunto de fines para llevar a cabo la transformación digital de la Administración. Así, en primer lugar, la digitalización del sector público, mediante el ejercicio de las funciones de dirección, coordinación y ejecución del proceso de transformación digital e innovación de la Administración a través de las tecnologías de la información y de las comunicaciones. En segundo lugar, la prestación eficiente de los servicios públicos, a través de la adopción de soluciones digitales, en el marco de los Esquemas Nacionales de Seguridad e Interoperabilidad. En tercer lugar, la transformación digital de las administraciones públicas a través de la coordinación de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes, y de la cooperación con las administraciones públicas para la implantación de las estrategias nacionales e internacionales en materia de administración digital. Por último, la coordinación funcional de la actuación de las unidades de Tecnologías de la Información y Comunicaciones (en lo sucesivo, TIC) de la Administración del Estado y el apoyo informático a aquellos departamentos ministeriales que lo precisen.

Para asegurar un despliegue eficaz y eficiente de las políticas públicas, el conjunto de la organización administrativa debe estructurarse en funciones, procesos y tareas que ordenen los flujos de trabajo y los recursos humanos y tecnológicos disponibles, estructuren los datos necesarios para la adopción de decisiones y la automatización de tareas y cuente con mecanismos de respuesta en forma de estructuras operativas permanentes o temporales que permitan afrontar contingencias imprevistas.

De acuerdo con lo previsto en el artículo 108 ter de la Ley 40/2015, de 1 de octubre, las agencias estatales se rigen por dicha ley y, en su marco, por el Estatuto propio de cada una de ellas y el resto de las normas de derecho administrativo general y especial que le sea de aplicación. En su condición de organismo público estatal y de acuerdo con lo previsto en el artículo 93.2 de dicha ley, el Estatuto de esta Agencia se aprueba por real decreto del Consejo de Ministros a propuesta del Ministro para la Transformación Digital y de la Función Pública y de la Ministra de Hacienda.

Este real decreto consta de un solo artículo, que aprueba el Estatuto de la Agencia Estatal de Administración Digital, diecinueve disposiciones adicionales, seis disposiciones transitorias, una disposición derogatoria y seis disposiciones finales. Por su parte, el Estatuto de la Agencia, que aprueba el real decreto, consta de treinta y siete artículos.

En lo que concierne a las disposiciones de la parte final, el real decreto cuenta, en primer lugar, con diecinueve disposiciones adicionales. La primera difiere la constitución efectiva de la Agencia a la celebración de la sesión constitutiva de su Consejo Rector, que tendrá lugar en el plazo máximo de treinta días desde la entrada en vigor de este real decreto, momento en el que quedarán suprimidos la Secretaría General de Administración Digital, los órganos dependientes de la misma, la División de Planificación y Coordinación de Ciberseguridad y la División de Tecnologías de la Información y Comunicaciones del Ministerio para la Transformación Digital y de la Función Pública.

La disposición adicional segunda establece, en primer lugar que la Agencia coordinará funcionalmente las unidades TIC de las subsecretarías y otros centros directivos ministeriales previstas en el artículo 7 del Real Decreto 1125/2024, de 5 de noviembre, por el que se regulan la organización y los instrumentos operativos para la Administración Digital de la Administración del Estado, exceptuándose de dicha coordinación funcional las unidades TIC de la Presidencia del Gobierno, de los órganos del Ministerio de Hacienda, incluida la Intervención General de la Administración del Estado, del Ministerio del Interior en lo relativo a las Fuerzas y Cuerpos de Seguridad del Estado de acuerdo con lo previsto en la disposición adicional decimocuarta, del Ministerio de Defensa y del Ministerio de la Presidencia, Justicia y Relaciones con las Cortes, en lo relativo al ámbito de las aplicaciones de órganos colegiados del Gobierno y relaciones con las Cortes así como en lo relativo al ámbito sectorial de Justicia de acuerdo con lo previsto en la disposición adicional decimoquinta.

Asimismo, la Agencia coordinará funcionalmente las unidades TIC de los organismos y entidades de Derecho público vinculados o dependientes del sector público estatal previstas en el artículo 7 del Real Decreto 1125/2024, de 5 de noviembre, sin perjuicio de la independencia que se confiere a las Autoridades Administrativas Independientes en sus leyes de creación y sus Estatutos.

Se excluyen de la coordinación funcional a que se refiere el párrafo anterior las unidades TIC de los organismos y entidades de Derecho público vinculados o dependientes del Ministerio de Hacienda, incluida la Agencia Estatal de Administración Tributaria, del Ministerio de Defensa, incluido el Centro Nacional de Inteligencia y la Gerencia de Informática de la Seguridad Social.

Por su parte, la disposición adicional tercera regula la incorporación de personal de la Secretaría General de Administración Digital a la Agencia y su situación administrativa y la adicional cuarta establece que durante el primer año desde la constitución efectiva de la Agencia se determinarán los recursos humanos y presupuestarios que son necesarios para el aseguramiento de la prestación de los servicios comunes (incluidos los declarados transversales) cuya provisión corresponda a la Agencia, que pasarán a integrarse, en su caso, en la plantilla de esta y que serán provistos de acuerdo con lo contemplado en los artículos 26 y 33 de su Estatuto.

La disposición adicional quinta determina que en el plazo de dos años desde la constitución efectiva de la Agencia y tras la valoración de los puestos de trabajo, se asegurará la adecuación de los complementos retributivos de estos puestos al grado de responsabilidad asumido y al cumplimiento eficaz de los fines del organismo respecto de otros centros directivos similares dentro de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

La disposición adicional sexta aborda la contraprestación económica por las actividades de la Agencia y la definición del sistema común de imputación de costes TIC, que se revisará con la periodicidad que se establezca y teniendo en cuenta necesidades tanto organizativas como de evolución tecnológica. El sistema proporcionará la información de costes sobre la actividad de la Agencia que sea suficiente para una correcta y eficiente adopción de decisiones y para fijar los ingresos propios que perciba como contraprestación por las actividades y servicios que se determinen, incluidos los comunes y los declarados transversales, y que realice en virtud de contratos, convenios, acuerdos o disposiciones legales. Asimismo, la Agencia definirá los acuerdos de nivel de servicio para asegurar la calidad de la prestación de sus actividades y los mecanismos reactivos en caso de que, circunstancialmente, no se alcanzaran los niveles comprometidos, para lo cual se podrá contar con la Inspección de los Servicios del Ministerio para la Transformación Digital y de la Función Pública.

La disposición adicional séptima aborda la protección de datos personales, señalando que en el tratamiento de datos de carácter personal en las aplicaciones y servicios digitales diseñados, desarrollados o en mantenimiento por parte de la Agencia y que hayan sido creados o implantados en el ámbito de sus competencias y puestos a disposición de los órganos de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes así como de las demás administraciones públicas y sus organismos y entidades de Derecho público vinculados o dependientes, la Agencia tendrá la consideración de «Encargado del Tratamiento», correspondiendo a aquéllos la consideración de «Responsable del Tratamiento», en aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Asimismo, el precepto detalla determinadas obligaciones que corresponden a la Agencia en dicha condición de Encargado del Tratamiento.

La disposición adicional octava regula el régimen específico de la Presidencia del Gobierno y las disposiciones adicionales, novena, décima, undécima y duodécima prevén el régimen específico del Ministerio de Hacienda, de la Agencia Estatal de Administración Tributaria, de la Intervención General de la Administración del Estado, y las direcciones generales del Patrimonio del Estado y de Racionalización y Centralización de la Contratación en materia de contratación electrónica y de contratación centralizada, respectivamente.

A continuación, la disposición adicional decimotercera prevé el régimen específico de la Gerencia de Informática de la Seguridad Social.

Las disposiciones adicionales decimocuarta, decimoquinta, decimosexta y decimoséptima regulan un régimen específico para las Fuerzas y Cuerpos de Seguridad del Estado, para la Administración de Justicia, para el Ministerio de Defensa y Centro Nacional de Inteligencia y para el Sistema Nacional de Salud, respectivamente.

La disposición adicional decimoctava dispone la exclusión de la propuesta de declaración como transversales por parte del Consejo Rector los medios y servicios específicos que afecten al sistema tributario y aduanero, al sistema de Seguridad Social, a la defensa, procesos electorales y consultas populares, situaciones de crisis, seguridad pública y seguridad del Estado, a la tramitación de los asuntos en los órganos colegiados del Gobierno y sus órganos de apoyo, a los que manejen información clasificada, de acuerdo con lo dispuesto en la legislación aplicable a cada uno de dichos ámbitos y en los Acuerdos internacionales y a los sistemas de información del Sistema Nacional de Salud. Por último, la disposición adicional decimonovena recoge el régimen jurídico de los órganos colegiados.

Con relación a las seis disposiciones transitorias, la primera regula el régimen transitorio de la Dirección de la Agencia y la segunda el de los órganos y de las unidades y puestos de trabajo con nivel orgánico inferior al de subdirección general encuadrados en los órganos suprimidos. Por su parte, la transitoria tercera, relativa al Plan de Transición, establece que, sin perjuicio de la constitución efectiva de la Agencia, el Ministerio para la Transformación Digital y de la Función Pública continuará prestando a la Agencia los servicios comunes necesarios distintos de los TIC hasta que ésta disponga de los servicios propios para alcanzar su autonomía y que se establecerá un Plan de Transición para la organización, gestión y prestación de los servicios comunes del departamento, así como su duración, por resolución de la Subsecretaría para la Transformación Digital y de la Función Pública.

La disposición transitoria cuarta regula el régimen presupuestario y de rendición de cuentas transitorio en tanto en cuanto la Agencia no disponga de presupuesto propio aprobado mediante norma con rango de ley. La transitoria quinta regula el régimen de los expedientes, obligaciones, contratos y gastos iniciados por la Secretaría General de Administración Digital con anterioridad a la constitución efectiva de la Agencia y no resueltos en dicha fecha, excepto los tramitados en el marco del sistema estatal de contratación centralizada, así como el régimen transitorio de actuación de la Junta de Contratación del Ministerio para la Transformación Digital y de la Función Pública (y de la Junta del antiguo Ministerio de Asuntos Económicos y Transformación Digital hasta que esta se cree) en tanto que la Agencia no cuente con su propia Junta de Contratación. Por último, la disposición transitoria sexta establece el régimen de funcionamiento aplicable en la Agencia por medio del Plan Inicial de Actuación previsto en el artículo 92 de la Ley 40/2015, de 1 de octubre, en tanto no se apruebe el contrato de gestión.

Tras la disposición derogatoria única, la final primera regula la subrogación de la Agencia desde el momento de su constitución efectiva en la totalidad de los derechos y obligaciones de la Secretaría General de Administración Digital y la garantía del mantenimiento y la conclusión de los contratos, convenios, encomiendas y relaciones jurídicas de toda índole de los que esta fuera parte.

Por su parte, la disposición final segunda contiene la modificación del artículo 21 del Real Decreto 1009/2023, de 5 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales y la tercera la modificación del Real Decreto 210/2024, de 27 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio para la Transformación Digital y de la Función Pública. Ambas modificaciones son necesarias para reflejar la desaparición de la Secretaría General de Administración Digital como órgano administrativo jerárquicamente dependiente de la Secretaría de Estado de Función Pública y su sustitución por la Agencia Estatal de Administración Digital como organismo público que se adscribe a dicha Secretaría de Estado, así como para sustituir las referencias a la Secretaría General de Administración Digital por la Agencia en otros preceptos del Real Decreto 210/2024, de 27 de febrero.

La disposición final cuarta modifica el Real Decreto 206/2024, de 27 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Hacienda. En concreto se modifica el apartado 3 de la disposición adicional séptima para desconcentrar en la Secretaría de Estado de Función Pública las competencias de la Junta de Contratación Centralizada en materia de servicios de telecomunicaciones que actualmente están desconcentradas en la Secretaría General de Administración Digital y la disposición transitoria séptima, que regula el régimen transitorio de la contratación en materia de servicios de telecomunicaciones tras la nueva desconcentración.

La disposición final quinta contiene la habilitación normativa a la persona titular del Ministerio para la Transformación Digital y de la Función Pública para que dicte cuantas disposiciones sean necesarias para el desarrollo y ejecución de lo previsto en este real decreto y, por último, la final sexta determina la entrada en vigor del real decreto el día siguiente al de su publicación en el «Boletín Oficial del Estado», excepto las disposiciones finales segunda y tercera, que lo harán cuando se produzca la constitución efectiva de la Agencia y la consiguiente supresión de la Secretaría General de Administración Digital, de acuerdo con lo previsto en la disposición adicional primera.

En cuanto al Estatuto que aprueba el real decreto, consta de treinta y siete artículos distribuidos a lo largo de ocho capítulos. El capítulo primero incluye las disposiciones generales, comprendiendo la naturaleza, adscripción, sede y fines de la Agencia, régimen jurídico, principios de actuación, potestades administrativas que puede ejercer, fórmulas de articulación del principio de colaboración administrativa en los ámbitos nacional e internacional, régimen de las disposiciones y actos administrativos que pueden dictar determinados órganos.

El capítulo segundo regula las funciones de la Agencia en los ámbitos principales antes descritos.

Por su parte, el capítulo tercero, dividido en cuatro secciones, detalla la estructura orgánica de la misma. Así, la sección primera regula los órganos de gobierno, que incluyen la Presidencia, que ostenta la persona titular de la Secretaría de Estado de Función Pública y el Consejo Rector, regulándose su composición, funciones y régimen de actuación. La sección segunda regula el órgano ejecutivo de la Agencia, que ostenta la persona titular de la Dirección, con rango de Subsecretario, su forma de nombramiento, mandato y funciones. La sección tercera regula la Comisión de control, constituida por cuatro miembros del Consejo Rector designados por éste, a la que corresponde informar al Consejo sobre la ejecución del contrato de gestión y en materia económico-financiera, presupuestaria o contable.

Por último, la sección cuarta detalla la estructura básica bajo la dependencia jerárquica de la Dirección de la Agencia, que consta de tres Direcciones (de Administración Digital, de Prestación de Infraestructuras y Operaciones y de Ciberseguridad, Tecnologías Disruptivas e Integridad de los Datos), la Secretaría General y, dependiendo directamente de la persona titular de la Dirección, el Gabinete y el Departamento de Calidad y Gestión de la Demanda.

Con relación a las tres Direcciones, la de Administración Digital cuenta con tres Departamentos (Servicios Digitales orientados a la ciudadanía; Nuevos Servicios Innovadores; Servicios Digitales para la gestión); en segundo lugar, la de Infraestructuras y Operaciones también cuenta con tres Departamentos (Infraestructuras y Cloud; Puesto de Trabajo y Comunicaciones) y, por último, la de Ciberseguridad, Tecnologías Disruptivas e Integridad de los Datos cuenta con otros tres (de Planificación de la Ciberseguridad; Operación de la Ciberseguridad y Tecnologías Disruptivas e Integridad de la Información). Por su parte, la Secretaría General cuenta con tres Departamentos (Recursos Humanos; Gestión Económica y Presupuestaria y Asuntos Generales y Relaciones Institucionales y de Fondos Comunitarios).

Por último, dependen orgánica y funcionalmente de la persona titular de la Dirección de la Agencia las Divisiones de coordinación de los servicios TIC comunes y transversales a que se refiere el artículo 4.4 del Real Decreto 1125/2024, de 5 de noviembre, y la División de Tecnologías de la Información y Comunicaciones del Ministerio para la Transformación Digital y de la Función Pública.

Asimismo, la Agencia cuenta con la Intervención Delegada de la Intervención General de la Administración del Estado y la asistencia jurídica de la Abogacía General del Estado.

El capítulo cuarto del Estatuto regula el contrato de gestión de la Agencia, de acuerdo con las previsiones del artículo 108 ter de la Ley 40/2015, de 1 de octubre, incluyendo su naturaleza y finalidad, contenido y las modificaciones y adaptaciones anuales y el capítulo quinto regula la contratación y régimen patrimonial y su normativa aplicable y el inventario de bienes y derechos, tanto propios como adscritos.

Por su parte, el capítulo sexto regula el régimen presupuestario, económico-financiero, contable y de control de la Agencia. Así, se detallan las fuentes de financiación, de naturaleza pública o privada, el procedimiento de elaboración del presupuesto de la Agencia, el carácter del presupuesto de gastos, la competencia para autorizar las variaciones y modificaciones presupuestarias y los límites para la adquisición de compromisos de gasto que hayan de extenderse a ejercicios posteriores a aquel en que se autoricen. Asimismo, se regulan la contabilidad y la formulación, aprobación y fiscalización de las cuentas anuales. Este capítulo se cierra con la regulación del control de la gestión económico-financiera de la Agencia (tanto externo a través del Tribunal de Cuentas como interno a través de la Intervención General de la Administración del Estado) y del control de eficacia (a través de la Inspección de los Servicios del Ministerio para la Transformación Digital y de la Función Pública) y de supervisión continua (a través de la Intervención General de la Administración del Estado).

El capítulo séptimo regula el personal de la Agencia, incluyendo su clasificación y régimen aplicable sobre provisión y movilidad, la ordenación de los puestos de trabajo; el régimen retributivo del personal funcionario y laboral y el sistema de evaluación del desempeño. Este capítulo, por último, regula de forma específica la figura del personal directivo, incluyendo su forma de selección y nombramiento y las retribuciones ligadas a la evaluación de su desempeño.

El Estatuto finaliza con el capítulo octavo, que regula la asistencia jurídica de la Agencia, consistente en el asesoramiento y la representación y defensa en juicio de la misma, que corresponde a la Abogacía General de Estado de acuerdo con lo previsto en el primer inciso del artículo 94.2 del Reglamento de la Abogacía General del Estado, aprobado por medio del Real Decreto 1057/2024, de 15 de octubre, en cumplimiento del apartado cinco de la disposición adicional centésima décima séptima de la Ley 22/2021, de 28 de diciembre.

III

El real decreto y el Estatuto que aprueba se ajustan a los principios de buena regulación contenidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia).

Así, respecto de la adecuación del real decreto a los principios de necesidad, eficacia y proporcionalidad, debe señalarse que se adecúa a un objetivo de interés general, como es el de dotar a la Administración General del Estado, a través de la aprobación del Estatuto de la Agencia y de su constitución efectiva, de una fórmula organizativa que para afrontar con éxito el reto de la Transformación Digital de las Administraciones Públicas goza de un mayor nivel de autonomía y de flexibilidad en la gestión, que cuenta con mecanismos de control de eficacia y que promueve una cultura de responsabilidad por resultados.

Por otra parte, es oportuno destacar que conforme al criterio del Consejo de Estado, este real decreto se aprueba de forma simultánea al real decreto por el que se regulan la organización y los instrumentos operativos para la administración digital de la Administración del Estado, de la que la Agencia es parte esencial, y que deroga el Real Decreto 806/2014, de 19 de septiembre, sobre organización e instrumentos operativos de las tecnologías de la información y las comunicaciones en la Administración General del Estado y sus Organismos Públicos.

Continuando con los principios de buena regulación, el principio de eficiencia también se cumple con este real decreto, por cuanto, como se ha señalado, la Agencia implica un enfoque organizativo y funcional y una filosofía subyacente de gestión dirigida al cumplimiento de objetivos que previamente hayan sido fijados de forma concreta y evaluable, ordenados tanto a la transformación digital de la administración como a la definición de los medios y servicios comunes digitales, incluidos los declarados transversales y, en su caso, la provisión, explotación y gestión de los medios y servicios anteriores en condiciones de mayor calidad, accesibilidad, interoperabilidad, seguridad y eficiencia. Por otra parte, la constitución de la Agencia no supone la imposición de cargas administrativas a los ciudadanos y empresas.

Asimismo, la norma se ajusta al principio de seguridad jurídica pues, de acuerdo con la doctrina del Consejo de Estado, es el instrumento jurídico a través del cual se da cumplimiento a lo previsto en los artículos 91.1 y 93.3 de la Ley 40/2015, de 1 de octubre, según los cuales «la creación de los organismos públicos se efectuará por ley» (entre ellos las agencias estatales) y «los Estatutos deberán ser aprobados y publicados con carácter previo a la entrada en funcionamiento efectivo del organismo público», distinguiendo así entre la creación del organismo público por ley (en este caso la disposición adicional centésima décima séptima de la Ley 22/2021, de 28 de diciembre, de Presupuestos Generales del Estado para el año 2022) y su constitución efectiva previa aprobación de su Estatuto. Por otra parte, es coherente con el resto del ordenamiento jurídico nacional y el Derecho de la Unión Europea, estableciéndose un marco normativo estable, integrado y claro.

Con relación al principio de transparencia, si bien de acuerdo con lo previsto en los artículos 26.2 y 26.6 de la Ley 50/1997, de 27 de noviembre, del Gobierno, en la elaboración de este real decreto no proceden ni el trámite de audiencia previa ni el de audiencia e información pública por tratarse de una norma organizativa, los objetivos a cuyo cumplimiento se dirige la Agencia están claramente definidos en la norma y la documentación preceptiva que la compaña. Asimismo, en otra vertiente del principio de transparencia, la aprobación de la norma también supone una mejora este, por cuanto el modelo de Agencia cuenta con mecanismos de control de eficacia y promueve una cultura de responsabilidad por resultados.

El proyecto ha sido informado por la Agencia Española de Protección de Datos y la Abogacía General del Estado.

En su virtud, a propuesta del Ministro para la Transformación Digital y de la Función Pública y de la Ministra de Hacienda, de acuerdo con el Consejo de Estado, y previa deliberación del Consejo de Ministros en su reunión del día 5 de noviembre de 2024,

DISPONGO:

Artículo único. Aprobación del Estatuto de la Agencia Estatal de Administración Digital.

Este real decreto tiene por objeto la aprobación del Estatuto de la Agencia Estatal de Administración Digital, en adelante la Agencia, cuyo texto se inserta a continuación, creada en virtud de lo previsto en la disposición adicional centésima décima séptima de la Ley 22/2021, de 28 de diciembre, de Presupuestos Generales del Estado para el año 2022.

Disposición adicional primera. Constitución efectiva de la Agencia Estatal de Administración Digital y supresión de la Secretaría General de Administración Digital.

1. La constitución efectiva de la Agencia se producirá con la celebración de la sesión constitutiva de su Consejo Rector, que tendrá lugar en el plazo máximo de treinta días desde la entrada en vigor de este real decreto.

2. A la fecha de constitución efectiva de la Agencia quedarán suprimidos la Secretaría General de Administración Digital, los órganos con rango de Subdirección General dependientes de la misma, la División de Planificación y Coordinación de Ciberseguridad y la División de Tecnologías de la Información y Comunicaciones del Ministerio para la Transformación Digital y de la Función Pública.

3. La Agencia realizará el primer inventario de los bienes que se le adscriban y de los que, en su caso, haya adquirido para el inicio de su actividad en el plazo máximo de seis meses desde su constitución efectiva.

Disposición adicional segunda. Coordinación funcional de las unidades de Tecnologías de la Información y Comunicaciones (TIC).

1. De acuerdo con lo previsto en la disposición adicional centésima décima séptima de la Ley 22/2021, de 28 de diciembre, de Presupuestos Generales del Estado para el año 2022, la Agencia coordinará funcionalmente las unidades de Tecnologías de la Información y Comunicaciones (TIC) de las subsecretarías y otros centros directivos ministeriales previstas en el artículo 7 del Real Decreto 1125/2024, de 5 de noviembre, por el que se regulan la organización y los instrumentos operativos para la Administración Digital de la Administración del Estado.

Se exceptúan de dicha coordinación funcional las unidades TIC de la Presidencia del Gobierno, de los órganos del Ministerio de Hacienda, incluida la Intervención General de la Administración del Estado, del Ministerio del Interior en lo relativo a las Fuerzas y Cuerpos de Seguridad del Estado de acuerdo con lo previsto en la disposición adicional decimocuarta, del Ministerio de Defensa y del Ministerio de la Presidencia, Justicia y Relaciones con las Cortes, en lo relativo al ámbito de las aplicaciones de órganos colegiados del Gobierno y relaciones con las Cortes así como en lo relativo al ámbito sectorial de Justicia de acuerdo con lo previsto en la disposición adicional decimoquinta.

2. Asimismo, la Agencia coordinará funcionalmente las unidades TIC de los organismos y entidades de Derecho público vinculados o dependientes del sector público estatal previstas en el artículo 7 del Real Decreto 1125/2024, de 5 de noviembre, sin perjuicio de la independencia que se confiere a las Autoridades Administrativas Independientes en sus leyes de creación y sus Estatutos.

Se excluyen de la coordinación funcional a que se refiere el párrafo anterior las unidades TIC de los organismos y entidades de Derecho público vinculados o dependientes del Ministerio de Hacienda, incluida la Agencia Estatal de Administración Tributaria, del Ministerio de Defensa, incluido el Centro Nacional de Inteligencia, y la Gerencia de Informática de la Seguridad Social.

Disposición adicional tercera. Incorporación de personal de la Secretaría General de Administración Digital.

1. Mediante una resolución de la Subsecretaría para la Transformación Digital y de la Función Pública el personal al servicio de la Secretaría General de Administración Digital se incorporará en la Agencia en el momento de su constitución.

2. El personal funcionario de carrera de la Secretaría General de Administración Digital que pase a prestar servicio en la Agencia permanecerá en la situación de servicio activo en su Cuerpo o Escala, conservará la antigüedad, grado y retribuciones que tuviera consolidados y con los mismos derechos y obligaciones que tuviera en el momento de la incorporación. Asimismo, queda incorporado a la Agencia el personal funcionario interino que viniese prestando servicios en la Secretaría General de Administración Digital, en tanto se mantenga la causa que dio origen a su nombramiento.

3. La Agencia se subrogará en los contratos de trabajo concertados con el personal de la Secretaría General de Administración Digital sujeto a derecho laboral, que pasará a integrarse en la plantilla de aquella en los mismos grupos, categorías y áreas de trabajo a que estuvieran adscritos, con los mismos derechos y obligaciones que tuvieran en el momento de la incorporación.

Disposición adicional cuarta. Determinación de recursos humanos y presupuestarios de las unidades TIC necesarios para la prestación de los servicios comunes y transversales que sean competencia de la Agencia.

Durante el primer año desde la constitución efectiva de la Agencia se determinarán los recursos humanos y presupuestarios que son necesarios para el aseguramiento de la prestación de los servicios comunes (incluidos los declarados transversales) cuya provisión corresponda a la Agencia, que pasarán a integrarse, en su caso, en la plantilla de esta y que serán provistos de acuerdo con lo contemplado en los artículos 26 y 33 de su Estatuto.

Disposición adicional quinta. Valoración de puestos.

En el plazo de dos años desde la constitución efectiva de la Agencia y tras la valoración de los puestos de trabajo, se asegurará la adecuación de los complementos retributivos de estos puestos al grado de responsabilidad asumido y al cumplimiento eficaz de los fines del organismo respecto de otros centros directivos similares dentro de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

Disposición adicional sexta. Contraprestación por las actividades de la Agencia.

1. Durante el primer año de funcionamiento efectivo de la Agencia el Consejo Rector aprobará el sistema común de imputación de costes TIC a que se refiere el artículo 19.2.b).9.º del Estatuto para el mantenimiento del catálogo de servicios ofrecidos, sus variantes y costes asociados a que se refiere el artículo 15.6.3.º

Este sistema se revisará con la periodicidad que se establezca y teniendo en cuenta necesidades tanto organizativas como de evolución tecnológica.

El sistema proporcionará la información de costes sobre la actividad de la Agencia que sea suficiente para una correcta y eficiente adopción de decisiones de acuerdo con lo previsto en el artículo 29 del Estatuto y para fijar los ingresos propios que perciba la Agencia como contraprestación por las actividades y servicios que se determinen, incluidos los comunes y transversales, y que realice en virtud de contratos, convenios, acuerdos o disposiciones legales en aplicación de lo previsto en el artículo 26.1.b), entre ellas, las relativas al proceso de transformación digital y, en especial, las actuaciones financiadas con cargo al Plan de Recuperación Transformación y Resiliencia, incluyendo la automatización de procesos, datalakes, o centros de proceso de datos, entre otras.

2. La contraprestación económica determinada de acuerdo con lo previsto en apartado anterior podrá exigirse una vez pasado un año desde la aprobación del sistema común de imputación por el Consejo Rector.

3. Sin perjuicio de lo previsto en los apartados anteriores, la Agencia percibirá desde su constitución efectiva la contraprestación por determinados servicios que la Secretaría General de Administración Digital haya estado percibiendo hasta dicho momento. La cuantía de esta contraprestación se podrá actualizar de acuerdo con lo previsto en el apartado 1 para ser aplicada, en su caso, de acuerdo con lo previsto en el apartado 2.

4. La Agencia definirá los acuerdos de nivel de servicio para asegurar la calidad de la prestación de sus actividades y los mecanismos reactivos en caso de que, circunstancialmente, no se alcanzaran los niveles comprometidos, para lo cual se podrá contar con la Inspección de los Servicios del Ministerio para la Transformación Digital y de la Función Pública.

Disposición adicional séptima. Protección de datos personales.

1. Los tratamientos de datos de carácter personal de las personas físicas se realizarán con estricta sujeción a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

2. En el tratamiento de datos de carácter personal en las aplicaciones y servicios digitales diseñados, desarrollados o en mantenimiento por parte de la Agencia y que hayan sido creados o implantados en el ámbito de sus competencias y puestos a disposición de los órganos de la Administración General del Estado y de las demás administraciones públicas, así como de los organismos y entidades de Derecho público vinculados o dependientes de las mismas, la Agencia tendrá la consideración de «Encargado del Tratamiento», correspondiendo a aquéllos la consideración de «Responsable del Tratamiento», en aplicación del Reglamento general de protección de datos.

3. En su condición de encargado del tratamiento y conforme dispone el artículo 28.3 del Reglamento general de protección de datos, la Agencia:

a) Tratará los datos personales según las instrucciones de los órganos y organismos a cuya disposición se pusieran las aplicaciones y servicios digitales.

b) Garantizará que las personas autorizadas a tratar los datos personales tienen contraído compromiso de confidencialidad, guarden secreto profesional sobre los mismos y no los comuniquen a terceros, salvo en aquellos casos en que deba hacerse en estricto cumplimiento de la ley.

c) Asistirá al órgano, organismo o entidad, a través de medidas técnicas y organizativas apropiadas y siempre que sea posible, para que pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III del Reglamento general de protección de datos.

d) A la finalización de la puesta a disposición de las aplicaciones y servicios digitales, facilitará la devolución de los datos al órgano u organismo.

e) Pondrá a disposición del órgano u organismo beneficiario toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Reglamento general de protección de datos, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del órgano u organismo o de otro auditor autorizado por aquél.

Disposición adicional octava. Presidencia del Gobierno.

Las funciones y competencias que se atribuyen a la Agencia en el Estatuto que se aprueba por este real decreto se entenderán sin perjuicio de las que reconocen reglamentariamente a la Presidencia del Gobierno. En el ámbito de esta, la provisión de los servicios e infraestructuras TIC diferentes de los comunes o transversales competencia de la Agencia será realizada por la Secretaría General de la Presidencia del Gobierno.

Disposición adicional novena. Ministerio de Hacienda.

En el ámbito del Ministerio de Hacienda y sus organismos y entidades de Derecho público vinculados o dependientes, la provisión de los servicios e infraestructuras TIC será realizada por Departamentos especializados de los distintos centros directivos, sin perjuicio de lo dispuesto en las disposiciones adicionales décima, undécima y duodécima.

Disposición adicional décima. Agencia Estatal de Administración Tributaria.

1. Las funciones y competencias que se atribuyen a la Agencia en el Estatuto que se aprueba por este real decreto se entenderán sin perjuicio de las que reconocen a la Agencia Estatal de Administración Tributaria su normativa específica y las demás disposiciones que le son de aplicación, incluyendo la provisión de los servicios e infraestructuras TIC diferentes de los comunes o transversales competencia de la Agencia Estatal de Administración Digital.

2. Lo establecido en el artículo 11.n) del Estatuto de la Agencia y el artículo 9 del Real Decreto 1125/2024, de 5 de noviembre, respecto de la propuesta de declaración como transversales de determinados medios y servicios comunes digitales, cuando pueda afectar a los sistemas de funcionalidad específica de la Agencia Estatal de Administración Tributaria, requerirá la previa aprobación de esta. Asimismo, en este caso, la provisión, explotación y gestión de los medios y servicios transversales será realizada por la propia Agencia Estatal de Administración Tributaria.

Disposición adicional undécima. Intervención General de la Administración del Estado.

1. Dada la naturaleza funcional específica y régimen competencial singular de los servicios de informática relativos a la presupuestación, contabilidad, control y gestión económico- presupuestaria de la Intervención General de la Administración del Estado, las funciones y competencias que se atribuyen a la Agencia en el Estatuto que se aprueba por este real decreto se entenderán sin perjuicio de las que, en cuanto a los sistemas de funcionalidad específica de informática en materia de presupuestación, contabilidad, control y gestión económico-presupuestaria, se reconocen a la Intervención General de la Administración del Estado en su normativa específica y en las demás disposiciones que le son de aplicación.

2. Lo establecido en el artículo 11.n) del Estatuto de la Agencia y el artículo 9 del Real Decreto 1125/2024, de 5 de noviembre, respecto de la propuesta de declaración como transversales de determinados medios y servicios comunes digitales, cuando pueda afectar a los sistemas a que se refiere el apartado anterior requerirá la previa aprobación de la Intervención General de la Administración del Estado. Asimismo, en este caso, la provisión, explotación y gestión de los medios y servicios transversales será realizada por la propia Intervención General de la Administración del Estado.

Disposición adicional duodécima. Régimen en materia de contratación electrónica y de contratación centralizada.

1. Dada la especialidad y singularidad de las competencias que el Ministerio de Hacienda tiene atribuidas, relativas a la contratación electrónica y al sistema estatal de contratación centralizada, entre ellas las referidas a la Plataforma de Contratación del Sector Público, el Registro Oficial de Licitadores y Empresas Clasificadas del Sector Público y el Registro de Contratos del Sector Público, las funciones y competencias que se atribuyen a la Agencia en el Estatuto que se aprueba por este real decreto se entenderán sin perjuicio de las que la normativa vigente reconoce en estas materias al Ministerio de Hacienda, a través de la Dirección General del Patrimonio del Estado y de la Dirección General de Racionalización y Centralización de la Contratación.

2. Lo establecido en el artículo 11.n) del Estatuto de la Agencia y el artículo 9 del Real Decreto 1125/2024, de 5 de noviembre, respecto de la propuesta de declaración como transversales de determinados medios y servicios comunes digitales, cuando pueda afectar a las materias a las que se refiere el apartado anterior, requerirá la previa aprobación de la Dirección General del Patrimonio del Estado o de la Dirección General de Racionalización y Centralización de la Contratación, atendiendo a sus respectivas competencias. En cualquier caso, la provisión, explotación y gestión de dichos medios y servicios será realizada por los Centros Directivos del Ministerio de Hacienda competentes en la materia.

Disposición adicional decimotercera. Gerencia de Informática de la Seguridad Social.

1. Las funciones y competencias que se atribuyen a la Agencia en el Estatuto que se aprueba por este real decreto se entenderán sin perjuicio de las que reconocen a la Gerencia de Informática de la Seguridad Social su normativa específica y las demás disposiciones que le son de aplicación, incluyendo la provisión de los servicios e infraestructuras TIC diferentes de los comunes o transversales competencia de la Agencia.

2. En el ámbito del Ministerio de Inclusión, Seguridad Social y Migraciones y sus organismos y entidades de Derecho público vinculados o dependientes, la provisión de los servicios e infraestructuras TIC diferentes de los comunes y transversales competencia de la Agencia podrá ser realizada por la Gerencia de Informática de la Seguridad Social.

3. Lo establecido en el artículo 11.n) del Estatuto de la Agencia y el artículo 9 del Real Decreto 1125/2024, de 5 de noviembre, respecto de la propuesta de declaración como transversales de determinados medios y servicios comunes digitales, cuando pueda afectar a los medios y servicios que sean titularidad de la Seguridad Social requerirá la previa aprobación de la Secretaría de Estado de la Seguridad Social y Pensiones. En este caso, la provisión, explotación y gestión de los medios y servicios transversales será realizada por la propia Seguridad Social.

Disposición adicional decimocuarta. Fuerzas y Cuerpos de Seguridad del Estado.

1. Las funciones y competencias que se atribuyen a la Agencia en el Estatuto que se aprueba por este real decreto, incluyendo la provisión de los servicios e infraestructuras TIC diferentes de los comunes y transversales competencia de la Agencia, se entenderán sin perjuicio de las que reconocen a la Policía Nacional y la Guardia Civil su normativa específica y las demás disposiciones que le son de aplicación.

2. Lo establecido en el artículo 11.n) del Estatuto de la Agencia y el artículo 9 del Real Decreto 1125/2024, de 5 de noviembre, respecto de la propuesta de declaración como transversales de determinados medios y servicios comunes digitales, cuando pueda afectar a los sistemas de funcionalidad específica de las Fuerzas y Cuerpos de Seguridad del Estado requerirá la previa aprobación de la persona titular de la Secretaría de Estado de Seguridad del Ministerio del Interior. Asimismo, en este caso la provisión, explotación y gestión de los medios y servicios transversales será realizada por la propia Secretaría de Estado de Seguridad.

Disposición adicional decimoquinta. Administración de Justicia.

El ejercicio de las funciones de implementación y desarrollo de la política en materia de tecnologías de la información y de las comunicaciones en el ámbito sectorial de Justicia del Ministerio de la Presidencia, Justicia y Relaciones con las Cortes, se continuará prestando en la forma prevista en el Real Decreto 204/2024, de 27 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de la Presidencia, Justicia y Relaciones con las Cortes, y se modifica el Real Decreto 1012/2022, de 5 de diciembre, por el que se establece la estructura orgánica de la Abogacía General del Estado, se regula la inspección de los servicios en su ámbito y se dictan normas sobre su personal, sin perjuicio de las competencias de la Agencia en cuanto a la provisión de sus servicios e infraestructuras TIC comunes y transversales.

Disposición adicional decimosexta. Ministerio de Defensa y Centro Nacional de Inteligencia.

1. En el ámbito del Ministerio de Defensa y sus organismos autónomos adscritos, la provisión de los servicios e infraestructuras TIC diferentes de los comunes y transversales competencia de la Agencia será realizada por la Dirección General Centro de Sistemas y Tecnologías de la Información y de las Comunicaciones (CESTIC), dependiente de la Secretaría de Estado de Defensa, por las unidades, centros y organismos especializados de las Fuerzas Armadas y del Centro Nacional de Inteligencia.

2. Las funciones y competencias que se atribuyen a la Agencia en el Estatuto que se aprueba por este real decreto, se entenderán sin perjuicio de las que reconocen al Ministerio de Defensa la Ley Orgánica 5/2005, de 17 de noviembre, de la Defensa Nacional y al Centro Nacional de Inteligencia, tanto en su normativa específica, como en las demás disposiciones que les son de aplicación.

3. Lo establecido en el artículo 11.n) del Estatuto de la Agencia y el artículo 9 del Real Decreto 1125/2024, de 5 de noviembre, respecto de la propuesta de declaración como transversales de determinados medios y servicios comunes digitales, cuando pueda afectar a los sistemas de funcionalidad específica de las Fuerzas Armadas o del Centro Nacional de Inteligencia, requerirá la previa aprobación del Jefe de Estado Mayor de la Defensa, o de la persona titular de la Secretaría de Estado del Centro Nacional de Inteligencia, respectivamente.

En el supuesto contemplado en el párrafo anterior, cuando se produzca afectación a los sistemas de funcionalidad específica del Centro Nacional de Inteligencia, la provisión, explotación y gestión de los medios y servicios transversales será realizada por el propio Centro Nacional de Inteligencia, preservando, en su caso, la protección legal de su organización y estructura interna, medios y procedimientos, personal, instalaciones, bases y centros de datos, fuentes de información y las informaciones o datos que puedan conducir al conocimiento de las anteriores materias.

Disposición adicional decimoséptima. Sistema Nacional de Salud.

1. Las funciones y competencias que se atribuyen a la Agencia en el Estatuto que se aprueba por este real decreto se entenderán sin perjuicio de las que reconocen al Ministerio de Sanidad la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud, y el Real Decreto 718/2024, de 23 de julio, por el que se desarrolla la estructura orgánica básica del Ministerio de Sanidad, en cuanto a la implementación y desarrollo de la política en materia TIC dentro del Sistema Nacional de Salud en el ámbito de las competencias del Departamento, incluyendo la provisión de los servicios e infraestructuras TIC diferentes de los comunes o transversales competencia de la Agencia.

2. Lo establecido en el artículo 11.n) del Estatuto de la Agencia y el artículo 9 del Real Decreto 1125/2024, de 5 de noviembre, respecto de la propuesta de declaración como transversales de determinados medios y servicios comunes digitales, cuando pueda afectar a los medios y servicios que sean titularidad de las autoridades sanitarias y del Sistema Nacional de Salud, requerirá la previa aprobación de la Secretaría de Estado de Sanidad y del Consejo Interterritorial del Sistema Nacional de Salud. Asimismo, en este caso, la provisión, explotación y gestión de los medios y servicios transversales será realizada por la Secretaría General de Salud Digital, Información e Innovación del SNS o la unidad que ostente las competencias sobre ellos.

Disposición adicional decimoctava. Exclusión de propuesta de declaración como transversales de determinados medios y servicios.

Quedarán excluidos de la propuesta de declaración como transversales a que se refieren el artículo 11.n) del Estatuto de la Agencia y el artículo 9 del Real Decreto 1125/2024, de 5 de noviembre, los medios y servicios específicos que afecten al sistema tributario y aduanero, al sistema de Seguridad Social, a la Defensa, procesos electorales y consultas populares, situaciones de crisis, seguridad pública y seguridad del Estado, a la tramitación de los asuntos en los órganos colegiados del Gobierno y sus órganos de apoyo, a los que manejen información clasificada, de acuerdo con lo dispuesto en la legislación aplicable a cada uno de dichos ámbitos y en los Acuerdos internacionales y a los sistemas de información del Sistema Nacional de Salud.

Disposición adicional decimonovena. Régimen jurídico de los órganos colegiados.

Los órganos colegiados que se regulan en este real decreto se regirán por lo establecido en materia de órganos colegiados en la sección tercera del capítulo II del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Disposición transitoria primera. Régimen transitorio de la Dirección de la Agencia.

Hasta tanto se proceda al nombramiento de la persona titular de la Dirección de la Agencia conforme a las previsiones del artículo 13 del Estatuto, la persona titular de la Secretaría General de Administración Digital, que se suprime con la constitución efectiva de la Agencia, asumirá transitoriamente las funciones que el Estatuto encomienda al órgano ejecutivo de la misma.

Disposición transitoria segunda. Régimen transitorio de los órganos y de las unidades y puestos de trabajo con nivel orgánico inferior al de subdirección general encuadrados en los órganos suprimidos.

1. Los órganos de la Secretaría General de Administración Digital, la División de Planificación y Coordinación de Ciberseguridad y la División de Tecnologías de la Información y Comunicaciones del Ministerio para la Transformación Digital y de la Función Pública, continuarán transitoriamente en el ejercicio de sus funciones hasta la fecha de nombramiento de las personas titulares de las Direcciones, de la Secretaría General de la Agencia y de los Departamentos. Igualmente, los órganos de la Agencia ejercerán las funciones atribuidas por el Estatuto que se aprueba mediante este real decreto a partir del día de la constitución efectiva de ésta.

2. Hasta la aprobación de la relación de puestos de trabajo de la Agencia, las unidades y puestos de trabajo con nivel orgánico inferior al de subdirección general encuadrados en los órganos suprimidos por este real decreto y que se incorporen a la Agencia subsistirán transitoriamente y serán retribuidos con cargo a los mismos créditos presupuestarios.

Disposición transitoria tercera. Plan de Transición.

Sin perjuicio de la constitución efectiva de la Agencia, el Ministerio para la Transformación Digital y de la Función Pública continuará prestando a la Agencia los servicios comunes necesarios distintos de los TIC hasta que ésta disponga de los servicios propios para alcanzar su autonomía. Por resolución de la Subsecretaría para la Transformación Digital y de la Función Pública, en el plazo de tres meses desde la constitución efectiva de la Agencia se establecerá un Plan de Transición para la organización, gestión y prestación de los servicios comunes distintos de los TIC del departamento, así como su duración, y se llevará a cabo, dentro de sus disponibilidades presupuestarias, sin detrimento de los servicios que, en cumplimiento de sus funciones, dicha Subsecretaría debe prestar a sus órganos o entidades dependientes.

Disposición transitoria cuarta. Régimen presupuestario y de rendición de cuentas transitorio.

En tanto en cuanto la Agencia no disponga de presupuesto propio, sus gastos se imputarán en la forma y con cargo a los créditos previstos para la Secretaría General de Administración Digital.

Hasta que no disponga de presupuesto propio no se alterará la estructura presupuestaria vigente, desarrollando la Agencia su actuación de acuerdo con el régimen presupuestario, de contabilidad y control y de rendición de cuentas aplicable a la Secretaría General de Administración Digital, en los términos previstos en la ley de presupuestos en vigor y en la Ley 47/2003, de 26 de noviembre, General Presupuestaria.

Disposición transitoria quinta. Expedientes, obligaciones, contratos y gastos.

1. Los expedientes relativos a ámbitos de competencia de la Agencia, iniciados y no resueltos por la Secretaría General de Administración Digital con anterioridad a la fecha de su constitución efectiva, se resolverán por el órgano competente de la Agencia de acuerdo con la atribución del ejercicio de competencias establecida por el Estatuto, excepto los tramitados en el marco del sistema estatal de contratación centralizada.

2. En las materias competencia de la Agencia, los procedimientos de gasto iniciados por la Secretaría General de Administración Digital y no finalizados en la fecha de su constitución efectiva, adaptarán su tramitación a la normativa reguladora de la Agencia y se finalizarán de acuerdo con el orden de competencias establecido por su Estatuto.

3. En materia de contratación, desde la fecha de constitución efectiva de la Agencia se establece un período transitorio de seis meses o, en todo caso, hasta que se constituya su Junta de Contratación, durante el cual, la Junta de Contratación del Ministerio para la Transformación Digital y de la Función Pública asumirá la tramitación de los expedientes de contratación propuestos por la Agencia o que fueron propuestos por la Secretaría General de Administración Digital, así como el inicio y tramitación de los expedientes de prórroga y de modificados que afecten a dichos expedientes hasta su formalización.

De acuerdo con lo previsto en la Disposición transitoria tercera del Real Decreto 210/2024, de 27 de febrero, por el que se establece la estructura orgánica básica del Ministerio para la Transformación Digital y de la Función Pública, hasta que se constituya la Junta de contratación del Ministerio para la Transformación Digital y de la Función Pública las previsiones del párrafo anterior se entienden realizadas a la Junta de Contratación del extinto Ministerio de Asuntos Económicos y Transformación Digital.

4. Una vez creada la Junta de Contratación de la Agencia, los expedientes de contratación de la Secretaría General de Administración Digital o de la Agencia que fueron iniciados y formalizados por la Junta de Contratación del extinto Ministerio de Asuntos Económicos y Transformación Digital o del Ministerio para la Transformación Digital y de la Función Pública, pasarán a ser competencia de la Agencia, que asumirá las actuaciones de seguimiento de los mismos y sus incidencias, incluidas prórrogas y modificados.

Disposición transitoria sexta. Plan inicial de actuación y aprobación del Contrato inicial de gestión.

1. Hasta que mediante orden conjunta de la persona titular del Ministerio para la Transformación Digital y de la Función Pública y de la persona titular del Ministerio de Hacienda se apruebe el Contrato inicial de gestión a que se refiere el artículo 108 ter.4 de la Ley 40/2015, de 1 de octubre, la actuación de la Agencia se desarrollará conforme a los criterios y directrices establecidos en el Plan Inicial de Actuación previsto en el artículo 92 de dicha ley.

2. El Consejo Rector aprobará la propuesta de Contrato inicial de gestión en un plazo no superior a tres meses desde su constitución, que contará, al menos, con el contenido previsto en el artículo 108 ter de la Ley 40/2015, de 1 de octubre.

3. En tanto en cuanto no se apruebe el Contrato inicial de gestión, será de aplicación el régimen vigente del Ministerio para la Transformación Digital y de la Función Pública para la asignación de los importes de productividad del personal funcionario. En todo caso, la percepción de los importes correspondientes deberá ser previamente autorizada por la Dirección General de Función Pública, de acuerdo con lo previsto en el artículo 10.1.a).3.º del Real Decreto 210/2024, de 27 de febrero.

4. La orden ministerial conjunta por la que se apruebe el Contrato inicial de gestión a la que se refiere el artículo 108 ter.4 de la Ley 40/2015, de 1 de octubre, determinará los créditos presupuestarios que financien los recursos personales y materiales que pasen a formar parte de la Agencia.

Disposición derogatoria única. Derogación normativa.

Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en este real decreto.

Disposición final primera. Atribución y subrogación de competencias.

1. Todas las menciones que cualquier norma contenga sobre el Ministerio para la Transformación Digital y de la Función Pública, el extinto Ministerio de Asuntos Económicos y Transformación Digital y la Secretaría de Estado de Digitalización e Inteligencia Artificial referidas a las competencias que el Estatuto que se aprueba por este real decreto atribuye a la Agencia, se entenderán realizadas a esta. Se exceptúan de lo anterior las competencias atribuidas directamente a la persona titular del Ministerio para la Transformación Digital y de la Función Pública.

2. Desde el momento de su constitución efectiva, la Agencia quedará subrogada en la totalidad de los derechos y obligaciones de la Secretaría General de Administración Digital con relación a sus competencias y funciones propias o ejercidas por delegación con el alcance previsto en la disposición adicional centésima décima séptima de la Ley 22/2021, de 28 de diciembre, en las que la sucederá, garantizando el mantenimiento y la conclusión de los contratos, convenios, encomiendas y relaciones jurídicas de toda índole de los que esta fuera parte.

3. La distribución de competencias que lleva a cabo este real decreto se realiza sin perjuicio de las atribuidas a otros departamentos ministeriales.

Disposición final segunda. Modificación del Real Decreto 1009/2023, de 5 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales.

El artículo 21 del Real Decreto 1009/2023, de 5 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales, queda modificado como sigue:

«Artículo 21. Ministerio para la Transformación Digital y de la Función Pública.

El Ministerio para la Transformación Digital y de la Función Pública se estructura en los siguientes órganos superiores y directivos:

A) La Secretaría de Estado de Digitalización e Inteligencia Artificial, de la que dependen la Dirección General de Digitalización e Inteligencia Artificial, la Dirección General del Dato y la Dirección General de Planificación Estratégica en Tecnologías Digitales Avanzadas y Nueva Economía de la Lengua.

C) La Secretaría de Estado de Función Pública, de la que dependen la Dirección General de Función Pública, con rango de subsecretaría, y la Dirección General de Gobernanza Pública. Asimismo, depende de esta Secretaría de Estado la Oficina de Conflictos de Intereses, con rango de Dirección General.

D) La Subsecretaría para la Transformación Digital y de la Función Pública, de la que depende la Secretaría General Técnica.»

Disposición final tercera. Modificación del Real Decreto 210/2024, de 27 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio para la Transformación Digital y de la Función Pública.

El Real Decreto 210/2024, de 27 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio para la Transformación Digital y de la Función, queda modificado como sigue:

Uno. El párrafo c) del artículo 1.3 queda redactado como sigue:

«c) La Secretaría de Estado de Función Pública, de la que dependen la Dirección General de Función Pública, con rango de Subsecretaría, y la Dirección General de Gobernanza Pública. Asimismo, depende de esta Secretaría de Estado la Oficina de Conflictos de Intereses, con rango de Dirección General.»

Dos. El párrafo z) del artículo 3.1 queda modificado como sigue:

«z) La participación en comisiones, grupos de trabajo y otros foros de carácter nacional, europeo e internacional, tanto públicos como privados, en el ámbito de la ciberseguridad, sin perjuicio de la participación de los órganos de la Agencia Estatal de Administración Digital.»

Tres. El párrafo j) del artículo 4.1 queda modificado como sigue:

«j) La definición y el diseño y la aplicación, esta última en coordinación con la Agencia Estatal de Administración Digital, de políticas para la gobernanza y la gestión de datos en la Administración General del Estado y sus organismos públicos y entidades de Derecho Público vinculados o dependientes.»

Cuatro. El apartado 6 del artículo 8 queda redactado como sigue:

«6. Se adscriben al Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Función Pública, los organismos autónomos Mutualidad General de Funcionarios Civiles del Estado e Instituto Nacional de Administración Pública y la Agencia Estatal de Administración Digital.»

Cinco. El apartado 8 del artículo 8 queda redactado como sigue:

«8. De la Secretaría de Estado de Función Pública dependen los siguientes órganos directivos:

a) La Dirección General de la Función Pública, con rango de Subsecretaría.

b) La Dirección General de Gobernanza Pública.

c) La Oficina de Conflictos de Intereses, con rango de Dirección General.»

Seis. Se suprime el artículo 9.

Siete. El ordinal 11.º del artículo 10.1.a) queda redactado como sigue:

«11.º La elaboración y divulgación de estadísticas, indicadores y datos sobre empleo público, con la asistencia de la Agencia Estatal de Administración Digital.»

Ocho. Los párrafos g), i) y m) del artículo 11.1 quedan redactados como sigue:

«g) La identificación, diseño, e impulso de programas y proyectos para facilitar el acceso de la ciudadanía y las empresas a los servicios públicos así como la elaboración y desarrollo de programas de atención, información y asistencia a la ciudadanía a través de los distintos canales disponibles, en colaboración con la Agencia Estatal de Administración Digital en los aspectos relativos a la administración electrónica y en coordinación con los departamentos ministeriales y sus organismos y entidades vinculados o dependientes, así como con otras administraciones.»

«i) La gobernanza del Punto de Acceso General Electrónico de la Administración General del Estado y la gestión de la publicación de sus contenidos y del Directorio Común de Unidades Orgánicas y Oficinas en coordinación con los departamentos ministeriales y sus organismos y entidades vinculados o dependientes.

«m) El impulso de los planes y programas de transparencia, incluyendo la atención e información a los ciudadanos en esta materia y la gestión del Portal de Transparencia de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes, regulado en la Ley 19/2013, de 9 de diciembre, con el soporte técnico de la Agencia Estatal de Administración Digital. En relación con la coordinación de las unidades de información de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes previstas en el artículo 21 de la Ley 19/2013, de 9 de diciembre, corresponde a la Dirección General de Gobernanza Pública prestar el apoyo y soporte necesario para el ejercicio de dicha competencia, como Unidad de Información de Transparencia Central.»

Nueve. La disposición adicional primera queda redactada como sigue:

«Disposición adicional primera. Suplencia de las personas titulares de órganos directivos.

a) La persona titular de la Subsecretaría para la Transformación Digital y de la Función Pública será sustituida por la persona titular de la Secretaría General Técnica, salvo que la persona superior jerárquica establezca expresamente otro orden de sustitución.

b) Las personas titulares de las Direcciones Generales y de la Secretaría General Técnica serán sustituidas por las personas titulares de las Subdirecciones Generales de su dependencia, siguiendo el orden en el que aparecen mencionados por primera vez en este real decreto, salvo que la persona superior jerárquica común a todos ellos establezca expresamente otro orden de sustitución.»

Diez. Se modifica el apartado 1 de la disposición adicional tercera, que queda redactado como sigue:

«1. Se suprimen los siguientes órganos:

a) La Subdirección General de Economía del Dato y Digitalización.

b) El Comisionado Especial para la Alianza por la Nueva Economía de la Lengua.

c) La Oficina del Comisionado especial para la Alianza por la Nueva Economía de la Lengua.

d) La Dirección General de Ciudadanía y Gobierno Abierto.

e) La Subdirección General de Gestión de Procedimientos de Personal.

f) La Subdirección General de Consultoría, Asesoramiento y Asistencia de Recursos Humanos.

g) La Subdirección General del Registro Central de Personal.

h) La Subdirección General de la Inspección General de Servicios de la Administración General del Estado.

i) La Subdirección General de Gobernanza en materia de Registros.

j) División de la Oficina del Dato.

k) División de Tecnologías de la Información.

l) Unidad de Instrucción de los expedientes disciplinarios de los funcionarios de la Administración Local con habilitación de carácter nacional.

m) La Secretaría General de Administración Digital.

n) El Gabinete Técnico de la Secretaría General de Administración Digital.

ñ) La Subdirección General de Planificación y Gobernanza de la Administración Digital.

o) La Subdirección General de Impulso de la Digitalización de la Administración.

p) La Subdirección General de Infraestructuras y Operaciones.

q) La Subdirección General de Servicios Digitales para la Gestión.

r) La Subdirección General de Presupuestos y Contratación TIC.

s) La División de Tecnologías de la Información y Comunicaciones del Ministerio para la Transformación Digital y de la Función Pública.

t) La División de Planificación y Coordinación de Ciberseguridad.»

Once. Se modifica la disposición transitoria quinta, que queda redactada como sigue:

«Disposición transitoria quinta. Prestación de servicios en materia de tecnologías de la información y comunicaciones a los servicios centrales del Ministerio de Política Territorial y Memoria Democrática.

La Agencia Estatal de Administración Digital continuará colaborando con la Subsecretaría de Política Territorial y Memoria Democrática en la dirección, impulso y coordinación de la administración electrónica en el Departamento y en la provisión de servicios en materia de tecnologías de la información y comunicaciones, hasta tanto se firme la resolución conjunta entre la Subsecretaría del Ministerio para la Transformación Digital y de la Función Pública y la Subsecretaría del Ministerio de Política Territorial y Memoria Democrática por la que se efectúe la distribución de medios materiales y presupuestarios.»

Disposición final cuarta. Modificación del Real Decreto 206/2024, de 27 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Hacienda.

El Real Decreto 206/2024, de 27 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Hacienda, queda modificado como sigue:

Uno. Se modifica el apartado 3 de la disposición adicional séptima, con la siguiente redacción:

«3. Asimismo, se desconcentran en la Secretaría de Estado de Función Pública las competencias de la Junta de Contratación Centralizada en materia de servicios de telecomunicaciones.»

Dos. Se modifica la disposición transitoria séptima, que queda redactada como sigue:

«Disposición transitoria séptima. Régimen transitorio de la contratación en materia de servicios de telecomunicaciones.

En tanto no se realice la correspondiente asignación presupuestaria de los créditos necesarios para atender la contratación centralizada de los servicios de telecomunicaciones cuya competencia en virtud del apartado 3 de la disposición adicional séptima de este real decreto se desconcentra en la Secretaría de Estado de Función Pública, se mantendrá el régimen de competencias en materia de gasto establecido.»

Disposición final quinta. Habilitación normativa.

Se autoriza a la persona titular del Ministerio para la Transformación Digital y de la Función Pública para que dicte cuantas disposiciones sean necesarias para el desarrollo y ejecución de lo previsto en este real decreto.

Disposición final sexta. Entrada en vigor.

Este real decreto entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado» excepto las disposiciones finales segunda y tercera, que lo harán cuando se produzca la constitución efectiva de la Agencia Estatal de Administración Digital y la consiguiente supresión de la Secretaría General de Administración Digital.

Dado en Madrid, el 5 de noviembre de 2024.

FELIPE R.

El Ministro de la Presidencia, Justicia y Relaciones con las Cortes, FÉLIX BOLAÑOS GARCÍA

ESTATUTO DE LA AGENCIA ESTATAL DE ADMINISTRACIÓN DIGITAL

CAPÍTULO I.- Disposiciones generales

Artículo 1. Naturaleza jurídica, adscripción y sede.

1. La Agencia Estatal de Administración Digital (en adelante, la Agencia) es una entidad de Derecho público regulada en la sección 4.ª del capítulo III del título II de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, de conformidad con lo previsto en la disposición adicional centésima décima séptima de la Ley 22/2021, de 28 de diciembre, de Presupuestos Generales del Estado para el año 2022.

2. La Agencia tiene personalidad jurídica pública, patrimonio y tesorería propios y autonomía de gestión y funcional, dentro de los límites establecidos por la Ley 40/2015, de 1 de octubre, este Estatuto y el resto de las normas de derecho administrativo general y especial que le sea de aplicación.

3. La Agencia se adscribe al Ministerio para la Transformación Digital y de la Función Pública a través de la persona titular de la Secretaría de Estado de Función Pública, órgano al que corresponde, bajo la superior dirección de la persona titular del departamento, el impulso, la dirección y gestión de la política del Gobierno en materia de administración pública y administración digital, de acuerdo con lo previsto en el artículo 8 del Real Decreto 210/2024, de 27 de febrero, por el que se establece la estructura orgánica básica del Ministerio para la Transformación Digital y de la Función Pública.

4. La Agencia tiene su sede en Madrid.

Artículo 2. Fines de la Agencia.

1. La actuación de la Agencia responde a los siguientes fines:

a) La digitalización del sector público, mediante el ejercicio de las funciones de dirección, coordinación y ejecución del proceso de transformación digital e innovación de la Administración a través de las tecnologías de la información y de las comunicaciones.

b) La prestación eficiente de los servicios públicos a través de la adopción de soluciones digitales, en el marco de los Esquemas Nacionales de Seguridad e Interoperabilidad y de la normativa de protección de datos personales.

c) La transformación digital de las administraciones públicas a través de la coordinación de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes y de la cooperación con las administraciones públicas para la implantación de las estrategias nacionales e internacionales en materia de administración digital.

d) La coordinación funcional de la actuación de las unidades de Tecnologías de la Información y Comunicaciones (en adelante, TIC) de la Administración General del Estado y el apoyo informático a aquellos departamentos ministeriales que lo precisen.

2. De acuerdo con los fines enunciados, corresponde también a la Agencia el impulso en la definición, desarrollo, ejecución y seguimiento de los proyectos de transformación digital incluidos en el Plan de Digitalización de las Administraciones Públicas 2021-2025 para mejorar la accesibilidad de los servicios públicos digitales a la ciudadanía y empresas, superar la actual brecha digital y favorecer la eficiencia y eficacia de los empleados públicos, avanzando hacia una Administración del siglo XXI y contribuyendo a la consecución de objetivos de resiliencia y transición digital perseguidos también por el Plan Nacional de Recuperación, Transformación y Resiliencia. De la misma forma, ejercerá las mismas competencias en los planes e iniciativas que den continuidad a los mencionados objetivos.

3. Para cumplir con lo previsto en los fines recogidos en los apartados anteriores, en el plazo de un año desde la constitución efectiva de la Agencia:

a) Se definirán los necesarios acuerdos de nivel de servicio para asegurar la calidad de la prestación por parte de la Agencia.

b) Se aprobará el sistema común de imputación de costes TIC a que se refiere el artículo 19.2.b).9.º de este Estatuto para el mantenimiento del catálogo de servicios ofrecidos, sus variantes y costes asociados.

c) Se determinarán los recursos humanos y presupuestarios que son necesarios para el aseguramiento de la prestación de los servicios comunes (incluidos los declarados transversales) cuya provisión corresponda a la Agencia, que pasarán a integrarse, en su caso, en la plantilla de esta y que serán provistos de acuerdo con lo contemplado en los artículos 26 y 33 de su Estatuto.

Artículo 3. Régimen jurídico.

1. La Agencia se rige por lo establecido en la Ley 40/2015, de 1 de octubre, y por su Estatuto, y, el resto de las normas de Derecho administrativo general y especial que le sean de aplicación.

2. De acuerdo con la legislación aplicable y lo previsto en este Estatuto, corresponde a la Agencia el ejercicio de las potestades administrativas necesarias para la realización de sus fines, salvo la potestad expropiatoria.

3. La actuación de la Agencia se produce, con arreglo al plan de acción anual, y contrato plurianual de gestión en los términos que se recoge en este Estatuto.

Artículo 4. Principios de actuación de la Agencia.

Además de los principios generales por los que debe regirse la actuación de las administraciones públicas de acuerdo con lo previsto en la normativa vigente, la Agencia observará los siguientes principios básicos en el ejercicio de sus funciones específicas:

a) Autonomía, entendida como la capacidad de la Agencia de gestionar, en los términos previstos en este Estatuto, los medios puestos a su disposición para alcanzar los objetivos comprometidos.

b) Independencia técnica, basada en la capacitación, especialización, profesionalidad y responsabilidad individual del personal al servicio de la Agencia que deberá observar los valores de competencia, ética profesional y responsabilidad pública que sean de aplicación.

c) Evaluación continuada de la calidad de los procesos de gestión y de los procedimientos de actuación, que se efectuará atendiendo a los criterios de legalidad, celeridad, simplificación y accesibilidad electrónica.

d) Cooperación interinstitucional, entendida como la búsqueda de sinergias en la colaboración con otras Administraciones, agentes e instituciones, públicas o privadas, nacionales e internacionales.

Artículo 5. Colaboración administrativa.

1. En el ejercicio de las funciones que tiene atribuidas para el cumplimiento de sus fines, la Agencia colaborará con los órganos de la Administración General del Estado y de las demás administraciones públicas, así como con los organismos y entidades de Derecho público vinculados o dependientes de las mismas, y establecerá con ellos las relaciones necesarias al efecto de actuar coordinadamente.

2. En particular, se adoptarán las medidas oportunas que faciliten una colaboración eficaz entre la Agencia y la Agencia Española de Protección de Datos, permitiendo recabar su asesoramiento temprano en relación con los tratamientos de datos de carácter personal, de conformidad con lo previsto en el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Asimismo, se adoptarán las medidas que garanticen la colaboración eficaz y temprana entre la Agencia, la Agencia Española de Supervisión de Inteligencia Artificial y la Agencia Española de Protección de Datos en relación con los sistemas de inteligencia artificial.

3. La Agencia podrá ejercer las competencias que les sean delegadas o realizar las actividades de carácter material o técnico que le sean encomendadas en los términos previstos en los artículos 9 y 11 de la Ley 40/2015, de 1 de octubre.

4. La Agencia puede celebrar convenios con otras entidades públicas o privadas, nacionales o extranjeras, así como con organismos internacionales, en el ámbito propio de sus fines.

Artículo 6. Disposiciones y actos administrativos.

1. La Agencia dictará las normas internas necesarias para el cumplimiento de sus competencias, que podrán adoptar la forma de:

a) Resoluciones del Consejo Rector.

b) Resoluciones de la persona titular de la Presidencia de la Agencia.

c) Resoluciones, instrucciones y protocolos de actuación de la persona titular de la Dirección de la Agencia.

2. Los actos dictados por el Consejo Rector, la persona titular de la Presidencia o la persona titular de la Dirección de la Agencia en el desarrollo de funciones públicas agotarán la vía administrativa y son susceptibles de impugnación ante la jurisdicción contencioso-administrativa, sin perjuicio de interponer previamente el recurso potestativo de reposición.

CAPÍTULO II.- Funciones

Artículo 7. Funciones.

1. Para el cumplimiento de sus fines, la Agencia llevará a cabo las funciones que se relacionan a continuación por medio de los órganos y unidades que la integran de acuerdo con lo previsto en la Sección 4.ª del Capítulo III:

a) Relacionadas con el impulso de la digitalización del sector público:

1.º Colaborar en la elaboración de propuestas estratégicas en materia de administración digital y servicios públicos digitales para su aprobación, en su caso, por la persona titular del Ministerio para la Transformación Digital y de la Función Pública.

2.º Ejecución de la estrategia en materia de administración digital y servicios públicos digitales de la Administración del Estado, entendiendo por tal la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes, así como del proceso de innovación y el establecimiento de las decisiones y directrices necesarias para su ejecución, sin perjuicio de otras competencias similares otorgadas, mediante normas con rango de al menos real decreto, a sus órganos o unidades prestadoras de servicios TIC.

3.º Diseño técnico, implantación y gestión de los medios y servicios digitales necesarios para evolucionar los servicios públicos actuales hacia servicios públicos universales de calidad orientados a los ciudadanos y empresas.

4.º Supervisión, con el apoyo de las Comisiones Ministeriales de Administración Digital, de la ejecución de las medidas específicas establecidas en los planes de acción departamentales en materia de transformación digital.

b) Relacionadas con el impulso de la adopción de soluciones digitales que permitan la prestación eficiente de los servicios públicos:

1.º Elaboración del Catálogo de Medios y Servicios Comunes, incluidos todos los declarados transversales por la Comisión de Estrategia TIC. Corresponde también a la Agencia el desarrollo, implantación de dichos medios y servicios, excepto de aquellos que formando parte del Catálogo corresponden al Ministerio de Hacienda, la Agencia Estatal de Administración Tributaria, la Gerencia de Informática de la Seguridad Social o a otros departamentos u organismos o entidades de Derecho público vinculados o dependientes a los que a los que atribuya dicho desarrollo e implantación la Comisión de Estrategia sobre Tecnologías de la Información y las Comunicaciones de la Administración del Estado (CETIC).

Formarán también parte del Catálogo aquellas infraestructuras técnicas o aplicaciones cuya provisión de manera compartida facilite la aplicación de economías de escala y contribuya a la racionalización y simplificación de la actuación administrativa, permitiendo a los Departamentos ministeriales y sus organismos públicos y entidades de Derecho público vinculados o dependientes incidir en la transformación digital de sus áreas de actividad específicas.

2.º Análisis de requerimientos, diseño, implantación y la gestión compartida, mediante coordinación o prestación directa, en un marco de corresponsabilidad, de los servicios comunes, declarados o no como transversales, de sistemas de información y comunicación para la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

3.º Estudio y evolución de las plataformas tecnológicas para la prestación de servicios comunes, incluidos los declarados transversales.

4.º Análisis de requerimientos, diseño, desarrollo, pruebas y mantenimiento de las aplicaciones y herramientas necesarias para dar soporte a los servicios comunes y transversales de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

5.º Dirección del Centro de Operaciones de Ciberseguridad de la Administración del Estado.

c) Relacionadas con el impulso de la cooperación con las administraciones públicas en materia de administración digital:

1.º Fijar los objetivos para el desarrollo, ejecución o seguimiento de los proyectos de transformación digital que afecten a las administraciones públicas de acuerdo con la planificación estratégica establecida.

2.º Proponer la declaración como transversales de determinados medios y servicios comunes digitales cuando, en razón de su naturaleza o del interés común, respondan a necesidades de un número significativo de unidades administrativas, coadyuvando a la transformación digital de la administración en mejores condiciones de eficacia y eficiencia, y proponer, en su caso, por iniciativa propia o a solicitud de las administraciones a las que presta servicio, excepciones a su uso de los que hayan sido declarados transversales.

3.º Impulsar las actividades de cooperación internacional en materia de tecnologías de la información y administración digital por parte de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes, en particular con la Unión Europea, con los países iberoamericanos y con organizaciones internacionales, en colaboración con el Ministerio de Asuntos Exteriores, Unión Europea y Cooperación y con los departamentos ministeriales con competencias sectoriales en la materia.

4.º La coordinación de los asuntos que se sometan a los órganos colegiados en materia de transformación digital, incluida la Comisión Sectorial de Administración Electrónica (CSAE).

5.º La definición, diseño, desarrollo, implantación, mantenimiento y evolución de los medios tecnológicos de interoperabilidad, compatibilidad, suministro e intercambio de información con otras administraciones públicas y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

6.º Elaborar los informes de progreso del desarrollo de la administración digital.

d) Relacionadas con la coordinación funcional de la actuación de las unidades TIC de la Administración del Estado:

1.º Prestación de apoyo informático a aquellos departamentos ministeriales y sus organismos públicos y entidades de Derecho público vinculados o dependientes que lo precisen.

2.º La definición del modelo de gobernanza tecnológica asociado al catálogo de servicios y métricas asociadas, con seguimiento estandarizado del uso de los servicios comunes y transversales, así como de un cuadro de mando que permita hacer un seguimiento del gasto en materia de tecnologías y comunicaciones.

3.º La definición de estándares, de directrices técnicas, tecnológicas y de gobierno TIC, de normas de calidad e interoperabilidad de aplicación a las administraciones públicas y el desarrollo y aplicación de lo dispuesto en el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica y sus Normas Técnicas de Interoperabilidad.

2. Asimismo, en función de las capacidades disponibles en cada momento, la Agencia podrá apoyar a otros centros directivos del Ministerio para la Transformación Digital y de la Función Pública en la ejecución de proyectos específicos relacionados con sus competencias y las de la Agencia y sus fines.

3. Por último, además de las funciones previstas en los apartados anteriores y de acuerdo con las capacidades disponibles en cada momento, la Agencia podrá llevar a cabo acciones concretas que, en el marco de la normativa vigente, acuerde con el Departamento de Seguridad Nacional, con el Centro Criptológico Nacional del Centro Nacional de Inteligencia, o con ambos conjuntamente.

CAPÍTULO III.- Estructura orgánica

Sección 1.ª Órganos de gobierno

Artículo 8. Órganos de gobierno.

Los órganos de gobierno de la Agencia son la Presidencia y el Consejo Rector.

Artículo 9. La Presidencia.

1. La Presidencia de la Agencia corresponde a la persona titular de la Secretaría de Estado de Función Pública.

2. Corresponden a la Presidencia de la Agencia las siguientes funciones:

a) Ejercer la superior dirección de la Agencia, ostentar la máxima representación institucional y legal de la misma, y velar por el cumplimiento de sus fines y funciones.

b) Presidir el Consejo Rector, acordar la convocatoria de sus sesiones y fijar el orden del día, teniendo en cuenta, en su caso, las peticiones de los demás miembros siempre que hayan sido formuladas con la suficiente antelación.

c) Proponer al Consejo Rector el nombramiento y cese de la persona titular de la Dirección.

d) Proponer al Consejo Rector el nombramiento y separación de los miembros de la Comisión de Control y de su presidente.

e) Presentar al Consejo Rector la memoria anual de actividades de la Agencia.

f) Informar al Ministerio para la Transformación Digital y de la Función Pública y al Ministerio de Hacienda sobre la ejecución y el cumplimiento de objetivos fijados en el contrato de gestión.

g) Rendir las cuentas anuales aprobadas por el Consejo Rector al Tribunal de Cuentas, por conducto de la Intervención General de la Administración del Estado.

h) Podrá elevar, previo informe del Consejo Nacional de Ciberseguridad, a la persona titular del Ministerio para la Transformación Digital y de la Función Pública propuesta de Acuerdo de Consejo de Ministros para aprobar requisitos específicos o adoptar medidas que limiten la adquisición, despliegue, configuración y utilización de tecnologías, infraestructuras, servicios, programas y dispositivos cuya implantación en los sistemas de información de las entidades comprendidas en el ámbito de aplicación del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, puedan constituir una fuente potencial de riesgo.

i) Todas las que le correspondan como persona titular de la Presidencia de un órgano colegiado según lo dispuesto en el artículo 19 de la Ley 40/1015, de 1 de octubre.

j) Ejercer las demás facultades y funciones que le atribuyan este Estatuto, el Consejo Rector y las disposiciones vigentes.

3. La persona titular de la Presidencia podrá delegar en la persona titular de la Dirección competencias dentro de su ámbito material de actuación.

4. La persona titular de la Presidencia aprobará las delegaciones de competencias que, en su caso, realice la persona titular de la Dirección en las personas titulares de otros órganos bajo su dependencia jerárquica dentro de sus respectivos ámbitos materiales de actuación y con las condiciones y límites previstos en este Estatuto o que, en su caso, puedan establecerse.

5. La persona titular de la Presidencia será suplida por la persona titular de la Dirección de la Agencia en caso de ausencia o enfermedad o de que aquella se encuentre vacante.

Artículo 10. El Consejo Rector.

1. El Consejo Rector es el órgano colegiado de gobierno de la Agencia.

2. Son miembros del Consejo Rector la persona titular de la Presidencia de la Agencia, que lo presidirá, la persona titular de la Vicepresidencia, que corresponde a la persona titular de la Dirección de la Agencia, los consejeros y la persona titular de la Secretaría.

3. La persona titular de la Vicepresidencia presidirá el Consejo Rector en caso de ausencia o enfermedad de la persona titular de la Presidencia o de que esta se encuentre vacante.

4. Los consejeros y consejeras serán nombrados y separados por la persona titular del Ministerio para la Transformación Digital y de la Función Pública, siendo propuestos del siguiente modo:

a) Una persona representante del Ministerio de la Presidencia, Justicia y Relaciones con las Cortes con rango, al menos, de director general, propuesta por su titular.

b) Una persona representante del Centro Criptológico Nacional (CCN-CNI), que será la persona titular de la Dirección o quien esta proponga, con rango, al menos, de subdirector general.

c) Una persona representante del Ministerio de Hacienda con rango, al menos, de director general, propuesta por su titular.

d) Una persona representante del Ministerio de Transportes y Movilidad Sostenible con rango, al menos, de director general, propuesta por su titular.

e) Una persona representante del Ministerio de Trabajo y Economía Social con rango, al menos, de director general, propuesta por su titular.

f) Una persona representante del Ministerio de Industria y Turismo con rango, al menos, de director general, propuesta por su titular.

g) Una persona representante del Ministerio de Agricultura, Pesca y Alimentación con rango, al menos, de director general, propuesta por su titular.

h) Una persona representante del Ministerio de Política Territorial y Memoria Democrática con rango, al menos, de director general, propuesta por su titular.

i) Una persona representante del Ministerio para la Transición Ecológica y el Reto Demográfico con rango, al menos, de director general, propuesta por su titular.

j) Una persona representante del Ministerio Economía, Comercio y Empresa con rango, al menos, de director general, propuesta por su titular.

k) Una persona representante del Ministerio Sanidad con rango, al menos, de director general, propuesta por su titular.

l) Una persona representante del Ministerio de Derechos Sociales, Consumo y Agenda 2030 con rango, al menos, de director general, propuesta por su titular.

m) Una persona representante de las comunidades autónomas, elegida por éstas en la Comisión Sectorial de Administración Electrónica con rango, al menos, de director general o equivalente. La duración de su representación será de un año, no renovable.

n) Una persona representante de las entidades locales, elegida por la Federación Española de Municipios y Provincias, con rango, al menos, de director general o equivalente. La duración de su representación será de un año, no renovable.

ñ) Una persona representante de los trabajadores designada por las organizaciones sindicales más representativas en la Administración General del Estado. La duración de su representación será de un año, renovable por una vez.

5. La propuesta de las personas que integren el Consejo Rector se ajustará al principio de presencia equilibrada de mujeres y hombres, salvo por razones fundadas y objetivas, debidamente motivadas.

6. Podrán asistir a las sesiones del Consejo Rector, con voz pero sin voto, todas aquellas personas que sean convocadas por la persona titular de la Presidencia.

7. El delegado de protección de datos de la Agencia asistirá a las reuniones del Consejo Rector con voz, pero sin voto.

8. Los miembros del Consejo Rector guardarán el debido sigilo respecto a los asuntos de los que conozcan como miembros de dicho órgano.

9. El Consejo Rector celebrará sesiones al menos cada tres meses, pudiendo celebrar sesiones extraordinarias por decisión de la persona titular de la Presidencia o cuando así lo solicite al menos la mitad de sus miembros.

Las sesiones podrán realizarse por medios electrónicos cuando así lo disponga la persona titular de la Presidencia.

10. Para la válida constitución del Consejo Rector, además de las personas titulares de la Presidencia y de la Vicepresidencia y la persona titular de la Secretaría o de quienes las sustituyan, deberán estar presentes, en primera convocatoria, la mitad de los consejeros y, en segunda convocatoria, la tercera parte. Entre la primera y segunda convocatoria deberá transcurrir, al menos, el plazo de una hora.

11. Los acuerdos del Consejo Rector se tomarán por mayoría de votos de sus miembros, presentes o representados. En caso de empate, la persona titular de la Presidencia tendrá voto de calidad.

12. El Consejo Rector ajustará su actuación, a lo dispuesto en las secciones 3.ª y 4.ª del capítulo III del título II de la Ley 40/2015, de 1 de octubre, y en este Estatuto.

Artículo 11. Funciones del Consejo Rector.

Corresponden al Consejo Rector las siguientes funciones:

a) El seguimiento, la supervisión y el control superiores de la actuación de la Agencia, sin perjuicio del control de eficacia y supervisión continua previsto en el artículo 32.

b) Aprobar, a propuesta de la persona titular de la Presidencia, el nombramiento y cese de la persona titular de la Dirección.

c) Aprobar, a propuesta de la persona titular de la Dirección, el nombramiento o cese de las personas titulares de los órganos directivos de la Agencia a que se refiere el artículo 15.1 de este Estatuto, de acuerdo con lo previsto en el artículo 36.2.

d) Designar y separar a los miembros de la Comisión de Control a propuesta de la persona titular de la Presidencia.

e) Instar del Ministerio para la Transformación Digital y de la Función Pública la tramitación de la propuesta normativa para modificar la estructura organizativa de la Agencia.

f) Aprobar la relación de puestos de trabajo de la Agencia, dentro del marco de actuación que en materia de recursos humanos se establezca en el contrato de gestión, así como elevar al Ministerio para la Transformación Digital y de la Función Pública la propuesta de oferta anual de empleo de la Agencia para su integración en la oferta de empleo público.

g) Aprobar la propuesta de objetivos estratégicos y operativos de la Agencia y los procedimientos, criterios e indicadores para la medición de su cumplimiento y del grado de eficiencia en la gestión de acuerdo con lo previsto en el artículo 108 ter de la Ley 40/2015, de 1 de octubre.

h) Aprobar los criterios para la determinación de los incentivos retributivos por rendimiento que correspondan al personal de la Agencia, teniendo en cuenta lo establecido en el contrato de gestión.

i) Aprobar, a iniciativa de la persona titular de la Dirección, la propuesta de los planes anuales de actuación de la Agencia, que se someterán a la aprobación de la persona titular del Ministerio para la Transformación Digital y de la Función Pública, de acuerdo con lo previsto en el artículo 92.2 de la Ley 40/2015, de 1 de octubre.

j) Aprobar la presentación de cada sucesivo contrato de gestión, dentro del último trimestre de vigencia del anterior, para su posterior elevación y aprobación por orden conjunta de la persona titular del Ministerio de Hacienda y de la persona titular del Ministerio para la Transformación Digital y de la Función Pública.

k) Elaborar y aprobar el anteproyecto anual de presupuestos, la contracción de cualesquiera obligaciones de carácter plurianual dentro de los límites fijados en el contrato de gestión, así como las cuentas anuales auditadas de acuerdo con lo previsto en el artículo 108 sexies de la Ley 40/2015, de 1 de octubre.

l) Aprobar los informes anuales y plurianuales de actividad, así como aquellos extraordinarios que se consideren necesarios valorando los resultados obtenidos y consignando las deficiencias observadas.

m) Controlar la gestión de la Dirección y exigir a ésta las responsabilidades que procedan, incluida la separación del cargo en el supuesto de incumplimiento grave de sus funciones.

n) Aprobar, a iniciativa de la persona titular de la Dirección, la propuesta que se someterá a la Comisión de Estrategia TIC para la declaración como transversales de determinados medios y servicios comunes digitales cuando, en razón de su naturaleza o del interés común, respondan a necesidades de un número significativo de unidades administrativas, coadyuvando a la transformación digital de la administración en mejores condiciones de eficacia y eficiencia. La aprobación de la propuesta por el Consejo Rector requerirá el informe favorable del departamento, organismo público o entidad de Derecho público que vaya a ser responsable de la gestión de dicho medio o servicio transversal, salvo que este vaya a ser la propia Agencia. Asimismo, a iniciativa de la persona titular de la Dirección le corresponde al Consejo Rector aprobar la propuesta que se someterá a la Comisión de Estrategia TIC para excepcionar del uso de los medios y servicios declarados transversales.

ñ) Desarrollar y delimitar las funciones y competencias de las unidades organizativas con rango inferior a los órganos contenidos en este Estatuto, siempre de acuerdo con lo establecido en el mismo y en el contrato de gestión.

o) Proponer a la Comisión de Estrategia TIC la declaración de proyectos de interés prioritario.

p) Cualesquiera otras que le correspondan en virtud de este Estatuto y de la normativa vigente.

Artículo 12. La Secretaría del Consejo Rector.

1. La Secretaría del Consejo Rector será desempeñada por la persona titular de la Secretaría General de la Agencia y asistirá a las sesiones con voz pero sin voto.

2. A la persona que ostente la Secretaría le corresponderán las funciones a que hacen referencia los artículos 16 y 19 de la Ley 40/2015, de 1 de octubre.

Sección 2.ª Órgano ejecutivo

Artículo 13. La Dirección.

1. El máximo órgano ejecutivo de la Agencia es la Dirección, con rango de Subsecretaría.

2. La persona titular de la Dirección será nombrada y cesada por el Consejo Rector, a propuesta de la persona titular de la Presidencia, debiendo recaer en persona de reconocido prestigio y experiencia en puestos directivos.

3. La persona titular de la Dirección de la Agencia tendrá la consideración de alto cargo a efectos de lo dispuesto en la Ley 3/2015, de 30 de marzo, reguladora del ejercicio del alto cargo de la Administración General del Estado y sus disposiciones de desarrollo, así como a efectos retributivos, de acuerdo con lo dispuesto en la materia en las leyes de Presupuestos Generales del Estado.

Asimismo, cuando la persona titular de la Dirección de la Agencia sea funcionario o funcionaria, será declarada en situación de servicios especiales de acuerdo con lo previsto en el artículo 87.1.c) del Texto Refundido de la Ley del Estatuto Básico del Empleado Público.

4. La duración del mandato será de cuatro años, renovable por una vez.

5. Corresponden a la Dirección de la Agencia las siguientes funciones:

a) La dirección y gestión ordinaria de la Agencia, en el marco de las funciones atribuidas en este apartado o de las que le sean expresamente delegadas.

b) Elaborar y someter al Consejo Rector para su aprobación la propuesta del contrato de gestión de la Agencia.

c) Elaborar y elevar al Consejo Rector para su aprobación como propuesta, de acuerdo con lo previsto en el artículo 11.g), los objetivos estratégicos y operativos de la Agencia, y los procedimientos, criterios e indicadores para la medición de su cumplimiento y del grado de eficiencia en la gestión, de acuerdo con lo previsto en el artículo 108 ter de la Ley 40/2015, de 1 de octubre.

d) Elaborar y elevar al Consejo Rector para su aprobación el plan anual de actuación y dirigir y coordinar las actividades que sean necesarias para el desarrollo de las funciones de la Agencia.

e) Elevar al Consejo Rector para su aprobación el anteproyecto de presupuesto de la Agencia.

f) Formular las cuentas anuales y elevarlas al Consejo Rector para su aprobación junto con el informe de auditoría de cuentas.

g) Acordar las variaciones o modificaciones presupuestarias que se estimen necesarias cuya autorización no corresponda a la persona titular del Ministerio de Hacienda.

h) Elevar al Consejo Rector la propuesta de variaciones o modificaciones presupuestarias que precisan autorización de la persona titular del Ministerio de Hacienda, de acuerdo con lo previsto en el artículo 108 sexies.3 de la Ley 40/2015, de 1 de octubre.

i) Autorizar la disposición de gastos, el reconocimiento de obligaciones y la ordenación de los pagos correspondientes de los que dará cuenta al Consejo Rector.

j) Proponer la modificación de los límites generales de compromiso de gasto con cargo a ejercicios futuros de los que dará cuenta al Consejo Rector.

k) Elevar al Consejo Rector el informe anual de actividades de la Agencia.

l) Elaborar y elevar a la Comisión de Control un informe mensual sobre el estado de ejecución presupuestaria.

m) Celebrar contratos y encargos a medios propios con las condiciones y límites que en su caso puedan establecerse, dando cuenta de ello al Consejo Rector.

n) Otorgar subvenciones de acuerdo con lo previsto en el artículo 10 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones.

ñ) Gestionar los créditos del Capítulo VIII que sean consignados en los presupuestos generales del Estado para llevar a cabo proyectos relativos a la digitalización de las administraciones públicas en sus distintas facetas.

o) Nombrar y cesar a la persona titular de su Gabinete y a las personas titulares de los Departamentos a propuesta de la persona titular de la Dirección de adscripción o de la Secretaría General, según corresponda.

p) Nombrar y cesar a las personas titulares de las Divisiones de coordinación de los servicios TIC comunes y transversales a que se refiere el artículo 4.4 del Real Decreto 1125/2024, de 5 de noviembre.

q) Prever las necesidades de personal de la Agencia; proponer al Consejo Rector la relación de puestos de trabajo y su modificación y los criterios y los procedimientos para la selección de personal laboral; resolver las convocatorias de provisión de puestos de trabajo de personal funcionario y contratar al personal laboral.

r) Proponer al Consejo Rector los criterios para la determinación de los incentivos al rendimiento del personal de la Agencia.

s) Ejercer la representación institucional y legal de la Agencia cuando no corresponda a la Presidencia o dichas funciones le hayan sido delegadas de forma expresa.

t) Recabar los informes y asesoramiento que considere necesarios para el adecuado funcionamiento de la Agencia.

u) Informar a los departamentos ministeriales competentes y a otras instituciones del Estado sobre la ejecución y cumplimiento de los objetivos fijados en el contrato de gestión de la Agencia.

v) Ante situaciones de riesgo verosímil o inminente de ciberataque o cuando se produzca un incidente de seguridad y a la vista del daño que pueda causar a los medios y servicios bajo su ámbito de responsabilidad, podrá ordenar sin consulta o autorización previa, la desconexión de la Red SARA del sistema o sistemas y redes potencialmente afectados, sin perjuicio de la continuidad de los sistemas de información implicados en la Seguridad Pública, o de la continuidad de los sistemas de información militares, de mando y control o de los operadores esenciales implicados en la Defensa Nacional en cuyo caso se coordinará con el Mando Conjunto del Ciberespacio y con el CESTIC. Asimismo, se requerirá su cooperación en apoyo a los operadores afectados. De dicha desconexión dará cuenta inmediata al Centro Criptológico Nacional, así como a la Oficina de Coordinación de Ciberseguridad en el caso de que se trate de operadores de servicios esenciales catalogados como críticos.

w) Proponer iniciativas estratégicas en el ámbito de competencias de la Agencia a la persona titular del Ministerio para la Transformación Digital y de la Función Pública, para su toma en consideración.

x) Ejercer las demás facultades y funciones que le atribuyan este Estatuto, el Consejo Rector y las disposiciones vigentes.

6. Podrán ser objeto de delegación en el personal directivo previsto en el artículo 15.1 de este Estatuto o en los restantes órganos de la Agencia, las competencias que correspondan a la Dirección, salvo aquellas que por disposición legal o por su propia naturaleza no fueran susceptibles de delegación y las previstas en los párrafos a), e), f), o), p) y v) del apartado anterior.

7. Asimismo, la persona titular de la Dirección podrá avocar para sí el conocimiento de aquellos asuntos cuya resolución corresponda, ordinariamente o por delegación, a sus órganos administrativos dependientes, de acuerdo con lo previsto por la Ley 40/2015, de 1 de octubre.

8. En caso ausencia o enfermedad de la persona titular de la Dirección de la Agencia, o de que esta se encuentre vacante, será sustituida de acuerdo con el orden previsto en el artículo 15.1 de este Estatuto.

Sección 3.ª Comisión de control

Artículo 14. La Comisión de Control.

1. La Comisión de Control de la Agencia estará constituida por cuatro personas integrantes del Consejo Rector, nombradas por este a propuesta de la persona titular de la Presidencia, entre quienes no tengan responsabilidades directas en la gestión de la Agencia y que pertenezcan a la Administración General del Estado. La designación de dichas personas se ajustará al principio de presencia equilibrada de mujeres y hombres salvo por razones fundadas y objetivas, debidamente motivadas.

2. La persona titular de la Presidencia de la Comisión de Control será nombrada entre sus miembros por el Consejo Rector a propuesta de la persona titular de la Presidencia.

3. Actuará como secretario de la Comisión de Control la persona titular de la secretaría del Consejo Rector, quien asistirá a las reuniones con voz, pero sin voto.

Asistirán, asimismo, a las reuniones de la Comisión de Control, con voz, pero sin voto, el Interventor o Interventora Delegado en la Agencia y un inspector o inspectora de los servicios nombrado por la Subsecretaria para la Transformación Digital y de la Función Pública.

4. La Comisión de Control se reunirá al menos una vez cada dos meses y, con carácter extraordinario, siempre que lo estime oportuno la persona titular de la Presidencia o a solicitud del Consejo Rector.

5. Corresponden a la Comisión de Control las siguientes funciones:

a) Informar al Consejo Rector sobre la ejecución del contrato de gestión y la ejecución presupuestaria.

b) Elevar al Consejo Rector los informes de índole económico-financiera, presupuestaria o contable que deban ser sometidos a su consideración o aprobación.

c) Tomar conocimiento de la información que la Agencia deba elaborar y remitir a los órganos competentes en cumplimiento de la legislación económico-financiera, presupuestaria y contable y controlar su observancia.

d) Analizar el resultado de las actuaciones de evaluación y control realizadas por cualquiera de los órganos de control de la Agencia y analizar y proponer las correcciones que considere necesarias.

6. La Comisión de Control ajustará su actuación, a lo dispuesto en las secciones 3.ª y 4.ª del capítulo III del título II de la Ley 40/2015, de 1 de octubre, y en este Estatuto.

7. La condición de miembro de la Comisión de control tendrá un plazo máximo de dos años, salvo renuncia motivada con antelación a dicho plazo, renovándose por mitades cada año, de modo que, manteniendo su número, ninguno permanezca en su cargo por tiempo superior a dos años. En la sesión constitutiva de la Comisión de control se llevará a cabo un sorteo que determinará los dos consejeros o consejeras cuyo mandato tendrá una duración únicamente de un año en lugar de los dos previstos con carácter general.

Sección 4.ª Estructura organizativa

Artículo 15. Estructura básica.

1. La Agencia contará, bajo la dependencia jerárquica de la Dirección, con los siguientes órganos directivos:

a) Dirección de Administración Digital.

b) Dirección de Prestación de Infraestructuras y Operaciones.

c) Dirección de Ciberseguridad, Tecnologías Disruptivas e Integridad de los Datos.

d) Secretaría General.

2. La Dirección de Administración Digital contará con los siguientes departamentos:

a) Departamento de Servicios Digitales Orientados a la Ciudadanía.

b) Departamento de Nuevos Servicios Innovadores.

c) Departamento de Servicios Digitales para la Gestión.

3. La Dirección de Prestación de Infraestructuras y Operaciones contará con los siguientes departamentos:

a) Departamento de Infraestructuras y Cloud.

b) Departamento de Puesto de Trabajo.

c) Departamento de Comunicaciones.

4. La Dirección de Ciberseguridad, Tecnologías Disruptivas e Integridad de los Datos contará con los siguientes departamentos:

a) Departamento de Planificación de la Ciberseguridad.

b) Departamento de Operación de la Ciberseguridad.

c) Departamento de Tecnologías Disruptivas e Integridad de la Información.

5. La Secretaría General contará con los siguientes departamentos:

a) Departamento de Recursos Humanos.

b) Departamento de Gestión Económica y Presupuestaria y Asuntos Generales.

c) Departamento de Relaciones Institucionales y Fondos Comunitarios.

6. Depende directamente de la persona titular de la Dirección de la Agencia el Departamento de Calidad y Gestión de la Demanda, que ejercerá las siguientes funciones:

1.º La coordinación con las unidades del Ministerio para la Transformación Digital y de la Función Pública responsables de la definición estratégica y planificación de la administración digital, así como con la Dirección General del Dato.

2.º La definición del modelo de gobernanza tecnológica asociado al Catálogo de Medios y Servicios Comunes, incluidos los transversales.

3.º La gestión del Catálogo de Medios y Servicios Comunes, incluidos los transversales, considerando sus variantes y costes asociados.

4.º El apoyo en la identificación de proyectos tractores y transversales para impulsar la transformación digital en la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

5.º La validación de solicitudes de provisión de servicio, previa a su formalización jurídica y a la puesta en funcionamiento por las unidades encargadas de su prestación.

6.º La valoración de iniciativas singulares de los departamentos ministeriales y sus organismos públicos y entidades de Derecho público vinculados o dependientes, de cara a su desarrollo por la Agencia.

7.º El seguimiento estandarizado del uso de los servicios comunes, incluidos los transversales, así como el establecimiento de un cuadro de mando que permita hacer un seguimiento del gasto en materia TIC.

8.º La definición de políticas de calidad y objetivos asociados, así como la monitorización de indicadores a distintos niveles (operación gestión y soporte del servicio, calidad del software, etc.) e impulso de la adaptación de los servicios y su operación para cumplir dichas políticas y objetivos de calidad.

9.º La definición de estándares, de directrices técnicas y de gobernanza, de normas de calidad y para el cumplimiento del Esquema Nacional de Interoperabilidad, así como el mantenimiento de la relación con las unidades TIC que sea precisa para su correcta aplicación.

10.º La dirección y gestión del Centro Único de Atención a Usuarios de la Agencia y coordinación, en su caso, con las unidades de soporte especializadas de ámbito estatal o de otras administraciones públicas.

11.º El ejercicio de las competencias que corresponden al Coordinador Nacional de la pasarela digital única europea previstas en el Reglamento (UE) 2018/1724 del Parlamento Europeo y del Consejo, de 2 de octubre de 2018, relativo a la creación de una pasarela digital única de acceso a información, procedimientos y servicios de asistencia y resolución de problemas y por el que se modifica el Reglamento (UE) n.º 1024/2012. Actuará de acuerdo con la Dirección General de Gobernanza Pública en las funciones que esta desempeñe como coordinador de información de la Pasarela Digital Única Europea previstas en dicho Reglamento.

12.º El desempeño de las funciones de órgano de seguimiento y presentación de informes establecidas en el Real Decreto 1112/2018, de 7 de septiembre, sobre accesibilidad de los sitios web y aplicaciones móviles del sector público.

7. El Gabinete dependerá directamente de la persona titular de la Dirección de la Agencia, como órgano de apoyo y asistencia inmediata a la misma.

8. Dependen orgánica y funcionalmente de la persona titular de la Dirección de la Agencia las Divisiones de coordinación de los servicios TIC comunes y transversales a que se refiere el artículo 4.4 del Real Decreto 1125/2024, de 5 de noviembre.

9. Depende orgánica y funcionalmente de la persona titular de la Dirección de la Agencia, la División de Tecnologías de la Información y Comunicaciones del Ministerio para la Transformación Digital y de la Función Pública, a la que corresponde:

a) La provisión, gestión y administración de equipos informáticos y de comunicaciones y la implantación de medidas de seguridad informática del Departamento.

b) El desarrollo y mantenimiento de los sistemas de información necesarios para el funcionamiento de los servicios, el impulso de la transformación digital y la innovación en el Departamento.

c) La coordinación y la publicación de los contenidos digitales en el Portal de internet y la gestión de la sede electrónica asociada del Departamento.

10. Los órganos directivos a que se refiere el apartado 1, todos los puestos con nivel orgánico de departamento previstos en los apartados 2 a 6, el Gabinete a que se refiere el apartado 7, la jefatura de las Divisiones de coordinación de los servicios TIC comunes y transversales a que se refiere el artículo 4.4 del Real Decreto 1125/2024, de 5 de noviembre, y la jefatura de la División de Tecnologías de la Información y Comunicaciones del Ministerio para la Transformación Digital y de la Función Pública a que se refiere el apartado anterior, han de ser ocupados por personal funcionario de carrera perteneciente a cuerpos del subgrupo A1.

11. Asimismo, la Agencia contará con la asistencia jurídica de la Abogacía General del Estado en los términos previstos en la disposición adicional centésima décima séptima de la Ley 22/2021, de 28 de diciembre y el artículo 37 de este Estatuto y con la Intervención Delegada de la Intervención General de la Administración del Estado.

Artículo 16. La Dirección de Administración Digital.

Las funciones que son competencia de la Dirección de Administración Digital se desarrollarán por los órganos previstos en el artículo 15.2 de este Estatuto de acuerdo con la siguiente distribución:

a) Departamento de Servicios Digitales Orientados a la Ciudadanía:

1.º El análisis de requerimientos, diseño e impulso de la implantación de servicios digitales de apoyo a la gestión de procedimientos administrativos, conforme a la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y la Ley 40/2015, de 1 de octubre.

2.º En el ámbito de los Servicios Digitales orientados a la ciudadanía, el análisis de requerimientos, diseño, implantación y la gestión compartida, mediante coordinación o prestación directa, en un marco de corresponsabilidad, de los servicios comunes, declarados o no como transversales, de sistemas de información y comunicación para la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

3.º El impulso y coordinación del desarrollo de servicios móviles de calidad para facilitar el uso de servicios públicos a la ciudadanía y empresas y contribuir a la ejecución de las políticas públicas de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

4.º El diseño técnico e impulso de la implantación de los medios y servicios digitales necesarios para evolucionar los servicios públicos actuales hacia servicios públicos universales de calidad orientados a la ciudadanía y empresas, promoviendo la incorporación de las TIC y la digitalización a los procedimientos administrativos y la adaptación de la gestión pública al uso de medios digitales.

5.º La identificación, diseño e impulso de programas y proyectos para facilitar el acceso de la ciudadanía y empresas a los servicios públicos, así como la elaboración y desarrollo de programas de atención, información y asistencia a la ciudadanía y empresas a través de los distintos canales disponibles, todo ello en los aspectos relativos a la administración electrónica, y en coordinación con los departamentos ministeriales y sus organismos públicos y entidades de Derecho público vinculados o dependientes, así como con otras administraciones públicas.

6.º El diseño técnico, implantación y gestión del Punto General de Entrada de Facturas Electrónicas (FACe) que corresponden al ámbito de la Administración del Estado y a otras administraciones públicas adheridas al mismo, de acuerdo con lo previsto en la Ley 25/2013, de 27 de diciembre, de impulso de la factura electrónica y creación del registro contable de facturas en el Sector Público.

7.º El diseño técnico y evolución de la plataforma que soporta la gestión del Portal de Transparencia de la Administración General del Estado previsto en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

b) Departamento de Nuevos Servicios Innovadores:

1.º El impulso de la tramitación inteligente de los procesos y procedimientos administrativos de la Administración del Estado y su cooperación con las comunidades autónomas y entidades locales.

2.º La dirección del servicio de automatización inteligente (RPA), acompañado de procesos de inteligencia artificial y de procesos de gestión de negocio, impulsado de forma centralizada, que facilite a las entidades de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes, la adopción de esta tecnología.

3.º El impulso a la redefinición y automatización inteligente de procesos internos a través del uso de capacidades de robotización e inteligencia artificial, para reducir la asignación de recursos humanos a la realización de tareas repetitivas en todos los ámbitos de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

4.º La elaboración de informes periódicos sobre la evolución de las TIC en la Administración del Estado, a través de un marco común para la obtención de datos y una explotación eficiente de la información, así como la colaboración con el Instituto Nacional de Estadística en la elaboración de las operaciones estadísticas relativas a las TIC en las administraciones públicas.

5.º La coordinación e impulso de las tareas de análisis, diseño, desarrollo, implantación tecnológica, mantenimiento y evolución de sistemas y soluciones tecnológicas de análisis y entrega de datos, gobierno del dato, cuadros de mando, datos masivos o «Big Data», inteligencia de datos, generación y gestión de conocimiento.

6.º La vigilancia tecnológica proactiva que permita mejorar y potenciar las soluciones existentes, así como la detección de tecnologías emergentes para su evaluación y potencial aplicación a los servicios prestados por la Agencia.

7.º El fomento de iniciativas que permitan acercar y adoptar soluciones innovadoras en la Administración.

8.º El análisis de manera continua de las aplicaciones, infraestructuras y procesos asociados para identificar sinergias y posibles mejoras potenciando la automatización y simplificación.

9.º La elaboración de pruebas de concepto, proyectos de innovación y actividades de difusión y promoción de las actuaciones realizadas en materia de tecnologías emergentes, como, por ejemplo, inteligencia artificial, Analítica del Dato y Blockchain para las unidades TIC de la Administración del Estado.

10.º El impulso a la utilización de capacidades de inteligencia artificial para mantener una relación proactiva de la administración con la ciudadanía y empresas.

c) Departamento de Servicios Digitales para la Gestión:

1.º El impulso de la renovación tecnológica de aplicaciones de gestión para la integración con tecnología de analítica de datos e inteligencia artificial.

2.º El análisis de requerimientos, diseño, desarrollo, pruebas y mantenimiento de las aplicaciones y herramientas necesarias para dar soporte a los servicios de las unidades horizontales de la Administración del Estado aplicando la transformación digital en los procesos internos de su competencia.

3.º El análisis de requerimientos, diseño, desarrollo, pruebas y mantenimiento de servicios comunes, incluidos los transversales, relativos a la gestión de recursos humanos en el ámbito de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes, en coordinación con los órganos competentes del Ministerio para la Transformación Digital y de la Función Pública.

4.º La provisión de servicios en materia TIC para la Dirección General de Función Pública y la Oficina de Conflictos de Intereses del Ministerio para la Transformación Digital y de la Función Pública.

5.º La provisión de aplicaciones y servicios en materia TIC prestados a las Delegaciones y Subdelegaciones del Gobierno y a las Direcciones Insulares en todos sus ámbitos de actuación, en los términos que establezca la Dirección General de la Administración General del Estado en el Territorio del Ministerio de Política Territorial y Memoria Democrática, en coordinación con los ministerios implicados por razón de la materia.

Artículo 17. La Dirección de Prestación de Infraestructuras y Operaciones.

Las funciones que son competencia de la Dirección de Prestación de Infraestructuras y Operaciones se desarrollarán por los órganos previstos en el artículo 15.3 de este Estatuto de acuerdo con la siguiente distribución:

a) Departamento de Infraestructuras y Cloud:

1.º La dirección y gestión de la consolidación y homogeneización de las infraestructuras TIC de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

2.º La implantación de infraestructuras relacionadas con la gestión de datos en la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes, así como el desarrollo de las acciones de coordinación de los diferentes organismos y entidades con el objetivo de conseguir una efectiva implementación de dichas infraestructuras para la prestación de los servicios públicos digitales, siguiendo las directrices que se establezcan.

3.º La definición y gestión de la evolución de las distintas plataformas tecnológicas asociadas a los servicios de la Agencia.

4.º El diseño y coordinación de la evolución de las infraestructuras TIC, así como las actuaciones para su consolidación y racionalización, incluyendo en particular el puesto de trabajo, las infraestructuras de almacenamiento y el archivo electrónico de los expedientes y documentos electrónicos.

5.º El diseño, provisión, explotación y evolución de los centros de proceso de datos de referencia, gestionados por la Agencia, para la prestación de servicios comunes.

6.º La operación de la capa de infraestructuras que soporta las distintas plataformas de la Agencia, entre ellas la solución de nube híbrida propia de la Administración, conocida como «NubeSARA».

7.º La coordinación de la gestión de las licencias de derechos de uso de productos software, bases de datos y otros elementos lógicos o físicos.

8.º La relación con las unidades usuarias que realicen desarrollos para la adecuada puesta en producción de estos sobre las infraestructuras de la Agencia.

b) Departamento de Puesto de Trabajo:

1.º La definición, diseño y coordinación del puesto de trabajo de nueva generación y su equipamiento de herramientas, lógicas y físicas, de alta productividad y las modalidades de movilidad y teletrabajo a través de infraestructuras y soluciones de conectividad.

2.º La coordinación de la gestión de las licencias de derechos de uso de productos software en relación con el puesto de trabajo.

3.º La coordinación de la provisión de entornos y plataformas que habiliten a los usuarios para la colaboración de manera presencial y remota.

4.º La prestación de apoyo informático respecto del puesto de trabajo a aquellos departamentos ministeriales y sus organismos públicos y entidades de Derecho público vinculados o dependientes que lo precisen, en consonancia con la estrategia de la Agencia.

c) Departamento de Comunicaciones:

1.º El diseño, provisión y explotación de los servicios, soluciones tecnológicas y las infraestructuras de comunicaciones unificadas de la Administración del Estado, así como de la conocida como Red SARA.

2.º La gestión de la operación, estrategia tecnológica y evolución de los servicios de comunicaciones de:

a) Datos de ámbito nacional, entre ellos, especialmente la Red SARA.

b) Voz y videoconferencia de ámbito nacional.

c) Datos de acceso a Internet.

d) Voz y datos en movilidad.

e) Atención telefónica a la ciudadanía mediante el servicio 060.

Artículo 18. La Dirección de Ciberseguridad, Tecnologías Disruptivas e Integridad de los Datos.

Las funciones que son competencia de la Dirección de Ciberseguridad, Tecnologías Disruptivas e Integridad de los Datos se desarrollarán por los órganos previstos en el artículo 15.4 de este Estatuto de acuerdo con la siguiente distribución:

a) Departamento de Planificación de la Ciberseguridad:

1.º La definición e impulso del desarrollo por parte de la Agencia de las políticas corporativas de seguridad de la información, ciberseguridad y protección de datos personales de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes y la colaboración al respecto con otras administraciones públicas.

2.º La dirección y gestión de las políticas corporativas a que se refiere el párrafo anterior.

3.º El desarrollo y aplicación de lo dispuesto en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y sus Instrucciones Técnicas de Seguridad. En especial, la definición de estándares, de directrices técnicas y de gobierno TIC, de normas de seguridad de aplicación a las administraciones públicas y la realización de propuestas e interlocución con el Centro Criptológico Nacional en el desarrollo de guías de seguridad.

4.º El desarrollo y coordinación de la implantación de la política de seguridad de los servicios prestados por la Agencia.

5.º La participación en el ámbito de la ciberseguridad, en lo referente a las funciones de la Agencia, en comisiones, grupos de trabajo y otros foros de carácter nacional, europeo e internacional, tanto públicos como privados, así como el seguimiento y participación en iniciativas y foros relacionados con esta materia.

6.º La coordinación de las actuaciones destinadas a promover la ciberseguridad en todos los ámbitos de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes, sin perjuicio de las competencias en la materia de otros departamentos u organismos y la colaboración, al respecto, con las restantes administraciones públicas.

7.º La ejecución en todos los ámbitos de la Administración del Estado de las actuaciones destinadas a promover la ciberseguridad a que se refiere el párrafo anterior.

8.º La realización de auditorías en el ámbito de la seguridad de la información, ciberseguridad y protección de datos personales.

9.º El apoyo en la realización de acciones encaminadas a garantizar el cumplimiento de la normativa vigente y de las políticas corporativas en materia de ciberseguridad.

b) Departamento de Operación de la Ciberseguridad:

1.º La dirección y gestión del servicio del Centro de Operaciones de Ciberseguridad de la Administración del Estado.

2.º La gestión de la operación de los servicios de comunicaciones LAN e infraestructura de ciberseguridad en los Centros de Proceso de Datos de la Agencia.

3.º El diseño, provisión y explotación de las infraestructuras tecnológicas y de los servicios de seguridad necesarios para la prestación de servicios comunes, incluidos los declarados transversales, que correspondan a la Agencia.

4.º La gestión del cambio continuo en el ámbito de la ciberseguridad.

5.º La implementación de medidas que salvaguarden el entorno TIC de la organización.

6.º El apoyo técnico a comunidades autónomas y entidades locales en el ámbito de la ciberseguridad.

c) Departamento de Tecnologías Disruptivas e Integridad de la Información:

1.º La ejecución de las políticas de gobernanza y estándares en la gestión y análisis de datos que rijan en la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

2.º La coordinación y ejecución de las actuaciones destinadas a promover las tecnologías disruptivas y la integridad de los datos.

3.º La coordinación técnica en el marco de las estrategias y programas de la Unión Europea de las iniciativas en materia de datos de los distintos departamentos ministeriales y administraciones públicas, en colaboración con los departamentos ministeriales con competencias sectoriales en la materia.

4.º La creación de espacios de compartición de datos entre administraciones públicas de manera segura y el empleo masivo de los datos en estas mediante tecnologías Big Data e inteligencia artificial, entre otras.

5.º El desarrollo de mecanismos de acceso seguros a las plataformas para la toma de decisiones públicas basadas en datos, garantizando su seguridad y gobernanza a través de arquitecturas abiertas, sin perjuicio de las competencias que la legislación europea y nacional atribuyen al Instituto Nacional de Estadística.

6.º El desarrollo de un Centro de Competencia de analítica avanzada de datos para las administraciones públicas.

Artículo 19. Secretaría General.

1. La Secretaría General de la Agencia ejerce las potestades administrativas que le correspondan de acuerdo con este Estatuto, incluyendo la gestión de sus recursos humanos y materiales.

Le corresponde, asimismo, el asesoramiento jurídico en materia de administración digital, sin perjuicio de las funciones atribuidas a la Abogacía General del Estado en el artículo 37 de este Estatuto, la tramitación de la normativa interna cuya aprobación corresponda a la Agencia, la elaboración de las propuestas normativas en el ámbito de competencias de la Agencia que el Consejo Rector deba elevar a los órganos competentes del Ministerio para la Transformación Digital y de la Función Pública, así como el informe de los proyectos normativos que afecten al ámbito de competencias de la Agencia.

Igualmente, realiza la gestión de los asuntos horizontales que no se correspondan con competencias específicamente atribuidas a otras unidades de la Agencia, las que le sean atribuidas por normas legales o reglamentarias y cualesquiera otras que no correspondan a otros órganos de la Agencia.

2. Las funciones que son competencia de la Secretaría General de la Agencia se desarrollarán por los órganos previstos en el artículo 15.5 de este Estatuto, de acuerdo con la siguiente distribución:

a) Departamento de Recursos Humanos:

1.º La gestión y administración de recursos humanos, incluida la selección del personal laboral, la gestión de la acción social y la formación de los recursos humanos, bajo la supervisión de la Dirección y siguiendo los criterios y directrices del Consejo Rector.

2.º La planificación y ejecución de la política de prevención de riesgos laborales, incluida la organización y supervisión del servicio de prevención.

3.º El apoyo en la identificación de los puestos de trabajo, así como de las funciones y las responsabilidades de cada uno de ellos.

4.º La instrucción de procedimientos disciplinarios al personal de la Agencia.

b) Departamento de Gestión Económica y Presupuestaria y Asuntos Generales:

1.º La elaboración del anteproyecto de presupuestos de la Agencia para su aprobación por el Consejo Rector, seguimiento de su ejecución y tramitación de las modificaciones presupuestarias.

2.º La gestión presupuestaria, de los ingresos y gastos, la realización de los cobros y pagos y la gestión de la tesorería de la Agencia.

3.º La coordinación y supervisión de la contratación en materia TIC en la Administración del Estado y seguimiento de la evolución de sus presupuestos, sin perjuicio de las competencias atribuidas a otros órganos de la Administración del Estado en materia de contratación.

4.º La elaboración del Plan de Contratación plurianual y su seguimiento.

5.º La coordinación de la gestión económico-presupuestaria en el ámbito de la Agencia y el estudio, planificación, impulso y seguimiento de los procesos de contratación en materia TIC y aquellos otros ámbitos relacionados.

6.º La colaboración con la Dirección General de Racionalización y Centralización de la Contratación del Ministerio de Hacienda en la gestión centralizada de la contratación en el ámbito competencial de la Agencia y en la elaboración de propuestas relacionadas con las políticas de adquisiciones de bienes informáticos y con los pliegos de prescripciones técnicas en la contratación de estos bienes y servicios TIC en la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

7.º La tramitación de los expedientes de contratación para adquisición de bienes y servicios, encargos a medios propios y la habilitación del material.

8.º La emisión del informe técnico preceptivo de los convenios y encargos que tengan por objeto la adquisición de bienes y servicios informáticos y de las memorias y pliegos de prescripciones técnicas de las contrataciones de bienes y servicios informáticos en la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

9.º La definición y gestión de un sistema común de imputación de costes TIC.

10.º El seguimiento del estado de ejecución de los presupuestos TIC de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes de acuerdo con lo previsto en Real Decreto 51/2024, de 16 de enero, por el que se aprueba el Programa anual 2024 del Plan Estadístico Nacional 2021-2024 así como de los gastos TIC en dicho ámbito.

11.º La dirección y gestión de los servicios generales y de régimen interior, de la seguridad y la coordinación e inspección de las unidades, instalaciones y servicios de la Agencia.

12.º La gestión, conservación y mantenimiento de los recursos materiales de la Agencia, incluyendo la formación y mantenimiento actualizado de los inventarios de los bienes muebles e inmuebles, tanto propios como adscritos, así como la custodia de estos últimos y la tramitación de los expedientes de adquisición, arrendamiento, adscripción o descripción.

13.º La coordinación y ejecución de auditorías internas, a través de la valoración del riesgo, acompañamiento y asesoría y evaluación y seguimiento, entre otras.

14.º El fomento de la cultura del control y relación con los entes externos para la ejecución de sus actuaciones.

15.º El apoyo a la Dirección de la Agencia en materia de organización de la plantilla y definición de los objetivos de la Agencia.

16.º La gestión del registro general de la Agencia.

17.º El ejercicio para el ámbito de la Agencia de las competencias relativas al delegado de protección de datos previstas en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

18.º El impulso de la profesionalización de la atención a la ciudadanía y empresas por diversos canales.

19.º El apoyo en las tareas de comunicación interna y externa.

20.º La tramitación y gestión de los convenios a los que se refiere el artículo 5 de este Estatuto y de otros instrumentos jurídicos para la provisión de los medios y servicios ofrecidos por la Agencia.

c) Departamento de Relaciones Institucionales y Fondos Comunitarios:

1.º La coordinación funcional de las unidades TIC que prestan sus servicios en los departamentos ministeriales y sus organismos públicos y entidades de Derecho público vinculados o dependientes en los términos previstos en la disposición adicional segunda del real decreto por el que se aprueba este Estatuto.

2.º La coordinación de los asuntos que se sometan a los órganos colegiados en materia de administración digital, incluida la Comisión Sectorial de Administración Electrónica (CSAE).

3.º La cooperación con las administraciones públicas para la implantación de las estrategias nacionales e internacionales en materia de administración digital.

4.º El apoyo en la identificación de proyectos de alto impacto para comunidades autónomas y entidades locales aprovechando sinergias, buenas prácticas y economías de escala.

5.º La coordinación de las relaciones internacionales de la Agencia y el impulso de las actividades de cooperación internacional en el ámbito de competencias de la Agencia, en colaboración con el Ministerio de Asuntos Exteriores, Unión Europea y Cooperación y con otros ministerios con competencias sectoriales en la materia.

6.º Las relaciones con la Administración de Justicia, la Comisión Ministerial de Administración Digital del Ministerio de la Presidencia, Justicia y Relaciones con las Cortes, el Comité Técnico Estatal de la Administración Judicial Electrónica y el Consejo Interterritorial del Sistema Nacional de Salud.

7.º La gestión, seguimiento, control y apoyo a las actividades de evaluación y difusión de las actuaciones integradas en programas, planes o cualquier instrumento análogo de financiación comunitaria vinculado a la digitalización de las administraciones públicas en los que la Agencia tenga responsabilidades en calidad de Organismo Intermedio, en el caso de Fondos Estructurales.

8.º El seguimiento, control y apoyo a las actividades de evaluación y difusión de las actuaciones integradas en programas, planes o cualquier instrumento análogo de financiación comunitaria vinculado a la digitalización de las administraciones públicas en los que la Agencia tenga responsabilidades en calidad de órgano responsable, en el marco del Plan de Recuperación, Transformación y Resiliencia.

3. Sin perjuicio de las atribuciones asignadas en este Estatuto a otros órganos de la Agencia, la Secretaría General es responsable de coordinar las actividades para la elaboración del contrato de gestión.

CAPÍTULO IV.- El contrato de gestión

Artículo 20. Naturaleza y finalidad.

1. El contrato de gestión tendrá una vigencia de tres años y tiene por objeto regular la actividad de la Agencia y las relaciones recíprocas entre ésta y la Administración General del Estado para la financiación de dicha actividad, todo ello en el marco de la legislación general y específica vigente durante su período de aplicación.

2. La Dirección de la Agencia elaborará el borrador del contrato de gestión y lo someterá al Consejo Rector al que, tras su debate y posible modificación, corresponde su propuesta definitiva. Dicha propuesta se presentará dentro del último trimestre de vigencia del anterior contrato de gestión a la persona titular del Ministerio para la Transformación Digital y de la Función Pública y a la persona titular del Ministerio de Hacienda para su aprobación.

3. La aprobación del contrato de gestión tiene lugar por orden conjunta de la persona titular del Ministerio para la Transformación Digital y de la Función Pública y de la persona titular del Ministerio de Hacienda, dictada en un plazo máximo de tres meses a contar desde su presentación. En el caso de no ser aprobado en este plazo y hasta que lo haga, mantendrá su vigencia el contrato de gestión existente.

Artículo 21. Contenido.

El contrato de gestión contendrá, al menos:

a) Los objetivos que se persiguen y los planes necesarios para alcanzarlos, con especificación de los marcos temporales correspondientes y de los proyectos asociados a cada una de las estrategias y sus plazos.

b) Los resultados que se pretenden obtener y los procedimientos, criterios e indicadores para la medición de su cumplimiento.

c) El marco de actuación en materia de gestión de recursos humanos, que comprenderá: la determinación de las necesidades de personal a lo largo de la vigencia del contrato, incluyendo la previsión máxima de plantilla de personal; la naturaleza y las características de los puestos de trabajo de la Agencia y el régimen retributivo del personal.

d) La determinación de los recursos personales, materiales y presupuestarios que la Administración General del Estado debe aportar para la consecución de los objetivos, estableciendo su escenario plurianual.

e) La definición de los criterios para la exigencia de responsabilidad en la gestión por incumplimiento de objetivos a la persona titular de la Dirección y al personal directivo y los mecanismos a través de los cuales se exigirá.

f) Los efectos asociados al grado de cumplimiento de los objetivos establecidos en cuanto a los siguientes aspectos: montante de masa salarial destinada al complemento de productividad o concepto equivalente del personal laboral y responsabilidad por la gestión de la persona titular de la Dirección y del personal directivo.

g) El procedimiento que debe seguirse para la cobertura de los déficits anuales que, en su caso, se pudieran producir por insuficiencia de los ingresos reales respecto de los estimados y las consecuencias de responsabilidad en la gestión que, en su caso, deban seguirse de tales déficits. Dicho procedimiento deberá ajustarse, en todo caso, a lo que establezca el contenido de la Ley de Presupuestos General del Estado del ejercicio correspondiente.

h) El procedimiento para la introducción de las modificaciones o adaptaciones anuales que, en su caso, procedan.

Artículo 22. Modificaciones y adaptaciones anuales.

Si las modificaciones o adaptaciones anuales afectan a los resultados a obtener, o son consecuencia de planes generales de acción adicionales al contrato de gestión vigente, se acordará su modificación de acuerdo con lo previsto en el artículo 20.

CAPÍTULO V.- Contratación y régimen patrimonial

Artículo 23. Contratación.

1. El régimen de contratación de la Agencia es el aplicable al Sector Público, de acuerdo con lo previsto en el artículo 108 quinquies.5 de la Ley 40/2015, de 1 de octubre, y la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

2. La Dirección es el órgano de contratación de la Agencia.

3. De acuerdo con lo previsto en el artículo 323.4 de la Ley 9/2017, de 8 de noviembre, en la Agencia se constituirá una Junta de Contratación con las funciones, régimen de funcionamiento y composición que se determinen en su instrumento de creación.

Artículo 24. Régimen patrimonial.

1. La Agencia contará, para el cumplimiento de sus fines, con un patrimonio propio, distinto del de la Administración General del Estado, integrado por el conjunto de bienes y derechos de los que sea titular.

2. La Agencia podrá adquirir toda clase de bienes y derechos por cualquiera de los modos admitidos en el ordenamiento jurídico.

3. La adquisición de bienes inmuebles o de derechos sobre los mismos requerirá el previo informe favorable del Ministerio de Hacienda.

4. La gestión y administración de sus bienes y derechos propios, así como los de aquellos del Patrimonio del Estado que se le adscriban para el cumplimiento de sus fines, se ajustarán a lo establecido para los organismos públicos en la Ley 33/2003, de 3 de noviembre, de Patrimonio de las Administraciones Públicas, y su normativa de desarrollo.

Artículo 25. Inventario.

La Agencia formará y mantendrá actualizado su inventario de bienes y derechos, tanto propios como adscritos, con excepción de los de carácter fungible, en la forma establecida en la Ley 33/2003, de 3 de noviembre. El inventario se revisará anualmente con referencia a 31 de diciembre y se someterá a la aprobación del Consejo Rector.

CAPÍTULO VI.- Régimen presupuestario, económico-financiero, contable y de control

Artículo 26. Financiación.

1. La Agencia se financiará con los siguientes recursos:

a) Las transferencias consignadas en los Presupuestos Generales del Estado.

b) Los ingresos propios que perciba como contraprestación por las actividades que pueda realizar, en virtud de contratos, convenios o disposiciones legales, para otras entidades, públicas o privadas, o personas físicas.

c) La enajenación de los bienes y valores que constituyan su patrimonio.

d) El rendimiento procedente de sus bienes y valores.

e) Las aportaciones voluntarias, donaciones, herencias, legados y otras aportaciones a título gratuito de entidades privadas y de particulares.

f) Los ingresos recibidos de personas físicas o jurídicas como consecuencia del patrocinio de actividades e instalaciones.

g) Los demás ingresos de Derecho público o privado que esté autorizada a percibir.

h) Cualquier otro recurso que pudiera serle atribuido.

2. Los recursos que se deriven de los párrafos b), e), f) y g) del apartado anterior y que no se contemplen inicialmente en el presupuesto de la Agencia se podrán destinar a financiar incrementos de gasto por acuerdo de la persona titular de la Dirección.

3. Son ingresos de derecho privado los demás que perciba la Agencia por la prestación de servicios o la realización de actividades que le son propias siempre que no tengan la naturaleza de tasas o precios públicos con arreglo a la legislación general.

Artículo 27. Contratación de pólizas de crédito o préstamo.

La Agencia podrá contratar pólizas de crédito o préstamo, siempre que el saldo vivo no supere el cinco por ciento de su presupuesto, cuando sea necesario para atender desfases temporales de tesorería, entendiendo como tales las situaciones de falta de liquidez que se puedan producir ocasionalmente y de forma excepcional.

Artículo 28. Régimen presupuestario.

1. En el marco fijado por el artículo 36 de la Ley 47/2003, de 26 de noviembre, General Presupuestaria, el Consejo Rector aprobará anualmente su anteproyecto de presupuesto y lo remitirá al Ministerio para la Transformación Digital y de la Función Pública para su examen, que dará posterior traslado al Ministerio de Hacienda. Una vez analizado por este último, el anteproyecto se incorporará al de Presupuestos Generales del Estado para su aprobación por el Consejo de Ministros y remisión a las Cortes Generales, consolidándose con el de las restantes entidades que integran el sector público estatal.

2. El presupuesto de gastos de la Agencia tendrá carácter limitativo por su importe global y carácter estimativo para la distribución de los créditos en categorías económicas, dentro de cada programa, con excepción de:

a) Los créditos correspondientes a gastos de personal y a gastos para operaciones financieras, que en todo caso tienen carácter limitativo y vinculante por su cuantía total.

b) Los créditos que establezcan asignaciones identificando perceptor o beneficiario, salvo las destinadas a atender transferencias corrientes o de capital al exterior, y las atenciones protocolarias y representativas; que tendrán carácter limitativo y vinculante, cualquiera que sea el nivel de la clasificación económica al que se establezcan.

c) Cualquier otro crédito vinculante que se establezca en las Leyes de Presupuestos Generales del Estado.

3. Dentro de los límites fijados en la normativa presupuestaria, los remanentes de tesorería que resulten de la liquidación del ejercicio presupuestario no afectados a la financiación del presupuesto del ejercicio siguiente, podrán aplicarse al presupuesto de ingresos y destinarse a financiar incrementos de gasto, por acuerdo de la persona titular de la Dirección dando cuenta a la Comisión de Control. El déficit derivado del incumplimiento de las estimaciones de ingresos anuales se compensa en la forma que se prevea en el Contrato de Gestión.

4. La ejecución y variación del presupuesto de la Agencia se regirán por las disposiciones de la Ley 47/2003, de 26 de noviembre, General Presupuestaria, que le sean de aplicación y lo previsto en la Ley 40/2015, de 1 de octubre. La ejecución del presupuesto de la Agencia corresponde a la persona titular de la Dirección, que remitirá a la Comisión de Control, mensualmente, un estado de ejecución presupuestaria.

5. La Agencia podrá adquirir compromisos de gasto que hayan de extenderse a ejercicios posteriores a aquel en que se autoricen, con los límites y previsiones que le sean establecidos en el artículo 108 sexies.5 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

6. Se dará cuenta de las variaciones presupuestarias adoptadas por la persona titular de la Dirección a la Dirección General de Presupuestos del Ministerio de Hacienda, para su toma de razón.

Artículo 29. Contabilidad.

1. La Agencia deberá aplicar los principios contables que le correspondan, de acuerdo con lo establecido en el artículo 121 de la Ley 47/2003, de 26 de noviembre, General Presupuestaria, el Plan General de Contabilidad Pública, aprobado por la Orden EHA/1037/2010, de 13 de abril, y a la adaptación de este que resulte aplicable a las agencias estales, con la finalidad de asegurar el adecuado reflejo de las operaciones, los costes y los resultados de su actividad, así como de facilitar datos e información con trascendencia económica. A tal efecto, la Agencia dispondrá de un sistema de información económica que muestre, a través de estados e informes, la imagen fiel del patrimonio, de la situación financiera, de los resultados y de la ejecución del presupuesto y proporcione información de costes sobre su actividad que sea suficiente para una correcta y eficiente adopción de decisiones.

2. La Agencia contará con un sistema de contabilidad de gestión que permita efectuar el seguimiento del cumplimiento de los compromisos asumidos en el contrato de gestión.

Artículo 30. Cuentas anuales.

1. La persona titular de la Dirección formulará las cuentas anuales en un plazo de tres meses desde el cierre del ejercicio económico. Una vez auditadas por la Intervención General de la Administración del Estado, serán sometidas al Consejo Rector para su aprobación antes del 30 de junio del año siguiente al que se refieran.

2. Una vez aprobadas por el Consejo Rector, las cuentas se remitirán a través de la Intervención General de la Administración del Estado al Tribunal de Cuentas para su fiscalización. Dicha remisión a la Intervención General se realizará dentro de los siete meses siguientes a la terminación del ejercicio económico.

Artículo 31. Control de la gestión económico-financiera.

1. El control externo de la gestión económico-financiera de la Agencia corresponde al Tribunal de Cuentas, de acuerdo con su normativa específica.

2. El control interno de la gestión económico-financiera corresponderá a la Intervención General de la Administración del Estado, realizándose bajo las modalidades de control financiero permanente y de auditoría pública, en las condiciones y en los términos establecidos en la Ley 47/2003, de 26 de noviembre.

El control financiero permanente lo realizará la Intervención Delegada en la Agencia, que queda adscrita a la Agencia, sin perjuicio de su dependencia funcional y orgánica de la Intervención General de la Administración del Estado, en cuya relación de puestos de trabajo se crearán los correspondientes puestos.

Artículo 32. Control de eficacia y de supervisión continua.

1. La Agencia estará sometida al control de eficacia y supervisión continua, que tiene por finalidad comprobar el grado de cumplimiento de los objetivos encomendados y la adecuada gestión de los recursos públicos asignados, mediante el seguimiento del contrato de gestión y, hasta su aprobación, a través del Plan anual de actuación, en los términos establecidos en el artículo 85 de la Ley 40/2015, de 1 de octubre.

2. El control de eficacia será ejercido por el Ministerio para la Transformación Digital y de la Función Pública, a través de la Inspección de los Servicios.

3. La Agencia estará sometida, igualmente, a la supervisión continua, ejercida por el Ministerio de Hacienda a través la Intervención General de la Administración del Estado, que vigilará la concurrencia de los requisitos previstos en la Ley 40/2015, de 1 de octubre, y, en particular verificará, al menos, lo siguiente:

a) La subsistencia de las circunstancias que justificaron su creación.

b) Su sostenibilidad financiera.

c) La concurrencia de la causa de disolución prevista en el artículo 96.1.d) de la Ley 40/2015, de 1 de octubre, referida al incumplimiento de los fines que justificaron su creación o que su subsistencia no resulte el medio más idóneo para lograrlos.

CAPÍTULO VII.- Régimen de personal

Artículo 33. Régimen de personal.

1. El personal al servicio de la Agencia está constituido por:

a) El personal que esté ocupando puestos de trabajo en la Secretaría General de Administración Digital en el momento de su constitución.

b) El personal que se incorpore a la Agencia desde cualquier administración pública por los correspondientes procedimientos de provisión de puestos de trabajo.

c) El personal seleccionado por la Agencia, mediante pruebas selectivas convocadas al efecto en los términos establecidos en el artículo 108 quater de la Ley 40/2015, de 1 de octubre. Las convocatorias de pruebas selectivas deberán acompañarse de un informe de impacto de género, de acuerdo con el artículo 55 de la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres.

d) El personal directivo.

2. El personal a que se refieren los párrafos a) y b) del apartado anterior mantiene la condición de personal funcionario, estatutario o laboral de origen, de acuerdo con la legislación aplicable.

3. El personal de la Agencia quedará vinculado a esta por una relación sujeta a las normas de derecho administrativo o laboral que le sean de aplicación.

4. El personal funcionario se regirá por el texto refundido de la Ley del Estatuto Básico del Empleado Público, aprobado por el Real Decreto Legislativo 5/2015, de 30 de octubre, y restantes normas reguladoras del régimen jurídico de los funcionarios públicos de la Administración General del Estado.

5. El personal laboral se regirá por el texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por el Real Decreto Legislativo 2/2015, de 23 de octubre, y demás normativa laboral que le sea aplicable, por la norma convencional que le sea de aplicación, y texto refundido de la Ley del Estatuto Básico del Empleado Público.

6. Los puestos de trabajo de la Agencia serán provistos, con carácter general, por personal funcionario de la Administración General del Estado, y serán desempeñados por personal laboral aquellos puestos que expresamente así se establezcan en la relación de puestos de trabajo, sin perjuicio de lo establecido en este Estatuto para el personal directivo.

7. La movilidad de los funcionarios que desempeñen puestos de trabajo de la Agencia para la cobertura de puestos de trabajo en la Administración General del Estado o en otras Administraciones y organismos públicos o entidades de Derecho público vinculados o dependientes estará sometida únicamente a las restricciones y condiciones que se establecen con carácter general en la normativa reguladora de los procedimientos de provisión de puestos de trabajo en la Administración General del Estado, así como a los requisitos exigidos para el desempeño de cada puesto.

8. El personal de la Agencia desempeñará su cargo sometiéndose, en el desarrollo de sus cometidos, a evaluación con arreglo a los criterios de eficacia, eficiencia, cumplimiento de la legalidad, responsabilidad por su gestión y control de resultados en relación con los objetivos que se fijen en el contrato de gestión.

Artículo 34. Ordenación de los puestos de trabajo.

1. La relación de puestos de trabajo de la Agencia determinará los elementos básicos de los mismos en el ámbito de lo dispuesto en el texto refundido de la Ley del Estatuto Básico del Empleado Público.

2. Dicha relación de puestos de trabajo será elaborada por la persona titular de la Dirección de la Agencia y aprobada por el Consejo Rector, dentro del marco de actuación que, en materia de recursos humanos, se establezca en el contrato de gestión, y su contenido se ajustará a los principios establecidos por el texto refundido de la Ley del Estatuto Básico del Empleado Público, con determinación de la forma de provisión de los puestos de trabajo.

Artículo 35. Régimen retributivo.

1. Los conceptos retributivos del personal funcionario son los establecidos en la normativa sobre función pública de la Administración General del Estado y sus cuantías se determinarán de conformidad con lo establecido en dicha normativa y en las leyes anuales de presupuestos.

2. Las condiciones retributivas del personal laboral serán las determinadas en el convenio colectivo de aplicación y en el respectivo contrato de trabajo y sus cuantías se determinarán de conformidad con lo establecido en la normativa aplicable al personal laboral de la Administración General del Estado y en las leyes anuales de Presupuestos Generales del Estado.

3. La cuantía de la masa salarial destinada al complemento de productividad, o concepto equivalente de personal laboral, estará en todo caso vinculada al grado de cumplimiento de los objetivos fijados en el contrato de gestión.

4. En el marco de la gestión de recursos humanos, se establecerá un sistema de evaluación del desempeño que sirva de instrumento objetivo para la asignación del complemento de productividad a que se refiere el apartado anterior. El sistema de evaluación deberá permitir valorar los rendimientos colectivos de las unidades, así como una valoración individual de cada trabajador.

Artículo 36. Personal directivo.

1. En atención a la especial responsabilidad, competencia técnica y relevancia de las tareas asignadas, tienen la condición de personal directivo de la Agencia las personas titulares de las tres Direcciones y de la Secretaría General.

2. El personal directivo a que se refiere el apartado anterior es nombrado y cesado por el Consejo Rector a propuesta de la persona titular de la Dirección de la Agencia, atendiendo a criterios de competencia profesional y experiencia, entre funcionarios de carrera pertenecientes a cuerpos o escalas incluidos en el Subgrupo A1 y mediante procedimiento que garantice los principios de igualdad, mérito, capacidad y publicidad e igualdad entre mujeres y hombres.

3. La evaluación del personal directivo se realizará con arreglo a criterios de eficacia, responsabilidad por su gestión y control de resultados en relación con los objetivos que se fijen en el contrato de gestión, quedando vinculadas a dicha evaluación las retribuciones por productividad de dicho personal.

CAPÍTULO VIII.- Asistencia jurídica

Artículo 37. Asistencia jurídica.

De acuerdo con lo previsto en el primer inciso del artículo 94.2 del Reglamento de la Abogacía General del Estado, aprobado por el Real Decreto 1057/2024, de 15 de octubre, y en cumplimiento del apartado cinco de la disposición adicional centésima décima séptima de la Ley 22/2021, de 28 de diciembre, la asistencia jurídica de la Agencia, consistente en el asesoramiento y la representación y defensa en juicio de la misma, corresponde a la Abogacía General de Estado.

09Nov/24

Real Decreto 1125/2024, de 5 de noviembre

9 noviembre, 2024España, Real Decretoacceso electrónico, Administración Digital, Agenda España Digital 2025, Decreto 806/2014, Derecho Informático, Legislación Española, Legislación Informática, Ley 11/2007, Ley 39/2015, Real Decreto 1118/2024, Real Decreto 4/2010, Real Decreto 4/2020, TICJosé Cuervo

Real Decreto 1125/2024, de 5 de noviembre, por el que se regulan la organización y los instrumentos operativos para la Administración Digital de la Administración del Estado, (BOE nº 268 de 6 de noviembre de 2024)

El Real Decreto 806/2014, de 19 de septiembre, sobre organización e instrumentos operativos de las tecnologías de la información y las comunicaciones en la Administración General del Estado y sus Organismos Públicos, aprobado en el contexto de la entonces vigente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, plasmó normativamente un modelo que en el plano teórico partía de tres objetivos básicos. En primer lugar, disponer de una planificación estratégica común en materia TIC para toda la Administración General del Estado y sus organismos públicos; en segundo lugar, incrementar la productividad de los empleados públicos y mejorar la calidad de los servicios públicos por medio de las TIC y, por último, lograr una mayor eficiencia en la provisión de los recursos TIC a través del uso de infraestructuras comunes y servicios compartidos.

El primer año del nuevo modelo de Gobernanza TIC coincidió en el tiempo con la aprobación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que han supuesto un impulso en la adopción de procesos y medios digitales en la Administración pública, siendo una de las grandes reformas realizadas en los últimos años.

Si bien lograr una mayor eficiencia en la provisión de los recursos TIC a través del uso de infraestructuras comunes y servicios compartidos impulsada por la Secretaría General de Administración Digital es un objetivo que se ha ido logrando paulatinamente desde la primera (y única hasta la fecha) declaración de servicios compartidos aprobada en septiembre de 2015, la práctica ha demostrado que el modelo teórico propuesto para el funcionamiento y ejercicio de competencias de los órganos colegiados interministeriales de gobernanza TIC ha respondido de forma desigual a las expectativas generadas.

El Gobierno de España ha desarrollado la Agenda España Digital 2025 para impulsar la transformación digital de nuestro país como una de las palancas fundamentales para relanzar el crecimiento económico, la reducción de la desigualdad, el aumento de la productividad, y el aprovechamiento de todas las oportunidades que brindan estas nuevas tecnologías.

Por su parte, el componente 11 del Plan de Recuperación, Transformación y Resiliencia determina que la digitalización de la Administración Pública española requiere una reforma para su modernización y digitalización articulada en un conjunto de actuaciones, entre las que menciona la reforma del modelo de Gobernanza TIC y de la cooperación interadministrativa, con los cambios normativos y de organización necesarios.

Finalmente, el Plan de Digitalización de las Administraciones Públicas 2021-2025, indica expresamente que para su despliegue requiere una serie de desarrollos normativos entre los que menciona en su apartado 9.1 la reforma del modelo de gobernanza y en su apartado 9.4 la reforma para la transformación de la Secretaría General de Administración Digital. Ambos desarrollos están íntimamente relacionados, pues la nueva Agencia Estatal de Administración Digital (en adelante, la Agencia), que sustituye a la SGAD, y cuyo Estatuto se aprueba en paralelo a este real decreto por medio del Real Decreto 1118/2024, de 5 de noviembre, por el que se aprueba el Estatuto de la Agencia Estatal de Administración Digital, es una de las piedras angulares del nuevo modelo de organización TIC.

Ante el reto de la transformación digital, una de cuyas líneas estratégicas consiste construir una administración basada en datos plenamente preparada para aprovechar todo el potencial de la inteligencia artificial, la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes tiene que contar con los instrumentos de Gobernanza que permitan aunar los esfuerzos de cada Administración, organismo y entidad de Derecho público de forma coordinada y colaborativa para maximizar los resultados de su desempeño de cara a la ciudadanía, empresas y empleados públicos, mejorando la eficiencia y eficacia de las actuaciones en materia digital de las distintas Administraciones, agilizar la toma de decisiones, favorecer la generación de sinergias y la colaboración interadministrativa, y garantizar la sostenibilidad en el tiempo de las fuertes inversiones que se vienen realizando.

Por estos motivos fundamentales se considera imprescindible revisar el modelo de gobernanza TIC para la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes, modificando para ello las competencias de algunos de sus órganos colegiados y suprimiendo otros, para coadyuvar a que la agilidad y la eficiencia en los procesos de planificación, ejecución y control en el ámbito de la transformación digital de la administración, sin merma de la seguridad jurídica, contribuyan a lograr los objetivos estratégicos planteados.

El objetivo final, por tanto, es dotar a la Administración del Estado de una arquitectura organizativa en materia TIC para afrontar con éxito el reto de la transformación digital de las administraciones públicas. Este sistema pivota sobre tres ejes fundamentales: en primer lugar la Comisión de Estrategia Sobre Tecnologías de la Información y las Comunicaciones (CETIC) como órgano colegiado superior para la Administración del Estado en este ámbito; en segundo lugar la Agencia (en el ejercicio de las funciones previstas en el artículo 7 de su Estatuto y a través de la presidencia tanto del Comité de Dirección de las Tecnologías de la Información y las Comunicaciones (CDTIC) como de las Comisiones de Trabajo reguladas en las disposiciones adicionales tercera y cuarta y, por último, el ámbito departamental, a través de las Comisiones Ministeriales de Administración Digital (CMAD) y las Unidades TIC ministeriales y de los organismos y entidades de Derecho público.

Este real decreto consta de 14 artículos distribuidos en cinco capítulos, siete disposiciones adicionales, tres disposiciones transitorias, una disposición derogatoria y cuatro disposiciones finales.

El capítulo I, compuesto por los artículos 1 y 2, regula el objeto y ámbito de aplicación de la norma, que se extiende a la Administración del Estado, entendiendo por tal la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

Por su parte, el capítulo II en sus artículos 3 a 7 aborda los órganos con competencias en materia de administración digital.

Así, la CETIC, que preside la persona titular del Ministerio para la Transformación Digital y de la Función Pública, se configura como el órgano colegiado de mayor jerarquía y en ella participan todos los ministerios por medio de la persona titular de la Subsecretaría o, en su caso, de la persona titular del órgano superior que tenga atribuidas las competencias ministeriales sobre tecnologías de la información y comunicaciones. Corresponden a la CETIC, entre otras funciones, las de fijar las líneas estratégicas en materia TIC, de acuerdo con la política establecida por el Gobierno; aprobar la propuesta de Estrategia TIC de la Administración del Estado para su elevación al Consejo de Ministros; definir las prioridades de inversión en materias TIC de acuerdo con la propuesta de Estrategia TIC; declarar transversales determinados medios o servicios comunes a propuesta del Consejo Rector de la Agencia (y excepcionar del uso de los mismos en supuestos concretos), impulsar la colaboración y cooperación con las comunidades autónomas y las entidades locales para la puesta en marcha de servicios interadministrativos integrados y la compartición de infraestructuras técnicas y los servicios comunes que permitan la racionalización de los recursos TIC a todos los niveles del Estado.

Por su parte, el artículo 4 regula la Agencia Estatal de Administración Digital, remitiendo al Real Decreto 1118/2024, de 5 de noviembre, que aprueba su Estatuto, su competencia de coordinación funcional de las Unidades TIC y la figura de la «División de coordinación de los servicios TIC comunes y transversales».

El artículo 5 regula la CMAD como órgano colegiado que, presidido por el respectivo Subsecretario o Subsecretaria o la persona titular del órgano superior que tenga atribuidas las competencias ministeriales sobre TIC y transformación digital, velará por el impulso y de la coordinación interna en materia de administración digital en cada ministerio (comprendiendo todos sus órganos y sus organismos y entidades de público vinculados o dependientes) estudiando y planificando las necesidades funcionales de las distintas unidades de gestión y evaluando las distintas alternativas de solución propuestas por las unidades TIC.

El artículo 6 regula el CDTIC, órgano colegiado de apoyo adscrito al Ministerio para la Transformación Digital y de la Función Pública presidido por la persona titular de la Dirección de la Agencia, que actúa como órgano de coordinación y colaboración entre esta y el resto de la Administración del Estado de acuerdo con las líneas estratégicas definidas en cada momento. Lo componen las personas responsables de las unidades TIC de cada ministerio y otros responsables TIC que designe la persona titular de la Dirección de la Agencia.

Por último, a las unidades TIC reguladas en el artículo 7 les corresponde impulsar en su ministerio la transformación digital de los servicios sectoriales, identificando las oportunidades que les permitan sacar el máximo rendimiento a las TIC de acuerdo con las necesidades funcionales determinadas por las áreas administrativas a las que prestan sus servicios.

El capítulo III regula el Modelo de gobernanza en el ámbito de las TIC en sus artículos 8 a 10. Así, el artículo 8 regula la estrategia TIC que aprueba el Gobierno a iniciativa de la CETIC y a propuesta de la persona titular del Ministerio para la Transformación Digital y de Función Pública. La Estrategia TIC determinará los objetivos, principios y acciones para el desarrollo de la administración digital y la transformación digital de la Administración del Estado.

Por su parte, el artículo 9 regula los medios y servicios digitales comunes y declarados transversales (denominados compartidos en la regulación vigente hasta la fecha) incluyendo su definición, declaración y carácter obligatorio, así como el Catálogo de medios y Servicios Comunes y el artículo 10 los proyectos que por su singular relevancia la CETIC podrá declarar de interés prioritario.

El capítulo IV, titulado «Actuaciones en relación con la planificación en materia de Administración digital» aborda en su artículo 11 los planes de acción departamentales regulando la intervención de la Agencia en su proceso de estudio y valoración. Por su parte, el artículo 12 determina que la Agencia, llevará a cabo el seguimiento del estado de ejecución de los presupuestos TIC de la Administración del Estado de acuerdo con lo previsto en el Plan Estadístico Nacional 2021-2024 así como de los gastos TIC, e informará trimestralmente de ello a la CETIC.

Por último, el capítulo V regula en los artículos 13 y 14 las actuaciones en relación con la contratación en materia TIC, tanto en lo que se refiere a las competencias de la Agencia en relación con la contratación en materia TIC como en cuanto al contenido y tramitación del informe técnico sobre la memoria y el pliego o documento de prescripciones técnicas en materia de tecnologías de la información.

En cuando a las siete disposiciones adicionales, la primera establece que todos los medios y servicios comunes que antes de la entrada en vigor de este real decreto fueron declarados como compartidos en aplicación de lo previsto en el artículo 10 del Real Decreto 806/2014, de 19 de septiembre, pasan a tener la consideración y denominación de transversales. Por su parte, la adicional segunda establece que quedarán excluidos de la propuesta de declaración como transversales a que se refieren el artículo 9 los medios y servicios específicos que afecten al sistema tributario y aduanero, al sistema de Seguridad Social, a la defensa, procesos electorales y consultas populares, situaciones de crisis, seguridad pública y seguridad del Estado, a la tramitación de los asuntos en los órganos colegiados del Gobierno y sus órganos de apoyo, a los que manejen información clasificada, de acuerdo con lo dispuesto en la legislación aplicable a cada uno de dichos ámbitos y en los Acuerdos internacionales y a los sistemas de información del Sistema Nacional de Salud.

La adicional tercera prevé la constitución y composición de una Comisión de Trabajo permanente TIC en ámbitos singularizados cuyo objeto es intercambiar información en relación con las actividades de la Agencia y la de los departamentos, organismos y entidades que forman parte de dicha Comisión, incluyendo, en su caso, el análisis de sus proyectos de interés prioritario; la adicional cuarta regula la Comisión de trabajo permanente de seguimiento TIC y seguridad en el ámbito de la Administración del Estado, a la que corresponde el seguimiento de la actividad que desarrolla la Agencia en materia de ciberseguridad sin perjuicio de las competencias del Consejo Rector.

La adicional quinta remite al régimen jurídico de los órganos colegidos de la Ley 40/2015, de 1 de octubre, la sexta señala que la creación y funcionamiento de los órganos colegiados que se regulan en este real decreto será atendido con los medios personales, técnicos y presupuestarios asignados al órgano superior o directivo en el cual se encuentren integrados y, por último, la séptima aborda la protección de datos personales.

Las tres disposiciones transitorias regulan, respectivamente, las referencias a la Agencia y a las competencias del Consejo rector hasta que se produzca la constitución efectiva de aquella; el contenido adicional vinculado al Plan de Recuperación, Transformación y Resiliencia en el informe técnico sobre las contrataciones a que se refiere el artículo 14.1 y el mandato para que en el plazo de cinco meses desde la entrada en vigor de este real decreto se aprueben las órdenes ministeriales reguladoras de las CMAD ajustadas a las nuevas estructuras ministeriales.

La disposición derogatoria única deroga el Real Decreto 806/2014, de 19 de septiembre, y cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en este real decreto.

La disposición final primera modifica el apartado 2 de la disposición adicional primera del Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, y la disposición final segunda modifica la disposición adicional segunda del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

La disposición final tercera contiene la habilitación normativa a la persona titular del Ministerio para la Transformación Digital y de la Función Pública para que dicte cuantas disposiciones sean necesarias para el desarrollo y ejecución de lo previsto en este real decreto y, por último, la final cuarta determina su entrada en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

III

El real decreto se ajusta a los principios de buena regulación contenidos en el artículo 129 de la Ley 39/2015, de 1 de octubre (principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia). Es oportuno destacar que, conforme al criterio del Consejo de Estado, este real decreto se aprueba de forma simultánea al real decreto por el que se aprueba el Estatuto de la Agencia.

Así, respecto de la adecuación del real decreto a los principios de necesidad, eficacia y proporcionalidad, debe señalarse que se adecúa a un objetivo de interés general, como es el ya mencionado de dotar a la Administración del Estado de una arquitectura organizativa en materia TIC para afrontar con éxito el reto de la transformación digital de las administraciones públicas.

Continuando con los principios de buena regulación, el principio de eficiencia también se cumple con este real decreto, por cuanto, como se ha señalado, el modelo de organización y sus instrumentos consagran un enfoque organizativo y funcional y una filosofía subyacente de gestión dirigida al cumplimiento de objetivos que previamente hayan sido fijados de forma concreta y evaluable ordenados tanto a la transformación digital de la administración como a la definición de los medios y servicios comunes digitales, incluidos los declarados transversales y, en su caso, la provisión, explotación y gestión de los medios y servicios anteriores en condiciones de mayor calidad, accesibilidad, interoperabilidad, seguridad y eficiencia. Por otra parte, esta regulación no supone la imposición de cargas administrativas a los ciudadanos y empresas. Ejemplos de todo ello son el papel de la CETIC en la fijación de las líneas estratégicas de acuerdo con la política establecida por el Gobierno, Estrategia TIC, Proyectos de interés prioritario, definición de las prioridades de inversión en materia TIC de acuerdo con la propuesta de Estrategia TIC o el impulso departamental a través de las CMAD, entre otros.

Asimismo, la norma se ajusta al principio de seguridad jurídica sustituyendo el modelo de gobernanza vigente mediante la derogación completa del Real Decreto 806/2014, de 19 de septiembre, y es coherente con el resto del ordenamiento jurídico nacional y el Derecho de la Unión Europea, estableciéndose un marco normativo estable, integrado y claro.

Con relación al principio de transparencia, si bien de acuerdo con lo previsto en los artículos 26.2 y 26.6 de la Ley 50/1997, de 27 de noviembre, del Gobierno, en la elaboración de este real decreto no proceden ni el trámite de audiencia previa ni el de audiencia e información pública por tratarse de una norma organizativa, los objetivos y competencias de cada uno de los elementos que componen la nueva arquitectura de gobernanza TIC están claramente definidos en la norma y la documentación preceptiva que la compaña. Asimismo, en otra vertiente del principio de transparencia, la aprobación de la norma también supone una mejora este, por cuanto prevé una serie de mecanismos de control de eficacia y promueve una cultura de responsabilidad por resultados (como es el caso de las competencias de la CETIC reguladas en los apartados 4 y 5 del artículo 3 o la regulación de la Estrategia TIC en el artículo 8 o los Proyectos de interés prioritario en el artículo 10).

El proyecto ha sido informado por la Agencia Española de Protección de Datos y la Abogacía General del Estado.

En su virtud, a propuesta del Ministro para la Transformación Digital y de la Función Pública, de acuerdo con el Consejo de Estado, y previa deliberación del Consejo de Ministros en su reunión del día 5 de noviembre de 2024,

DISPONGO:

CAPÍTULO I.- Objeto y ámbito de aplicación

Artículo 1. Objeto.

El objeto de este real decreto es el desarrollo de un modelo común de gobernanza de las Tecnologías de la Información y las Comunicaciones (TIC) en la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

Este modelo común de gobernanza de las TIC incluirá, en todo caso, la definición y ejecución de una estrategia global de transformación digital que garantice el uso adecuado de los recursos informáticos de acuerdo con las necesidades derivadas de la estrategia general del Gobierno, con el fin de mejorar la prestación de los servicios públicos a la ciudadanía y las empresas y la relación digital con las restantes administraciones públicas.

Artículo 2. Ámbito de aplicación.

El ámbito de aplicación de este real decreto se extiende a la Administración del Estado, entendiendo por tal la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes, de acuerdo con lo previsto en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

CAPÍTULO II.- Órganos con competencias en materia de Administración digital

Artículo 3. Comisión de Estrategia Sobre Tecnologías de la Información y las Comunicaciones (CETIC).

1. La Comisión de Estrategia sobre Tecnologías de la Información y las Comunicaciones de la Administración del Estado (CETIC) es un órgano colegiado que se adscribe al Ministerio para la Transformación Digital y de la Función Pública a través de su titular.

2. Forman parte de la Comisión, la persona titular del Ministerio para la Transformación Digital y de la Función Pública, que la preside, la persona titular de la Secretaría de Estado de Función Pública, a quien corresponde la Vicepresidencia primera, la persona titular de la Secretaría de Estado de Digitalización e Inteligencia Artificial, a quien corresponde la Vicepresidencia segunda, la persona titular de la Dirección de la Agencia Estatal de Administración Digital (en adelante, la Agencia), un representante de cada ministerio, que será la persona titular de la Subsecretaría o, en su caso, la persona titular del órgano superior que tenga atribuidas las competencias ministeriales sobre Tecnologías de la Información y Comunicaciones y Transformación Digital, la persona titular de la Dirección General de Gobernanza Pública, una persona en representación de la Abogacía General del Estado, que actuará con voz pero sin voto, y la persona titular de la Secretaría General de la Agencia, que actuará como Secretario.

3. Corresponden a la Comisión las siguientes funciones:

a) Fijar las líneas estratégicas, de acuerdo con la política establecida por el Gobierno, en materia de tecnologías de la información y las comunicaciones, para el impulso de la Administración digital en la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

b) Aprobar la propuesta de Estrategia en materia de tecnologías de la información y las comunicaciones de la Administración del Estado (en adelante «Estrategia TIC») para su elevación al Consejo de Ministros por la persona titular del Ministerio para la Transformación Digital y de la Función Pública.

c) Informar los anteproyectos de ley, los proyectos de disposiciones reglamentarias y otras normas de ámbito general que le sean sometidos por los órganos proponentes cuyo objeto sea la regulación en materia TIC de aplicación en la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes o de los recursos de carácter material y humano afectos a su desarrollo.

d) Definir las prioridades de inversión en materias TIC de acuerdo con la propuesta de Estrategia TIC.

e) Declarar transversales determinados medios o servicios comunes a propuesta del Consejo Rector de la Agencia. Asimismo, excepcionar del uso de los medios y servicios declarados transversales, a propuesta del Consejo Rector, cuando concurran razones económicas, técnicas o de oportunidad de origen o sobrevenidas.

f) Declarar los proyectos de interés prioritario a propuesta del Consejo Rector de la Agencia, previo informe del ministerio con competencia en la materia. Se considerarán como tales aquellos que, por sus especiales características, sean fundamentales para la mejora de la prestación de servicios a la ciudadanía y hayan de incluirse en el contrato de gestión y los planes anuales de actuación de la agencia.

g) Informar los proyectos sectoriales con impacto TIC de los respectivos departamentos que le sean sometidos.

h) Impulsar la colaboración y cooperación con las comunidades autónomas y las entidades locales para la puesta en marcha de servicios interadministrativos integrados y la compartición de infraestructuras técnicas y los servicios comunes que permitan la racionalización de los recursos TIC a todos los niveles del Estado.

4. La Comisión de Estrategia TIC elevará anualmente al Consejo de Ministros, a través de la persona titular de su presidencia, un informe en el que se recogerá el estado de la transformación digital de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

5. Asimismo, la persona titular de la Presidencia de la Agencia informará a los miembros de la Comisión de los proyectos de planes anuales de actuación de la Agencia y de los proyectos de contratos de gestión y de la estrategia de recursos humanos y distribución de efectivos TIC.

6. La Comisión se reunirá, al menos, trimestralmente por convocatoria de la persona que ostente la Presidencia, quien podrá invitar a incorporarse a las sesiones, con voz pero sin voto, a personas representantes de otros centros directivos e instituciones públicas.

Artículo 4. La Agencia Estatal de Administración Digital.

1. La Agencia, adscrita al Ministerio para la Transformación Digital y de la Función Pública a través de la persona titular de la Secretaría de Estado de Función Pública, es una entidad de Derecho público regulada en la sección 4.ª del capítulo III del título II de la Ley 40/2015, de 1 de octubre. Se rige por esta, por su Estatuto aprobado por el Real Decreto 1118/2024, de 5 de noviembre, y el resto de las normas de Derecho administrativo general y especial que le son de aplicación.

2. La actuación de la Agencia responde a los fines descritos en el artículo 2 de su Estatuto, para cuyo cumplimiento desempeña las funciones previstas en su artículo 7.

3. De acuerdo con lo previsto en la disposición adicional centésima décima séptima de la Ley 22/2021, de 28 de diciembre, de Presupuestos Generales del Estado para el año 2022, la Agencia coordinará funcionalmente las unidades de Tecnologías de la Información y Comunicaciones (TIC) a que se refiere el artículo 7 de este real decreto en los términos y con las excepciones previstas en la disposición adicional segunda del Real Decreto 1118/2024, de 5 de noviembre.

4. Además de las unidades TIC previstas en el artículo 7, por cada Departamento existirá una unidad TIC denominada «División de coordinación de los servicios TIC comunes y transversales», dependiente orgánica y funcionalmente de la Agencia, con objeto de coordinar la provisión de los servicios TIC comunes y transversales competencia de esta en cada Departamento y sus organismos públicos y entidades de Derecho público vinculados o dependientes. La persona titular de la División de coordinación, en su calidad de miembro de la respectiva Comisión Ministerial de Administración Digital, servirá de enlace para el cumplimiento de las funciones previstas en el artículo siguiente en lo que pueda afectar a la Agencia. La División tendrá el nivel orgánico que se determine en la Relación de Puestos de Trabajo.

5. La Presidencia del Gobierno queda excluida de la previsión establecida en el apartado anterior.

Artículo 5. Las Comisiones Ministeriales de Administración Digital.

1. En cada ministerio existirá una Comisión Ministerial de Administración Digital (en adelante, CMAD) como órgano colegiado de ámbito departamental que velará por el impulso y de la coordinación interna en materia de Administración Digital. El ámbito de actuación de la CMAD comprende todos los órganos del departamento y sus organismos y entidades de Derecho público vinculados o dependientes.

2. La CMAD estudiará y planificará las necesidades funcionales de las distintas áreas administrativas del ministerio, valorará las posibles vías de actuación, priorizándolas, y propondrá su desarrollo, todo ello evitando que se generen duplicidades, conforme al principio de racionalización, y promoviendo la compartición de infraestructuras y la utilización de medios y servicios digitales comunes y transversales.

3. La CMAD estará presidida por la persona titular de la Subsecretaría del departamento o la persona titular del órgano superior que tenga atribuidas las competencias ministeriales sobre TIC y transformación digital y estará integrada por las personas responsables de las unidades ministeriales de tecnologías de la información y las comunicaciones y las personas representantes de las áreas funcionales y de los organismos y entidades de Derecho público vinculados o dependientes, con rango mínimo de subdirector o subdirectora general o asimilado, que se determinen mediante orden ministerial.

La persona titular de la Presidencia de la CMAD podrá delegar esta función en la persona titular de una unidad del mismo departamento, con rango mínimo de director o directora general.

La Agencia será convocada a las reuniones de la CMAD, a las que podrá asistir con voz y sin voto. En el caso de la CMAD del Ministerio de Defensa, solo podrá asistir cuando se trate acerca de sistemas nacionales no clasificados.

4. La CMAD desempeñará las siguientes funciones:

a) Actuar como órgano de relación entre el departamento y sus organismos y entidades de Derecho público vinculados o dependientes y la Agencia, para asegurar la coordinación con los criterios y políticas definidas por el Ministerio para la Transformación Digital y de la Función Pública.

b) Impulsar, ejecutar y supervisar, en el ámbito del departamento, el cumplimiento de las directrices y el seguimiento de las pautas de actuación desarrolladas de acuerdo con lo previsto en el presente real decreto.

c) Promover la transformación digital, en el marco de las directrices propuestas por la Agencia y establecidas por la persona titular del Ministerio para la Transformación Digital y de la Función Pública.

d) Analizar las necesidades funcionales de las unidades de gestión del departamento y sus organismos y entidades vinculados o dependientes y evaluar las distintas alternativas de solución propuestas por las unidades TIC, identificando las oportunidades de mejora de eficiencia que pueden aportar las TIC, aplicando soluciones ya desarrolladas en el ámbito del Sector Público y estimando costes en recursos humanos y materiales que los desarrollos TIC asociados puedan suponer.

e) Impulsar la digitalización de los servicios y procedimientos del departamento con el fin de homogeneizarlos, simplificarlos, mejorar su calidad y facilidad de uso, así como las prestaciones ofrecidas a los ciudadanos y empresas, optimizando la utilización de los recursos TIC disponibles.

f) Colaborar con la Agencia en la identificación de los medios humanos, materiales y económicos que estén adscritos al departamento que pudieran ser susceptibles de participar en la consecución del objeto de este real decreto.

g) Cualesquiera otras que determine su orden ministerial reguladora, de acuerdo con el objetivo de impulso de la transformación digital del departamento y sus necesidades.

Artículo 6. Comité de Dirección de las Tecnologías de la Información y las Comunicaciones.

1. El Comité de Dirección de las Tecnologías de la Información y las Comunicaciones es un órgano de apoyo adscrito al Ministerio para la Transformación Digital y de la Función Pública, presidido por la persona titular de la Dirección de la Agencia.

2. Estará integrado por la persona responsable de la unidad de Tecnologías de la Información y Comunicaciones (unidad TIC, en adelante) de cada ministerio, así como las personas responsables de aquellas unidades TIC distintas a las anteriores que, por su relevancia, sean designadas para participar en el Comité por la persona titular de la Dirección de la Agencia. También formará parte del Comité una persona en representación de la Dirección General del Dato del Ministerio para la Transformación Digital y de la Función Pública con rango de subdirector general o equivalente.

3. El Comité de Dirección de las Tecnologías de la Información y las Comunicaciones actuará como órgano de coordinación y colaboración entre la Agencia y el resto de la Administración del Estado a fin de establecer una acción coordinada, de acuerdo con las líneas estratégicas definidas en cada momento.

4. Se podrán constituir los grupos de trabajo que se consideren convenientes para el adecuado desarrollo de sus funciones.

Artículo 7. Unidades de Tecnologías de la Información y Comunicaciones.

1. Las unidades TIC, se configuran como instrumentos fundamentales para la transformación digital de la Administración en los ámbitos sectoriales de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

2. Corresponde a las unidades TIC la provisión sectorial de medios y servicios TIC a sí mismas o a otras unidades administrativas, comprendiendo la realización de una o varias de las siguientes funciones:

a) Soporte, operación, implementación y/o gestión de sistemas informáticos corporativos o de redes de telecomunicaciones.

b) Desarrollo de aplicativos informáticos en entornos multiusuario.

c) Consultoría informática.

d) Seguridad de sistemas de información.

e) Atención técnica a usuarios.

f) Innovación en el ámbito de las TIC.

g) Administración digital.

h) Conformar la voluntad de adquisición de bienes o servicios en el ámbito de las TIC.

i) Todas aquellas funciones no previstas expresamente en las letras anteriores, que sean relevantes en materia TIC.

3. Las unidades TIC impulsarán, en el marco del Departamento, órgano, organismo público o entidad de Derecho público vinculado o dependiente al que pertenezcan, la transformación digital de los servicios sectoriales en sus ámbitos, identificando las oportunidades que les permitan sacar el máximo rendimiento a las TIC de acuerdo con las necesidades funcionales determinadas por las áreas administrativas a las que prestan sus servicios.

4. La Agencia, de forma coordinada con las unidades TIC a que se refiere este artículo, propondrá a los órganos competentes las áreas administrativas que deban ser atendidas por dichas unidades, de manera que se adapten a las nuevas necesidades derivadas de la declaración de medios o servicios transversales con el fin de mejorar la eficiencia y operatividad en la prestación de sus servicios.

CAPÍTULO III.- Modelo de gobernanza en el ámbito de las tecnologías de la información y las comunicaciones

Artículo 8. Estrategia en materia de tecnologías de la información y las comunicaciones.

El Gobierno, a iniciativa de la Comisión de Estrategia TIC y a propuesta de la persona titular del Ministerio para la Transformación Digital y de Función Pública aprobará la Estrategia TIC, así como sus revisiones.

La Estrategia TIC determinará los objetivos, principios y acciones para el desarrollo de la administración digital y la transformación digital de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

Artículo 9. Medios y servicios digitales comunes y declarados transversales.

1. A propuesta del Consejo Rector de la Agencia, previo análisis de su valor estratégico y de sus efectos económicos, y de acuerdo con lo previsto en el artículo 11.n) de su Estatuto, determinados medios o servicios comunes digitales de la Administración del Estado serán declarados como transversales por la Comisión de Estrategia TIC cuando, en razón de su naturaleza o del interés común, respondan a necesidades de un número significativo de unidades administrativas, coadyuvando a la transformación digital de la administración en mejores condiciones de eficacia y eficiencia. La Agencia podrá adoptar las medidas necesarias para su provisión compartida, bien por sí misma o a través de otras unidades TIC.

2. La utilización de los medios y servicios transversales será de carácter obligatorio y sustitutivo respecto a los medios y servicios particulares empleados por las distintas unidades.

3. Las unidades TIC velarán por el uso de los medios y servicios transversales. En este sentido, cuando las necesidades puedan ser comunes a más de un área funcional o unidad del mismo o de distinto ministerio, se escogerá la alternativa que permita compartir el servicio entre dichas áreas, salvo autorización expresa en sentido contrario de la persona titular de la Dirección de la Agencia.

4. Corresponde a la Agencia la elaboración, del Catálogo de Medios y Servicios Comunes, que incluirá también todos los declarados transversales por la Comisión de Estrategia TIC. Corresponde también a la Agencia su desarrollo, implantación y gestión, excepto la de aquellos que formando parte del Catálogo corresponden al Ministerio de Hacienda o la Agencia Estatal de Administración Tributaria, la Gerencia de Informática de la Seguridad Social o a otros departamentos u organismos o entidades de Derecho público vinculados o dependientes a los que a los que la CETIC atribuya dicho desarrollo e implantación.

En la planificación de la puesta en marcha de los medios y servicios digitales comunes y los declarados transversales y su efectiva implantación se valorarán las necesidades derivadas de las obligaciones de prestación de servicios que vengan desempeñando las unidades de los departamentos, organismos o entidades que hayan de intervenir.

Artículo 10. Proyectos de interés prioritario.

La CETIC podrá declarar proyectos de interés prioritario aquellos que tengan una singular relevancia y, especialmente, aquellos que tengan como objetivo la colaboración y cooperación con las comunidades autónomas y los entes que integran la Administración local y la Unión Europea en materia de administración digital.

La declaración de proyecto de interés prioritario se trasladará como recomendación al Ministerio de Hacienda y a la Comisión de Políticas de Gasto para que, en su caso, sea tenida en cuenta en la elaboración de los Presupuestos Generales del Estado.

CAPÍTULO IV.- Actuaciones en relación con la planificación en materia de Administración digital

Artículo 11. Planes de acción departamentales para la transformación digital.

1. Cada ministerio podrá contar con un Plan de acción para la transformación digital, que comprenderá las actuaciones en materia de Administración digital y tecnologías de la información y comunicaciones a desarrollar en el conjunto del departamento y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

2. La propuesta del plan se elaborará de acuerdo con las directrices de la Agencia Estatal y las líneas estratégicas establecidas por el Comité de Estrategia TIC y recogerá de forma concreta los servicios que el ministerio tiene previsto desarrollar, especialmente los dirigidos a la prestación de servicios a ciudadanos y empresas, su planificación temporal, los recursos humanos, técnicos y financieros necesarios y los contratos que se deben realizar para su ejecución.

3. La persona titular de la presidencia de la CMAD remitirá la propuesta de plan de acción departamental a la Agencia para su estudio y valoración y posterior elevación a la Comisión de Estrategia TIC, que lo informará con carácter previo a su aprobación por el órgano competente en el departamento ministerial.

En el plan de acción remitido podrán excluirse los medios y servicios específicos que afecten a la defensa, procesos electorales y consultas populares, situaciones de crisis y seguridad del Estado y los que manejen información clasificada, de acuerdo con lo dispuesto en la legislación reguladora de los secretos oficiales y en los Acuerdos internacionales.

4. La modificación de los Planes de acción departamentales para la transformación digital deberá ser informada por la Agencia.

Artículo 12. Información presupuestaria en materia TIC.

1. La Agencia, llevará a cabo el seguimiento del estado de ejecución de los presupuestos TIC de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes de acuerdo con lo previsto en Real Decreto 51/2024, de 16 de enero, por el que se aprueba el Programa anual 2024 del Plan Estadístico Nacional 2021-2024 así como de los gastos TIC e informará trimestralmente de ello a la Comisión de Estrategia TIC.

2. Al efecto de recopilar y consolidar la información a que se refiere el apartado anterior, cada una de las Comisiones Ministeriales de Administración Digital realizará el seguimiento de dicho estado de ejecución en su ámbito competencial y facilitará a la Agencia la información necesaria con la periodicidad y formato que esta determine.

CAPÍTULO V.- Actuaciones en relación con la contratación en materia de tecnologías de la información y las comunicaciones

Artículo 13. Competencias de la Agencia Estatal de Administración Digital en relación con la contratación en materia de tecnologías de la información y comunicaciones.

1. La Agencia elaborará y trasladará a los órganos competentes en materia de contratación, los criterios y directrices para la agregación y planificación de la demanda TIC en la Administración del Estado para una mejor ejecución del Plan Nacional de Recuperación, Transformación y Resiliencia, así como para una mayor eficiencia económica y su configuración como cliente único frente a proveedores externos.

2. La Agencia informará con carácter preceptivo la declaración de contratación centralizada de los contratos de suministros, obras y servicios en materia TIC, que corresponde a la persona titular del Ministerio de Hacienda a propuesta de la Dirección General de Racionalización y Centralización de la Contratación.

3. Para la contratación centralizada en materia TIC la Agencia establecerá los criterios técnicos y de oportunidad y la Dirección General de Racionalización y Centralización de la Contratación establecerá los criterios de contratación administrativa y gestión económica.

4. La Agencia realizará el informe técnico preceptivo de la memoria y los pliegos de prescripciones técnicas de las siguientes contrataciones de bienes y servicios informáticos, de forma previa a su licitación:

a) El suministro de equipos y programas para el tratamiento de la información, de acuerdo con lo establecido en el artículo 16.3 b) de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014 de Contratos del Sector Público.

b) Los contratos de servicios y mixtos, de acuerdo con lo establecido en los artículos 17 y 18 de la Ley 9/2017, de 8 de noviembre.

c) Los procedimientos especiales de contratación de suministros o servicios centralizados realizados mediante contrato, acuerdo marco o sistema dinámico.

d) Los convenios y encargos a medios propios que incluyan la prestación de servicios en materia de tecnologías de la información, comunicaciones o Administración Digital en el ámbito de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

5. Estarán excluidos del informe técnico a que se refiere el apartado anterior los contratos comprendidos en el ámbito de aplicación de la Ley 24/2011, de 1 de agosto, de contratos del sector público en los ámbitos de la defensa y de la seguridad, tributario y aduanero, así como los tramitados de conformidad con el artículo 168 a).3.º de la Ley 9/2017, de 8 de noviembre.

6. La Agencia recibirá la información necesaria sobre estas contrataciones a efectos estadísticos, de inventario y presupuestarios necesarios para el gobierno integral de las TIC. En cualquier caso, la recepción de la información se manejará y custodiará de acuerdo con la clasificación establecida y, en su caso, con lo dispuesto en la legislación reguladora de los secretos oficiales y en los Acuerdos internacionales.

7. Los expedientes sujetos a informe deberán indicar si son expedientes cuya financiación tendrá lugar con el presupuesto ordinario o con el presupuesto del Plan Nacional de Recuperación, Transformación y Resiliencia.

8. La solicitud del informe técnico y su posterior remisión se llevará a cabo en la forma que la Agencia establezca.

Artículo 14. Contenido y tramitación del informe técnico sobre la memoria y el pliego o documento de prescripciones técnicas en materia de tecnologías de la información.

1. El informe técnico de la memoria y del pliego o documento de prescripciones técnicas en materia de tecnologías de la información a que se refiere el apartado 4 del artículo anterior se centrará en su adecuación a las directrices dictadas por la Agencia, así como a la finalidad y adecuación tecnológica de la prestación que se propone contratar.

2. El informe técnico tendrá en cuenta los elementos de la memoria y del pliego o documento de prescripciones técnicas que contengan información relevante desde el punto de vista tecnológico y de los criterios para la transformación digital de los servicios.

3. La tramitación del informe técnico se realizará bajo los principios de simplicidad, celeridad y eficacia, y se racionalizarán los trámites administrativos para lograr su máxima sencillez y funcionalidad.

4. La Agencia evacuará el informe técnico en el plazo máximo de cinco días hábiles contados desde el siguiente a aquel en que la unidad TIC correspondiente haya formulado la solicitud y puesto a disposición de aquella la documentación completa del expediente a través de los medios a que se refiere el apartado 8 del artículo 13.

La persona titular de la Dirección de la Agencia podrá ampliar el plazo a que se refiere el párrafo anterior hasta un máximo de quince días hábiles en el caso de que, tras el análisis de la documentación remitida, se considere necesario por la naturaleza del objeto del contrato, convenio o encargo o la complejidad del estudio de su adecuación a que se refiere el apartado 1 anterior, lo que deberá comunicar al órgano solicitante.

5. Las Unidades TIC proporcionarán a la Secretaría General de la Agencia, a través de los medios que esta establezca, la información necesaria que permita un análisis permanente de los contratos TIC.

Disposición adicional primera. Carácter transversal de los medios y servicios comunes ya declarados compartidos.

A todos los efectos pasarán a tener la consideración y denominación de transversales los medios y servicios comunes que antes de la entrada en vigor de este real decreto fueron declarados como compartidos de acuerdo con lo previsto en el artículo 10 del Real Decreto 806/2014, de 19 de septiembre, sobre organización e instrumentos operativos de las tecnologías de la información y las comunicaciones en la Administración General del Estado y sus Organismos Públicos.

Disposición adicional segunda. Exclusión de propuesta de declaración como transversales de determinados medios y servicios.

Quedarán excluidos de la propuesta de declaración como transversales a que se refieren el artículo 9 los medios y servicios específicos que afecten al sistema tributario y aduanero, al sistema de Seguridad Social, a la defensa, procesos electorales y consultas populares, situaciones de crisis, seguridad pública y seguridad del Estado, a la tramitación de los asuntos en los órganos colegiados del Gobierno y sus órganos de apoyo, a los que manejen información clasificada, de acuerdo con lo dispuesto en la legislación aplicable a cada uno de dichos ámbitos y en los Acuerdos internacionales y a los sistemas de información del Sistema Nacional de Salud.

Disposición adicional tercera. Comisión de Trabajo TIC de ámbitos singularizados.

1. Se constituye una Comisión de Trabajo permanente presidida por la persona titular de la Dirección de la Agencia con objeto de intercambiar información en relación con las actividades de la Agencia y la de los departamentos, organismos y entidades que forman parte de la Comisión, incluyendo, en su caso, el análisis de sus proyectos de interés prioritario La Comisión de Trabajo se reunirá con la periodicidad que establezca la persona titular de la Dirección de la Agencia.

2. Formarán parte de la Comisión:

a) Una persona representante de la Presidencia del Gobierno con rango, al menos, de director general.

b) Una persona representante del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación con rango, al menos, de director general, propuesta por su titular.

c) Una persona representante del Ministerio de la Presidencia, Justicia y Relaciones con las Cortes con rango, al menos, de director general, propuesta por su titular.

d) La persona titular de la Dirección General de Transformación Digital de la Administración de Justicia del Ministerio de la Presidencia, Justicia y Relaciones con las Cortes.

e) La persona titular de la Dirección General del Centro de Sistemas y Tecnologías de la Información y las Comunicaciones del Ministerio de Defensa.

f) Una persona representante del Ministerio de Hacienda con rango, al menos, de director general, propuesta por su titular.

g) Una persona representante de la Agencia Estatal de Administración Tributaria con rango, al menos, de director general, propuesta por la persona titular de la Presidencia de la misma.

h) La persona titular de la dirección de la Oficina de Informática Presupuestaria de la Intervención General de la Administración del Estado.

i) La persona titular de la Subsecretaría de Interior.

j) La persona titular de la Dirección General de Coordinación y Estudios del Ministerio del Interior.

k) Una persona representante del Ministerio de Transportes y Movilidad Sostenible con rango, al menos, de director general, propuesta por su titular.

l) Una persona representante del Ministerio de Educación, Formación Profesional y Deportes con rango, al menos, de director general, propuesta por su titular.

m) Una persona representante del Ministerio de Trabajo y Economía Social, con rango, al menos, de director general, propuesta por su titular.

n) La persona titular de la Dirección del Servicio Público de Empleo Estatal.

ñ) Una persona representante del Ministerio de Agricultura, Pesca y Alimentación con rango, al menos, de director general, propuesta por su titular.

o) Una persona representante del Ministerio para la Transición Ecológica y el Reto Demográfico con rango, al menos, de director general, propuesta por su titular.

p) Una persona representante del Ministerio de Vivienda y Agenda Urbana con rango, al menos, de director general, propuesta por su titular.

q) Una persona representante del Ministerio de Cultura con rango, al menos, de director general, propuesta por su titular.

r) La persona titular de la Dirección General de Salud Digital y Sistemas de Información para el Sistema Nacional de Salud del Ministerio de Sanidad.

s) Una persona representante del Ministerio de Derechos Sociales, Consumo y Agenda 2030 con rango, al menos, de director general, propuesta por su titular.

t) Una persona representante del Ministerio de Ciencia, Innovación y Universidades con rango, al menos, de director general, propuesta por su titular.

u) Una persona representante del Ministerio de Igualdad con rango, al menos, de director general, propuesta por su titular.

v) Una persona representante del Ministerio de Inclusión, Seguridad Social y Migraciones con rango, al menos, de director general, propuesta por su titular.

w) La persona titular de la Gerencia de Informática de la Seguridad Social.

x) La persona titular de la Dirección General del Dato del Ministerio para la Transformación Digital y de la Función Pública.

y) Una persona representante del Ministerio de Juventud e Infancia con rango, al menos, de director general, propuesta por su titular.

Disposición adicional cuarta. Comisión de trabajo de seguimiento TIC y seguridad.

1. Se constituye una Comisión de Trabajo permanente de seguimiento de la seguridad de las TIC en el ámbito de la Administración General del Estado y sus organismos públicos y entidades de Derecho público vinculados o dependientes.

2. La preside la persona titular de la Dirección de la Agencia y forman parte de la misma:

a) La persona titular de la Dirección del Departamento de Seguridad Nacional.

b) La persona titular de la Dirección General del Centro de Sistemas y Tecnologías de la Información y las Comunicaciones del Ministerio de Defensa.

c) Una persona representante del Centro Criptológico Nacional (CCN-CNI), que será la persona titular de la Dirección o quien esta proponga, con rango al menos de subdirector general.

d) El Comandante del Mando Conjunto del Ciberespacio.

e) La persona titular de la Dirección General de Coordinación y Estudios del Ministerio del Interior.

f) La persona titular de la Dirección General de Política Interior del Ministerio del Interior.

g) La persona titular de la Dirección de Ciberseguridad, Tecnologías Disruptivas e Integridad de los Datos de la Agencia.

3. A la Comisión de Trabajo le corresponde el seguimiento de la actividad que desarrolla la Agencia en materia de ciberseguridad sin perjuicio de las competencias del Consejo Rector.

4. La Comisión de trabajo se reunirá con la periodicidad que se determine en su primera sesión, pudiendo celebrar sesiones extraordinarias por decisión de la persona titular de la Presidencia.

Disposición adicional quinta. Régimen jurídico de los órganos colegiados.

Disposición adicional sexta. Medios personales, técnicos y presupuestarios de los órganos colegiados.

De acuerdo con lo previsto en el Real Decreto 776/2011, de 3 de junio, por el que se suprimen determinados órganos colegiados y se establecen criterios para la normalización en la creación de órganos colegiados en la Administración General del Estado y sus Organismos Públicos, la creación y funcionamiento de los órganos colegiados que se regulan en este real decreto será atendido con los medios personales, técnicos y presupuestarios asignados al órgano superior o directivo en el cual se encuentren integrados.

Disposición adicional séptima. Protección de datos personales.

1. Los tratamientos de datos de carácter personal de las personas físicas se realizarán con estricta sujeción a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

3. En su condición de encargado del tratamiento y conforme dispone el artículo 28.3 del Reglamento general de protección de datos, la Agencia:

a) Tratará los datos personales según las instrucciones de los órganos y organismos a cuya disposición se pusieran las aplicaciones y servicios digitales.

d) A la finalización de la puesta a disposición de las aplicaciones y servicios digitales, facilitará la devolución de los datos al órgano u organismo.

Disposición transitoria primera. Constitución de la Agencia Estatal de Administración Digital.

1. Las referencias a la Agencia que figuran en este real decreto se entenderán realizadas a la Secretaría General de Administración Digital hasta que no se produzca su constitución efectiva de acuerdo con lo previsto en la disposición adicional primera del Real Decreto 1118/2024, de 5 de noviembre.

2. Las funciones de la Comisión de Estrategia Sobre Tecnologías de la Información y las Comunicaciones (CETIC) previstas en los párrafos e) y f) del artículo 3.3 no se ejercerán en tanto no se produzca constitución efectiva de la Agencia por medio de la sesión constitutiva de su Consejo Rector.

Disposición transitoria segunda. Informe técnico sobre contrataciones relacionadas con el Plan de Recuperación, Transformación y Resiliencia.

Cuando las contrataciones de bienes y servicios informáticos a que se refiere el artículo 13.4 estén relacionadas con el Plan de Recuperación, Transformación y Resiliencia, el informe técnico a que se refiere el artículo 14.1 se centrará, adicionalmente a las previsiones de dicho apartado, en su adecuación al Plan de Recuperación, Transformación y Resiliencia.

Disposición transitoria tercera. Regulación de las Comisiones Ministeriales de Administración Digital.

En el plazo de cinco meses desde la entrada en vigor de este real decreto se aprobarán las órdenes ministeriales reguladoras de las Comisiones Ministeriales de Administración Digital previstas en el artículo cinco, ajustadas a las estructuras ministeriales fijadas en el Real Decreto 1009/2023, de 5 de diciembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales, y los reales decretos de estructura de los respectivos ministerios. Mientras tanto, subsistirán con su actual estructura las Comisiones Ministeriales de Administración Digital existentes.

Disposición derogatoria única. Derogación normativa.

Quedan derogados el Real Decreto 806/2014, de 19 de septiembre, y cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en este real decreto.

Disposición final primera. Modificación del Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

El apartado 2 de la disposición adicional primera del Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, queda redactado como sigue:

«2. El Ministerio para la Transformación Digital y de la Función Pública, a propuesta de la Comisión Sectorial de Administración Electrónica prevista en la disposición adicional novena de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, aprobará las normas técnicas de interoperabilidad y las publicará mediante Resolución de la persona titular de la Secretaría de Estado de Función Pública.»

Disposición final segunda. Modificación del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

La disposición adicional segunda del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, queda redactada como sigue:

«Disposición adicional segunda. Desarrollo del Esquema Nacional de Seguridad.

En desarrollo de lo dispuesto en este real decreto, la persona titular del Ministerio para la Transformación Digital y de la Función Pública, a propuesta de la Comisión Sectorial de Administración Electrónica y a iniciativa del Centro Criptológico Nacional, aprobará las instrucciones técnicas de seguridad de obligado cumplimiento, que se publicarán mediante Resolución de la persona titular de la Secretaría de Estado de Función Pública.

Las instrucciones técnicas de seguridad tendrán en cuenta las normas armonizadas por la Unión Europea aplicables. Para su redacción y mantenimiento se constituirán los correspondientes grupos de trabajo en los órganos colegiados con competencias en materia de administración digital.

Para el mejor cumplimiento de lo establecido en este real decreto, el CCN, en el ejercicio de sus competencias, elaborará y difundirá las correspondientes guías de seguridad de las tecnologías de la información y la comunicación (guías CCN-STIC), particularmente de la serie 800, que se incorporarán al conjunto documental utilizado para la realización de las auditorías de seguridad.»

Disposición final tercera. Habilitación normativa.

Disposición final cuarta. Entrada en vigor.

Este real decreto entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

Dado en Madrid, el 5 de noviembre de 2024.

FELIPE R.

El Ministro para la Transformación Digital y de la Función Pública, ÓSCAR LÓPEZ ÁGUEDA

09Nov/24

Expediente 5924-D-2024, Proyecto de Ley de 9 de octubre de 2024

9 noviembre, 2024Argentina, Proyecto de LeyAALCC, Autoridad de aplicación, Código Penal de la Nación, Informe Asociación Argentina Lucha Cibercrimen, Ministerio Ciencia, phishing, Programa Nacional Información, Tecnología e Innovación, UFECI, Unidad Fiscal Especializada CiberdelincuenciaJosé Cuervo

Expediente 5924-D-2024, Proyecto de Ley de 9 de octubre de 2024. Programa Nacional de Información y Concientización en medios gráficos, virtuales, televisivos y radiales sobre la problemática del phishing.

PROYECTO DE LEY

La Honorable Cámara de Diputados y el Senado de la Nación sancionan con fuerza de ley…

“Programa Nacional de Información y Concientización en medios gráficos, virtuales, televisivos y radiales sobre la problemática del phishing”

Artículo 1°- Objeto.

La presente ley tiene por finalidad concientizar y prevenir sobre los efectos y consecuencias de la suplantación de identidad (en adelante phishing).

Artículo 2°- Definición.

A los efectos de la presente ley se entiende por phishing a la técnica de ingeniería social utilizada por personas u organizaciones que cometen los delitos previstos en el Capítulo III del Título V y el Capítulo IV del Título VI del Libro II del Código Penal de la Nación Argentina, a través de Internet o utilizando medios informáticos, con el fin de obtener información confidencial de forma fraudulenta y así apropiarse de la identidad de la víctima.

Artículo 3°- Creación.

Créase el “Programa Nacional de Información y Concientización en medios gráficos, virtuales, televisivos y radiales sobre la problemática del phishing”.

Artículo 4°- Autoridad de aplicación.

Desígnase como autoridad de aplicación del programa creado en el art. 3° al Ministerio de Seguridad de la Nación. Son facultades de la autoridad de aplicación:

a) Crear e implementar el “Programa Nacional de Información y Concientización en medios gráficos, virtuales, televisivos y radiales sobre la problemática del phishing”.

b) Impulsar estudios e investigaciones sobre el phishing a fin de identificar las causas que lo originan.

c) Capacitar a los agentes públicos en políticas, estrategias y técnicas tendientes a prevenir, controlar y erradicar el phishing.

d) Articular con todos los medios de comunicación, con jurisdicciones provinciales y municipales, con universidades nacionales y con otros organismos públicos o privados las medidas a difundir respecto a la utilización responsable y segura de los correos electrónicos, aplicaciones web y otras tecnologías de la información y la comunicación, como así también la difusión del fenómeno del phishing.

e) Implementar un programa de atención a víctimas de phishing, estableciendo medidas de acompañamiento y asesoramiento legal.

f) Desarrollar, en conjunto con el Banco Central de la República Argentina, protocolos de seguridad para evitar el phishing bancario, de tarjetas de crédito y de aplicaciones de fintech.

g) Coordinar, en conjunto con la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) del Ministerio Público Fiscal de la Nación y los Ministerios Públicos de las provincias y la Ciudad Autónoma de Buenos Aires, programas de capacitación y protocolos de información compartida para perseguir los delitos de phishing.

h) Coordinar, en conjunto con el Ministerio de Ciencia, Tecnología e Innovación o el que en un futuro lo reemplace, proyectos de investigación destinados a mejorar las medidas de seguridad y protección contra el phishing.

Artículo 5°-

Invítase a las provincias y a la Ciudad Autónoma de Buenos Aires a adherir a la presente ley.

Artículo 6°-

Facúltase al Jefe de Gabinete de Ministros a adecuar las partidas presupuestarias correspondientes para el cumplimiento de la presente ley.

Artículo 7°-

Comuníquese al Poder Ejecutivo de la Nación.

Diego Santilli, Diputado Nacional

FUNDAMENTOS

Señor Presidente,

El presente proyecto de ley fue originalmente presentado en el año 2022 por lo que se reproducen a continuación los fundamentos enunciados en dicha ocasión.

El presente proyecto de ley tiene por objeto instituir una campaña exhaustiva de información y concientización de suplantación de identidad, método de engaño reconocido como phishing, a través de spots publicitarios oficiales, tanto en medios de comunicación de índole televisiva, virtual, gráfica o radial. A su vez, se establece la coordinación con organismos estatales para desarrollar políticas públicas de prevención de daños y acompañamiento de las víctimas de estas prácticas delictivas.

En la actualidad, y tras las medidas de distanciamiento social producto de la pandemia por COVID-19, se implementaron progresivamente mecanismos de trámites a distancia realizados a través de plataformas virtuales.

Por este motivo, en el último tiempo se ha incrementado el uso de aplicaciones o portales web para acceder a servicios desde computadoras o dispositivos móviles.

En este sentido, D’Alessio IROL, una de las consultoras abocadas a recabar información sobre este tema, señala que “(…) entre septiembre de 2019 y septiembre de 2020 la cantidad de usuarios pasó de 35.1 millones a 40.3, es decir que un 89 por ciento de la población hoy se encuentra conectada. Afirmando que este incremento tiene que ver con el decreto del aislamiento social, preventivo y obligatorio que obligó a muchas personas a trabajar de manera remota (…)”.

Dicha situación ha aumentado exponencialmente el riesgo de los ciudadanos a ser víctimas de phishing. El phishing es una técnica de ingeniería social utilizada por ciberdelincuentes para obtener información confidencial de las y los usuarios de forma fraudulenta y acceder a sus cuentas personales, lo que les permite apropiarse de su identidad, y obtener un beneficio económico.

La prevención es la mejor manera de evitar que este tipo de hechos proliferen. La concientización sobre esta problemática impacta directamente en la disminución del riesgo de padecer este ciberdelito.

Es destacable que en el año 2019, la República Argentina se encontraba posicionada a nivel regional en el 4° puesto en materia de acoso por phishing, detrás de Venezuela, México y Brasil.

El ciberdelito se ha incrementado exponencialmente, tal es así que un informe de la Asociación Argentina de Lucha Contra el Cibercrimen (AALCC) señaló: “Esto ocurre porque se utilizan cada vez más los medios informáticos para todo. Los delincuentes se adaptan a las metodologías de los delitos”, advirtiendo que su organización recibía, antes de la pandemia, entre unas 200 y 300 llamadas por día, tanto de víctimas de delitos informáticos como de otras personas que consultaban o buscaban asesoramiento. Aunque todavía no tiene números propios, estima que durante la cuarentena este número se duplicó o triplicó. Cabe destacar que el 60,28% del total de los delitos informáticos de los últimos 5 años se reportaron en el 2020. Durante ese año, aumentaron un 61,12% las denuncias respecto del mismo período en análisis en el 2019.

Para revertir esta situación es necesario establecer campañas de difusión continuas y claras a fin de lograr concientizar a nuestra ciudadanía, así como coordinar políticas estatales para luchar contra este tipo de delitos. También existen diversas herramientas que pueden ser utilizadas para obtener la protección correspondiente, y es aquí donde los denominados “antivirus”, son de gran utilidad a la hora de detectar posibles amenazas. Pero de igual manera, lo más recomendable a la hora de protegerse, siempre será evitar el ingreso de las y los usuarios en los correos “spam” y/u otros mensajes dudosos o de personas que no sean conocidas.

Por tal motivo, entendemos de vital importancia, que se arbitren todas las medidas necesarias a fin de concientizar a la ciudadanía para la toma de todas las precauciones necesarias, y poder realizar el correspondiente cuidado. Entender la relevancia y la debida seriedad con la que debemos afrontar esta problemática, es un trabajo en conjunto y es una responsabilidad de todos.

Por todo lo aquí expuesto, solicito a mis pares me acompañen en el presente proyecto de ley.

Diego Santilli, Diputado Nacional

08Nov/24

Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital ( 2023/c 23/01)

8 noviembre, 2024Declaración, Europeaadministración electrónica, Década Digital, Declaración de Berlín, Declaración de Tallín, Democracía Digital, Derecho Informático, Itinerario hacia la Década Digital, Legislación Informática, Legislación Unión Europea, Transformación DigitalJosé Cuervo

Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital ( 2023/c 23/01) (Diario Oficial de la Unión Europea de 23 de enero de 2023)

Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital

(2023/C 23/01)

El Parlamento Europeo, el Consejo y la Comisión proclaman solemnemente la siguiente Declaración conjunta sobre los Derechos y Principios Digitales para la Década Digital

Preámbulo

Considerando lo siguiente:

(1) Tal como se consagra en el artículo 2 del Tratado de la Unión Europea, la Unión Europea (UE) es una «unión de valores» que se fundamenta en el respeto de la dignidad humana, la libertad, la democracia, la igualdad, el Estado de Derecho y el respeto de los derechos humanos, incluidos los derechos de las personas pertenecientes a minorías. Además, según la Carta de los Derechos Fundamentales de la Unión Europea, la UE está fundada sobre los valores indivisibles y universales de la dignidad humana, la libertad, la igualdad y la solidaridad. La Carta también reafirma los derechos que emanan, en particular, de las obligaciones internacionales comunes a los Estados miembros.

(2) La transformación digital afecta a todos los aspectos de la vida de las personas. Brinda grandes oportunidades para una mejor calidad de vida, el crecimiento económico y la sostenibilidad.

(3) Al mismo tiempo, la transformación digital presenta nuevos desafíos para nuestras sociedades democráticas, nuestras economías y para las personas. Con la aceleración de la transformación digital, ha llegado el momento de que la UE exprese cómo han de aplicarse en el mundo digital sus valores y sus derechos fundamentales que se aplican fuera de línea. La transformación digital no debe implicar un retroceso en los derechos. Lo que es ilegal fuera de línea, es ilegal en línea. La presente Declaración se entiende sin perjuicio de las «políticas fuera de línea», como tener acceso fuera de línea a servicios públicos esenciales.

(4) El Parlamento ha pedido en varias ocasiones el establecimiento de principios éticos que guíen el enfoque de la UE con respecto a la transformación digital, y que se garantice el pleno respeto de derechos fundamentales como la protección de datos, el derecho a la privacidad, la ausencia de discriminación, la igualdad de género, y de principios como la protección de los consumidores, la neutralidad tecnológica y de la red, la fiabilidad y la inclusividad. También ha pedido que se refuerce la protección de los derechos de los usuarios en el entorno digital, así como de los derechos de los trabajadores y el derecho a la desconexión (1).

(5) A partir de iniciativas previas como la «Declaración de Tallin sobre la administración electrónica» y la «Declaración de Berlín sobre la sociedad digital y el gobierno digital basado en valores», los Estados miembros, mediante la «Declaración de Lisboa: democracia digital con propósito», reclamaron un modelo de transformación digital que refuerce la dimensión humana del ecosistema digital y tenga como núcleo el mercado único digital. Los Estados miembros han reclamado un modelo de transformación digital que garantice la contribución de la tecnología a la acción por el clima y la protección del medio ambiente.

(6) La visión de la UE sobre la transformación digital sitúa a las personas en el centro, empodera a los ciudadanos e incentiva a las empresas innovadoras. La Decisión sobre el programa de política «Itinerario hacia la Década Digital» para 2030 establece las metas digitales concretas basadas en cuatro puntos cardinales: capacidades digitales, infraestructuras digitales, digitalización de las empresas y de los servicios públicos. La vía de la Unión para la transformación digital de nuestras sociedades y nuestra economía abarca en particular la soberanía digital de manera abierta, el respeto de los derechos fundamentales, el Estado de Derecho y la democracia, la inclusión, la accesibilidad, la igualdad, la sostenibilidad, la resiliencia, la seguridad, la mejora de la calidad de vida, la disponibilidad de servicios y el respeto de los derechos y aspiraciones de todas las personas. Debe contribuir a una economía y una sociedad dinámicas, eficientes en el uso de los recursos y justas en la UE.

(7) La presente Declaración expone las intenciones y compromisos políticos comunes y recuerda los derechos más importantes en el contexto de la transformación digital. La Declaración debe asimismo guiar a los responsables de las políticas cuando reflexionen sobre su concepción de la transformación digital: situar a las personas en el centro de la transformación digital; respaldar la solidaridad y la integración, mediante la conectividad, la educación, la formación y las capacidades digitales, unas condiciones de trabajo justas y equitativas, así como el acceso a los servicios públicos digitales en línea; recordar la importancia de la libertad de elección en la interacción con los algoritmos y los sistemas de inteligencia artificial, así como en un entorno digital equitativo; fomentar la participación en el espacio público digital; aumentar la seguridad, protección y empoderamiento en el entorno digital, en particular de los niños y jóvenes, al tiempo que se garantiza la privacidad y el control individual de los datos; promover la sostenibilidad. Los distintos capítulos de la presente Declaración deben constituir un marco de referencia integral y no deben leerse de forma aislada.

(8) La presente Declaración debe también servir de referencia a las empresas y otros agentes pertinentes a la hora de desarrollar e implantar nuevas tecnologías. A este respecto, es importante promover la investigación y la innovación. Asimismo, debe prestarse especial atención a las pymes y las empresas emergentes.

(9) Conviene reforzar el funcionamiento democrático de la sociedad y la economía digitales, en pleno respeto del Estado de Derecho, los recursos efectivos y el cumplimiento de la ley. La presente Declaración no afecta a los límites legales aplicables al ejercicio de derechos, a fin de conciliarlos con el ejercicio de otros derechos, ni a las restricciones necesarias y proporcionadas en aras del interés público.

(10) La presente Declaración se basa en el Derecho primario de la UE, en particular el Tratado de la Unión Europea, el Tratado de Funcionamiento de la Unión Europea, la Carta de los Derechos Fundamentales de la Unión Europea, así como en el Derecho derivado y la jurisprudencia del Tribunal de Justicia de la Unión Europea. Se basa también en el pilar europeo de derechos sociales y lo complementa. Tiene carácter declarativo y, por tanto, no afecta al contenido de las normas jurídicas ni a su aplicación.

(11) La UE debe promover la Declaración en sus relaciones con otras organizaciones internacionales y terceros países, en particular reflejando estos derechos y principios en sus relaciones comerciales, a fin de que sus principios guíen a los socios internacionales hacia una transformación digital que, en todo el mundo, sitúe a las personas y sus derechos humanos universales en el centro. La Declaración debe servir especialmente de referencia para las actividades en el contexto de las organizaciones internacionales, como la realización de la Agenda 2030 para el Desarrollo Sostenible, así como el enfoque multilateral de la gobernanza de internet.

(12) La promoción y aplicación de la Declaración son un compromiso político y una responsabilidad compartidos por la UE y sus Estados miembros dentro de sus respectivas competencias, en consonancia con el Derecho de la UE. La Comisión informará periódicamente al Parlamento y al Consejo de los progresos realizados. Los Estados miembros y la Comisión deben tener en cuenta los principios y derechos digitales establecidos en la presente Declaración cuando cooperen para alcanzar los objetivos generales que figuran en la Decisión sobre el programa de política «Itinerario hacia la Década Digital» para 2030.

Declaración sobre los Derechos y Principios Digitales para la Década Digital

Aspiramos a promover una vía europea para la transformación digital basada en los valores europeos y los derechos fundamentales de la UE, que sitúe a las personas en el centro, reafirme los derechos humanos universales y beneficie a todas las personas, empresas y a la sociedad en su conjunto.

Por consiguiente, declaramos lo siguiente:

CAPÍTULO I.- Una transformación digital centrada en las personas

1. Las personas constituyen el núcleo de la transformación digital de la Unión Europea. La tecnología debe servir y beneficiar a todas las personas que viven en la UE y empoderarlas para que cumplan sus aspiraciones, en total seguridad y respetando plenamente sus derechos fundamentales.

Nos comprometemos a:

a) fortalecer el marco democrático para una transformación digital que beneficie a todas las personas y mejore las vidas de todas las personas que viven en la UE;

b) adoptar las medidas necesarias para que los valores de la UE y los derechos de los ciudadanos reconocidos por el Derecho de la Unión se respeten tanto en línea como fuera de línea;

c) fomentar y garantizar una acción responsable y diligente por parte de todos los agentes digitales, públicos y privados, en el entorno digital;

d) promover activamente esta visión de la transformación digital, también en nuestras relaciones internacionales.

CAPÍTULO II.- Solidaridad e inclusión

2. La tecnología debe utilizarse para unir a las personas, no para dividirlas. La transformación digital debería contribuir a una sociedad y una economía equitativas e inclusivas en la UE.

Nos comprometemos a:

a) asegurarnos de que el diseño, el desarrollo, el despliegue y el uso de soluciones tecnológicas respeten los derechos fundamentales, permitan su ejercicio y promuevan la solidaridad y la inclusión;

b) llevar a cabo una transformación digital que no deje a nadie atrás. Debe beneficiar a todos, lograr el equilibrio de género e incluir, en particular, a las personas de edad avanzada, las personas que viven en zonas rurales, las personas con discapacidad o marginadas, vulnerables o privadas de derechos, y quienes actúen en su nombre. También debe promover la diversidad cultural y lingüística;

c) desarrollar marcos adecuados para que todos los agentes del mercado que se beneficien de la transformación digital asuman sus responsabilidades sociales y hagan una contribución justa y proporcionada a los costes de los bienes, servicios e infraestructuras públicos, en beneficio de todas las personas que viven en la UE.

Conectividad

3. Toda persona, con independencia del lugar de la UE en que se encuentre, debería tener acceso a una conectividad digital asequible y de alta velocidad.

Nos comprometemos a:

a) velar por que, en cualquier lugar de la UE, todas las personas, también aquellas con bajos ingresos, tengan acceso a una conectividad de alta calidad y dispongan de acceso a internet;

b) proteger y promover una internet neutral y abierta en la que no se bloqueen ni degraden injustificadamente los contenidos, los servicios ni las aplicaciones.

Educación, formación y capacidades digitales

4. Toda persona tiene derecho a la educación, la formación y el aprendizaje permanente y debería poder adquirir todas las capacidades digitales básicas y avanzadas.

Nos comprometemos a:

a) promover una educación y una formación digitales de alta calidad, también con vistas a colmar la brecha digital de género;

b) apoyar los esfuerzos que permiten a todos los estudiantes y docentes adquirir y compartir las capacidades y competencias digitales necesarias para una participación activa en la economía, la sociedad y los procesos democráticos, en particular la alfabetización mediática y el pensamiento crítico;

c) promover y respaldar los esfuerzos por dotar de conectividad, infraestructuras y herramientas digitales a todas las instituciones de educación y formación;

d) brindar a toda persona la posibilidad de adaptarse a los cambios provocados por la digitalización del trabajo mediante el perfeccionamiento y el reciclaje profesionales.

Condiciones de trabajo justas y equitativas

5. Toda persona tiene derecho a unas condiciones de trabajo equitativas, justas, saludables y seguras, así como a una protección adecuada en el entorno digital y en el puesto de trabajo físico, con independencia de su situación laboral y de la modalidad o la duración del empleo.

6. Las organizaciones sindicales y patronales desempeñan un papel importante en la transformación digital, en particular en lo relativo a la definición de unas condiciones de trabajo justas y equitativas, también en lo que respecta al empleo de herramientas digitales en el trabajo.

Nos comprometemos a:

a) velar por que toda persona pueda desconectar y beneficiarse de salvaguardias para asegurar el equilibrio entre vida privada y vida laboral en un entorno digital;

b) garantizar que las herramientas digitales no supongan ningún tipo de riesgo para la salud física y mental de los trabajadores en el entorno de trabajo;

c) garantizar el respeto de los derechos fundamentales de los trabajadores en el entorno digital, incluidos su derecho a la privacidad, el derecho de asociación, el derecho de negociación y acción colectiva, así como la protección frente a una vigilancia ilegal e injustificada;

d) garantizar que el uso de la inteligencia artificial en el lugar de trabajo sea transparente y siga un enfoque basado en los riesgos, y que se adopten las medidas de prevención correspondientes para mantener un entorno de trabajo seguro y saludable;

e) garantizar, en particular, que las decisiones importantes que afecten a los trabajadores cuenten con supervisión humana y que, en general, se los informe de que están interactuando con sistemas de inteligencia artificial.

Servicios públicos digitales en línea

7. Toda persona debe tener acceso en línea a los servicios públicos esenciales de la UE. No debe pedirse a nadie que facilite datos con más frecuencia de la necesaria al acceder a los servicios públicos digitales y utilizarlos.

Nos comprometemos a:

a) velar por que se ofrezca a las personas que viven en la UE la posibilidad de una identidad digital accesible, voluntaria, segura y fiable que proporcione acceso a una amplia gama de servicios en línea;

b) garantizar una accesibilidad y una reutilización a gran escala de la información del sector público;

c) facilitar y apoyar en toda la Unión un acceso fluido, seguro e interoperable a servicios públicos digitales diseñados para satisfacer eficazmente las necesidades de las personas, en particular servicios sanitarios y asistenciales digitales, especialmente el acceso a los historiales médicos electrónicos.

CAPÍTULO III.- Libertad de elección

Interacciones con algoritmos y sistemas de inteligencia artificial

8. La inteligencia artificial debe ser un instrumento al servicio de las personas y su fin último debe ser aumentar el bienestar humano.

9. Toda persona debería estar empoderada para beneficiarse de las ventajas de los sistemas algorítmicos y de inteligencia artificial, especialmente a fin de tomar sus propias decisiones en el entorno digital con conocimiento de causa, así como estar protegida frente a los riesgos y daños a su salud, su seguridad y sus derechos fundamentales.

Nos comprometemos a:

a) promover sistemas de inteligencia artificial centrados en el ser humano, fiables y éticos a lo largo de todo su desarrollo, despliegue y uso, en consonancia con los valores de la UE;

b) velar por un nivel adecuado de transparencia en el uso de los algoritmos y la inteligencia artificial y por que las personas estén informadas y capacitadas para utilizarlos cuando interactúen con ellos;

c) velar por que los sistemas algorítmicos se basen en conjuntos de datos adecuados para evitar la discriminación y permitir la supervisión humana de todos los resultados que afecten a la seguridad y los derechos fundamentales de las personas;

d) garantizar que las tecnologías como la inteligencia artificial no se utilicen para anticiparse a las decisiones de las personas en ámbitos como, por ejemplo, la salud, la educación, el empleo y la vida privada;

e) proporcionar salvaguardias y adoptar las medidas adecuadas, en particular promoviendo normas fiables, para que la inteligencia artificial y los sistemas digitales sean seguros y se utilicen en todo momento con pleno respeto de los derechos fundamentales de las personas;

f) adoptar medidas para garantizar que la investigación en inteligencia artificial respete las normas éticas más estrictas y la legislación pertinente de la UE.

Un entorno digital justo

10. Toda persona debería poder elegir de manera efectiva y libre qué servicios digitales utiliza sobre la base de información objetiva, transparente, fácilmente accesible y fiable.

11. Toda persona debería tener la posibilidad de competir en condiciones equitativas e innovar en el entorno digital. Esto también debería beneficiar a las empresas, incluidas las pymes.

Nos comprometemos a:

a) velar por un entorno digital seguro y protegido, basado en la competencia leal, en el que los derechos fundamentales estén protegidos, los derechos de los usuarios y la protección de los consumidores en el mercado único digital estén garantizados y las responsabilidades de las plataformas, especialmente los grandes operadores y los guardianes de acceso, estén bien definidas;

b) promover la interoperabilidad, la transparencia, las tecnologías y normas abiertas como forma de reforzar aún más la confianza en la tecnología, así como la capacidad de los consumidores para tomar decisiones autónomas y con conocimiento de causa.

CAPÍTULO IV.- Participación en el espacio público digital

12. Toda persona debería tener acceso a un entorno digital fiable, diverso y multilingüe. El acceso a contenidos diversos contribuye a un debate público plural y a la participación efectiva en la democracia de manera no discriminatoria.

13. Toda persona tiene derecho a la libertad de expresión y de información, así como a la libertad de reunión y de asociación en el entorno digital.

14. Toda persona debería poder acceder a la información sobre quién posee o controla los servicios de comunicación que utiliza.

15. Las plataformas en línea, en particular las plataformas en línea de muy gran tamaño, deberían apoyar el debate democrático libre en línea. Dado el papel de sus servicios en la configuración de la opinión y el discurso públicos, las plataformas en línea de muy gran tamaño deberían mitigar los riesgos derivados del funcionamiento y el uso de sus servicios, incluidos los relacionados con campañas de desinformación e información errónea, y proteger la libertad de expresión.

Nos comprometemos a:

a) seguir salvaguardando todos los derechos fundamentales en línea, en particular la libertad de expresión y de información, incluida la libertad y pluralismo de los medios de comunicación;

b) apoyar el desarrollo y el mejor uso de las tecnologías digitales para fomentar la implicación de las personas y la participación democrática;

c) adoptar medidas proporcionadas para combatir todas las formas de contenidos ilegales, respetando plenamente los derechos fundamentales, incluido el derecho a la libertad de expresión y de información, sin establecer ninguna obligación general de supervisión o censura;

d) crear un entorno digital en el que las personas estén protegidas contra la desinformación, la manipulación de la información y otras formas de contenidos nocivos, incluidos el acoso y la violencia de género;

e) apoyar el acceso efectivo a contenidos digitales que reflejen la diversidad cultural y lingüística de la UE;

f) capacitar a las personas para que puedan tomar decisiones concretas con libertad y limitar la explotación de las vulnerabilidades y los sesgos, en particular a través de la publicidad personalizada.

CAPÍTULO V.- Seguridad, protección y empoderamiento

Un entorno digital protegido y seguro

16. Toda persona debería tener acceso a tecnologías, productos y servicios digitales diseñados para estar protegidos, ser seguros y proteger la privacidad, lo que se traduce en altos niveles de confidencialidad, integridad, disponibilidad y autenticidad de la información tratada.

Nos comprometemos a:

a) adoptar nuevas medidas para promover la trazabilidad de los productos y garantizar que en el mercado único digital solo se comercialicen productos seguros que se ajusten a la legislación de la UE;

b) proteger los intereses de las personas, las empresas y las instituciones públicas frente a los riesgos de ciberseguridad y la ciberdelincuencia, especialmente frente a la violación de la seguridad de los datos personales, como la usurpación o la manipulación de identidad. Esto incluye requisitos de ciberseguridad para los productos conectados que se comercialicen en el mercado único;

c) combatir y responsabilizar a quienes traten de socavar, en la UE, la seguridad en línea y la integridad del entorno digital o fomenten la violencia y el odio por medios digitales.

Privacidad y control individual de los datos

17. Toda persona tiene derecho a la privacidad y a la protección de sus datos personales. Este último derecho incluye el control por parte de las personas de cómo se utilizan sus datos personales y con quién se comparten.

18. Toda persona tiene derecho a la confidencialidad de sus comunicaciones y de la información contenida en sus dispositivos electrónicos, y a no ser objeto de vigilancia en línea y seguimiento generalizado ilegales ni de medidas de interceptación.

19. Toda persona debería poder determinar su legado digital y decidir lo que debe hacerse tras su muerte con sus cuentas personales y la información que le concierna.

Nos comprometemos a:

a) garantizar que todas las personas tengan un control efectivo de sus datos personales y no personales, de conformidad con la normativa de la UE en materia de protección de datos y la legislación pertinente de la UE;

b) velar efectivamente por que las personas tengan la posibilidad de transferir con facilidad sus datos personales y no personales entre distintos servicios digitales en línea con derecho a la portabilidad de los datos;

c) proteger eficazmente las comunicaciones contra el acceso no autorizado de terceros;

d) prohibir la identificación ilegal y la conservación ilícita de registros de actividades.

Protección y empoderamiento de los niños y jóvenes en el entorno digital

20. Debería empoderarse a los niños y los jóvenes para que puedan tomar decisiones seguras y con conocimiento de causa y expresar su creatividad en el entorno digital.

21. Los materiales y servicios adaptados a cada edad deberían mejorar las experiencias, el bienestar y la participación de niños y jóvenes en el entorno digital.

22. Debe prestarse especial atención al derecho de los niños y los jóvenes a ser protegidos frente a todo tipo de delincuencia cometida o facilitada a través de tecnologías digitales.

Nos comprometemos a:

a) brindar oportunidades a todos los niños y los jóvenes para que adquieran las competencias y capacidades necesarias, en particular la alfabetización mediática y el pensamiento crítico, de modo que naveguen y participen en el entorno digital de manera activa y segura y tomen decisiones con conocimiento de causa;

b) promover experiencias positivas para niños y jóvenes en un entorno digital seguro y adaptado a su edad;

c) proteger a todos los niños y todos los jóvenes frente a los contenidos dañinos e ilegales, la explotación, la manipulación y el abuso en línea, y evitar que el espacio digital se utilice para cometer o facilitar delitos;

d) proteger a todos los niños y todos los jóvenes frente al seguimiento, la elaboración de perfiles y la segmentación ilegales, en particular con fines comerciales;

e) implicar a los niños y los jóvenes en el desarrollo de políticas digitales que les afecten.

CAPÍTULO VI.- Sostenibilidad

23. Para evitar que se cause un perjuicio significativo al medio ambiente y promover la economía circular, los productos y servicios digitales deberían diseñarse, producirse, utilizarse, repararse, reciclarse y eliminarse de manera que se atenúen sus efectos negativos en el medio ambiente y en la sociedad y se evite la obsolescencia programada.

24. Toda persona debería tener acceso a información precisa y fácil de entender sobre los efectos ambientales, el consumo de energía, la reparabilidad y vida útil de los productos y servicios digitales, que le permita tomar decisiones responsables.

Nos comprometemos a:

a) apoyar el desarrollo y la utilización de tecnologías digitales sostenibles que tengan un mínimo impacto negativo ambiental y social;

b) incentivar alternativas para los consumidores y modelos de negocio que sean sostenibles, y fomentar un comportamiento sostenible y responsable por parte de las empresas a lo largo de las cadenas de valor mundiales de productos y servicios digitales, también con vistas a luchar contra el trabajo forzoso;

c) promover el desarrollo, la implantación y el uso activo de tecnologías digitales innovadoras con efectos positivos en el medio ambiente y el clima, con el fin de acelerar la transición ecológica;

d) promover normas y etiquetas de sostenibilidad aplicables a los productos y servicios digitales.

________________________________________

(1) 2020/2216(INI); 2020/2018(INL); 2020/2019(INL); 2020/2022(INI); 2020/2012(INL); 2020/2014(INL); 2020/2015(INI); 2020/2017(INI); 2019/2186(INI); 2019/2181(INL); 2022/2266(INI).

06Nov/24

Expediente 6319-D-2024. Proyecto de Ley de 23 de octubre de 2024

6 noviembre, 2024Argentina, Proyecto de LeyCódigo Penal Nación, Convención Americana Derechos Humanos, Convención Derechos Niño, Derecho Informático, identidad digital, Legislación Informática, Ley 26.485, Ley 27.736, Ley Belén, Ley Olimpia, Pacto Internacional Derechos Civiles y Políticos, Proyecto 1123-D-2024José Cuervo

Expediente 6319-D-2024. Proyecto de Ley de 23 de octubre de 2024. Código Penal de la Nación. Modificaciones sobre delito de suplantación de identidad digital.

PROYECTO DE LEY . DELITO DE SUPLANTACIÓN DE IDENTIDAD DIGITAL

El Senado y Cámara de Diputados de la Nación Argentina, reunidos en Congreso … sancionan con fuerza de Ley.

Artículo 1°:

Modifícase el artículo 72, del Capítulo I, del Título XI, del Código Penal de la Nación, el que queda redactado de la siguiente manera:

“Artículo 72°:

Son acciones dependientes de instancia privada las que nacen de los siguientes delitos:

1. Los previstos en los artículos 119°, 120° y 130° del Código Penal cuando no resultare la muerte de la persona ofendida o lesiones de las mencionadas en el artículo 91°;

2. Lesiones leves, sean dolosas o culposas;

3. Impedimento de contacto de los hijos menores con sus padres no convivientes;

4. Los previstos en los artículos 139° ter del Código Penal.

En los casos de este artículo, no se procederá a formar causa sino por acusación o denuncia del agraviado, de su tutor, guardador o representantes legales. Sin embargo, se procederá de oficio:

a) En los casos del inciso 1, cuando la víctima fuere menor de 18 años de edad o haya sido declarada incapaz;

b) En los casos del inciso 2, cuando mediaren razones de seguridad o interés público;

c) En los casos de los incisos 2 y 3, cuando el delito fuere cometido contra un menor que no tenga padres, tutor ni guardador, o que lo fuere por uno de sus ascendientes, tutor o guardador, o cuando existieren intereses gravemente contrapuestos entre éstos y el menor, siempre que resultare más conveniente para el interés superior de aquél;

d) En los casos del inciso 4, cuando la víctima fuere menor de dieciocho (18) años o una persona con discapacidad.”

Artículo 2°: Incorpórase como artículo 139 ter del Código Penal de la Nación el siguiente:

“Artículo 139 ter: Será reprimido con prisión de seis (6) meses a dos (2) años o con multa de pesos seiscientos mil ($600.000) a pesos cuatro millones ($4.000.000) el que creare una identidad digital utilizando los datos filiatorios y/o imagen, seudónimo, nombre de usuario y/o cualquier otra característica que la identifique como tal, de una persona humana o jurídica sin su consentimiento o el que suplantare, se apoderare o utilizare la imagen y/o datos filiatorios, seudónimo, nombre de usuario y/o cualquier otra característica que la identifique como tal, de una persona humana o jurídica sin su consentimiento, en ambos casos mediante la utilización de tecnologías de la información y la comunicación o a través Internet, o medio de comunicación, con la intención de cometer un delito o causar un perjuicio, a la persona cuya identidad se suplanta o a terceros, u obtener beneficio para sí o para terceros

La pena será de prisión de uno (1) a cuatro (3) años, siempre y cuando no configure un delito más severamente penado, en los siguientes casos:

a) Si se realizare de forma sostenida en el tiempo o de modo tal que obligare a la víctima alterar su proyecto de vida;

b) Si la identidad digital creada, apropiada o utilizada fuere de una persona humana menor de 18 años;

c) Si el hecho se cometiere por persona que esté o haya estado unida a la víctima por matrimonio, unión convivencial o relación de pareja, mediare o no convivencia;

d) Si el hecho se cometiere por odio racial, religioso, de género o a la orientación sexual, identidad de género o su expresión;

e) si el hecho se cometiere contra una mujer mediando violencia de género;

f) Si el hecho se cometiere con el objeto de realizar una oferta de servicios sexuales a través de las tecnologías de la información y la comunicación o cualquier medio de comunicación.”

Artículo 3°: Comuníquese al Poder Ejecutivo.

Dip. Nac. Mónica Macha

FUNDAMENTOS

Sr. Presidente:

El derecho a la identidad es definido por la Corte Interamericana de Derechos Humanos como el conjunto de atributos y características que permiten la individualización de la persona en sociedad y, en tal sentido, comprende varios otros derechos según el sujeto de derechos de que se trate y las circunstancias del caso (1) Según el Comité Jurídico Interamericano “el derecho a la identidad es consustancial a los atributos y a la dignidad humana. Es en consecuencia un derecho humano fundamental oponible erga omnes como expresión de un interés colectivo de la Comunidad Internacional en su Conjunto que no admite derogación ni suspensión en los casos previstos por la Convención Americana sobre Derechos Humanos” (2) A su vez este derecho se encuentra incorporado en nuestro ordenamiento a través de múltiples tratados internacionales de DDHH con jerarquía constitucional como en los artículos 7 y 8 de la Convención sobre los Derechos del Niño, en el art. 24 del Pacto Internacional de Derechos Civiles y Políticos, y en el artículo 18 de la Convención Americana sobre Derechos Humanos.

En esta era la identidad no solo permite nuestra individualización en el plano analógico, sino que también existe una identidad digital que permite nuestra identificación en el mundo digital, y esta identidad, en conjunto con nuestra reputación digital, adquiere una relevancia fundamental en todas nuestras actividades. La identidad digital es definida como “la relación que existe entre una persona física, una organización o una empresa y su representación digital en Internet. Reúne la información de identificación de la persona, así como los atributos digitales que le son propios. Equivalente a un sistema de verificación de identidad en el mundo físico, como un documento de identidad, la identidad digital permite identificar de manera segura a una persona en Internet.” (3)

La suplantación de esta identidad digital es una de las conductas delictivas que más crecimiento ha tenido en los últimos años junto con el crecimiento del ciberdelito en general.

Se la define como “la acción de quienes se hacen pasar por otra persona, creando un perfil falso en las redes sociales o la web, o utilizando la imagen o los datos personales de otra persona para crearse una identidad digital, con la finalidad de causar un perjuicio a terceros o de cometer un ilícito” (4) aunque también puede tener como sujetos pasivos a personas jurídicas.

Esta conducta abarca innumerables combinaciones y posibilidades de ejecución, y es uno de los ciberdelitos que más rápido evoluciona y muta.

La conducta típica puede abarcar dos posibilidades: crear una identidad digital usando los datos filiatorios y/o imagen, seudónimo, nombre de usuario y/u otras características que identifique a una persona física o jurídica, o suplantar una identidad física o jurídica ya existente con esos mismos datos. Ambas conductas se encuentran incluidas en el proyecto traído a consideración en donde el bien jurídico protegido es la identidad de las personas físicas o jurídicas. Las conductas típicas podrán realizarse mediante la utilización de tecnologías de la información y la comunicación o a través Internet, o medio de comunicación, con la intención de cometer un delito o causar un perjuicio, a la persona cuya identidad se suplanta o a terceros, u obtener beneficio para sí o para terceros. De esta manera con el texto a consideración se buscan incluir todas las posibles variables de la suplantación de identidad

La conducta a incluir en el Código Penal tiene a grandes rasgos dos finalidades: por un lado es frecuente que se utilice para cometer otros delitos como estafas cibernéticas o fraudes financieros que terminan perjudicando a terceras personas que son engañadas por el victimario, esto incluye crear perfiles falsos de marcas o empresas para defraudar a los clientes o ingresar indebidamente a una cuenta o perfil para enviar mensajes o publicaciones fraudulentas, o conseguir datos de una persona física o jurídica a través de ingeniería social para luego implantarla y estafar a otras personas

La segunda finalidad es cuando se utiliza para causar un perjuicio a la identidad suplantada o a personas que la conocen. En este último caso la suplantación no solo opera vulnerando el derecho a la identidad de una persona física, sino que puede utilizarse para difamar o instigar abusos sexuales u otros delitos contra la víctima, difundir sus datos personales, material íntimo, sexual o de desnudez, para realizar acosos digitales, extorsiones, enviar malwares a terceros y otras conductas maliciosas. En estos casos la suplantación puede ser concebida como una forma de violencia digital por cuestiones de género consagrada a través de la 27.736 Ley Olimpia, que incorporó a nuestro ordenamiento jurídico esta forma de violencia dentro de la ley de protección integral a las mujeres, creado medidas de protección judiciales para las víctimas y diversas políticas públicas. El artículo 4 de la normativa define a la violencia digital o telemática y sus modalidades e incluye a la suplantación de identidad al mencionar que esta forma de violencia se entiende como toda conducta, acción u omisión en contra de las mujeres basada en su género que sea cometida, instigada o agravada, en parte o en su totalidad, con la asistencia, utilización y/o apropiación de las tecnologías de la información y la comunicación, con el objeto de causar daños físicos, psicológicos, económicos, sexuales o morales tanto en el ámbito privado como en el público a ellas o su grupo familiar, en especial conductas que atenten contra su integridad, dignidad e identidad. De hecho, la Ley Olimpia incorpora dentro de los derechos protegidos en la ley de protección integral a las mujeres, número 26.485, el respeto a la identidad de las mujeres en los espacios digitales.

La conducta a penalizarse tendrá una serie de agravantes que han sido adaptados de otros proyectos vigentes, y del Código Contravencional de la Ciudad de Buenos que ya castiga la suplantación de identidad. Habrá agravantes cuando la conducta se realizare de forma sostenida en el tiempo o de modo tal que obligare a la víctima alterar su proyecto de vida, hay personas que deben mudarse de ciudades, o cambiar de trabajos por la gravedad que revisten las difamaciones o agresiones que pueden sufrir luego de que alguien les suplantare la identidad. También se prevé un agravante cuando la identidad digital creada, apropiada o utilizada fuere de una persona humana menor de 18 años.

A su vez y si bien el tipo penal que pretende crearse con este proyecto es un tipo penal neutro, porque cualquier persona, independientemente de su identidad de género u orientación sexual, puede ser víctima o victimario, el proyecto a consideración tiene la adecuada y necesaria perspectiva de género y diversidad en 4 agravantes más teniendo en miras que gran parte de las personas que sufren estas agresiones son mujeres e integrantes de los colectivos LGTTBIQ+, agredidos por su condición de tales. Por eso se agravará la pena, si el hecho se cometiere por persona que esté o haya estado unida a la víctima por matrimonio, unión convivencial o similar relación de afectividad, aún sin convivencia, ya que gran parte de las víctimas son agredidas por personas con las que ha existido un vínculo sexo-afectivo previo. En segundo lugar y tomando como referencia el art. 80 del Código Penal, se agrega como agravante la existencia de, odio racial, de género o la orientación sexual, identidad o expresión de género para proteger a colectivos vulnerados y de la comunidad LGTTBIQ+. En tercer lugar y también tomando como referencia el artículo 80 del código penal se agravará la pena si el hecho se cometiere contra una mujer perpetrado por un hombre y mediando violencia de género, lo que permite castigar situaciones de violencia de género no domésticas, ya que en los entornos digitales los agresores muchas veces son desconocidos para la víctima, o bien han sido personas con las que no existió un vínculo socio afectivo, lo que puede incluir vecinos, compañeros laborales, de estudio, o etc. Y en cuarto lugar se agravará la pena si el hecho se cometiere con el objeto de realizar una oferta de servicios sexuales a través de las tecnologías de la información y la comunicación o cualquier medio de comunicación. El primer, segundo y tercer agravante como he mencionado ya están previstos para la figura del art. 80 del Código Penal y el proyecto 1123-D-2024 que penaliza otras formas de violencia de género digital. A su vez el primer y el último agravante ya están incluidos en el Código Contravencional de la CABA en la figura de suplantación de identidad.

Para poner en contexto, existen prácticas muy comunes de suplantar la identidad de una persona creando perfiles falsos desde los cuales difunden material íntimo de las víctimas, o en aplicaciones de citas en donde empiezan a interactuar con otros usuarios, dándoles las dirección de la casa, y han existido casos de mujeres que se han visto abordadas violentamente por varones con los que su perfil falso había concertado encuentros sexuales, también se crean perfiles en sitios donde se promociona la prostitución utilizando fotos y datos personales de la persona suplantada quien a parte de ese momento empieza a sufrir un hostigamiento sin precedentes que incluye que la puedan contactar miles de personas solicitando servicios sexuales, sin perjuicio de la difamación y el reproche moral que puede generarle que alguien que la conoce vea este perfil falso. Esta última conducta se agrava sobre todo cuando la persona que lo sufre es mujer o integrante del colectivo LGTTBIQ+ porque lamentablemente el reproche moral sobre estas identidades y sus conductas es mucho más virulento.

Este proyecto a consideración es un complemento de otros de mi autoría: la Ley Olimpia, y del proyecto 1123-D-2024 Ley Belén, que busca penalizar el ciberflashing, la obtención y difusión no consentida de material íntimo, los montajes pornográficos y la sextorsión. De esta manera buscamos ir incorporando al código penal las diferentes formas de violencia digital reconocidas por la Ley Olimpia conforme le ha solicitado el MESECVI a nuestro país en el informe CIBERVIOLENCIA Y CIBERACOSO CONTRA LAS MUJERES Y NIÑAS EN EL MARCO DE LA CONVENCIÓN BELÉM DO PARÁ. OEA y ONU Mujeres (5), en donde se destacó que el Estado debe realizar las reformas legislativas pertinentes para ampliar la dimensión de víctimas de ciberdelitos desde una perspectiva de género, los cuales se encuentran frecuentemente tipificados de forma neutra. También se les solicitó a los Estados parte que deben establecer procedimientos legales justos y eficaces para que las mujeres y las niñas víctimas de violencia en línea puedan acceder a la justicia, garantizándoles no sólo el acceso a recursos efectivos para procesar y condenar a los responsables de actos de violencia sino también para combatir la impunidad y prevenir una nueva victimización y futuros actos de violencia, y se solicitó que las víctimas de violencia digital cuenten con amplias posibilidades de ser escuchadas y actuar en los procesos de esclarecimiento de los hechos, de sanción de los responsables y de reparación.

Que asimismo en el debate legislativo en la votación de Ley Olimpia gran parte de las oradoras coincidieron en resaltar que de nada sirve que se cree legislación que reconozca a la violencia digital si no se legislan tipos penales que la sancionen adecuadamente, por lo que, si bien se ha dado un gran paso con la sanción de la ley Olimpia, necesitamos que la reforma integral sea completada.

Es sabido que la violencia de género tiene su origen en una relación de poder desigual que está presente en todos los ámbitos de nuestra vida y esto incluye los entornos digitales, por eso necesitamos que se sancionen las violencias telemáticas que producen efectos sumamente disvaliosos en la vida de quienes la sufren sin perjuicio de que la suplantación de identidad digital en general ha tenido un lamentable crecimiento desde el año 2020, afectando el patrimonio de miles de ciudadanos y empresas, y si bien las campañas de educación digital fueron creciendo, como he mencionado anteriormente las prácticas de suplantación se van reinventando y mutando y siempre encuentran nuevas víctimas.

Hace muchos años se vienen presentando proyectos para incorporar en el código penal esta figura, y nuestro Estado debe estar a la altura de las circunstancias en la lucha contra el cibercrimen.

Por las razones expuestas es que solicitamos la aprobación del presente Proyecto de Ley.

Dip. Nac. Mónica Macha

(1) Corte Interamericana de Derechos Humanos; Caso Gelman vs Uruguay; sentencia del 24/2/11; número 122

(2) Opinión aprobada por el Comité Jurídico Interamericano sobre el Alcance del Derecho a la Identidad (OEA); agosto de 2007; número 12

(3) BCdiploma. Que es la identidad digital. Disponible en: https://www.bcdiploma.com/es/blog/what-is-digital-identity

(4) Zerda Maria Florencia. Violencia de género digital. Editorial Hammurabi.2da edición. 2024

(5) CIBERVIOLENCIA Y CIBERACOSO CONTRA LAS MUJERES Y NIÑAS EN EL MARCO DE LA CONVENCIÓN BELÉM DO PARÁ. OEA y ONU Mujeres. Iniciativa Spotlight, 2022. Disponible en https://www.oas.org/es/mesecvi/docs/MESECVI-Ciberviolencia-ES.pdf

05Nov/24

Resolución 161/2023 RES-2023-161-APN-AAIP, de 30 de agosto de 2023

5 noviembre, 2024Argentina, ResoluciónAcceso Información Pública, Decisión administrativa 1094, Derecho Informático, inteligencia artificial, Legislación Argentina, Legislación Informática, Ley 27.275, Ley Protección Datos Personales, ONU, Recomendación sobre Ética, UNESCOJosé Cuervo

Resolución 161/2023 RES-2023-161-APN-AAIP, de 30 de agosto de 2023 de la Agencia de Acceso a la Información Pública. (Publicado el 4 de septiembre de 2023)

AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

Resolución 161/2023, RESOL-2023-161-APN-AAIP

Ciudad de Buenos Aires, 30/08/2023

VISTO el expediente EX-2023-92311005- -APN-AAIP, los Principios de la Organización para la Cooperación y el Desarrollo Económicos sobre Inteligencia Artificial, la Recomendación sobre la Ética de la Inteligencia Artificial de la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura, las Leyes N° 25.326 y N° 27.275, la Decisión Administrativa N° 1094 del 1 de noviembre de 2022, y

CONSIDERANDO:

Que, según lo establecido en el artículo 19 de la Ley N° 27.275, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP), ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, debe velar por el cumplimiento de los principios y procedimientos establecidos en la citada norma, garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover medidas de transparencia activa y actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales N° 25.326.

Que la ley N° 25.326 tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional; mientras que la Ley Nº 27.275 tiene por objeto garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover la participación ciudadana y la transparencia de la gestión pública (artículo 1°).

Que, en cumplimiento de su misión institucional, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA desarrolla diversas políticas de acceso a la información pública, protección de los datos personales, participación ciudadana y transparencia en la gestión pública, desde un enfoque de derechos humanos, con la finalidad de coadyuvar a la mejora de la calidad de vida de la población y de su acceso a derechos.

Que, conforme se dispuso mediante la Decisión Administrativa N° 1094/2022, la Dirección Nacional de Evaluación de Políticas de Transparencia tiene como responsabilidad primaria asistir a la titular de la Agencia en el diseño, ejecución y evaluación de sistemas de información, políticas de transparencia activa y campañas de difusión, así como en la instrumentación de proyectos y acciones que favorezcan la producción, sistematización, apertura y puesta a disposición de la ciudadanía la información pública tal como lo establece la Ley N° 27.275, en coordinación con las áreas de la Administración Pública Nacional con competencia en la materia.

Que la Decisión Administrativa antes mencionada también determina que la Dirección Nacional de Protección de Datos Personales tiene como responsabilidad primaria asistir a la titular de la Agencia en el diseño y ejecución de las políticas de privacidad de datos personales, gobernanza de datos e internet; así como en el ejercicio de sus funciones como como autoridad de aplicación y órgano de control de las Leyes N° 25.326 y N° 26.951.

Que la Organización para la Cooperación y el Desarrollo Económicos (OCDE) y los países socios, entre los que se encuentra Argentina, adoptaron el 21 de mayo de 2019, a partir de una Recomendación del Consejo sobre Inteligencia Artificial, un conjunto de directrices de políticas intergubernamentales sobre Inteligencia Artificial (IA) plasmadas en los “Principios de la OCDE sobre Inteligencia Artificial”; y convinieron en someterse a normas internacionales que velen por que el diseño de sistemas de IA robustos, seguros, imparciales y fiables.

Que la Recomendación citada, elaborada a partir de las orientaciones de un grupo de expertos procedentes de organizaciones gubernamentales, académicas, empresariales, sindicales y de la sociedad civil, comprende cinco principios basados en valores para el despliegue responsable de una IA fiable y cinco recomendaciones en materia de políticas públicas y cooperación internacional; y su objetivo es guiar a los gobiernos, organizaciones e individuos para que, en el diseño y la gestión de los sistemas de IA, prioricen los intereses de las personas, y garantizar que quienes diseñen y gestionen sistemas de IA respondan por su correcto funcionamiento.

Que en noviembre de 2021, los Estados miembros de la Conferencia General de la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura (UNESCO), entre los cuales se encuentra Argentina, adoptaron la “Recomendación sobre la Ética de la Inteligencia Artificial”, donde se considera a la ética como una base dinámica para la evaluación y la orientación normativa de las tecnologías de la IA, tomando como referencia la dignidad humana, el bienestar y la prevención de daños, y apoyándose en la ética de la ciencia y la tecnología.

Que la mencionada Recomendación trata sobre las cuestiones éticas relacionadas con la IA, abordándolas como una reflexión normativa sistemática, basada en un marco integral, global, multicultural y evolutivo de valores, principios y acciones interdependientes, que puede guiar a las sociedades a la hora de afrontar de manera responsable los efectos conocidos y desconocidos de las tecnologías de la IA en los seres humanos, las sociedades y el medio ambiente y los ecosistemas, ofreciendo una base para aceptar o rechazar las tecnologías de la IA.

Que mediante la Disposición N° 2/2023 de la SUBSECRETARÍA DE TECNOLOGÍAS DE LA INFORMACIÓN, dependiente de la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS DE LA NACIÓN, se aprobaron las “Recomendaciones para una Inteligencia Artificial Fiable”, que incorpora a los principios de transparencia y explicabilidad, seguridad y protección, equidad y no discriminación, derecho a la intimidad y protección de datos, supervisión y decisión humanas, sensibilización y educación, y responsabilidad y rendición de cuentas, entre otros, como dimensiones clave a considerar para la implementación de proyectos de IA.

Que los antecedentes mencionados incluyen entre sus principios y recomendaciones para una adopción beneficiosa de la Inteligencia Artificial, a la transparencia y la explicabilidad de sus sistemas, de modo que las personas puedan comprender cómo se toman y aplican las decisiones y cómo se llega a determinados resultados.

Que, asimismo, los instrumentos mencionados en los párrafos anteriores resaltan la importancia de la privacidad y la protección de los datos personales en el marco del uso de sistemas de inteligencia artificial, en lo que refiere a la recopilación, utilización, sesión, archivo y supresión de datos personales, respetando los marcos jurídicos nacionales, regionales e internacionales pertinentes.

Que, a efectos de dotar de mayor seguridad y legitimidad al uso de los sistemas de inteligencia artificial, resulta necesario fortalecer las capacidades institucionales que permitan incorporar la transparencia y la protección de datos personales como dimensiones sustantivas y transversales al diseño de proyectos de desarrollo tecnológico en materia de inteligencia artificial.

Que, por los motivos expuestos, resulta oportuno y conveniente la creación de un “Programa de transparencia y protección de datos personales en el uso de la Inteligencia Artificial”, con el objetivo de impulsar procesos de análisis, regulación y fortalecimiento de capacidades estatales necesarias para acompañar el desarrollo y uso de la inteligencia artificial, tanto en el sector público como en el ámbito privado, garantizando el efectivo ejercicio de los derechos de la ciudadanía en materia de transparencia y protección de datos personales.

Que el Servicio Jurídico permanente de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA tomó la intervención previa de su competencia.

Que la presente medida se dicta en uso de las facultades conferidas por el artículo 24, incisos e), g), k) y t), de la Ley N° 27.275; y 29, inciso a), de la Ley N° 25.326.

Por ello,

LA DIRECTORA DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1°

Créase el “Programa de transparencia y protección de datos personales en el uso de la Inteligencia Artificial”, cuya formulación, como Anexo IF-2023-99735227-APN-AAIP, forma parte integrante de la presente medida.

ARTÍCULO 2°

Instruyese a las Direcciones Nacionales de Evaluación de Políticas de Transparencia y de Protección de Datos Personales para la realización conjunta de las acciones necesarias para la ejecución del programa creado por el artículo 1° y el establecimiento de los mecanismos adecuados para su monitoreo y evaluación.

ARTÍCULO 3°

Comuníquese, publíquese, dese a la Dirección Nacional del Registro Oficial y archívese.

Beatriz de Anchorena

05Nov/24

Actualización de 3 de mayo de 2024, de la Recomendación del Consejo de Inteligencia Artificial

5 noviembre, 2024Consejo de Inteligencia Artificial, RecomendaciónAgenda 2030, Comité de Política Digital, Derecho Informático, IA, inteligencia artificial, Legislación Informática, OCDE, Organización Cooperación Desarrollo Economicos, privacidad, Protección del consumidor, Seguridad DigitalJosé Cuervo

Actualización de 3 de mayo de 2024, de la Recomendación del Consejo de Inteligencia Artificial de 22 de mayo de 2019 de la Organización por la Cooperación y Desarrollo Económicos sobre la Inteligencia Artificial

EL CONSEJO,

TENIENDO EN CUENTA el artículo 5(b) de la Convención de la Organización para la Cooperación y el Desarrollo Económicos de 14 de diciembre de 1960;

TENIENDO EN CUENTA las normas elaboradas por la OCDE en las áreas de privacidad, seguridad digital, protección del consumidor y conducta empresarial responsable;

TENIENDO EN CUENTA los Objetivos de Desarrollo Sostenible recogidos en la Agenda 2030 para el Desarrollo Sostenible, adoptada por la Asamblea General de las Naciones Unidas (A/RES/70/1), así como la Declaración Universal de Derechos Humanos de 1948;

TENIENDO EN CUENTA el importante trabajo que está efectuándose en materia de inteligencia artificial (en lo sucesivo, «IA») en otros foros internacionales de carácter gubernamental y no gubernamental;

RECONOCIENDO que la IA tiene repercusiones generalizadas, de amplio calado y de ámbito mundial que están transformando sociedades, sectores económicos y el mundo laboral, y probablemente lo hagan cada vez más en el futuro;

RECONOCIENDO que la IA tiene potencial para mejorar el bienestar general de las personas, para contribuir a una actividad económica mundial positiva y sostenible, para aumentar la innovación y la productividad y para ayudar a responder ante retos mundiales clave;

RECONOCIENDO que, al mismo tiempo, estas transformaciones pueden tener efectos dispares en y entre las sociedades y las economías y sobre todo en relación con los cambios económicos, la competencia, las transiciones en el mercado laboral, las desigualdades y las implicaciones para la democracia y los derechos humanos, la privacidad y la protección de datos y la seguridad digital;

RECONOCIENDO que la confianza es un vector clave de la transformación digital; que, si bien la naturaleza de las futuras aplicaciones de la IA y sus implicaciones pueden resultar difíciles de predecir, la fiabilidad de los sistemas de IA es un factor determinante para la difusión y adopción de esta tecnología; y que se necesita un debate público bien informado y de toda la sociedad con vistas a aprovechar el potencial beneficioso de la tecnología, limitando al mismo tiempo los riesgos que lleva aparejados;

SUBRAYANDO que determinados marcos jurídicos, reglamentarios y normativos nacionales e internacionales ya hacen alusión a la IA, incluidos los relativos a los derechos humanos, la protección de los consumidores y los datos de carácter personal, los derechos de propiedad intelectual, la conducta empresarial responsable y la competencia, señalando, no obstante, que podría ser necesario evaluar la idoneidad de algunos marcos y desarrollar nuevos enfoques;

RECONOCIENDO que, a la vista del rápido desarrollo e implantación de la IA, se necesita un marco de políticas estable que promueva un enfoque de la IA fiable centrado en las personas, aliente la investigación, preserve los incentivos económicos para innovar y se aplique a todas las partes interesadas en función de su papel y el contexto;

CONSIDERANDO que, con el fin de promover la adopción de una IA fiable en la sociedad y convertir la fiabilidad de la IA en un parámetro competitivo en el mercado internacional, resulta esencial aprovechar las oportunidades que ofrecen las aplicaciones de IA, abordando los retos que plantean, y capacitar a las partes interesadas para interactuar con ella.

En lo concerniente a la propuesta del Comité de Política Digital:

I. ACUERDA que, a los efectos de la presente Recomendación, se utilicen las siguientes definiciones:

‒ Sistema de IA: Un sistema de IA es un sistema basado en máquinas que, para objetivos explícitos o implícitos, infiere, a partir de los datos de entrada que recibe, cómo generar información de salida como predicciones, contenidos, recomendaciones o decisiones, que pueden influir en entornos reales o virtuales. Una vez implementados, los distintos sistemas de IA presentan diversos niveles de autonomía y varían en su capacidad de adaptación.

‒ Ciclo de vida del sistema de IA: El ciclo de vida de un sistema de IA comprende generalmente varias fases: planificación y diseño; recopilación y tratamiento de datos; creación de modelo(s) y/o adaptación de modelo(s) existente(s) a tareas específicas; prueba, evaluación, verificación y validación; entrada en servicio/despliegue; explotación y supervisión; y retirada/desmantelamiento. Estas fases a menudo se desarrollan de forma iterativa y no son necesariamente secuenciales. La decisión de dejar de explotar un sistema de IA puede producirse en cualquier momento durante la fase de explotación y supervisión.

‒ Actores de la IA: Los actores de IA son aquellos que desempeñan un papel activo en el ciclo de vida del sistema de IA, como las entidades y personas que despliegan y explotan la IA.

‒ Conocimientos sobre IA: Los conocimientos sobre IA se refieren a las competencias y recursos, como los datos, el código informático, los algoritmos, los modelos, la investigación, el knowhow, los programas de formación, la gobernanza, los procesos y las buenas prácticas que se requieren para comprender y participar en el ciclo de vida de la IA, incluida la gestión de los riesgos.

‒ Partes interesadas: Por partes interesadas se entiende todas las entidades y personas que participan o se ven afectadas directa o indirectamente por los sistemas de IA. Los actores de la IA son un subconjunto de las partes interesadas.

Sección 1: Principios de administración responsable en aras de una IA fiable

II. RECOMIENDA que los Miembros y no Miembros que se adhieran a esta Recomendación (en lo sucesivo, los «Adherentes») promuevan y apliquen los siguientes principios de administración responsable en aras de una IA fiable, que son importantes para todas las partes interesadas.

III. INSTA a todos los actores de la IA a promover e implantar, de acuerdo con sus respectivas funciones, los siguientes principios de administración responsable en aras de una IA fiable.

IV. SUBRAYA que los siguientes principios son complementarios y deberían considerarse como un conjunto.

1.1. Crecimiento inclusivo, desarrollo sostenible y bienestar

Las partes interesadas deberían poner en marcha activamente la administración responsable en aras de una IA fiable en busca de resultados beneficiosos para las personas y el planeta, como aumentar las capacidades del ser humano y estimular la creatividad, avanzar en la inclusión de poblaciones infrarrepresentadas, reducir las desigualdades económicas, sociales, de género y de otra índole, y proteger los entornos naturales, reforzando de este modo el crecimiento inclusivo, el bienestar, el desarrollo sostenible y la sostenibilidad medioambiental.

1.2. Respetar el Estado de derecho, los derechos humanos y los valores democráticos, incluidas la equidad y la privacidad

a) Los actores de la IA deben respetar el Estado de derecho, los derechos humanos, los valores democráticos y los centrados en el ser humano a lo largo del ciclo de vida de los sistemas de IA. Por ejemplo, la no discriminación y la igualdad, la libertad, la dignidad, la autonomía de las personas, la privacidad y la protección de datos, la diversidad, la equidad, la justicia social y los derechos laborales reconocidos internacionalmente. Esto también comprende abordar la información engañosa y la desinformación amplificadas por la IA, respetando al mismo tiempo la libertad de expresión y otros derechos y libertades protegidos por el Derecho internacional aplicable.

b) Para ello, los actores de la IA deben poner en marcha mecanismos y garantías, como la capacidad de intervención y supervisión humana, lo que incluye abordar riesgos derivados de usos distintos del fin perseguido, usos indebidos intencionados o usos indebidos no intencionados, de forma apropiada al contexto y coherente con el estado actual de la tecnología.

1.3. Transparencia y explicabilidad

Los actores de la IA deberían comprometerse con la transparencia y una divulgación responsable en relación con los sistemas de IA. Para ello, deben proporcionar información significativa que sea adecuada para la situación específica y se ajuste al estado actual de la tecnología:

i. para fomentar una comprensión general de los sistemas de IA, incluidas sus capacidades y limitaciones,

ii. para poner en conocimiento de las partes interesadas sus interacciones con los sistemas de IA, también en el lugar de trabajo,

iii. cuando resulte viable y útil, para suministrar información transparente y comprensible sobre las fuentes de datos/entradas, los factores, los procesos y/o el razonamiento que subyace a las predicciones, contenidos, recomendaciones y decisiones, para permitir a los afectados por un sistema de IA comprender los resultados, y

iv. para suministrar información que permita a los afectados negativamente por un sistema de IA cuestionar sus resultados.

1.4. Solidez, seguridad y protección

a) A lo largo de su vida útil, los sistemas de IA deben ser robustos, seguros y estar protegidos de tal modo que, en condiciones de uso normal, uso previsible o uso indebido, u otras condiciones adversas, funcionen adecuadamente y no planteen riesgos excesivos en materia de seguridad y/o protección.

b) Deben existir mecanismos para, cuando proceda, garantizar que, si los sistemas de IA amenazan con provocar daños indebidos o muestran un comportamiento indeseado, estos puedan ser invalidados, corregidos y/o desmantelados de forma segura, según sea necesario.

c) Cuando sea técnicamente viable, deben existir mecanismos para reforzar la integridad de la información y, al mismo tiempo, garantizar el respeto de la libertad de expresión.

1.5. Responsabilidad

a) Los actores de la IA deben ser responsables del correcto funcionamiento de los sistemas de IA y del respeto de los principios anteriores, de acuerdo con sus funciones, el contexto y el estado de la tecnología.

b) Para ello, los actores de la IA deben garantizar la trazabilidad, entre otros elementos, de los conjuntos de datos, los procesos y las decisiones tomadas durante el ciclo de vida del sistema de IA con el fin de permitir el análisis de los resultados del sistema de IA y garantizar que las respuestas sean adecuadas al contexto específico y coherentes con el estado de la tecnología.

c) Los actores de la IA, de acuerdo con sus funciones, el contexto y su capacidad de actuación, deben aplicar de forma permanente un enfoque sistemático de la gestión de riesgos a cada fase del ciclo de vida del sistema de IA y adoptar una conducta empresarial responsable a la hora de abordar los riesgos relacionados con los sistemas de IA, lo que comprende, cuando proceda, la cooperación entre diferentes actores de la IA, proveedores de conocimientos y recursos de IA, usuarios de sistemas de IA y otras partes interesadas. Los riesgos comprenden los relacionados con un sesgo dañino, con los derechos humanos, como la seguridad, la protección y la privacidad, así como con los derechos laborales y de propiedad intelectual.

Sección 2: Políticas nacionales y cooperación internacional en aras de una IA fiable

V. RECOMIENDA que los Adherentes pongan en marcha las siguientes recomendaciones, que son coherentes con los principios de la sección 1, en sus políticas nacionales y su cooperación internacional, prestando especial atención a las pequeñas y medianas empresas (pymes).

2.1. Invertir en investigación y desarrollo de la IA

a) Los gobiernos deben considerar la inversión pública a largo plazo y alentar también la inversión privada en investigación y desarrollo y ciencia abierta, incorporando los esfuerzos interdisciplinares, para estimular la innovación en IA fiable que se centre en cuestiones técnicas complejas y en las implicaciones sociales, jurídicas y éticas y las cuestiones normativas relacionadas con la IA.

b) Los gobiernos también deberían considerar la inversión pública y alentar la inversión privada en herramientas de código fuente abierto y conjuntos de datos abiertos que sean representativos y respeten la privacidad y la protección de datos con vistas a sostener un entorno de investigación y desarrollo de la IA que esté libre de sesgos perjudiciales y mejore la interoperabilidad y uso del estándares.

2.2. Fomentar un ecosistema inclusivo que propicie la IA

Los gobiernos también deberían fomentar el desarrollo y el acceso a un ecosistema digital inclusivo, dinámico, sostenible e interoperable en aras de una IA fiable. Un ecosistema de estas características comporta, inter alia, datos, tecnologías de IA, infraestructuras informáticas y de conexión y mecanismos para compartir los conocimientos sobre la IA, cuando proceda. A este respecto, los gobiernos deberían considerar la promoción de mecanismos para garantizar una difusión segura, justa, legal y ética de los datos, como los denominados data trusts o administradores de datos.

2.3. Dar forma a un entorno político y de gobernanza interoperable propicio para la IA

a) Los gobiernos deben promover un entorno de políticas ágil que sostenga la transición desde la fase de investigación y desarrollo hasta la fase de despliegue y explotación de sistemas de IA fiables. Para ello, deberían considerar usar la experimentación con el fin de crear un entorno controlado en el que los sistemas de IA puedan probarse y, en su caso, ampliarse. También deberían adoptar enfoques basados en los resultados que aporten flexibilidad a la hora de alcanzar los objetivos de gobernanza y cooperar tanto dentro de las jurisdicciones como entre ellas para promover entornos políticos y de gobernanza interoperables, cuando proceda.

b) Los gobiernos deberían revisar y adaptar, cuando proceda, sus marcos políticos y normativos , así como sus mecanismos de evaluación a la hora de aplicarlos a los sistemas de IA para fomentar la innovación y la competencia en aras de una IA fiable.

2.4. Reforzar las capacidades del ser humano y prepararse para la transformación del mercado laboral

a) Los gobiernos deberían trabajar en estrecha colaboración con las partes interesadas con el fin de prepararse para la transformación del mundo laboral y de la sociedad. Deberían capacitar a las personas para usar e interactuar eficazmente con los sistemas de IA en todo el espectro de aplicaciones, dotándolas también de las competencias necesarias.

b) Los gobiernos deberían tomar medidas, en particular a través del diálogo social, a fin de garantizar una transición justa para los trabajadores a medida que se despliegue la IA, por ejemplo mediante programas de formación a lo largo de la vida laboral, prestando apoyo a los afectados por el cambio, entre otras cosas, mediante la protección social, y brindando acceso a nuevas oportunidades laborales.

c) Los gobiernos también deberían fijarse como meta que los efectos beneficiosos de la IA se repartan de forma amplia y justa y, a tal fin, deberían colaborar estrechamente con las partes interesadas para fomentar el uso responsable de la IA en el trabajo, para mejorar la seguridad de los trabajadores y la calidad del empleo y de los servicios públicos, y para alentar el emprendimiento y la productividad.

2.5. Cooperación internacional en aras de una IA fiable

a) Los gobiernos, incluidos los países en desarrollo y en colaboración con las partes interesadas, deberían cooperar activamente para promover estos principios y progresar en la administración responsable en aras de una IA fiable.

b) Los gobiernos deberían trabajar juntos en el seno de la OCDE y otros foros internacionales y regionales para alentar la difusión de los conocimientos sobre la IA, cuando proceda. Deberían fomentar iniciativas internaciones, intersectoriales y abiertas entre las diferentes partes interesadas para recabar conocimientos especializados a largo plazo sobre la IA.

c) Los gobiernos deberían promover el desarrollo de normas técnicas internacionales consensuadas por diferentes partes interesadas en aras de una IA interoperable y fiable.

d) Los gobiernos también deberían impulsar el desarrollo de —y utilizar ellos mismos— indicadores comparables a escala internacional para medir la investigación, el desarrollo y el despliegue de la IA y reunir pruebas para evaluar los progresos en la implantación de estos principios.

VI. INVITA al secretario general y a los Adherentes a difundir esta Recomendación.

VII. INVITA a los no Adherentes a que tengan debidamente en cuenta la presente Recomendación y se adhieran a ella.

VIII. ENCARGA al Comité de Política Digital, a través de su Grupo de Trabajo sobre Gobernanza de la IA:

a) continúe su importante labor sobre la inteligencia artificial tomando como base la presente Recomendación y teniendo en cuenta el trabajo realizado en otros foros internacionales, siga desarrollando el marco de medición para las políticas de IA basadas en datos empíricos;

b) desarrolle y perfeccione nuevas orientaciones prácticas sobre la implantación de esta Recomendación para responder a la evolución de los acontecimientos y a las nuevas prioridades políticas;

c) proporcione un foro para el intercambio de información sobre políticas y actividades de IA, incluida la experiencia acumulada con la implantación de esta Recomendación, y fomente el diálogo interdisciplinar y entre las múltiples partes interesadas para alentar la confianza en la adopción de la IA; y

d) informe al Consejo, consultando con los correspondientes Comités, sobre la aplicación, difusión y pertinencia a lo largo del tiempo de la presente Recomendación, a más tardar cinco años después de su revisión y, a partir de entonces, al menos cada diez años

01Nov/24

Ley 27.736 de 10 de octubre de 2023. Ley Olimpia

1 noviembre, 2024Argentina, Leycomunicación digital, ConsejoFederal de Educación, Derecho Informático, espacio digital, Legislación Argentina, Legislación Informática, programas alfabetización digital, servicio multisoporte, soportes digitales, violencia digital, violencia telemáticaJosé Cuervo

Ley 27.736 de 10 de octubre de 2023. Ley Olimpia. Violencia Digital. Modificación a la Ley 26.485. (Publicación 23 octubre de 2023)

LEY OLIMPIA. Ley 27736. Modificación Ley nº 26.485

El Senado y Cámara de Diputados de la Nación Argentina reunidos en Congreso, etc. sancionan con fuerza de Ley:

LEY OLIMPIA. MODIFICACIONES A LA LEY 26.485. VIOLENCIA DIGITAL

Artículo 1°-

Incorpórase como inciso h) del artículo 2° de la ley 26.485, el siguiente texto:

h) Los derechos y bienes digitales de las mujeres, así como su desenvolvimiento y permanencia en el espacio digital.

Artículo 2°-

Modifícase el inciso d) del artículo 3° de la ley 26.485, el cual queda redactado de la siguiente forma:

d) Que se respete su dignidad, reputación e identidad, incluso en los espacios digitales.

Artículo 3°-

Modifícase el artículo 4° de la ley 26.485, el cual queda redactado de la siguiente forma:

Artículo 4°: Definición. Se entiende por violencia contra las mujeres toda conducta, por acción u omisión, basada en razones de género, que, de manera directa o indirecta, tanto en el ámbito público como en el privado, en el espacio analógico digital, basada en una relación desigual de poder, afecte su vida, libertad, dignidad, integridad física, psicológica, sexual, económica o patrimonial, participación política, como así también su seguridad personal.

Quedan comprendidas las perpetradas desde el Estado o por sus agentes.

Se considera violencia indirecta, a los efectos de la presente ley, toda conducta, acción, omisión, disposición, criterio o práctica discriminatoria que ponga a la mujer en desventaja con respecto al varón.

Artículo 4°-

Incorpórase como inciso i) del artículo 6° de la ley 26.485, el siguiente texto:

i) Violencia digital o telemática: toda conducta, acción u omisión en contra de las mujeres basada en su género que sea cometida, instigada o agravada, en parte o en su totalidad, con la asistencia, utilización y/o apropiación de las tecnologías de la información y la comunicación, con el objeto de causar daños físicos, psicológicos, económicos, sexuales o morales tanto en el ámbito privado como en el público a ellas o su grupo familiar.

En especial conductas que atenten contra su integridad, dignidad, identidad, reputación, libertad, y contra el acceso, permanencia y desenvolvimiento en el espacio digital o que impliquen la obtención, reproducción y difusión, sin consentimiento de material digital real o editado, intimo o de desnudez, que se le atribuya a las mujeres, o la reproducción en el espacio digital de discursos de odio misóginos y patrones estereotipados sexistas o situaciones de acoso, amenaza, extorsión, control o espionaje de la actividad virtual, accesos no autorizados a dispositivos electrónicos o cuentas en línea, robo y difusión no consentida de datos personales en la medida en que no sean conductas permitidas por la ley 25.326 y/o la que en el futuro la reemplace, o acciones que atenten contra la integridad sexual de las mujeres a través de las tecnologías de la información y la comunicación, o cualquier ciberataque que pueda surgir a futuro y que afecte los derechos protegidos en la presente ley.

Artículo 5°-

Modifícase el inciso o) del artículo 9° de la ley 26.485, el cual queda redactado de la siguiente forma:

o) Implementar un servicio multisoporte, telefónico y digital gratuito y accesible, en forma articulada con las provincias, a través de organismos gubernamentales pertinentes, destinada a dar contención, información y brindar asesoramiento sobre recursos existentes en materia de prevención de la violencia contra las mujeres y asistencia a quienes la padecen, incluida la modalidad de ‘violencia contra las mujeres en el espacio público’ conocida como ‘acoso callejero’.

La información recabada por las denuncias efectuadas a este servicio debe ser recopilada y sistematizada por la autoridad de aplicación a fin de elaborar estadísticas confiables para la prevención y erradicación de las diversas modalidades de violencia contra las mujeres.

Artículo 6°-

Modifícase el inciso f) del punto 3 del artículo 11 de la ley 26.485, el cual queda redactado de la siguiente forma:

f) Promover programas de alfabetización digital, buenas prácticas en el uso de las tecnologías de la información y la comunicación y de identificación de las violencias digitales, en las clases de educación sexual integral como en el resto de los contenidos en el ámbito educativo y en la formación docente.

Artículo 7°-

Incorpórase como inciso g) del punto 3 del artículo 11 de la ley 26.485, el siguiente texto:

g) Las medidas anteriormente propuestas se promoverán en el ámbito del Consejo Federal de Educación.

Artículo 8°-

Modifícase el inciso a) del artículo 16 de la ley 26.485, el cual queda redactado de la siguiente forma:

a) A la gratuidad de toda diligencia e instancia en el curso de las actuaciones judiciales, y al acceso a los recursos públicos disponibles para la producción de prueba, en particular para la realización de pericias informáticas y al patrocinio jurídico preferentemente especializado.

Artículo 9°-

Incorpórase como inciso l) del artículo 16 de la ley 26.485, el siguiente texto:

l) Al resguardo diligente y expeditivo de la evidencia en soportes digitales por cuerpos de investigación especializados u organismos públicos correspondientes.

Artículo 10.-

Modifícase el apartado a.2. del artículo 26 de la ley 26.485, por el siguiente texto:

a.2. Ordenar al presunto agresor que cese en los actos de perturbación o intimidación que, directa o indirectamente, realice hacia la mujer, tanto en el espacio analógico como en el digital.

Artículo 11.-

Incorpórase como apartado a.8. del artículo 26 de la ley 26.485, el siguiente texto:

a.8. Ordenar la prohibición de contacto del presunto agresor hacia la mujer que padece violencia por intermedio de cualquier tecnología de la información y la comunicación, aplicación de mensajería instantánea o canal de comunicación digital.

Artículo 12.-

Incorpórase como apartado a.9. del artículo 26 de la ley 26.485, el siguiente texto:

a.9. Ordenar por auto fundado, a las empresas de plataformas digitales, redes sociales, o páginas electrónicas, de manera escrita o electrónica la supresión de contenidos que constituyan un ejercicio de la violencia digital o telemática definida en la presente ley, debiendo identificarse en la orden la URL específica del contenido cuya remoción se ordena. A los fines de notificación de la medida del presente inciso se podrá aplicar el artículo 122 de la ley 19.550.

La autoridad interviniente en el caso deberá solicitar a las empresas de plataformas digitales, redes sociales, o páginas electrónicas, el aseguramiento de los datos informáticos relativos al tráfico, a los abonados y contenido del material suprimido, que obren en su poder o estén bajo su control, para las acciones de fondo que correspondan, durante un plazo de noventa (90) días que podrá renovarse una única vez por idéntico plazo a pedido de la parte interesada. Se deberá ordenar mantener en secreto la ejecución de dicho procedimiento mientras dure la orden de aseguramiento.

La autoridad podrá, a requerimiento de parte y únicamente para la investigación de las acciones de fondo que correspondan, solicitar a las requeridas que revelen los datos informáticos de abonados que obren en su poder o estén bajo su control e igualmente los relativos al tráfico y al contenido del material suprimido mediante auto fundado de acuerdo a los mecanismos de cooperación interna y/o procedimientos previstos en el marco de las normas y tratados sobre cooperación internacional vigentes.

Artículo 13.-

Comuníquese al Poder Ejecutivo nacional.

DADA EN LA SALA DE SESIONES DEL CONGRESO ARGENTINO, EN BUENOS AIRES, A LOS DIEZ DÍAS DEL MES DE OCTUBRE DEL AÑO DOS MIL VEINTITRÉS

REGISTRADO BAJO EL N° 27736

CLAUDIA LEDESMA ABDALA DE ZAMORA

CECILIA MOREAU

Marcelo Jorge Fuentes

Eduardo Cergnul

31Oct/24

Proyecto de Ley. Expediente 2469-S-2023, de 14 de diciembre de 2023

31 octubre, 2024Argentina, Proyecto de LeyDeepfake, Derecho Informático, fake, Falso, IA, inteligencia artificial, Legislación Argentina, Legislación Informática, Modificación artículo 128 CP, pornovenganza, UltrafalsoJosé Cuervo

Proyecto de Ley. Expediente 2469-S-2023, de 14 de diciembre de 2023. Modificación del artículo 128 del Código Penal, Ley 11179 respecto de sancionar delitos contra la integridad sexual.

PROYECTO DE LEY

El Senado y Cámara de Diputados,…

Artículo 1°:

Modifícase el artículo 128 del Código Penal, el que quedará redactado de la siguiente manera:

“Será reprimido con prisión de tres (3) a seis (6) años el que produjere, financiare, ofreciere, comerciare, publicare, facilitare, divulgare o distribuyere, por cualquier medio, toda representación real o simulada de un menor de dieciocho (18) años dedicado a actividades sexuales explícitas o toda representación real o simulada de sus partes genitales con fines predominantemente sexuales, al igual que el que organizare espectáculos en vivo de representaciones sexuales explícitas reales o simuladas en que participaren dichos menores.

Será reprimido con prisión de cuatro (4) meses a un (1) año el que a sabiendas tuviere en su poder representaciones de las descriptas en el párrafo anterior.

Será reprimido con prisión de seis (6) meses a dos (2) años el que tuviere en su poder representaciones de las descriptas en el primer párrafo con fines inequívocos de distribución o comercialización.

Será reprimido con prisión de un (1) mes a tres (3) años el que facilitare el acceso a espectáculos pornográficos o suministrare material pornográfico a menores de catorce (14) años.

Todas las escalas penales previstas en este artículo se elevarán en un tercio en su mínimo y en su máximo cuando la víctima fuere menor de trece (13) años.”

Artículo 2°: Comuníquese al Poder Ejecutivo.

Juan C. Romero

FUNDAMENTOS

Señora Presidente:

Motiva el presente proyecto la necesidad de cubrir un vacío legal en nuestro Código Penal ante la exposición de las personas, especialmente de menores de edad, a nuevas tecnologías cuyo uso indebido socaban su integridad física, psíquica y moral.

La Deepfake -o ultrafalso-, o también conocida como Deep Synthesis, es una técnica que está revolucionando la creación y distribución de contenidos falsos a una velocidad exponencial en todo el mundo. El término resulta de una combinación de dos palabras “deep” (“profundo”, pero con origen en deep learning-aprendizaje profundo-) y “fake” (falso).

A través del uso de inteligencia artificial (IA), que utiliza algoritmos de síntesis generativa, representados por el aprendizaje profundo y la realidad virtual, se reemplaza la apariencia y la voz de una persona en imágenes o vídeos de manera realista, sin que los hechos hayan sucedido. De esta manera, el rostro, la voz o los movimientos que aparecen en pantalla o material gráfico no pertenecen a esa persona, sino a las de otra, o bien, a una construcción totalmente irreal, planteando desafíos nunca vistos en términos de ética, privacidad y seguridad.

Lo preocupante del caso, es que el uso de las Deepfakes no sólo está revolucionado la creación y distribución de contenido falso, sino también la distribución de material pornográfico y de abuso infantil.

Tal como lo señala un documento reciente del Instituto de Políticas Públicas de Prevención del Grooming de la Cámara de Diputados de la Prov. de Buenos Aires, “la suplantación de identidad de menores de edad en material pornográfico falso, con el consiguiente riesgo de daño psicológico, social y reputacional, plantea cuestiones legales que requieren una respuesta firme y coordinada”. Y agrega que “los riesgos que enfrentan los menores de edad al ser expuestos a Deepfakes pornográficos son inmensos, por lo que es esencial abordar este problema de manera urgente para proteger a los menores de edad y salvaguardar su bienestar emocional, en un mundo cada vez más permeado por tecnologías que pueden ser utilizadas en su contra”.

Un análisis reciente compartido por la revista estadounidense Wired, especializada en tecnología, señala que, en los últimos siete años, al menos 244.625 clips han sido cargados en los 35 principales sitios web dedicados total o parcialmente a alojar videos de pornografía Deepfake.

Solo en los primeros nueve meses de este año, se subieron 113.000 videos a estas plataformas, marcando un aumento del 54% en comparación con todo el 2022 (73.000 piezas de contenido). Según las proyecciones de la investigación, se anticipa que a finales de 2023 se habrán producido más videos que en todos los años anteriores combinados. A pesar de que muchas de estas páginas aclaran que los contenidos, con millones de visualizaciones, no son auténticos, raramente mencionan el consentimiento de quienes aparecen en ellos.

En los Estados Unidos varios estados han regulado las Deepfakes, planteando debates sobre cómo abordar jurídicamente los vídeos pornográficos generados por esta tecnología. Existen algunas corrientes que argumentan que estas restricciones deberían recibir el mismo tratamiento bajo la Primera Enmienda que las prohibiciones de pornografía no consensual, en lugar de estar sujetas a la ley de difamación.

En julio de 2019, se implementó en el Estado de Virginia una ampliación de las leyes dirigidas contra la “pornografía no consensuada”, comúnmente conocida como “pornovenganza”. Esta modificación busca abarcar en su definición las Deepfakes pornográficas, así como cualquier contenido visual manipulado mediante herramientas digitales.

La difusión de falsos desnudos en Virginia, con la intención de coaccionar, acosar o intimidar a otra persona, puede acarrear una pena de hasta un año de prisión y una multa de 2.500 dólares.

Por su parte, la Unión Europea aprobó recientemente el Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de Inteligencia Artificial y se modifican determinados actos legislativos de la Unión.

Si bien las Deepfakes no tienen una legislación específica, en el caso de España diversas opiniones de juristas de ese país señalan que podrían ser penalizadas por delitos que van desde la violación del derecho a la propia imagen hasta la injuria o delito de odio, dependiendo de sus objetivos y consecuencias.

La Unión Europea, preocupada por el impacto en el número de víctimas femeninas, abordó el fenómeno de la Deepfake como un problema de género. Esto condujo a un exhaustivo estudio realizado por un “Think Tank” europeo compuesto por participantes de Alemania, República Checa y Holanda. Dicho estudio analiza detalladamente el fenómeno desde perspectivas sociológicas y legales, centrándose en las técnicas de Inteligencia Artificial para la manipulación de imágenes, la creación de videos falsos y el clonado de voz.

El análisis abarca la normativa actual en países clave, destacando el desarrollo exponencial en EE. UU. y China, así como la problemática en países sensibles como Taiwán debido a la desinformación generada por estas tecnologías. El marco legal europeo, basado en el Convenio de Estambul del Consejo de Europa, aborda la posibilidad de tipificar el acoso cuando se presenta un comportamiento amenazador que genera temor por la seguridad de otra persona, y regula los actos de carácter sexual no consentidos.

El Protocolo Facultativo de la Convención sobre los Derechos del Niño relativo a la venta de niños, la prostitución infantil y la utilización de niños en la pornografía de las Naciones Unidas, ratificado en nuestro país por Ley N° 25.763, establece que la explotación sexual contra la infancia comprende “toda representación, por cualquier medio, de un niño dedicado a actividades sexuales explícitas, reales o simuladas”.

También incluye este concepto el Convenio de Budapest, primer tratado internacional creado con el objetivo de proteger a la sociedad frente a los delitos informáticos y los delitos en Internet, y que nuestro país ratificó en 2018 a partir de la Ley N° 27.411. Allí se entiende por pornografía infantil, entre otros conceptos, a “…imágenes realistas que representen a un menor adoptando un comportamiento sexualmente explícito”.

Ambos antecedentes, incorporados a nuestro ordenamiento legislativo, refuerzan el sentido del presente proyecto.

Resulta insoslayable entonces, avanzar en un proyecto de ley que incorpore en nuestro Código Penal la regulación de la explotación sexual infantil simulada o virtual, donde un niño, niña o adolescente ha sido incluido, a través de la alteración de imágenes, como partícipe de un acto sexual.

Es crucial señalar que este tipo de contenido no solo viola el derecho a la privacidad y la integridad personal de los menores involucrados, sino que también puede tener consecuencias a largo plazo en su bienestar psicológico y emocional. La divulgación de este material destaca la urgencia de implementar medidas legales para proteger a los niños y garantizar un entorno adecuado para un desarrollo saludable.

Un caso reciente expone el vacío legal de esta problemática. En la provincia de San Juan, Leandro Pérez González, fue eximido este año de toda responsabilidad penal por haber “desnudado” mediante una aplicación de inteligencia artificial a 15 compañeras de la universidad, para luego venderlas como material pornográfico en un sitio web. Las jóvenes pidieron una perimetral y expusieron un vacío legal penal que las dejaba desamparadas. Sin embargo, la investigación viró cuando en los dispositivos del sospechoso se detectaron archivos con contenido de abuso sexual infantil. Pérez González fue detenido este año y la Justicia le dictó tres años de prisión de ejecución condicional por tenencia y distribución de este tipo de material, delito que sí está contemplado en nuestro Código Penal.

En resumen, en nuestro país, cuando hay una producción de imágenes de explotación sexual infantil generadas por inteligencia artificial, o por cualquier mecanismo tecnológico, aún no es delito. La actividad criminal de la explotación sexual infantil es un fenómeno en expansión que exige no sólo la cooperación trasnacional, sino también, y fundamentalmente, una normativa actualizada de los países, que esté a la altura de dicho fenómeno criminal.

Por todo lo expuesto, solicito a mis Pares que acompañen el presente Proyecto de Ley.

Juan C. Romero

31Oct/24

Resolución nº 90/21, de 26 de noviembre de 2021, Créase el “Programa de Inteligencia Artificial”

31 octubre, 2024Argentina, ResoluciónConsejo Económico y Social, Decreto N° 124 del 21 de febrero de 2021, Decreto N° 802 del 14 de octubre de 2020, Decreto N° 970 del 1° de diciembre de 2020, Derecho Informático, ecreto N° 50 del 19 de diciembre de 2019, IA, inteligencia artificial, Legislación Argentina, Legislación Informática, Ley de Ministerios N° 22.520, Programa Inteligencia Artificial, revolución 4.0.José Cuervo

Resolución nº 90/21, de 26 de noviembre de 2021, Créase el “Programa de Inteligencia Artificial” en la órbita de la DIRECCIÓN NACIONAL DE GESTIÓN DEL CONOCIMIENTO dependiente de la SUBSECRETARÍA DEL CONOCIMIENTO PARA EL DESARROLLO dependiente de esta SECRETARÍA DE ASUNTOS ESTRATÉGICOS de la PRESIDENCIA DE LA NACIÓN, con el objetivo de brindar apoyo al CONSEJO ECONÓMICO Y SOCIAL para el desarrollo de actividades vinculadas a la promoción de habilidades tecnológicas relativas a la inteligencia artificial. (Boletín Nacional del 30 de noviembre de 2021).

SECRETARÍA DE ASUNTOS ESTRATÉGICOS

Resolución 90/2021. RESOL-2021-90-APN-SAE

Ciudad de Buenos Aires, 26/11/2021

VISTO el EX-2021-111378527- -APN-DPYPEESA#SAE, la Ley de Ministerios N° 22.520 (Texto Ordenado por Decreto N° 438/92 y sus modificatorios), el Decreto N° 50 del 19 de diciembre de 2019 y sus modificatorios, el Decreto N° 802 del 14 de octubre de 2020, el Decreto N° 124 del 21 de febrero de 2021 y el Decreto N° 970 del 1° de diciembre de 2020, y

CONSIDERANDO:

Que por la Ley de Ministerios N° 22.520 (Texto Ordenado por el Decreto N° 438/92 y sus modificatorios) se determinaron las Secretarías de la Presidencia de la Nación y los Ministerios que asistirán al PODER EJECUTIVO NACIONAL para cumplir con las responsabilidades que le son propias, entre las que se encuentra la SECRETARÍA DE ASUNTOS ESTRATÉGICOS de la PRESIDENCIA DE LA NACIÓN.

Que el Decreto N° 50/2019 dispuso que es competencia de la SECRETARÏA DE ASUNTOS ESTRATÉGICOS de la PRESIDENCIA DE LA NACIÓN analizar, evaluar y proponer prioridades estratégicas para el desarrollo del CONSEJO ECONÓMICO Y SOCIAL creado por el Decreto N° 124/2021.

Que el citado Decreto N° 50/2019 en su Anexo II enumera los distintos Objetivos de la SECRETARÍA DE ASUNTOS ESTRATÉGICOS de la PRESIDENCIA DE LA NACIÓN, entre los cuales le compete “participar en las iniciativas críticas del sector público relativas al uso de las tecnologías para el desarrollo de la economía del conocimiento, tales como la inteligencia artificial”.

Que el Decreto N° 802/2020 estableció como objetivo de la DIRECCIÓN NACIONAL DE GESTIÓN DEL CONOCIMIENTO dependiente de la SUBSECRETARÍA DEL CONOCIMIENTO PARA EL DESARROLLO de la SECRETARÍA DE ASUNTOS ESTRATÉGICOS de la PRESIDENCIA DE LA NACIÓN el de “Desarrollar y monitorear en el Sector Público el uso de tecnologías que constituyen iniciativas prioritarias para el desarrollo de la economía del conocimiento tales como la inteligencia artificial, cadenas de bloques y otros proyectos que contribuyan a consolidar la soberanía tecnológica argentina en la revolución 4.0.”.

Que el Decreto N° 124/2021 creó el CONSEJO ECONÓMICO Y SOCIAL y estableció que la SECRETARÍA DE ASUNTOS ESTRATÉGICOS de la PRESIDENCIA DE LA NACIÓN colaborará con su personal y recursos presupuestarios con el fin de cumplir con su cometido.

Que el citado Decreto N° 124/2021 previó en su Anexo I la Agenda de Trabajo de las Misiones País encomendadas al CONSEJO ECONÓMICO Y SOCIAL, contemplando en la Misión País “Educación y Trabajos del Futuro” el abordaje de la “Formación en profesiones estratégicas como puente entre ciencia-producción y empresas-sindicatos. Vinculación entre oferta y demanda de empleos” y la “Promoción de habilidades tecnológicas en los sectores más vulnerados”.

Que en el contexto descripto resulta necesario implementar estrategias que estimulen una rápida y masiva adopción de la Inteligencia Artificial y otras tecnologías en los distintos sectores contemplados en las Misiones País del CONSEJO ECONÓMICO Y SOCIAL.

Que la Inteligencia Artificial es un factor crítico y constituye el principal reto que deberán abordar los países de América Latina en los próximos años, por lo que resulta esencial generar habilidades de automatización e instrumentación en Inteligencia Artificial para aplicar en organizaciones públicas y del sector productivo.

Que mediante el Decreto Nº 970/2020 se aprobó el Modelo de Contrato de Préstamo BID N° 5084/OC-AR a celebrarse entre la REPÚBLICA ARGENTINA y el BANCO INTERAMERICANO DE DESARROLLO (BID), destinado a financiar el “Programa de Innovación para Respuesta a Situaciones de Crisis y Gestión de Prioridades Estratégicas”, cuyo objetivo general es mejorar la efectividad en la coordinación y gestión de Programas Gubernamentales Estratégicos (PGE) en la REPÚBLICA ARGENTINA, priorizando aquellos necesarios para dar respuesta y recuperación a la crisis generada por la pandemia de COVID-19, mediante el fortalecimiento de funciones claves y el desarrollo de iniciativas innovadoras para el logro de los objetivos de Gobierno.

Que el Contrato de Préstamo BID N° 5084/OC-AR fue suscripto por la REPÚBLICA ARGENTINA el día 20 de enero de 2021.

Que los objetivos específicos del Programa de Innovación para Respuesta a Situaciones de Crisis y Gestión de Prioridades Estratégicas son:

(i) mejorar la calidad de la planificación, el monitoreo, la toma de decisiones y la evaluación para el cumplimiento de Programas Gubernamentales Estratégicos; y

(ii) fortalecer las capacidades de innovación y promover prácticas innovadoras en la gestión pública, sector privado y sociedad civil para dar respuesta a la crisis y sus consecuencias.

Que para alcanzar dichas metas, el Programa mencionado se estructura en dos componentes:

Componente 1. Fortalecimiento de capacidades de gestión de objetivos prioritarios de gobierno;

Componente 2. Fortalecimiento de capacidades de innovación permanentes en el sector público, sector privado y sociedad civil, para problemas de política pública.

Que a través del Subcomponente 2.2 “Innovaciones en el sector privado y sociedad civil” se financian cursos de capacitación y formación en habilidades para afrontar desafíos de la llamada “Revolución Industrial 4.0” que motiven y fortalezcan la capacidad de innovación de diversos actores sociales que apoyarán en la implementación de las Prioridades Gubernamentales y que tradicionalmente son marginados en estos procesos y actividades para el desarrollo colaborativo de soluciones basadas en la inteligencia artificial y otras tecnologías innovadoras para Prioridades Gubernamentales.

Que para llevar adelante estas iniciativas vinculadas con la promoción de habilidades tecnológicas en los sectores más vulnerados, contemplada en la agenda de la Misión País “Educación y Trabajos del Futuro” del CONSEJO ECONÓMICO Y SOCIAL resulta necesario crear un Programa específico en el ámbito de la DIRECCIÓN NACIONAL DE GESTIÓN DEL CONOCIMIENTO dependiente de la SUBSECRETARÍA DEL CONOCIMIENTO PARA EL DESARROLLO de la SECRETARÍA DE ASUNTOS ESTRATÉGICOS.

Que ha tomado intervención el servicio jurídico competente.

Que la presente medida se dicta en virtud de las facultades conferidas por los Decretos Nros. 50/19 y 124/21.

Por ello,

EL SECRETARIO DE ASUNTOS ESTRATÉGICOS DE LA PRESIDENCIA DE LA NACIÓN

RESUELVE:

ARTÍCULO 1°.-

Creación. Créase el “Programa de Inteligencia Artificial” en la órbita de la DIRECCIÓN NACIONAL DE GESTIÓN DEL CONOCIMIENTO dependiente de la SUBSECRETARÍA DEL CONOCIMIENTO PARA EL DESARROLLO dependiente de esta SECRETARÍA DE ASUNTOS ESTRATÉGICOS de la PRESIDENCIA DE LA NACIÓN, con el objetivo de brindar apoyo al CONSEJO ECONÓMICO Y SOCIAL para el desarrollo de actividades vinculadas a la promoción de habilidades tecnológicas relativas a la inteligencia artificial.

ARTÍCULO 2°.-

Funciones. Son funciones del Programa:

a) Propiciar la coordinación y colaboración con distintas áreas y organismos del Estado Nacional, así como con el sector académico y de representación gremial, para la ejecución de acciones relativas a la inteligencia artificial.

b) Difundir, facilitar y promover el desarrollo de acciones, foros, actividades de capacitación, becas, estudios y toda otra actividad que le sea encomendada para el cumplimiento de los objetivos.

c) Realizar convocatorias abiertas a los distintos sectores que integran el CONSEJO ECONÓMICO Y SOCIAL para el despliegue y difusión de la inteligencia artificial.

d) Propiciar convenios con organizaciones públicas y privadas, de la sociedad civil y organizaciones no gubernamentales tendientes a difundir las actividades de difusión, capacitación y formación requeridas para la ampliación del campo de la inteligencia artificial y su aplicación en los trabajos del futuro.

e) Formular, proponer y ejecutar proyectos relativos a la difusión de la inteligencia artificial vinculada con la preparación para los trabajos del futuro.

f) Fomentar y fortalecer la investigación, la innovación, el desarrollo y la producción tecnológica basada en la inteligencia artificial, en áreas prioritarias para el desarrollo nacional.

g) Promover y fortalecer el talento nacional en inteligencia artificial, a fin de alcanzar la autonomía tecnológica y ser un referente tecno-exportador en la región.

h) Facilitar la vinculación entre los diversos actores del ecosistema nacional y regional (academia, sistema científico y tecnológico, sector productivo, gobierno y de la sociedad civil) y apoyar mecanismos de transferencia de conocimientos y soluciones de inteligencia artificial para su uso, aplicación y generación de valor público.

ARTÍCULO 3°.-

Dirección del Programa. La DIRECCIÓN NACIONAL DE GESTIÓN DEL CONOCIMIENTO dirigirá el Programa creado en la presente Resolución, estando facultada para impulsar las acciones requeridas a los efectos de poner en funcionamiento el “Programa de Inteligencia Artificial”, controlar su ejecución y proponer la normativa complementaria que resulte necesaria para su implementación.

ARTÍCULO 4°.-

Vigencia. La presente Resolución entrará en vigencia el día siguiente al de su publicación en el Boletín Oficial.

ARTÍCULO 5°.-

Publicación. Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.

Gustavo Beliz

31Oct/24

Expediente 6318-D-2024. Proyecto de Ley de 23 de octubre de 2024

31 octubre, 2024Argentina, Proyecto de LeyCiberacoso, Ciberviolencia, Código Penal Nación, Convención Belém, Delito Hostigamiento Digital, Proyecto 1123-D-2024José Cuervo

Expediente 6318-D-2024. Proyecto de Ley de 23 de octubre de 2024. Código Penal de la Nación. Modificaciones sobre delito de hostigamiento digital.

PROYECTO DE LEY DELITO DE HOSTIGAMIENTO DIGITAL

El Senado y la Cámara de Diputados de la Nación Argentina, reunidos en Congreso … sancionan con fuerza de Ley.

ARTÍCULO 1°:

Modifícase el artículo 72° del Código Penal de la Nación, el que queda redactado de la siguiente manera:

“ARTICULO 72°: Son acciones dependientes de instancia privada las que nacen de los siguientes delitos:

1. Los previstos en los artículos 119°, 120° y 130° del Código Penal cuando no resultare la muerte de la persona ofendida o lesiones de las mencionadas en el artículo 91°;

2. Lesiones leves, sean dolosas o culposas;

3. Impedimento de contacto de los hijos menores con sus padres no convivientes;

4. Los previstos en los artículos 149° quarter del Código Penal.

En los casos de este artículo, no se procederá a formar causa sino por acusación o denuncia del agraviado, de su tutor, guardador o representantes legales. Sin embargo, se procederá de oficio:

a) En los casos del inciso 1, cuando la víctima fuere menor de 18 años de edad o haya sido declarada incapaz;

b) En los casos del inciso 2, cuando mediaren razones de seguridad o interés público

d) En los casos del inciso 4, cuando la víctima fuere menor de dieciocho (18) años o una persona con discapacidad.”

ARTÍCULO 2°:

Incorpórase como artículo 149° quarter del Código Penal de la Nación el siguiente:

“ARTÍCULO 149 quarter: Será reprimido con prisión de seis (6) meses a dos (2) años o con multa equivalente al importe de seis (6) a veinticinco (25) salarios mínimos vitales y móviles, siempre que el hecho no constituya un delito más severamente penado, el que mediante la utilización de tecnologías de la información y la comunicación o a través Internet, o medio de comunicación y sin estar legítimamente autorizado.

a) hostigue, acose, persiga, intimide, vigile y/o aceche a una persona;

b) haga accesible al público los datos personales de una persona, sin su consentimiento, causándole un daño y/o atentando contra su seguridad;

c) Establezca o intente establecer contacto con una persona, sin su consentimiento o por medio de terceras personas, alterando el normal desarrollo de su vida cotidiana.”

ARTÍCULO 3°:

Incorpórase como artículo 149° quinto del Código Penal de la Nación el siguiente:

“ARTÍCULO 149° quinto: Se aplicará prisión de uno (1) a tres (3) años y el doble de la pena de multa establecida en el artículo anterior en los siguientes casos:

a) Cuando la acción sea realizada por dos o más personas y en forma organizada

b) Si se realizare de forma sostenida en el tiempo o de modo tal que obligare a la víctima alterar su proyecto de vida

c) Si la victima fuera menor de 18 años

d) Si el hecho se cometiere por persona que esté o haya estado unida a la víctima por matrimonio, unión convivencial, o relación de pareja, mediara o no convivencia.

e) Si el hecho se cometiere por odio racial, religioso, de género y/o a la orientación sexual, identidad de género o su expresión;

f) si el hecho se cometiere contra una mujer mediando violencia de género;

g) Si el hecho fuere cometido por una persona que haya abusado de su posición de confianza o autoridad.”

ARTÍCULO 4°:

Comuníquese al Poder Ejecutivo.

Dip. Nac. Mónica Macha

FUNDAMENTOS

Sr. Presidente:

El hostigamiento digital es una de las formas más comunes de violencia en línea y es un comportamiento que “se caracteriza por diversas circunstancias, como la invasión en espacios personales, el acoso, el control y la persecución. Las circunstancias antedichas pueden darse todas juntas, o no” (1). El hostigamiento también “puede tener como misión u objetivo lograr que la otra persona acceda a hacer aquello que se le exige insistentemente” (2) El hostigamiento digital en sus diversas formas puede tener distintos objetivos, y no solo engloba al acoso sexual digital.

Como el mundo virtual es una extensión del mundo analógico es un lugar donde se reproducen las mismas prácticas sexistas y misóginas, y es por ello que el hostigamiento digital lamentablemente es una de las formas más frecuentes de violencias digitales por cuestiones genero conforme lo define la Ley Olimpia, 27.736.

En el proyecto de ley traído a consideración se busca abarcar las formas más comunes de acoso u hostigamiento digital, esto incluye las persecuciones, intimidaciones, el acecho y la vigilancia digital, comúnmente conocidas con el nombre de Stalking, la difusión no consentida de datos personales cuando se causa un daño o se atenta contra la seguridad de una persona, más conocida con el nombre de Doxxing, y los contactos no deseados a través de las TIC cuando estos alteran el normal desarrollo de la vida de la víctima.

Es importante saber que el hostigamiento digital es una modalidad de violencia que la mayoría de las mujeres ha atravesado y no solo puede ser perpetrado por un vínculo sexoafectivo o un ex vinculo sexo afectivo, sino que también puede ser ejercido por cualquier usuario de las TIC

La encuesta “Consentimiento y Violencia Digital” Argentina del año 2021 (3) arrojó que:

* El 84% de las mujeres sufrieron hostigamiento digital

* El 72% de las encuestadas sufrió o conoce a alguien que recibió mensajes, emojis, memes con contenido sexual sin consentimiento

* El 48% fue presionada a enviar una foto intima incluso después de decir que no, o conoce a alguien que le sucedió

* El 43% sufrió que la pareja le revise las cuentas de mail o redes sociales o conoce a alguien que le sucedió

* 8 de cada 10 mujeres se sintió incomoda con las situaciones de control de su actividad virtual por parte de sus parejas

También los acosos dirigidos especialmente hacia activistas de DDHH, comunicadoras y personas con voz publica, han ido en notable aumento en los últimos años, con lamentables consecuencias que degradan la democracia y el debate público, entre las que se encuentran el disciplinamiento, el silenciamiento y la autocensura de las afectadas, renuncia a determinados trabajos o cambios de ciudades por las constantes intimidaciones y hostigamientos recibidos, entre muchas otras. El informe “Muteadas: el impacto de la violencia digital contra las periodistas” (4) da cuenta de esta realidad revelando que:

* El 98,3% de las agredidas recibió agresiones o insultos aislados

* EL 85,6% manifestó haber experimentado hostigamiento o trolleo

* El 45,9% fue víctima de acoso sexual o amenazas de violencia sexual

* Cinco de cada diez periodistas encuestadas víctimas de violencia manifestaron que se autocensuran en las redes sociales para evitar ser víctimas de ataques.

* EL 44,7% expresó que evita la interacción con la audiencia.

* El 34,5% dejó de participar en alguna red social.

* Casi 3 de cada 10 se sintieron físicamente inseguras ante situaciones de violencia.

* 7 de cada 10 viven con temor frente a la posibilidad de ser víctimas de amenazas o ataques en línea.

* 6 de cada 10 afirmaron que el temor también se extiende a la posibilidad de sufrir ataques fuera del ámbito online.

* 2 de cada 10 mencionaron haber buscado ayuda médica o psicológica tras un ataque en las redes sociales o plataforma digital.

Hoy en día estas conductas solo se encuentran penalizadas a nivel contravencional en la Ciudad de CABA y en el Chaco. Durante el año 2023 crecieron las denuncias de hostigamiento digital en redes y WhatsApp, registrándose una cada nueve horas en la Ciudad Autónoma de Buenos Aires, según los datos oficiales de la Unidad Fiscal Especializada en Delitos y Contravenciones Informáticas (Ufedyci) (5). En el resto de las jurisdicciones del país las personas que son víctimas de estas conductas realizan denuncias que son archivadas por la inexistencia de delito. El caso de Paola Tacacho, una docente Salteña que vivía en Tucumán y que había sido hostigada analógicamente y digitalmente por su acosador durante un plazo de 5 años, hasta que éste la asesinó en la vía publica (6) pone de resalto la gravedad que pueden adquirir las conductas que buscan penalizarse con este proyecto.

Las acciones aquí descriptas tendrán una serie de agravantes que han sido adaptados de otros proyectos vigentes, y del Código Contravencional de la Ciudad de Buenos. Habrá agravantes cuando la conducta se realizare de forma sostenida en el tiempo o de modo tal que obligare a la víctima alterar su proyecto de vida, como hemos mencionado hay personas que deben mudarse de ciudades, o cambiar de trabajos por la gravedad que reviste el hostigamiento que deben sufrir (7). También se agravará la pena Cuando la acción sea realizada por dos o más personas o si el hecho fuere cometido por una persona que haya abusado de su posición de confianza o autoridad.

Asimismo, se agravará cuando los sujetos pasivos del hostigamiento digital sean menores de edad, este agravante viene a considerar el grave problema del ciberbullyng que reciben niños, niñas y adolescentes en nuestro país y que puede tener consecuencias fatales sobre la vida de las victimas

A su vez y si bien el tipo penal que pretende crearse con este proyecto es un tipo penal neutro, porque cualquier persona, independientemente de su identidad de género u orientación sexual, puede ser víctima o victimario, el proyecto a consideración tiene la adecuada y necesaria perspectiva de género y diversidad en 4 agravantes más teniendo en miras que gran parte de las personas que sufren estas agresiones son mujeres e integrantes de los colectivos LGTTBIQ+, agredidos por su condición de tales. Por eso se agravará la pena, si el hecho se cometiere por persona que esté o haya estado unida a la víctima por matrimonio, unión convivencial o relación de pareja, aún sin convivencia, ya que gran parte de las víctimas son agredidas por personas con las que ha existido un vínculo sexo-afectivo previo. En segundo lugar y tomando como referencia el art. 80 del Código Penal, se agrega como agravante la existencia de, odio racial, de género o la orientación sexual, identidad o expresión de género para proteger a colectivos vulnerados y de la comunidad LGTTBIQ+. En tercer lugar y también tomando como referencia el artículo 80 del código penal se agravará la pena si el hecho se cometiere contra una mujer mediando violencia de género, lo que permite castigar situaciones de violencia de género no domésticas, ya que en los entornos digitales los agresores muchas veces son desconocidos para la víctima, o bien han sido personas con las que no existió un vínculo socio afectivo, lo que puede incluir vecinos, compañeros laborales o superiores, compañeros de estudio, o etc. Estos agravantes como he mencionado ya están previstos para la figura del art. 80 del Código Penal y el proyecto 1123-D-2024 que penaliza otras formas de violencia de género digital. A su vez los agravantes A, B y D ya están incluidos en el Código Contravencional de la CABA en la figura de suplantación de identidad.

Este proyecto a consideración es un complemento de otros de mi autoría: la Ley Olimpia, y del proyecto 1123-D-2024 Ley Belén, que busca penalizar el ciberflashing, la obtención y difusión no consentida de material íntimo, los montajes pornográficos y la sextorsión. De esta manera buscamos ir incorporando al código penal las diferentes formas de violencia digital reconocidas por la Ley Olimpia conforme le ha solicitado el MESECVI a nuestro país en el informe CIBERVIOLENCIA Y CIBERACOSO CONTRA LAS MUJERES Y NIÑAS EN EL MARCO DE LA CONVENCIÓN BELÉM DO PARÁ. OEA y ONU Mujeres (8), en donde se destacó que el Estado debe realizar las reformas legislativas pertinentes para ampliar la dimensión de víctimas de ciberdelitos desde una perspectiva de género, los cuales se encuentran frecuentemente tipificados de forma neutra. También se les solicitó a los Estados parte que deben establecer procedimientos legales justos y eficaces para que las mujeres y las niñas víctimas de violencia en línea puedan acceder a la justicia, garantizándoles no sólo el acceso a recursos efectivos para procesar y condenar a los responsables de actos de violencia sino también para combatir la impunidad y prevenir una nueva victimización y futuros actos de violencia, y se solicitó que las víctimas de violencia digital cuenten con amplias posibilidades de ser escuchadas y actuar en los procesos de esclarecimiento de los hechos, de sanción de los responsables y de reparación.

Por las razones expuestas es que solicitamos la aprobación del presente Proyecto de Ley.

Dip. Nac. Mónica Macha

(1) Zerda Maria Florencia. Violencia de género digital. Editorial Hammurabi.2da edición. 2024

(2) Ibid

(3) Encuesta “Consentimiento y Violencia Digital” Argentina. 2021. Disponible en: https://fundacionavon.org.ar/sinohaysiesno-8-de-cada-10-mujeres-recibieron-imagenes-con-contenido-sexual-sinconsentimiento

(4) Amnistía internacional Argentina: “MUTEADAS” : El impacto de la violencia digital contra las periodistas” Disponible en: https://amnistia.org.ar/wp-content/uploads/delightful-downloads/2024/10/Muteadas_InformeCompleto.pdf

(5) La nación. Acoso en las redes sociales. En 2023, cada 9 horas se presentó una denuncia por hostigamiento digital en la Ciudad. Disponible en: https://www.lanacion.com.ar/seguridad/acoso-en-las-redes-sociales-en-2023-cada-9-horas-se-presento-una-denuncia-por-hostigamiento-digital-nid06022024/

(6) BBC NEWS. Femicidio de Paola Tacacho “La mató el Estado”: indignación en Argentina por la muerte de una profesora de inglés apuñalada en plena calle por un exalumno que la acosó durante 5 años. Disponible en: https://www.bbc.com/mundo/noticias-america-latina-54786756

(7) The Guardian. All feminists are under attack’: ultra-right threat in Milei’s Argentina forces writer into exile. Disponible en: https://www.theguardian.com/global-development/2024/jan/08/feminists-under-attack-ultra-right-threat-milei-argentina-writer-exile-luciana-peker

(8) CIBERVIOLENCIA Y CIBERACOSO CONTRA LAS MUJERES Y NIÑAS EN EL MARCO DE LA CONVENCIÓN BELÉM DO PARÁ. OEA y ONU Mujeres. Iniciativa Spotlight, 2022. Disponible en https://www.oas.org/es/mesecvi/docs/MESECVI-Ciberviolencia-ES.pdf

30Oct/24

Anteproyecto de Ley Orgánica de 4 de junio de 2024 para la protección de las personas menores de edad en los entornos digitales

30 octubre, 2024Anteproyecto de Ley, EspañaComercio Electrónico, Derecho Informático, Derechos digitales, Legislación España, Legislación Informática, Libre circulación de los datos, Mercado Único servicios digitales, Protección de Datos Personales, Servicios sociedad informaciónJosé Cuervo

Anteproyecto de Ley Orgánica para la protección de las personas menores de edad en los entornos digitales

EXPOSICIÓN DE MOTIVOS

El desarrollo de la tecnología es una constante en nuestra sociedad que genera importantes transformaciones con consecuencias en diversos ámbitos de nuestra vida. Especialmente relevante es el efecto de la digitalización en el desarrollo personal y social de las personas menores de edad, razón por la que deviene crucial contar con herramientas y mecanismos de protección y garantía de sus derechos en los entornos digitales.

La accesibilidad y la globalización de los entornos digitales permiten que las personas menores de edad utilicen estos medios para el ejercicio de derechos fundamentales, como son el derecho de información y la libertad de expresión, y para su participación política, social y cultural en los ámbitos local, nacional e incluso internacional.

Junto con los beneficios de los procesos de digitalización y de universalización del acceso a los entornos digitales conviene señalar los riesgos y perjuicios que se pueden derivar de un uso inadecuado de los mismos. El entorno digital puede incluir mensajes y contenidos de estereotipos de género, discriminatorios o violentos, así como información no veraz o sobre hábitos de conducta o consumo poco saludables, ilegales o dañinos. Esta información está al alcance de niñas, niños y adolescentes a través de múltiples fuentes.

Entre los riesgos y perjuicios asociados con un uso inadecuado de medios y dispositivos digitales cabe destacar la aparición de problemas de salud, tanto físicos, psicológicos como emocionales, dificultades de interacción social o problemas en el desarrollo cognitivo. No obstante, además de estos riesgos sobre la salud, existen otros relacionados con el uso de datos y la privacidad de las personas menores de edad, la progresiva insensibilización ante actos de violencia, el ciberacoso y el aumento de casos de explotación y abusos de menores.

El acceso a contenido inapropiado puede producir múltiples consecuencias en la infancia y adolescencia, tantas como variedades de contenido inapropiado se puedan considerar. En concreto tal y como se desprende de la iniciativa Internet Segura para Niños (is4k.es) del Instituto Nacional de Ciberseguridad (INCIBE) entre los daños potenciales para las personas menores destacan los siguientes:

• Daños psicológicos y emocionales. El menor posee una madurez y una autoestima en desarrollo, por lo que es más vulnerable a nivel emocional si tropieza con información que no es capaz de asumir o frente a la que no sabe cómo reaccionar, como por ejemplo contenido pornográfico o violento. Estos les pueden resultar demasiado complejos e incluso perturbadores.

• Desinformación, manipulación y construcción de falsas creencias. Los contenidos falsos y sin rigor pueden confundir a los menores y son especialmente peligrosos cuando tratan temáticas relacionadas con la salud y la seguridad.

• Establecimiento de conductas peligrosas o socialmente inapropiadas. Los menores pueden asumir determinados contenidos como ciertos y positivos, y adoptarlos en forma de conductas o valores dañinos: sexismo, machismo, homofobia, racismo, etc.

• Daños para la salud física. Algunos contenidos tienen como objetivo la promoción de desórdenes alimenticios (anorexia y bulimia), conductas de autolesión o consumo de drogas. Otros pueden animar a los menores a realizar actividades potencialmente peligrosas para su salud, como algunos vídeos o cadenas virales.

• Inclusión en grupos y colectivos dañinos. Acceder a determinados contenidos puede acercar al menor a colectivos extremistas, violentos o racistas, así como a sectas de carácter ideológico o religioso, grupos políticos radicales, etc. El factor emocional es importante a la hora de hacer frente a esta información que puede ser perjudicial o malintencionada, dado que una baja autoestima, o aquella que esté aún en desarrollo, aumenta la vulnerabilidad del menor.

• Adicciones. El acceso a contenidos inapropiados sobre drogas, sexo y juegos de azar puede favorecer trastornos de adicción, dado que los menores pueden no tener suficiente capacidad crítica para gestionar los riesgos asociados a este tipo de actividades.

• Gastos económicos. Los fraudes o intentos de engaño destinados a estafar a los usuarios para hacerse con su dinero o sus datos pueden acarrear pérdidas económicas directas, como ocurre por ejemplo con las suscripciones de SMS Premium. Además, los menores son más vulnerables a la hora de interpretar y gestionar la publicidad excesiva a la que están expuestos en Internet ya que puede generar en ellos la necesidad de consumir impulsivamente, como sucede con las compras en juegos y aplicaciones. Asimismo, no siempre el contenido de los anuncios es, en sí mismo, adecuado para ellos.

En esta línea, se hace necesario avanzar en la protección de la infancia, la adolescencia y la juventud para generar un entorno digital cada vez más seguro, dirigido a garantizar su desarrollo integral, evitando los riesgos y peligros que vienen señalándose tanto desde ámbitos científicos y educativos como desde las propias entidades y asociaciones de protección a la infancia y la juventud. Igualmente, es preciso fomentar la formación digital al fin de enseñar a niños, niñas y jóvenes a ser usuarios conscientes y seguros de la tecnología, así como, de los aspectos psicológicos teniendo en cuenta el impacto emocional y cognitivo de las experiencias en línea.

España tiene un compromiso con los derechos de la infancia y la adolescencia, como así lo atestigua la ratificación de diferentes acuerdos internacionales de Derechos Humanos, entre los que destaca la Convención sobre los Derechos del Niño, así como las políticas de promoción de estos derechos y lucha contra las violencias contra la infancia. Teniendo en cuenta que los entornos digitales son hoy uno más entre los diferentes ámbitos en los que se desarrolla la vida en sociedad, resulta necesaria esta norma que viene a regular y garantizar el disfrute de derechos de la infancia en estos entornos. Esta norma emana por tanto del artículo 20.4 de la Constitución Española que reconoce una especial protección al ámbito de la juventud y de la infancia, así como del artículo 39 que recoge el derecho a la protección integral de la infancia. También suponen antecedentes de la norma los artículos 33, 45 y 46 de la Ley Orgánica 8/2021, de 4 de junio, de Protección Integral a la Infancia y la Adolescencia Frente a la Violencia, entre otros. Ante la realidad de las oportunidades y riesgos que suponen los entornos digitales, corresponde al Estado poner en marcha medidas que aseguren el disfrute y promoción de los derechos de la infancia y la adolescencia en este ámbito.

Desde el ámbito europeo también se han impulsado medidas y propuestas para la regulación de los entornos digitales en lo que respecta a los menores de edad. La Estrategia para los Derechos de la Infancia 2021-2024 llamó la atención sobre esta cuestión, siendo la sociedad digital y de la información una de las seis áreas temáticas que la conforman. En ella, además de señalar su enorme potencial en el ámbito educativo o para la reducción de determinadas brechas sociales, se apunta a la necesidad de adoptar medidas ante los riesgos que puede acarrear el mundo digital en áreas como el ciberacoso o la incitación al odio, además de la necesidad de introducir regulación para evitar los problemas de salud que pueden derivar de una exposición excesiva a las pantallas. La Estrategia europea en favor de una Internet más adecuada para los niños apuntaba en la misma dirección sobre la que ya han regulado o se encuentran en procesos regulatorios diferentes países de nuestro entorno.

Esta norma responde también a los diferentes indicadores tanto de las instituciones supranacionales como de diferentes actores relevantes de la sociedad civil que sitúan algunas de las problemáticas derivadas de la exposición de la infancia y la adolescencia a los entornos digitales, de forma desregulada, como un problema de salud pública. Esta regulación por tanto garantiza el derecho de la infancia a crecer sin que su desarrollo se vea condicionado por la exposición a las pantallas, así como a poder hacer uso de los entornos digitales de una forma positiva, ya sea en el ámbito de la educación o como espacio de interacción social o acceso a la cultura y el ocio.

Junto a ello, y ante la necesidad de avanzar en la protección de la infancia y la adolescencia en los ámbitos digitales, el Gobierno constituyó mediante Acuerdo del Consejo de Ministros de 30 de enero de 2024 un Comité de personas expertas para el desarrollo de un entorno digital seguro para la juventud y la infancia. Este Comité, formado por representantes de la sociedad civil, representantes de diferentes instituciones, personas académicas especializadas en diferentes elementos ligados a esta problemática, y representantes de los propios organismos de participación infantil y de la adolescencia, así como entidades responsables de la promoción de sus derechos, ha venido trabajando sobre los entornos digitales con una mirada multidisciplinar e interseccional con el fin de realizar un informe que analice buenas prácticas y elabore recomendaciones, medidas y actuaciones para una hoja de ruta con el objetico de generar un entorno digital seguro, que contribuya a la mejor protección del desarrollo integral de la infancia y la adolescencia.

La norma se inspira, además, en los trabajos que se han venido realizando en diferentes espacios para abordar los elementos que encuentran su reflejo en la norma que, dada la complejidad de la problemática, los integra desde diferentes perspectivas. Así, se aúnan propuestas que atañen al sector digital, a los proveedores de servicios en este ámbito, y también al desarrollo de políticas en los ámbitos de la educación, la sanidad, o las políticas de protección de las personas consumidoras.

En ese sentido, la generación de espacios seguros en el ámbito digital para la infancia y adolescencia no puede hacerse de espaldas a esa parte de la población. Así, la norma dota de un papel activo a la infancia y adolescencia, reconocidas como sujetos de derechos que, a través de herramientas que se generan como la Estrategia Nacional sobre la Protección de la Infancia en el Entorno Digital podrán participar en el propio diseño, monitoreo y evaluación de las políticas públicas derivadas de la implementación de esta ley que les atañen de forma directa. En definitiva, lo que viene a delimitarse a través de la ley es el derecho a la protección ante los contenidos digitales que puedan resultar dañinos para su desarrollo y su derecho a poder tomar decisiones al respecto de los mismos, recibiendo información de forma adecuada para su edad. Estos derechos de la infancia y la adolescencia se desarrollan mediante las medidas y políticas descritas en el articulado de la ley, así como de las diferentes obligaciones que derivan de ellos para la administración y el sector privado, que desempeña un papel fundamental en este ámbito. La regulación genera así el marco necesario para el desarrollo de los compromisos adquiridos por España en materia de derechos de las personas menores de edad ante el papel creciente que juegan los entornos digitales como un plano más en el que se desarrolla la sociedad.

El título preliminar, “Disposiciones generales”, constituye el marco básico de referencia para garantizar el respeto y disfrute en igualdad de todas las niñas, niños y adolescentes en los entornos digitales, fomentando la participación activa de este colectivo y superando las barreras de la discriminación.

El principal objetivo de la ley es ofrecer entornos digitales seguros para la infancia y la adolescencia, con plena protección de sus derechos y libertades, a la vez que se fomenta un uso adecuado y respetuoso de las nuevas tecnologías.

De acuerdo con lo anterior, el artículo 2 reconoce los derechos de las personas menores de edad en este tipo de entornos, entre ellos los derechos a ser protegidas eficazmente ante contenidos digitales que puedan perjudicar su desarrollo, a recibir información suficiente y necesaria en una forma y lenguaje apropiado según la edad sobre el uso de las tecnologías y de los riesgos asociados al mismo, así como al acceso equitativo y efectivo a dispositivos, conexión y formación para el uso de herramientas digitales.

Con ello se completa el marco previamente definido por la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor, de modificación parcial del Código Civil y de la Ley de Enjuiciamiento Civil; la Ley Orgánica 8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violencia, cuyo título III, capítulo VIII, se dedica a las nuevas tecnologías, fomentando la colaboración público-privada en aras de garantizar el uso seguro y responsable de internet y las tecnologías de la información y la comunicación entre las personas menores de edad; y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que contempla la necesidad de otorgar una protección real a las personas menores de edad en internet, a cuyo fin obliga a los padres, madres, tutores, curadores o representantes legales a procurar que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información al objeto de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales (artículo 84); obliga a los centros educativos y a cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad a garantizar la protección del interés superior del menor y sus derechos fundamentales, y especialmente el derecho a la protección de sus datos personales en internet (artículo 92); y prevé la aprobación de un Plan de Actuación dirigido a promover las acciones de formación, difusión y concienciación necesarias para lograr que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de las redes sociales y de los servicios de la sociedad de la información equivalentes de Internet con la finalidad de garantizar su adecuado desarrollo de la personalidad y de preservar su dignidad y derechos fundamentales (artículo 97.2).

En esta misma línea, el artículo 3 recoge los fines que pretende lograr la norma de garantizar el respeto y cumplimiento de los derechos de las niñas, niños y adolescentes en el entorno digital, especialmente los derechos a la intimidad, al honor y a la propia imagen, así como el interés superior del menor en el desarrollo de los productos y servicios digitales, y fomentar un uso equilibrado y responsable de los entornos digitales, apoyar el desarrollo de las competencias digitales de la infancia en el entorno digital para hacer de éste un lugar seguro, entre otros.

Las medidas que se recogen en la ley se despliegan desde una perspectiva amplia y multidisciplinar, alcanzando una protección integral de las personas menores de edad en el uso de dispositivos y medios digitales con una perspectiva preventiva, de atención e inclusión, con el fin de ofrecer a través de los canales adecuados herramientas que permitan anticiparse al desarrollo de problemas más graves, y fomentar entornos sin discriminación.

III

El entorno digital pone a disposición de la sociedad, en su conjunto, numerosas ventajas y beneficios, pero su uso ha de ser especialmente adecuado cuando los principales destinatarios de las nuevas tecnologías digitales son los menores, que cada vez se enfrentan a mayores riesgos derivados de un consumo perjudicial.

Es por ello que la presente ley contempla varias medidas en materia de protección de las personas menores de edad como consumidores y usuarios, que se recogen en el título I y también en la disposición final cuarta, que modifica de manera expresa el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre.

Respecto de las medidas recogidas en el capítulo I del título II, el artículo 4 establece dos nuevas obligaciones dirigidas a los fabricantes de los dispositivos digitales con conexión a internet a través de los cuales las personas menores de edad puedan acceder a contenidos perjudiciales para su desarrollo, que se encuentran en línea con lo previsto en el artículo 46, apartados 3 y 4, de la Ley Orgánica 8/2021, de 4 de junio: una obligación de información en sus productos de los posibles riesgos derivados de un uso inadecuado, entre otros aspectos, y la obligación de que los dispositivos digitales que fabriquen incluyan una funcionalidad de control parental de servicios, aplicaciones y contenidos, que debe ser gratuita para el usuario.

Como situación más específica, entre los consumos con un potencial perjudicial cabe mencionar los mecanismos aleatorios de recompensa (cajas botín o “lootboxes”), que forman parte de algunos videojuegos y que, sin el debido control de acceso en su activación, pueden suponer un riesgo para las personas vulnerables, en especial las más jóvenes a quienes van dirigidas y son los principales consumidores de este tipo de productos y servicios.

Los mecanismos aleatorios de recompensa son objetos o procesos virtuales de cualquier tipo cuya activación ofrece la oportunidad al jugador de obtener, con carácter aleatorio, recompensas o premios virtuales que pueden utilizarse en esos entornos digitales.

Como ha puesto de manifiesto la literatura científica, la evidente identidad funcional de algunas de las modalidades bajo las que se presentan estos mecanismos aleatorios de recompensa con los juegos de azar tradicionales trae consigo, también, las consecuencias negativas asociadas con estos últimos, como pueden ser es el surgimiento de conductas de consumo irreflexivas, compulsivas y, en última instancia, patológicas. Todo ello con base en la mecánica de activación psicológica susceptible de desencadenarse al participar en esta actividad, lo que es causa de graves repercusiones económicas, patrimoniales y afectivas, tanto en las personas que las padecen como en su entorno personal, social y familiar.

En el caso de los menores, es probable que el contacto con estos mecanismos aleatorios de recompensa constituya su primer encuentro con un producto o funcionalidad en cuya mecánica de funcionamiento el azar tenga un papel preponderante y que guarda la citada similitud, tanto desde el punto de vista estructural como de las técnicas de marketing utilizadas para su comercialización, con ciertas modalidades propias del juego regulado.

Por lo expuesto, el artículo 5 dispone una prohibición general de acceso a los mecanismos aleatorios de recompensa o su activación por personas que sean menores de edad, si bien reglamentariamente se podrán establecer supuestos en los que se determinen excepciones en las que se flexibilice la prohibición, siempre que se garantice la protección a la infancia.

Se aclara que la prohibición señalada y la consiguiente obligación de establecer un sistema de verificación de edad con carácter previo al acceso a este tipo de productos y funcionalidades no opera de manera general, sino que resulta de aplicación solo a los mecanismos aleatorios de recompensa que presentan un conjunto de caracteres que los hacen asimilables en mayor grado a ciertos productos de juegos de azar. En consecuencia, no todos los procesos, funcionalidades o productos asociados a los productos de software interactivo de ocio que integren como elemento esencial de su configuración estructural el azar son objeto de la presente regulación. Además del pago de un precio por la activación y de la presencia del elemento del azar, la ley incluye bajo su ámbito de aplicación únicamente aquellos mecanismos aleatorios que otorguen recompensas que consistan en un objeto virtual que pueda ser canjeado por dinero o por otros objetos virtuales.

En coherencia con las medidas contempladas en el título I, la disposición final cuarta modifica el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre, con el fin de incorporar la protección de las personas menores de edad, como personas consumidoras vulnerables, en relación con los bienes o servicios digitales. Además, se incide en la obligación por la parte empresarial de asegurarse de la mayoría de edad del consumidor y usuario con carácter previo a la contratación de bienes o servicios propios o ajenos o, internos o externos, destinados a personas mayores de edad, ya sea por su contenido sexual, violento o por suponer un riesgo para la salud física o el desarrollo de la personalidad; y se tipifica el incumplimiento por parte del empresario de dicha obligación de verificación y comprobación de edad como infracción leve en materia de defensa de los consumidores y usuarios. Finalmente, se incorporan como requisitos objetivos de conformidad las obligaciones de información y de incorporación de una funcionalidad de control parental que el artículo 4 impone a los fabricantes de dispositivos digitales con conexión a internet.

El título II, compuesto por los artículos 6 y 7, incorpora las medidas dirigidas al ámbito educativo.

La vigente legislación educativa promueve el uso de las nuevas tecnologías en la enseñanza, contribuye a la mejora de las capacidades digitales del alumnado y asume la necesidad de que la digitalización del ámbito educativo venga acompañada por la inclusividad económica, social y de género en el acceso a las tecnologías, y de un uso de los medios digitales seguro y respetuoso con los valores y derechos constitucionales.

La creciente preocupación por evitar los riesgos de una utilización inadecuada de las tecnologías de la información y de la comunicación y el debate social surgido en torno a estas situaciones ha contado con la atención de las Administraciones educativas. Así, en 2024, el Ministerio y las Comunidades Autónomas compartieron puntos de vista sobre las formas de abordar estas cuestiones y el Consejo Escolar del Estado aprobó una propuesta para regular el uso del móvil en los centros educativos durante el horario lectivo. Se trata de una serie de recomendaciones y conclusiones como el uso cero de los móviles tanto en educación infantil como en educación primaria, y que estos dispositivos permanezcan apagados durante todo el horario escolar en educación secundaria, pudiendo utilizarse en el caso de que el docente lo considere necesario para una actividad educativa concreta. En todo caso, se contemplan excepciones por motivos de salud, seguridad o necesidades especiales.

En su tratamiento de los problemas detectados, el artículo 6 de la presente ley responde a la necesidad de mejorar la formación en esta materia tanto de los alumnos como del personal docente.

Por una parte, se dispone el fomento de actuaciones de mejora de las competencias digitales del alumnado, con el fin de garantizar su plena inserción en la sociedad digital y el aprendizaje de un uso seguro, sostenible, crítico y responsable de las tecnologías digitales para el aprendizaje, el trabajo y la participación en la sociedad, así como la interacción con estas. Estas previsiones están en línea con los principios pedagógicos que desarrolla la Ley Orgánica 2/2006, de 3 de mayo, de Educación, uno de los cuales es precisamente el desarrollo transversal de la competencia digital, y se vinculan también con el artículo 5 de la Ley Orgánica 1/1996, de 15 de enero, en relación con el derecho a la información, y el artículo 33 de la Ley Orgánica 8/2021, de 4 de junio, sobre formación en materia de derechos, seguridad y responsabilidad digital.

Por otra parte, se reconoce el papel fundamental del profesorado en el proceso de adquisición de las competencias digitales por parte del alumnado y en la detección de riesgos, y por ello se dispone que la planificación de la formación continua del profesorado incorpore actividades formativas que faciliten a los docentes estrategias para el tratamiento, entre otros aspectos, de la seguridad y de los elementos relacionados con la ciudadanía digital, la privacidad y la propiedad intelectual, tomando para ello como referencia las áreas y competencias establecidas en el Marco de Referencia de la Competencia Digital Docente y la regulación existente en materia de protección integral a la infancia y la adolescencia frente a la violencia, protección de datos personales y garantía de los derechos digitales.

Finalmente, de manera más específica a propósito del problema antes apuntado, el artículo 7 establece que los centros educativos, de acuerdo con las disposiciones que al efecto hayan aprobado las administraciones educativas, regulen como parte de sus normas de funcionamiento y convivencia el uso de dispositivos móviles y digitales en las aulas, en las actividades extraescolares y en lugares y tiempos de descanso que tengan lugar bajo su supervisión.

El capítulo III del título II aborda las medidas de carácter sanitario a adoptar por las Administraciones públicas.

El impacto en la salud de los niños, niñas y adolescentes por el uso inadecuado de las tecnologías y entornos digitales constituye un motivo creciente de preocupación para las familias, educadores y profesionales de la salud. Aunque existen numerosos estudios, sus resultados son a veces contradictorios o poco concluyentes. No obstante, existen evidencias de que pasar un tiempo excesivo frente a las pantallas y la exposición a contenidos inapropiados pueden afectar la salud mental y aumentar el riesgo de ansiedad, depresión, adicción, problemas de autoestima, trastornos del sueño, problemas en el desarrollo del lenguaje y habilidades sociales, así como en la capacidad de concentración y resolución de problemas.

También se ha encontrado evidencia de que las personas adolescentes con alta exposición a medios y entornos digitales podrían tener más probabilidad de desarrollar síntomas de trastorno por déficit de atención e hiperactividad. Además, los niños y niñas pueden exponerse a discursos de odio, violencia y contenidos que incitan a la autolesión o al suicidio, o que tienen un impacto negativo en su bienestar emocional y psicológico.

Por otra parte, el tiempo excesivo frente a las pantallas contribuye a un estilo de vida sedentario y por tanto a sufrir trastornos musculoesqueléticos, obesidad infantil y a los problemas derivados de la misma, como las enfermedades cardiovasculares y endocrinas. Además, la exposición a pantallas puede afectar a la salud visual y originar problemas de visión borrosa, ojos secos y dolores de cabeza.

Se hace necesario, por tanto, establecer medidas sanitarias para la prevención de los problemas de salud derivados del uso inadecuado de las tecnologías y entornos digitales y promocionar hábitos de uso saludables.

Para ello, el articulo 8 promueve que, con base en el principio de salud en todas las políticas, se incorpore la dimensión sanitaria en los estudios que se promuevan por las Administraciones públicas sobre el uso de estas tecnologías y entornos digitales por las personas menores, con el objetivo de aumentar el conocimiento sobre los efectos en la salud y general evidencia científica. Además, incorpora actuaciones individuales y comunitarias en los programas de prevención y promoción de la salud infantil y adolescente que se desarrollan desde la atención primaria, para la detección precoz de los problemas específicos relacionados con las tecnologías y entornos digitales, así como el establecimiento de programas coordinados con otras administraciones públicas, para el abordaje integral, tratamiento y rehabilitación, con una perspectiva biopsicosocial.

Por otra parte, el artículo 9, promueve la atención sanitaria especializada para personas menores con conductas adictivas sin sustancia.

Las medidas en el sector público, reguladas en el título IV, se fundamentan en la obligación de los poderes públicos de promover las condiciones de libertad e igualdad de las personas, tanto individualmente como en los grupos en los que se integran, para que sean reales y efectivas, suprimiendo los obstáculos que dificulten su plenitud y facilitando la participación ciudadana en la esfera social, política, cultural y económica, tal y como recoge el artículo 9.2 de la Constitución Española. Asimismo, en virtud del artículo 11 de la Ley Orgánica 1/1996, de 15 de enero, las Administraciones Públicas deberán tener en cuenta las necesidades de los menores al ejercer sus competencias especialmente, entre otros, en relación con las nuevas tecnologías.

A través de las medidas de participación, información y sensibilización previstas en el artículo 10, en línea con lo previsto en la Ley Orgánica 8/2021, de 4 de junio, se incide en la necesidad de incorporar acciones proactivas y eficaces en relación con la información y formación sobre entornos digitales seguros, dirigidas a personas menores de edad y a sus familias, garantizando el ejercicio efectivo del derecho de participación en los planes, programas y políticas que afecten a la infancia y la juventud.

El artículo 11 dispone el fomento de la colaboración público-privada y la corregulación, de forma que los proveedores del servicio de acceso a internet desde una ubicación fija aprueben un código de conducta que establezca los mecanismos y parámetros de configuración segura que se comprometen a aplicar en la prestación de sus servicios en lugares de acceso público en los que se presten servicios públicos, para evitar el acceso a contenidos inadecuados por parte de las personas menores de edad.

El artículo 12 recoge la obligación del Gobierno, en colaboración con las comunidades autónomas, las ciudades de Ceuta y Melilla y las entidades locales, de elaborar una Estrategia Nacional sobre la protección de la infancia y la adolescencia en el entorno digital, en la que participarán el Observatorio de la Infancia, las entidades del tercer sector, la sociedad civil, y, de forma muy especial, con las niñas, niños y adolescentes. Esta Estrategia, que deberá definirse en consonancia con la Estrategia Estatal de los Derechos de la Infancia y de la Adolescencia, perseguirá la alfabetización digital y mediática, la difusión de información a las familias, y personas que habitualmente estén en contacto con menores, el uso seguro de dispositivos, la investigación y la creación de espacios de interacción y colaboración sobre cultura digital.

VII

La protección de los menores en los entornos digitales puede requerir como último recurso la interrupción de un servicio de la sociedad de la información que ofrezca acceso sin límites a contenido que perjudica gravemente al desarrollo físico, mental y moral de los menores. De modo general, el artículo 8.1 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, permite que los órganos competentes para su protección puedan adoptar las medidas necesarias para interrumpir la prestación de un servicio de la sociedad de la información o retirar los datos que este ofrezca cuando ello atente o pueda atentar contra los bienes jurídicos que expresa, entre los cuales se encuentra, enunciado en su párrafo d), la protección de la juventud y de la infancia.

Dado que estas medidas restrictivas pueden llegar a afectar a derechos fundamentales como la libertad de expresión o el derecho de información, que gozan de protección constitucional, una orden para la interrupción de un servicio o la retirada de contenido debe contar con la correspondiente autorización judicial.

La Sentencia del Tribunal Supremo núm.1231/2022, de 3 de octubre, ha advertido sin embargo al legislador sobre la existencia de una laguna a este respecto en nuestra legislación procesal, donde solo se prevé un procedimiento para solicitar la autorización judicial de la medida cuando se trate de la salvaguarda de los derechos de propiedad intelectual y así lo solicite la Sección Segunda de la Comisión de Propiedad Intelectual, con omisión del resto de supuestos previstos el artículo 8.1 de la Ley 34/2002, de 11 de julio, incluida la protección de la juventud y de la infancia, que habilitan a las autoridades competentes por razón de la materia para adoptar, con autorización judicial, de este tipo de medidas. Esta misma laguna se observa respecto de los actos adoptados para la limitación del acceso a un servicio intermediario previstos en el artículo 51.3.b) del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales).

A fin de colmar esta laguna legal, las disposiciones finales primera y tercera de esta ley modifican respectivamente la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial y la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.

Concretamente, se modifican el artículo 90 de la Ley Orgánica 6/1985, de 1 de julio, y el artículo 9.2 de la Ley 29/1998, de 13 de julio, a fin de atribuir a los Juzgados Centrales de lo Contencioso-Administrativo la competencia para autorizar la ejecución de los actos adoptados por los órganos administrativos competentes en la materia para que se interrumpa la prestación de servicios de la sociedad de la información o para que se retiren contenidos que vulneren cualquiera de los bienes jurídicos enumerados en el artículo 8 de la Ley 34/2002, de 11 de julio, no solo la propiedad intelectual, así como para la ejecución de los adoptados para la interrupción del acceso a un intermediario por un coordinador de servicios digitales con base en el artículo 51.3.b) del Reglamento de Servicios Digitales, o con arreglo al artículo 89.1.e) de la Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual, en los términos que se indicarán a continuación.

Asimismo, se modifica el artículo 122 bis de la Ley 29/1998, de 13 de julio, con objeto de que el procedimiento de autorización judicial para la ejecución de estas medidas se generalice para todos los bienes jurídicos protegidos, no solo para salvaguardar la propiedad intelectual.

En lo relativo a la protección de menores en entornos digitales, la habilitación a los Juzgados Centrales de lo Contencioso-Administrativo para autorizar estas medidas permitirá que todas las autoridades competentes en la materia puedan solicitar la autorización judicial para la interrupción de servicios o retirada de contenidos que atenten contra la protección de la juventud y la infancia. Entre otros supuestos, esto permitiría a la Comisión Nacional de los Mercados y la Competencia solicitar la autorización de una orden de cese de actividad a una plataforma de intercambio de vídeos con contenido para adultos que no incluya mecanismos de verificación de edad que limiten el acceso a menores y que estén alineados con las especificaciones técnicas que sirvan de base para la implementación de la cartera de identidad digital europea (EUDI Wallet) conforme al Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) n.° 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital

VIII

La disminución del riesgo asociado al uso de las tecnologías digitales por los menores hace necesaria también la reforma del Código Penal, que se lleva a cabo en la disposición final segunda.

Algunos delitos tecnológicos dirigidos a la protección de las personas menores de edad han sido recogidos por las últimas reformas del Código Penal, fundamentalmente la producida por la disposición final sexta de la Ley Orgánica 8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violencia, donde por primera vez se habla de violencia digital. Con esta reforma se han castigado conductas de distribución o difusión pública a través de Internet, del teléfono o de cualquier otra tecnología de la información o de la comunicación de contenidos específicamente destinados a promover, fomentar o incitar al suicidio, las autolesiones o conductas relacionadas con trastornos alimenticios o a las agresiones sexuales a menores. También en diferentes preceptos del Código Penal se recoge expresamente el bloqueo o la retirada de las páginas web, portales o aplicaciones de internet que contengan o difundan pornografía infantil, que fomenten el odio a colectivos o que enaltezcan o que justifiquen el terrorismo (artículos 189.8, 510.6 y 578.4 del Código Penal); y, del mismo modo la Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica, incorporó a este texto legal los artículos 588 bis a y siguientes relativos a la investigación de los delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicios de comunicación.

Sin embargo, existen otras situaciones directamente relacionadas con el acceso seguro de los menores a internet, que tienen que ver no solo con la modificación o creación de figuras específicamente destinadas a la tutela de las personas menores, sino también con los problemas que se derivan de una falta de adaptación de la norma vigente a los nuevos avances tecnológicos.

Es por ello necesario introducir algunos cambios en el Código Penal que avancen en su adaptación a las nuevas formas de criminalidad y que, sin olvidar los principios limitadores del ius puniendi del Estado, permitan ejercer una protección eficaz frente a los nuevos delitos tecnológicos.

En línea con este objetivo, se ha estimado conveniente la incorporación de cuatro tipos de modificaciones, que se articulan en la disposición final segunda.

En primer lugar, se incorpora la pena de alejamiento de los entornos virtuales, para un mejor cumplimiento de la prevención general y especial en el ámbito de los delitos tecnológicos. En concreto, se modifican los artículos 33, 39, 40, 45, 48, 56, 70 y 83 del Código Penal para incorporar la pena de prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual, cuando el delito se comete en su seno.

De este modo, se vincula el contenido de la pena a la naturaleza del delito, y se establece una mayor protección de las víctimas, evitando la reiteración de conductas punibles.

La necesidad se constata además si se atiende a la Sentencia del Tribunal Supremo, núm. 547/2022 de 2 junio, que acoge como posible la imposición de la pena de prohibición al acusado de acudir al lugar del delito, siendo este un sitio virtual. El alto tribunal confirma en esta resolución lo que ya se anunciaba doctrinalmente: en los delitos tecnológicos hay que diferenciar el medio comisivo y el lugar de comisión. En este sentido afirma que “(L)a experiencia más reciente enseña que las redes sociales no son sólo el instrumento para la comisión de algunos delitos de muy distinta naturaleza. Pueden ser también el escenario en el que el delito se comete, ya sea durante todo su desarrollo, ya en la ejecución de sólo algunos de los elementos del tipo”.

Ante el gran incremento de la delincuencia virtual, las redes sociales son un lugar donde frecuentemente se cometen delitos o donde se prolonga la ejecución de hechos iniciados o ejecutados parcialmente y la introducción de la pena de prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual da una respuesta eficaz a la creciente criminalidad informática, al evitar la reiteración de la conducta punible en los espacios virtuales y mejorar la protección de las víctimas impidiendo su victimización secundaria. Su incorporación expresa al Código Penal hace que su aplicación se acomode mejor a los principios de legalidad y tipicidad penal, y su previsión se hace también en términos adecuados al principio de proporcionalidad, pues su extensión debe ser concretada caso a caso mediante resolución judicial debidamente motivada que debe permitir al penado el acceso a otras redes o espacios virtuales no directamente relacionados con el delito cometido.

En segundo lugar, se aborda específicamente el tratamiento penal de las denominadas ultrafalsificaciones, esto es imágenes o voces manipuladas tecnológicamente y extremadamente realistas. A tal fin se incorpora un nuevo artículo 173 bis que sanciona a quienes, sin autorización de la persona afectada y con ánimo de menoscabar su integridad moral, difundan, exhiban o cedan su imagen corporal o audio de voz generada, modificada o recreada mediante sistemas automatizados, software, algoritmos, inteligencia artificial o cualquier otra tecnología, de modo que parezca real, simulando situaciones de contenido sexual o gravemente vejatorias.

Además de que las ultrafalsificaciones generalmente se difunden en el ciberespacio, con la potencialidad de permanencia que ello implica, como se ha advertido respecto de los delitos tecnológicos de contenido, se produce un aumento de la lesividad en relación con otras modalidades de ataque por la enorme dificultad de distinguir entre el contenido falso y el real debido a la precisión de las nuevas tecnologías y por el mayor grado de veracidad que mantenemos respecto de materiales audiovisuales sobre materiales escritos.

Técnicamente, se opta por la sanción la difusión de las ultrafalsificaciones de contenido sexual (las llamadas deepfakes pornográficas) o especialmente vejatorio en sede de delitos contra la integridad moral porque, en virtud del principio de consunción, se abarcarían los supuestos de lesión de la integridad moral y también los ataques contra el honor, pues ha de tomarse en cuenta no solo la afectación a la autoestima y la heteroestima, sino también la cosificación e instrumentalización que se produce sobre el sujeto pasivo, generalmente mujeres y niñas, niños y jóvenes que son tratados como objetos de consumo. También hay que recordar que la motivación para llevar a cabo estas acciones no siempre se identifica con el animus iniuriandi, pues el hecho puede deberse a otras razones como el ánimo de lucro, si dichas imágenes se utilizan en páginas o aplicaciones de contenido pornográfico.

En tercer lugar, dado que la ley tiene como objetivo específico tutelar los intereses de los niños, niñas y adolescentes, y existe una gran preocupación en relación con el acceso de los menores a contenidos pornográficos que pueden afectar a su desarrollo en la esfera afectivo sexual, se prevé la modificación del artículo 186 del Código Penal, con la finalidad de mejorar la protección del bien jurídico libertad sexual de los menores.

En su actual redacción, el artículo 186 del Código Penal castiga a quienes “por medios directos”, vendan, exhiban o difundan material pornográfico entre menores y personas con discapacidad necesitadas de especial protección. Tal redacción no protege suficientemente el bien jurídico de intangibilidad sexual de estos colectivos frente a la puesta a disposición indiscriminada de este tipo de material en medios en los que, conocidamente, va a ser accesible a los mismos. En consecuencia, se aborda la reforma de este precepto que tiene una especial repercusión en el ámbito de las personas de menor edad. Con la nueva redacción que se incorpora, se hace posible la punición de supuestos en los que el material pornográfico se pone a disposición de una colectividad indiscriminada de usuarios, de entre los que se tiene la clara representación de que va a haber menores de edad. Para ello, se contempla además un dolo específico reforzado. No basta, para la punición de la conducta, que sea cometida de forma deliberada en cuanto al dato objetivo de la transmisión o difusión del material, sino que tiene que existir la clara conciencia de que entre el público receptor hay menores de edad o personas necesitadas de especial protección, y de que el consumo por parte de estos sujetos de esta clase de material supone una afectación a su proceso de maduración sexual.

En cuarto lugar, en línea con el objetivo indicado, y tomando en consideración la incidencia de los supuestos de enmascaramiento de la propia identidad en este ámbito, también se introducen diferentes tipos agravados en los artículos 181, 182, 183, 185, 186, 188 y 189 que tienen que ver con el uso de identidades falsas a través de la tecnología, que facilitan la comisión de delitos contra las personas menores de edad.

Por otro lado, se modifica también la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales a través de la disposición final quinta para elevar a los 16 años la edad a partir de la cual los menores de edad pueden prestar consentimiento para el tratamiento de sus datos personales.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) prevé que cuando el consentimiento sea la base legal para el tratamiento de datos en servicios de la sociedad de la información, dicho consentimiento podrá ser otorgado por un menor si éste cuenta como mínimo con 16 años de edad; siendo necesario el consentimiento del titular de la patria potestad o tutela sobre el menor para las edades inferiores. Asimismo, permite que los países puedan reducir el límite anterior desde los 16 años hasta un mínimo de 13 años.

Haciendo uso de esta habilitación, la Ley Orgánica 3/2018, de 5 de diciembre, establecía el umbral de los 14 años para el consentimiento de los menores. Sin embrago, la evolución, no sólo de la tecnología digital, sino también de su uso por los menores de edad, ha sido tan exponencial que puede resultar inapropiada su utilización precoz; dada la madurez que requiere el uso de determinados servicios, plataformas, sistemas y contenidos digitales.

Por ello, se considera necesario elevar la edad del consentimiento del menor en materia de protección de datos, armonizando el umbral con el establecido por la mayoría de los países de la Unión Europea, así como con el exigido en el ordenamiento jurídico nacional para los menores de edad en otras actividades o conductas.

Finalmente, la presente ley orgánica, a través de su disposición final sexta, incorpora cinco modificaciones de la Ley 13/2022, de 7 de julio.

En primer lugar, con el fin de mejorar la efectividad de los canales de denuncia establecidos por la autoridad audiovisual de supervisión, se modifica el artículo 42.b) a fin de que los prestadores del servicio de comunicación audiovisual y los prestadores del servicio de intercambio de vídeos a través de plataforma incluyan en sus sitios web corporativos un enlace fácilmente reconocible y accesible al sitio web de dicha autoridad.

En segundo lugar, se modifica el artículo 89, relativo a las medidas para la protección de los usuarios y de los menores frente a determinados contenidos audiovisuales, con el fin de reforzar las medidas actualmente establecidas para evitar la exposición de los menores a contenidos inapropiados a su edad. Concretamente, se dispone que la autoridad audiovisual competente comprobará la efectividad de los sistemas de verificación y control de la edad para reducir el acceso de los menores de edad a contenidos audiovisuales dañinos o perjudiciales, que deberán garantizar unos niveles de seguridad y de privacidad, en particular en cuanto a minimización de datos, limitación de la finalidad y protección de datos desde el diseño, como mínimo, equiparables a los de la cartera de identidad digital europea (EUDI Wallet) conforme al Reglamento (UE) 2024/1183, de 11 de abril de 2024.

Asimismo, se impone al prestador el establecimiento por defecto de sistemas de control parental controlados por el usuario final con respecto a los contenidos que puedan perjudicar el desarrollo físico, mental o moral de los menores.

En tercer lugar, se modifica el apartado 1 del artículo 94, relativo a las obligaciones de los usuarios de especial relevancia que empleen servicios de intercambio de vídeos a través de plataforma. Estos servicios que, en muchos ámbitos, son agrupados bajo el concepto de «videobloggers», «influencers» o «prescriptores de opinión», gozan de relevancia en el mercado audiovisual desde el punto de vista de la inversión publicitaria y del consumo, especialmente, entre el público más joven.

Actualmente el artículo 94 impone una serie de obligaciones a los usuarios de especial relevancia que se orientan a reducir la exposición de los usuarios de los servicios de intercambio de videos a través de plataforma frente a contenidos dañinos o perjudiciales, y en particular con respecto a las obligaciones de protección de los menores, se les asimilaba a los servicios de comunicación audiovisual a petición.

Desde la aprobación de la Ley 13/2022, de 7 de julio, han aparecido nuevos servicios de intercambio de videos a través de plataforma que ya no pueden ser considerados asimilables a los servicios a petición, ya que los usuarios de especial relevancia ofrecen contenidos audiovisuales en directo, mucho más parecidos a los servicios de comunicación audiovisual lineales. Por ello, a fin de garantizar una protección adecuada de los menores frente a su exposición a contenidos dañinos o perjudiciales se considera oportuno modificar el régimen establecido en el artículo 94.1 y extender a los usuarios de especial relevancia el cumplimiento de las obligaciones para la protección de los menores del contenido perjudicial previstas en los apartados 2 y 3 del artículo 99 en función de que el tipo de servicio que ofrezcan pueda considerarse lineal o a petición.

Asimismo, la reforma tiene por objetivo incrementar la seguridad jurídica pues los cambios introducidos persiguen aclarar, entre otros aspectos, que los usuarios de especial relevancia deben calificar los contenidos que generen y suban a los servicios de intercambio de videos a través de plataforma.

Se modifica también el artículo 93.4 para prever que el incumplimiento de las obligaciones previstas en el artículo 89.1.e) será constitutivo de la infracción tipificada en el artículo 157.8, sin perjuicio de la responsabilidad penal que pueda derivarse de dicha acción. A este respecto, cuando el incumplimiento de las citadas obligaciones atente o pueda atentar contra el principio de protección de juventud e infancia, la Comisión Nacional de los Mercados y la Competencia podrá adoptar las medidas previstas en los artículos 8 y 11 de la Ley 34/2002, de 11 de julio, de conformidad con lo dispuesto en dichos artículos.

Finalmente, se modifica el artículo 160.1.c) con el fin de reforzar las competencias sancionadoras de la Comisión Nacional de los Mercados y la Competencia (CNMC), permitiendo que este organismo pueda imponer como sanción accesoria el cese de la prestación del servicio por parte del prestador del servicio de intercambio de videos a través de plataforma cuando este haya cometido la infracción muy grave prevista en el artículo 157.8, consistente en el incumplimiento de su obligación de establecer y operar sistemas de verificación de edad para los usuarios con respecto a los contenidos que puedan perjudicar el desarrollo físico, mental o moral de los menores que, en todo caso, impidan el acceso de estos a los contenidos audiovisuales más nocivos, como la violencia gratuita o la pornografía.

En la elaboración de esta ley orgánica se han observado los principios de buena regulación a que hace referencia el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, esto es, los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia.

Por relación a los principios de necesidad y eficacia, de lo expuesto en los apartados precedentes se deduce la necesidad de cada una de las medidas que se adoptan, que se estima que contribuirán eficazmente a mejorar la protección de los menores en el entorno digital.

Aunque las medidas de protección de los menores que establece la norma tienen en su mayor parte un contenido positivo, de refuerzo de sus derechos en el ámbito digital, también supone la imposición de algunas obligaciones nuevas, particularmente, para las empresas proveedoras de dispositivos, servicios y contenidos digitales. En virtud del principio de proporcionalidad, se ha procurado que el alcance y contenido de estas obligaciones sea el imprescindible para asegurar la protección de los menores. Este mismo principio de proporcionalidad inspira la configuración de las reformas del Código Penal, según se ha explicado previamente.

La ley atiende asimismo a las exigencias propias de la seguridad jurídica pues, por una parte, procura definir de modo claro las medidas que incorpora, y por otra, algunas de ellas se orientan específicamente a mejorar la precisión, claridad y compleción de nuestra actual legislación.

En virtud del principio de transparencia, en el procedimiento de elaboración de la norma se ha posibilitado la participación de sus potenciales destinatarios. Asimismo, la norma define los objetivos de las medidas que incorpora y tanto su parte expositiva como la memoria del análisis de impacto normativo contienen una explicación de las razones que las justifican. Desde esta misma perspectiva es finalmente reseñable que algunas de las medidas que contiene se orientan específicamente a reforzar la transparencia en este ámbito, y por ello se impone a las Administraciones públicas el deber de promover la consulta y participación de los menores en la adopción de medidas que puedan garantizar sus derechos en el ámbito digital, así como el uso de un lenguaje claro, de forma que las Administraciones públicas y entidades del sector privado empleen un lenguaje accesible para las personas menores de edad en las comunicaciones que se les dirijan y en aquella información a la que tengan acceso.

En aplicación del principio de eficiencia, la ley no incorpora nuevas cargas administrativas y procura la racionalización del gasto público en la medida en que su cumplimiento se afrontará con los recursos que sean indispensables y se promueve la coordinación y colaboración entre las Administraciones públicas en la adopción y ejecución de las medidas que implican a varias de ellas, lo que se entiende que redundará en una aplicación más eficaz y eficiente de los recursos públicos.

TÍTULO PRELIMINAR.- Disposiciones generales

Artículo 1. Objeto.

La presente ley orgánica tiene por objeto establecer medidas con la finalidad de garantizar la protección de las personas menores de edad en los entornos digitales.

Artículo 2. Derechos de las personas menores de edad.

1. Las personas menores de edad tienen derecho a ser protegidas eficazmente ante contenidos digitales que puedan perjudicar su desarrollo.

2. Las personas menores de edad tienen derecho a recibir información suficiente y necesaria en una forma y lenguaje apropiado según la edad sobre el uso de las tecnologías, así como de sus derechos y de los riesgos asociados al entorno digital.

3. Las personas menores de edad tienen derecho al acceso a la información, a la libertad de expresión, y a ser escuchadas.

4. Las personas menores de edad tienen derecho al acceso equitativo y efectivo a dispositivos, conexión y formación para el uso de herramientas digitales.

Artículo 3. Fines.

Las disposiciones de esta ley orgánica persiguen los siguientes fines:

a) Garantizar el respeto y cumplimiento de los derechos de las niñas, niños y adolescentes en el entorno digital, especialmente los derechos a la intimidad, al honor y a la propia imagen, al secreto de las comunicaciones y a la protección de los datos personales y el acceso a contenidos adecuados a la edad.

b) Fomentar un uso equilibrado y responsable de los entornos digitales a fin de garantizar el adecuado desarrollo de la personalidad de las personas menores de edad y de preservar su dignidad y sus derechos fundamentales.

c) Garantizar que los productos y servicios digitales tengan en cuenta, desde su diseño y por defecto, el interés superior del menor.

d) Apoyar el desarrollo de las competencias digitales de la infancia en el entorno digital y la capacidad de evaluar los contenidos en línea y detectar la desinformación y el material abusivo.

e) Promover un entorno digital más seguro y estimular la investigación en este ámbito.

TÍTULO I.- Medidas en el ámbito de la protección de consumidores y usuarios

Artículo 4. Obligaciones de los fabricantes de dispositivos digitales con conexión a internet.

1. Este artículo es aplicable a los dispositivos digitales que tengan la capacidad de conectarse a internet y a través de dicha conexión pueda accederse a contenidos perjudiciales para menores, como es el caso de teléfonos móviles, tabletas electrónicas, televisores inteligentes y ordenadores de uso personal.

2. Los fabricantes de dispositivos digitales referidos en el párrafo anterior proporcionarán información en sus productos en la que se advierta, en un lenguaje accesible, inclusivo y apropiado para todas las edades, de los riesgos derivados del acceso a contenidos perjudiciales para la salud y el desarrollo físico, mental y moral de los menores. De igual modo facilitarán información sobre las medidas de protección de datos y riesgos relacionados con la privacidad y la seguridad; el tiempo recomendado de uso de los productos y servicios, adecuado a la edad de la persona usuaria; los sistemas de control parental; los riesgos sobre el desarrollo cognitivo y emocional y la afección a la calidad del sueño de un uso prolongado de tales servicios. En todo caso se tendrá en cuenta la adaptación del lenguaje y elementos visuales a las necesidades de las personas con discapacidad y de las personas con trastorno de espectro autista

3. Los fabricantes estarán obligados a garantizar que los dispositivos a los que se refiere este artículo incluyan una funcionalidad de control parental de servicios, aplicaciones y contenidos, cuya activación debe producirse por defecto en el momento de la configuración inicial del dispositivo. La inclusión de la funcionalidad, su activación, configuración y actualización serán gratuitas para el usuario.

4. Los fabricantes deberán acreditar ante los importadores, distribuidores y comercializadores que los dispositivos suministrados cumplen los requisitos y condiciones establecidos en los párrafos anteriores. Los importadores, distribuidores y comercializadores deberán desarrollar actuaciones de verificación del cumplimiento de estos requisitos y condiciones.

5. El Ministerio para la Transformación Digital y de la Función Pública ejercerá las funciones de vigilancia, supervisión y control de los requisitos y condiciones establecidos en los párrafos anteriores, para lo cual ejercerá las potestades de inspección y sanción que le atribuye el ordenamiento jurídico.

En concreto, los incumplimientos de lo establecido en el presente artículo serán sancionados, según corresponda, de acuerdo con lo establecido en el título VIII de la Ley 11/2022, de 28 de junio, General de Telecomunicaciones o en el título V de la Ley 21/1992, de 16 de julio, de Industria

Artículo 5. Regulación del acceso y activación de los mecanismos aleatorios de recompensa.

Queda prohibido el acceso a los mecanismos aleatorios de recompensa o su activación por personas que sean menores de edad. A los efectos de lo previsto en este apartado, se entenderá por mecanismo aleatorio de recompensa aquella funcionalidad virtual cuya activación se realiza con dinero de curso legal o a través de un objeto virtual, como un código, clave, in-game currency, criptomoneda u otro elemento, adquirido con dinero directa o indirectamente; en la que el resultado de dicha activación sea incierto y consista en la obtención de un objeto virtual que pueda ser canjeado por dinero o por otros objetos virtuales. En su caso, reglamentariamente podrán determinarse los supuestos excepcionales en los que podrá flexibilizarse dicha prohibición, siempre garantizando el principio de protección a la infancia que inspira esta Ley.

TÍTULO II.- Medidas en el ámbito educativo

Artículo 6. Actividades de formación en los centros de educación infantil, primaria, secundaria obligatoria y secundaria postobligatoria.

Las Administraciones educativas fomentarán en los centros de educación infantil, primaria, secundaria obligatoria y secundaria postobligatoria, independientemente de su titularidad, el desarrollo de actividades encaminadas a la mejora de la competencia digital con el fin de garantizar la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso seguro, saludable, sostenible, crítico y responsable de las tecnologías digitales para el aprendizaje, el trabajo y la participación en la sociedad, así como la interacción con estas.

Las Administraciones educativas incluirán, en su planificación de la formación continua del profesorado, actividades formativas que faciliten a los docentes estrategias para incidir, entre otros aspectos, en la seguridad (incluido el bienestar digital y las competencias relacionadas con la ciberseguridad) y en asuntos relacionados con la ciudadanía digital, la privacidad y la propiedad intelectual.

Artículo 7. Regulación del uso de dispositivos en los centros de educación infantil, primaria, secundaria obligatoria y secundaria postobligatoria.

Los centros de educación infantil, primaria, secundaria obligatoria y secundaria postobligatoria, independientemente de su titularidad, regularán, de acuerdo con las disposiciones que al efecto hayan aprobado las administraciones educativas y en el marco de lo previsto en el artículo 124 de la Ley Orgánica 2/2006, de 3 de mayo, de Educación, el uso de dispositivos móviles y digitales en las aulas, en las actividades extraescolares y en lugares y tiempos de descanso que tengan lugar bajo su supervisión.

TÍTULO III.- Medidas en el ámbito sanitario

Artículo 8. Prevención y promoción de la salud.

1. Las administraciones públicas que promuevan estudios sobre el uso de las tecnologías de información y comunicación por las personas menores de edad tendrán en cuenta el principio de «salud en todas las políticas», proporcionando la información desagregada por edad, sexo y otros determinantes de la salud. El diseño de estos estudios debe permitir la adquisición de conocimiento que contribuya a la evaluación de los efectos sobre su salud y desarrollo. Así mismo, las administraciones sanitarias elaborarán guías para la prevención y la promoción de la salud en el uso de las tecnologías de información y comunicación por las personas menores de edad.

2. Los programas de prevención y de promoción de la salud infantil y juvenil de las administraciones sanitarias incorporarán actuaciones para la identificación de usos problemáticos de dichas tecnologías y la detección precoz de cambios de conductas o problemas de salud física, psíquica y emocional, derivados de un uso inadecuado. Las actuaciones individuales y comunitarias incluidas en estos programas, incorporarán la perspectiva biopsicosocial y el desarrollo integral de la salud de las personas menores. En la detección precoz de situaciones de riesgo, se pondrá especial atención en identificar aquellas en las que niñas, niños y adolescentes recurran de forma prioritaria al entorno digital para entablar relaciones de pares.

3. Las administraciones sanitarias competentes revisarán las actuaciones de prevención de trastornos adictivos para la inclusión de las adicciones sin sustancia relacionadas con el uso de medios digitales.

4. Se promoverá la coordinación de todas las administraciones públicas y agentes implicados, especialmente de los servicios de atención primaria, atención especializada a la salud mental y a las conductas adictivas, servicios sociales y educativos. En particular, las administraciones sanitarias impulsarán la elaboración conjunta con otras administraciones públicas de programas y circuitos de derivación para el abordaje integral de los problemas de salud detectados, así como mapas de recursos comunitarios y de activos en salud que contribuyan a un desarrollo saludable de las personas menores.

5. Se facilitará la formación y la sensibilización sobre las consecuencias en la salud del uso excesivo de las tecnologías de la información y comunicación, de los y las profesionales de la salud que atienden a esta población.

Artículo 9. Atención especializada.

Las administraciones sanitarias promoverán el establecimiento de procedimientos de atención sanitaria específicos para personas menores con conductas adictivas sin sustancia en la red especializada de atención a la salud mental, tanto en las Unidades de Atención a la Conducta Adictiva, como en los centros de salud mental infantojuveniles.

TÍTULO IV.- Medidas en el sector público

Artículo 10. Participación, información y sensibilización.

1. Las Administraciones públicas promoverán la garantía de los derechos de las personas menores de edad en el ámbito digital desde una perspectiva preventiva e integral, así como de consulta y participación de la infancia y juventud.

Para ello velarán por crear contenidos digitales de calidad destinados a la promoción de hábitos saludables, el buen trato, la igualdad de género, la participación democrática y el acceso a distintos formatos de cultura.

2. Las Administraciones públicas promoverán espacios de interlocución con niños y adolescentes para conocer su experiencia con las tecnologías de la información y comunicación, así como para diseñar de forma participativa iniciativas relativas a la promoción cultural en el entorno digital.

3. Las Administraciones públicas, en el ámbito de sus competencias, desarrollarán campañas y actividades de sensibilización, concienciación, prevención e información sobre los riesgos asociados al uso inadecuado de los entornos y dispositivos digitales, prestando especial atención al consumo de material pornográfico.

4. Las Administraciones públicas, en el ámbito de sus competencias, promoverán la realización de estudios e investigaciones sobre la prevalencia del acoso y la violencia en sus diferentes ámbitos en los entornos digitales.

5. La Administración General del Estado y las Administraciones autonómicas y locales impulsarán la puesta a disposición de la infancia y adolescencia de espacios de encuentro en los que puedan desarrollar actividades de ocio saludable alternativas al uso de tecnologías de la información y comunicación

6. Las Administraciones públicas y entidades del sector privado utilizarán un lenguaje accesible y adaptado en las comunicaciones dirigidas a personas menores de edad y en la información dirigida o a la que tengan acceso personas menores de edad. Se evitará el uso de un lenguaje complejo o confuso, promoviendo una comunicación transparente, comprensible y accesible. En todo caso se tendrá en cuenta la adaptación del lenguaje y elementos visuales a las necesidades de las personas con discapacidad y de las personas con trastorno de espectro autista.

Artículo 11. Fomento de la colaboración público-privada, la corregulación y la estandarización.

El Ministerio para la Transformación Digital y de la Función Pública, en colaboración con los Departamentos competentes, impulsará que los proveedores del servicio de acceso a internet desde una ubicación fija aprueben un código de conducta que establezca los mecanismos y parámetros de configuración segura que se comprometen a aplicar en la prestación de sus servicios en lugares de acceso público en los que se presten servicios públicos y en los que se haga uso de sus servicios de acceso a internet, como escuelas, institutos, bibliotecas, centros cívicos, oficinas públicas, centros sanitarios, entre otros, para evitar el acceso a contenidos inadecuados por parte de las personas menores de edad.

Artículo 12. Estrategia Nacional sobre la protección de la infancia y la adolescencia en el entorno digital.

1. El Gobierno en colaboración con las comunidades autónomas, las ciudades de Ceuta y Melilla, y las entidades locales elaborará una Estrategia Nacional sobre la protección de la infancia y la adolescencia en el entorno digital, con carácter trianual, con el objetivo de proteger los derechos de la infancia y la adolescencia en el entorno digital. Esta Estrategia se aprobará por el Gobierno.

2. La Estrategia se elaborará en consonancia con la Estrategia Estatal de los Derechos de la Infancia y de la Adolescencia, y contará con la participación del Observatorio de la Infancia, las entidades del tercer sector, la sociedad civil, y, de forma muy especial, con las niñas, niños y adolescentes.

3. Su impulso y coordinación corresponderá al departamento ministerial que tenga atribuidas las competencias en políticas de infancia.

4. En la elaboración de la Estrategia se contará con la participación de niñas, niños y adolescentes a través del Consejo Estatal de Participación de la Infancia y de la Adolescencia.

5. A través de la Estrategia Nacional sobre protección de los derechos de la infancia y la adolescencia en el entorno digital se fomentará:

a) El desarrollo de actividades encaminadas a la educación en ciudadanía digital y alfabetización mediática con el fin de garantizar la plena inserción de la infancia y juventud en la sociedad digital y fomentar el uso responsable de los medios digitales que favorezca el ejercicio efectivo de sus derechos en un entorno digital seguro y respetuoso.

La formación en ciudadanía digital y alfabetización mediática se abordará desde una perspectiva formativa, preventiva y social, bajo los principios de igualdad, accesibilidad, interseccionalidad, respeto, protección y garantía de los derechos de la infancia y de la adolescencia.

b) La difusión de información a las madres, padres o tutores legales, equipo docente y sanitario, sobre la utilización adecuada de los dispositivos digitales y su incidencia en el desarrollo de los niños y niñas, prestando especial atención a la sensibilización sobre el ciberacoso y ciberagresiones, así como a las medidas de control parental.

c) La utilización de dispositivos digitales seguros y medidas de prevención adecuadas en espacios educativos y de formación, especialmente cuando se dirijan a la infancia y juventud.

d) La investigación neurobiológica, especialmente en relación con la infancia y adolescencia y los efectos de la tecnología en el desarrollo cognitivo; la investigación sobre el consumo de la pornografía y su impacto en la infancia y adolescencia; y la investigación sobre las necesidades de la infancia y adolescencia en entornos digitales.

e) La creación de sistemas de aprendizaje cooperativo y de laboratorios públicos de cultura digital.

6. Bienalmente, el órgano al que corresponda el impulso de la Estrategia elaborará un informe de evaluación acerca de su grado de cumplimiento y eficacia. Dicho informe, que deberá ser elevado al Consejo de Ministros, se realizará en colaboración con los Ministerios competentes en la materia.

7. La estrategia se revisará cada tres años teniendo en cuenta la rápida evolución del entorno digital y los avances de la investigación. Para ello, se creará una Comisión de seguimiento en la que participarán los Ministerios de la Presidencia, Justicia y Relaciones con las Cortes; Juventud e Infancia; Sanidad; Educación, Formación Profesional y Deportes; para la Transformación Digital y de la Función Pública; del Interior; y Ciencia, Innovación y Universidades, con la finalidad de impulsar y hacer un seguimiento de la estrategia.

Disposición derogatoria única. Derogación de normas.

Se deroga el artículo 13.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

Asimismo quedan derogadas cuantas normas de igual o inferior rango se opongan a lo establecido en la presente ley orgánica.

Disposición final primera. Modificación de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.

Se modifica el apartado 5 del artículo 90 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, que queda redactado en los siguientes términos:

“5. Corresponde también a los Juzgados Centrales de lo Contencioso-Administrativo autorizar, mediante auto, la cesión de los datos que permitan la identificación a que se refiere el artículo 8.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, la ejecución material de las resoluciones adoptadas por el órgano competente para que se interrumpa la prestación de servicios de la sociedad de la información o para que se retiren contenidos en aplicación de la citada Ley 34/2002, de 11 de julio, así como la limitación al acceso de los destinatarios al servicio intermediario prevista en el artículo 51.3 b) del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE.

Asimismo, corresponde a los Juzgados Centrales de lo Contencioso-Administrativo autorizar las actuaciones que deba llevar a cabo la autoridad audiovisual competente, de acuerdo con el artículo 93.4 de la Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual, en caso de incumplimiento por parte del proveedor de servicios del uso de una herramienta de verificación de mayoría de edad que, como mínimo, cumpla las especificaciones recogidas en la cartera de identidad digital europea (EUDI Wallet) conforme al Reglamento (UE) 2024/1183, de 11 de abril de 2024”.

Disposición final segunda. Modificación de la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

Se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, en los siguientes términos:

Uno. Se añade un nuevo párrafo l) al artículo 33.2, con el siguiente contenido:

“l) La prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual, por tiempo superior a cinco años.”

Dos. Se añade un nuevo párrafo m) al artículo 33.3, con el siguiente contenido:

“m) La prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual, por tiempo de seis meses a cinco años.”

Tres. Se añade un nuevo párrafo j) al artículo 33.4, con el siguiente contenido:

“j) La prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual, por tiempo de un mes a menos de seis meses.”

Cuatro. Se añade un nuevo párrafo k) al artículo 39, con el siguiente contenido:

“k) La prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual.”

Cinco. Se modifica el apartado 3 del artículo 40, que queda redactado como sigue:

“3. La pena de privación del derecho a residir en determinados lugares o acudir a ellos tendrá una duración de hasta diez años. La prohibición de aproximarse a la víctima o a aquellos de sus familiares u otras personas, o de comunicarse con ellas, tendrá una duración de un mes a diez años. La prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual tendrá una duración de un mes a diez años.”

Seis. Se modifica el artículo 45, que queda redactado como sigue:

“Artículo 45.

La inhabilitación especial para profesión, oficio, industria o comercio u otras actividades, incluidas las que se desarrollen o exploten en espacios virtuales, sean o no retribuidas, o cualquier otro derecho, que ha de concretarse expresa y motivadamente en la sentencia, priva a la persona penada de la facultad de ejercerlos durante el tiempo de la condena. La autoridad judicial podrá restringir la inhabilitación a determinadas actividades o funciones de la profesión u oficio, retribuido o no, permitiendo, si ello fuera posible, el ejercicio de aquellas funciones no directamente relacionadas con el delito cometido.”

Siete. Se modifica el apartado 4 y se añade un nuevo apartado 5 al artículo 48, con la siguiente redacción:

“4. El juez o tribunal podrá acordar que el control de las medidas previstas en los apartados anteriores se realice a través de aquellos medios electrónicos que lo permitan.

5. La prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual, priva a la persona penada de la facultad del acceso o de comunicación a través de internet, del teléfono o de cualquier otra tecnología de la información o de la comunicación durante el tiempo de la condena, cuando tengan relación directa con el delito cometido.

En la resolución judicial deberá concretarse y motivarse expresamente el contenido o alcance de la prohibición.”

Ocho. Se añade un nuevo párrafo 4.º al artículo 56.1, con el siguiente contenido:

“4.º La prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual, cuando tengan relación directa con el delito cometido.”

Nueve. Se modifica el párrafo 6.º del artículo 70.3, que queda redactado como sigue:

“6.º Tratándose de privación del derecho a residir en determinados lugares o acudir a ellos, o de la prohibición de acceso o de comunicación a través de redes sociales, foros, plataformas de comunicación o cualquier otro lugar en el espacio virtual, la misma pena, con la cláusula de que su duración máxima será de veinte años.”

Diez. Se añade un nuevo párrafo 10.º al artículo 83.1, con el siguiente contenido:

“10.º Prohibición de acceso o de comunicación a través de redes sociales, foros o plataformas virtuales cuando tengan relación directa con el delito cometido.”

Once. Se añade un nuevo artículo 173 bis, con el siguiente contenido:

“Artículo 173 bis.

Se impondrá la pena de prisión de uno a dos años a quienes, sin autorización de la persona afectada y con ánimo de menoscabar su integridad moral, difundan, exhiban o cedan su imagen corporal o audio de voz generada, modificada o recreada mediante sistemas automatizados, software, algoritmos, inteligencia artificial o cualquier otra tecnología, de modo que parezca real, simulando situaciones de contenido sexual o gravemente vejatorias.

Se aplicará la pena en su mitad superior si dicho material ultrafalsificado se difunde a través de un medio de comunicación social, por medio de internet o mediante el uso de tecnologías, de modo que aquel se hiciera accesible a un elevado número de personas en el espacio virtual.”

Doce. Se añade un nuevo párrafo e bis) al artículo 181.5, con el siguiente contenido:

“e bis) Cuando para facilitar la ejecución del delito, la persona responsable haya utilizado una identidad ficticia o imaginaria, o se haya atribuido una edad, sexo u otras condiciones personales diferentes de las propias.”

Trece. Se añade un nuevo apartado 3 al artículo 182, con el siguiente contenido:

“3. Si para facilitar la ejecución de las conductas definidas en los apartados anteriores la persona responsable hubiera utilizado una identidad ficticia o imaginaria, o se hubiera atribuido una edad, sexo u otras condiciones personales diferentes de las propias, la pena se impondrá en su mitad superior.”

Catorce. Se modifica el artículo 183, que queda redactado como sigue:

“Artículo 183.

1. El que a través de internet, del teléfono o de cualquier otra tecnología de la información y la comunicación contacte con un menor de dieciséis años y proponga concertar un encuentro con el mismo a fin de cometer cualquiera de los delitos descritos en los artículos 181 y 189, siempre que tal propuesta se acompañe de actos materiales encaminados al acercamiento, será castigado con la pena de uno a tres años de prisión o multa de doce a veinticuatro meses, sin perjuicio de las penas correspondientes a los delitos en su caso cometidos. Las penas se impondrán en su mitad superior cuando el acercamiento se obtenga mediante coacción, intimidación, engaño o empleando una identidad ficticia o imaginaria, o atribuyéndose el agresor una edad, sexo u otras condiciones personales diferentes a las propias.

2. El que, a través de internet, del teléfono o de cualquier otra tecnología de la información y la comunicación contacte con un menor de dieciséis años y realice actos dirigidos a embaucarle para que le facilite material pornográfico o le muestre imágenes pornográficas en las que se represente o aparezca un menor, será castigado con una pena de prisión de seis meses a dos años.

Cuando el embaucamiento se lleve a efecto utilizando el agresor una identidad ficticia o imaginaria, o atribuyéndose edad, sexo u otras condiciones personales diferentes a las propias, la pena se impondrá en su mitad superior.”

Quince. Se modifica el artículo 185, que queda redactado como sigue:

“Artículo 185.

El que ejecutare o hiciere ejecutar a otra persona actos de exhibición obscena ante menores de edad o personas con discapacidad necesitadas de especial protección, será castigado con la pena de prisión de seis meses a un año o multa de doce a veinticuatro meses.

Cuando para facilitar la ejecución de la conducta la persona responsable hubiera utilizado una identidad falsa, ficticia o imaginaria, o se hubiera atribuido una edad, sexo u otras condiciones personales diferentes de las propias, la pena se impondrá en su mitad superior.”

Dieciséis. Se modifica el artículo 186, que queda redactado como sigue:

“Artículo 186.

El que, a sabiendas, y por cualquier medio, vendiere, difundiere, exhibiere o pusiere a disposición, entre menores de edad o personas con discapacidad necesitadas de especial protección, material pornográfico, será castigado con la pena de prisión de seis meses a un año o multa de doce a veinticuatro meses.

Cuando para facilitar la ejecución de la conducta la persona responsable hubiera utilizado una identidad ficticia o imaginaria, o se hubiera atribuido una edad, sexo u otras condiciones personales diferentes de las propias, la pena se impondrá en su mitad superior.”

Diecisiete. Se modifica el apartado 1 del artículo 188, que queda redactado como sigue:

“1. El que induzca, promueva, favorezca o facilite la prostitución de un menor de edad o una persona con discapacidad necesitada de especial protección, o se lucre con ello, o explote de algún otro modo a un menor o a una persona con discapacidad para estos fines, será castigado con las penas de prisión de dos a cinco años y multa de doce a veinticuatro meses.

Si la víctima fuera menor de dieciséis años, se impondrá la pena de prisión de cuatro a ocho años y multa de doce a veinticuatro meses.

Dieciocho. Se modifica el apartado 4 del artículo 188, que queda redactado como sigue:

“4. El que solicite, acepte u obtenga, a cambio de una remuneración o promesa, una relación sexual con una persona menor de edad o una persona con discapacidad necesitada de especial protección, será castigado con una pena de uno a cuatro años de prisión. Si el menor no hubiera cumplido dieciséis años de edad, se impondrá una pena de dos a seis años de prisión.

Diecinueve. Se modifica el apartado 3 del artículo 189, que queda redactado como sigue:

“3. Si los hechos a que se refiere la letra a) del párrafo primero del apartado 1 se hubieran cometido con violencia o intimidación se impondrá la pena superior en grado a las previstas en los apartados anteriores.

Si para facilitar la ejecución de esos mismos hechos a que se refiere la letra a) del párrafo primero del apartado 1 el responsable hubiera utilizado una identidad ficticia o imaginaria, o se hubiera atribuido una edad, sexo u otras condiciones personales diferentes de las propias, se impondrá la pena prevista en los apartados anteriores en su mitad superior.”

Disposición final tercera. Modificación de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.

Se modifica la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en los siguientes términos:

Uno. Se modifica el apartado 2 del artículo 9, que queda redactado como sigue:

“2. Corresponderá a los Juzgados Centrales de lo Contencioso-Administrativo, la autorización a que se refiere el artículo 8.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la información y de Comercio Electrónico, y la ejecución de los actos adoptados por el órgano competente para que se interrumpa la prestación de servicios de la sociedad de la información o para que se retiren contenidos en aplicación de la Ley 34/2002, de 11 de julio, así como la limitación al acceso de los destinatarios al servicio intermediario prevista en el artículo 51.3 b) del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE.

Dos. Se modifica el apartado 2 y se añade un nuevo apartado 3 en el artículo 122 bis, con la siguiente redacción:

“2. La ejecución de las medidas para que se interrumpa la prestación de servicios de la sociedad de la información o para que se retiren contenidos en aplicación de la Ley 34/2002, de 11 de julio, así como para la limitación al acceso de los destinatarios al servicio intermediario prevista en el artículo 51.3 b) del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022, requerirá de autorización judicial previa en todos los casos en que la Constitución, las normas reguladoras de los respectivos derechos y libertades o las que resulten aplicables a las diferentes materias atribuyan competencia a los órganos jurisdiccionales de forma excluyente para intervenir en el ejercicio de actividades o derechos, de conformidad con lo establecido en los párrafos siguientes.

Acordada la medida por el órgano correspondiente, solicitará del Juzgado competente la autorización para su ejecución, referida a la posible afectación a los derechos y libertades garantizados en la Constitución. La solicitud habrá de ir acompañada del expediente administrativo.

En el plazo improrrogable de dos días siguientes a la recepción de la notificación de la resolución administrativa y poniendo de manifiesto el expediente, el Juzgado dará traslado de la resolución al representante legal de la Administración, al del Ministerio Fiscal y a los titulares de los derechos y libertades afectados o a la persona que éstos designen como representante para que puedan efectuar alegaciones escritas por plazo común de cinco días.

Si de las alegaciones escritas efectuadas resultaran nuevos hechos de trascendencia para la resolución, el Juez, atendida la índole del asunto, podrá acordar la celebración de vista oral o, en caso contrario, si de las alegaciones escritas efectuadas no resultaran nuevos hechos de trascendencia para la resolución, el Juez resolverá en el plazo improrrogable de dos días mediante auto. La decisión que se adopte únicamente podrá autorizar o denegar la ejecución de la medida.

3. Lo dispuesto en el apartado anterior será de aplicación a la autorización judicial de las actuaciones que deba llevar a cabo la autoridad audiovisual competente, de acuerdo con el artículo 93.4 de la Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual, en caso de incumplimiento por parte del proveedor de servicios del uso de una herramienta de verificación de mayoría de edad para limitar el acceso a contenidos para adultos que, como mínimo, cumpla las especificaciones recogidas en la cartera de identidad digital europea (EUDI Wallet) conforme al Reglamento (UE) 2024/1183, de 11 de abril de 2024.”

Disposición final cuarta. Modificación del texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre.

El texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado por el Real Decreto Legislativo 1/2007, de 16 de noviembre, queda modificado como sigue:

Uno. Se añade un nuevo párrafo g) al artículo 8, con el siguiente contenido:

“f) La protección de las personas menores de edad, como personas consumidoras vulnerables, en relación con los bienes o servicios digitales.”

Dos. Se añade un nuevo párrafo v) al artículo 47.1, con el siguiente contenido:

“v) El incumplimiento por parte del empresario de las obligaciones de verificación y comprobación de edad en la contratación de bienes o servicios destinados a personas mayores de edad.”

Tres. Se modifica el párrafo a) del artículo 48.2, que queda redactado como sigue:

“a) Las infracciones de los apartados f), g), i), k), l), m), n), ñ), p), q), t) y v) del artículo 47 se calificarán como leves, salvo que tengan la consideración de graves de acuerdo con el apartado tercero de este artículo.”

Cuatro. Se modifica el apartado 1 del artículo 62, que queda redactado como sigue:

“1. En la contratación con consumidores y usuarios debe constar de forma inequívoca su voluntad de contratar o, en su caso, de poner fin al contrato.

Los empresarios que ofrezcan bienes o servicios destinados a personas mayores de edad, ya sea por su contenido sexual, violento o por suponer un riesgo para la salud física o el desarrollo de la personalidad, deberán exigir, con carácter previo a la contratación, la presentación o exhibición de un documento oficial acreditativo de la edad o bien recurrir a cualquier método de comprobación de la edad, efectivo y acorde con el medio a través del cual se vaya a llevar a cabo la contratación.”

Cinco. Se modifica el apartado 2 del artículo 98, que queda redactado como sigue:

“2. Si un contrato a distancia que ha de ser celebrado por medios electrónicos implica obligaciones de pago para el consumidor y usuario, el empresario pondrá en conocimiento de éste de una manera clara y destacada, y justo antes de que efectúe el pedido, la información establecida en el artículo 97.1.a), e), p) y q).

El empresario deberá velar por que el consumidor y usuario, al efectuar el pedido, confirme expresamente que es consciente de que éste implica una obligación de pago. Si la realización de un pedido se hace activando un botón o una función similar, el botón o la función similar deberán etiquetarse, de manera que sea fácilmente legible, únicamente con la expresión «pedido con obligación de pago» o una formulación análoga no ambigua que indique que la realización del pedido implica la obligación de pagar al empresario. En caso contrario, el consumidor y usuario no quedará obligado por el contrato o pedido.

En caso de que el objeto del contrato celebrado a distancia sean bienes o servicios propios o ajenos o, internos o externos, destinados a personas mayores de edad, ya sea por su contenido sexual, violento o por suponer un riesgo para la salud física o el desarrollo de la personalidad, el empresario deberá exigir, con carácter previo a la contratación, la presentación o exhibición de un documento oficial acreditativo de la edad o bien recurrir a cualquier método de comprobación de la edad, efectivo y acorde con el medio a través del cual se vaya a llevar a cabo la contratación.”

Seis. Se añade un nuevo apartado 7 al artículo 115 ter, con el siguiente contenido:

“En el caso de dispositivos digitales que tengan la capacidad de conectarse a internet y a través de dicha conexión las personas menores de edad puedan acceder a contenidos perjudiciales para menores, los fabricantes proporcionarán información en sus productos en la que se advierta de los riesgos derivados del acceso a contenidos perjudiciales para la salud y desarrollo físico, mental y moral de los menores. De igual modo, facilitarán información sobre las medidas de protección de datos y riesgos relacionados con la privacidad y la seguridad; el tiempo recomendado de uso de los productos y servicios, adecuado a la edad de la persona usuaria; los sistemas de control parental; los riesgos sobre el desarrollo cognitivo y emocional y la afección a la calidad del sueño de un uso prolongado de tales servicios.

Asimismo, los fabricantes incluirán en estos dispositivos una funcionalidad de control parental de servicios, aplicaciones y contenidos, cuya activación debe producirse por defecto en el momento de la configuración inicial del dispositivo, siendo la inclusión de la funcionalidad, su activación, configuración y actualización gratuita para el usuario.”

Disposición final quinta. Modificación de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.

La Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, queda modificada en los siguientes términos:

Uno. Se modifica el artículo 7, que queda redactado como sigue:

“1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de dieciséis años.

Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.

2. El tratamiento de los datos de los menores de dieciséis años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela.”

Dos. Se modifica el artículo 12.6, que queda redactado como sigue:

“6. En cualquier caso, los titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de dieciséis años los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto de la presente ley orgánica.”

Disposición final sexta. Modificación de la Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual

La Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual, queda modificada como sigue:

Uno. Se modifica el párrafo b) del artículo 42, que queda redactado así:

“b) Establecimiento en España y autoridad audiovisual de supervisión competente, incluyendo un enlace fácilmente reconocible y accesible al sitio web de dicha autoridad con el fin de que los usuarios puedan notificar posibles infracciones de la normativa audiovisual.”

Dos. Se modifican los párrafos e) y f) del artículo 89.1, que quedan redactados como sigue:

“e) Establecer y operar, por defecto, sistemas de verificación de edad para los usuarios con respecto a los contenidos que puedan perjudicar el desarrollo físico, mental o moral de los menores que, en todo caso, impidan el acceso de estos a los contenidos audiovisuales más nocivos, como la violencia gratuita o la pornografía.

Dichos sistemas deberán garantizar unos niveles de seguridad y de privacidad, en particular, en cuanto a minimización de datos, limitación de la finalidad y protección de datos desde el diseño equivalentes, como mínimo, a los de la cartera de identidad digital europea (EUDI Wallet) conforme al Reglamento (UE) 2024/1183, de 11 de abril de 2024. f) Establecer por defecto sistemas de control parental controlados por el usuario final con respecto a los contenidos que puedan perjudicar el desarrollo físico, mental o moral de los menores.”

Tres. Se modifica el apartado 4 del artículo 93, que queda redactado como sigue:

“4. El incumplimiento de las obligaciones previstas en el artículo 89.1.e) será constitutiva de la infracción tipificada en el artículo 157.8, sin perjuicio de la responsabilidad penal que pueda derivarse de dicha acción. A este respecto, cuando el incumplimiento de las citadas obligaciones atente o pueda atentar contra el principio de protección de juventud e infancia, la Comisión Nacional de los Mercados y la Competencia podrá adoptar las medidas previstas en los artículos 8 y 11 de la Ley 34/2002, de 11 de julio, de conformidad con lo dispuesto en dichos artículos”.

Cuatro. Se modifica el apartado 1 del artículo 94, que queda redactado como sigue:

“1. Los usuarios de especial relevancia que empleen servicios de intercambio de vídeos a través de plataforma se considerarán prestadores del servicio de comunicación audiovisual a los efectos del cumplimiento de los principios establecidos en los artículos 4, 6, 10, 12, 14, 15 y en el apartado 1 del artículo 7 y de las obligaciones para la protección de los menores conforme a lo establecido en los apartados 1, 2, 3 y 4 del artículo 99. Asimismo, tales usuarios deberán respetar lo dispuesto en las secciones 1ª y 2ª del capítulo IV del título VI cuando comercialicen, vendan u organicen las comunicaciones comerciales que acompañen o inserten en sus contenidos audiovisuales.

Los usuarios de especial relevancia tomarán aquellas medidas adecuadas para el cumplimiento de estas obligaciones y utilizarán los mecanismos que el prestador del servicio de intercambio de vídeos a través de plataforma pone a su disposición, en particular los establecidos en los artículos 89.1.d) y 91.2.b).”

Cinco. Se modifica la letra c) del artículo 160.1, que queda redactada como sigue:

“c) Las sanciones previstas en las letras a) y b) de este apartado podrán, además, llevar aparejada alguna de las siguientes sanciones accesorias:

1.º La revocación de la licencia para prestar el servicio de comunicación audiovisual y el consiguiente cese de la prestación del servicio cuando el prestador haya cometido la infracción muy grave prevista en los apartados 6 y 7 del artículo 157.

2.º El cese de las emisiones y el precintado provisional de los equipos e instalaciones utilizados para realizar la emisión cuando se haya cometido la infracción muy grave prevista en los apartados 4 y 5 del artículo 157.

3.º El cese de la prestación del servicio por parte del prestador del servicio de intercambio de videos a través de plataforma cuando se haya cometido la infracción muy grave prevista en el apartado 8 del artículo 157. Esta medida se adoptará en los términos establecidos en el artículo 93.4.”

Disposición final séptima. Títulos competenciales.

Esta ley orgánica se dicta con carácter básico al amparo de lo previsto en el artículo 149.1, 1.ª, y 13.ª, que atribuye al Estado la competencia exclusiva en materia de regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales; y de bases y coordinación de la planificación general de la actividad económica.

De manera más específica:

Los contenidos del título II constituyen normas básicas para el desarrollo del artículo 27 de la Constitución, en virtud de lo previsto en el artículo 149.1.30.ª de la Constitución Española.

El título III se dispone en virtud de la competencia del Estado en materia de bases y coordinación general de la sanidad, dispuesta en el artículo 149.1.16.ª de la Constitución Española.

Las disposiciones finales primera, segunda y tercera se dictan al amparo de las competencias en materia de legislación penal y procesal, que el artículo 149.1.6.ª de la Constitución Española atribuye al Estado.

La disposición final cuarta se dicta también al amparo de la competencia en materia de legislación civil, prevista en el artículo 149.1.8.ª de la Constitución.

En la disposición final sexta, de modificación de la Ley 13/2022, de 7 de julio, General de Comunicación Audiovisual, las modificaciones de sus artículos 42 y 160 se dictan de acuerdo con el artículo 149.1.27.ª de la Constitución Española atribuye al Estado la competencia exclusiva en relación con normas básicas del régimen de prensa, radio y televisión y, en general, de todos los medios de comunicación social, sin perjuicio de las facultades de desarrollo y ejecución que correspondan a las Comunidades Autónomas. El resto de sus contenidos se dictan al amparo de la competencia exclusiva del Estado en materia de telecomunicaciones que le atribuye el artículo 149.1.21.ª de la Constitución Española.

Disposición final octava. Naturaleza de ley orgánica.

Tienen carácter de ley orgánica las disposiciones finales primera, segunda y quinta. El resto de preceptos tienen naturaleza de ley ordinaria.

Disposición final novena. Desarrollo reglamentario. 1. Se habilita al Gobierno para dictar las disposiciones necesarias para el desarrollo de lo establecido en esta ley orgánica.

2. En el plazo de seis meses desde la entrada en vigor de las obligaciones previstas en el artículo 4, el Gobierno, mediante real decreto, determinará la información que deben proporcionar los fabricantes, el formato en que debe proporcionarse y una concreción de los riesgos sobre los que se debe informar.

Disposición final décima. Entrada en vigor.

La presente ley orgánica entrará en vigor a los veinte días de su publicación en el «Boletín Oficial del Estado».

No obstante, las obligaciones previstas en el artículo 4 entrarán en vigor al año de la publicación de esta ley orgánica en el «Boletín Oficial del Estado».

ELÉVESE AL CONSEJO DE MINISTROS

Madrid, a de de 2024

EL MINISTRO DE LA PRESIDENCIA, JUSTICIA Y RELACIONES CON LAS CORTES, Félix Bolaños García

LA MINISTRA DE JUVENTUD E INFANCIA, Sira Abed Rego

EL MINISTRO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA, José Luis Escrivá Belmonte

EL MINISTRO DE DERECHOS SOCIALES, CONSUMO Y AGENDA 2030, Pablo Bustinduy Amador

26Oct/24

Ley nº 9.943, de 21 de enero de 2021, sobre creación de la agencia nacional de Gobierno Digital

26 octubre, 2024Costa Rica, LeyAgencia Nacional Gobierno Digital, ANGD, Derecho Informático, interoperabilidad, Legislación de Costa Rica, Legislación Informática, Ley 8968, Ley Contratación Administrativa, Ley General de la Administración Pública, Ley Protección Persona Tratamiento Datos, Micitt, tecnologías información, Tecnologias Información Comunicación, TICJosé Cuervo

Ley nº 9.943, de 21 de enero de 2021, sobre creación de la agencia nacional de Gobierno Digital

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA

DECRETA:

CREACIÓN DE LA AGENCIA NACIONAL DE GOBIERNO DIGITAL

CAPÍTULO I.- DISPOSICIONES GENERALES

Artículo 1°-Objeto.

La presente ley tiene por objeto la creación de la Agencia Nacional de Gobierno Digital del Estado costarricense, en adelante ANGD, y definir su relación con el ente rector en materia de gobierno digital.

La ANGD será el órgano encargado de implementar y ejecutar los servicios y los proyectos transversales o estratégicos para las instituciones de la Administración Pública en materia de gobierno digital, con el fin de proveer a la ciudadanía un acceso simple, ágil, seguro y transparente a los servicios que ofrecen las instituciones de la Administración Pública, que responda a las necesidades de las personas físicas y jurídicas, mediante modelos que incorporen componentes normativos, técnicos, semánticos y organizacionales, que velen por la confidencialidad y seguridad de la información y, de esta forma, se mejore la calidad de vida de los ciudadanos, las empresas y entre las entidades del gobierno, y propicie un clima de negocios favorable y competitivo al país.

ARTÍCULO 2.- Ámbito de aplicación.

Las disposiciones contenidas en la presente ley serán de aplicación para la Administración Pública, entendida en el sentido amplio de conformidad con lo que dispone el artículo 1 de la Ley 6227, Ley General de la Administración Pública, de 2 de mayo de 1978.

Esta ley reconoce el derecho de los ciudadanos a relacionarse con la Administración Pública por medios digitales, con la finalidad de garantizar sus derechos, un tratamiento común ante ellas la validez y eficacia de la actividad administrativa en condiciones de seguridad jurídica.

La Administración Pública estará obligada a iniciar planes de trabajo para incorporar la utilización de las tecnologías de la información en sus procesos de atención ciudadana y procesos internos, asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad, la ciberseguridad y la conservación de los datos y todo lo que estable la Ley 8968, Protección de la Persona frente al Tratamiento de sus Datos Personales, de 7 de julio de 2011, con el fin de lograr una transformación digital en las instituciones de la Administración Pública.

ARTÍCULO 3.- Definiciones.

Para efectos de esta ley se define lo siguiente:

a) Gobierno digital: es el uso sistemático de las tecnologías de la información y de la comunicación en las instituciones de la Administración Pública, para mejorar la información y los servicios ofrecidos a los ciudadanos, orientar la eficacia y la eficiencia de la gestión pública e incrementar sustantivamente la transparencia del sector público y la activa participación de los ciudadanos.

b) Tecnologías o canales digitales: se refieren a las tecnologías de información y comunicación (TIC), tales como: internet, tecnologías de infocomunicación y telecomunicaciones, dispositivos móviles.

c) Valor público: capacidad del Estado para dar respuesta a problemas relevantes de la población en el marco del desarrollo sostenible, ofreciendo bienes y servicios eficientes, de calidad e inclusivos, promoviendo oportunidades dentro de un contexto democrático.

d) Cocreación: consiste en la colaboración de las instituciones con los ciudadanos y las empresas para redefinir conjuntamente los trámites y servicios en todas sus etapas (desde su inicio, ejecución y evaluación), de tal manera que el resultado final sea adecuado a las necesidades de todos.

e) Transformación digital: es la adopción integral de tecnologías digitales alineada con un cambio organizacional y cultural en todas las áreas operativas desafiando constructivamente el estado actual de los procesos, con el objetivo de cambiar fundamentalmente la forma en que opera y se brinda valor a los ciudadanos.

f) Proyectos y servicios transversales o estratégicos: son los servicios comunes digitales que se ofrecen como plataforma de acceso a las instituciones de la Administración Pública y que deben ser utilizados para que las instituciones brinden sus servicios, con el fin de mejorar la calidad de vida de los ciudadanos, las empresas, entre las entidades del gobierno y se propicie un clima de negocios favorable y competitivo al país. La ANGD propondrá los proyectos y servicios transversales o estratégicos, los cuales serán presentados a su Junta Directiva; deberán estar alineados con la política pública que emita el ente rector, serán incluidos en los planes de acción de la política pública y en un catálogo de proyectos y servicios transversales que estará disponible públicamente en la página web de la ANGD y del Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt).

El Micitt podrá definir proyectos y servicios transversales o estratégicos para que sean ejecutados por la ANGD y serán incluidos en los planes de acción de la política pública y de la ANGD.

g) lnteroperabilidad: capacidad de los sistemas de información y de los procedimientos a los que estos dan soporte, de compartir datos y posibilitar el intercambio de información y conocimiento entre ellos para la construcción de un Estado más eficiente, transparente y participativo y que preste cada día mejores servicios a los ciudadanos, que se beneficien de la capacidad de comunicación entre distintos sistemas con distintos datos en distintos formatos, de modo que la información pueda ser compartida, accesible desde distintos entornos y comprendida por cualquiera de ellos, para interactuar, cooperar y transferir datos de manera uniforme y eficiente entre varias organizaciones y así proveer a la ciudadanía un acceso simple, ágil, seguro y transparente que responda a las necesidades de las personas físicas y jurídicas, mediante modelos que incorporen componentes normativos, técnicos, semánticos y organizacionales que velen por la confidencialidad y seguridad de la información, y de esta forma se mejore la calidad de vida de los ciudadanos, las empresas y entre las entidades del gobierno y propicie un clima de negocios favorable y competitivo al país.

h) Tecnologías de información: son aquellas cuyo propósito es el manejo de la información, mediante un conjunto de datos registrados o transportados sobre soportes físicos de muy diversos tipos, que permiten obtener, transmitir, reproducir, transformar y combinar dichos datos en conocimientos.

Otras definiciones propias de los avances tecnológicos serán establecidas posteriormente por medio del reglamento de esta ley.

CAPÍTULO II.- CREACIÓN DE LA AGENCIA NACIONAL DE GOBIERNO DIGITAL

ARTÍCULO 4.- Creación de la ANGD.

Se crea la Agencia Nacional de Gobierno Digital, cuyo acrónimo será ANGD, como un órgano adscrito y bajo la rectoría del Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt). La ANGD, para cumplir sus funciones, contará con independencia operativa y, para garantizar la calidad e idoneidad de su personal, contará con los profesionales y técnicos que requiera en las materias de su competencia, los cuales estarán sujetos a lo dispuesto por la Ley 2, Código de Trabajo, de 27 de agosto de 1943. La organización se definirá reglamentariamente.

Ajustará sus actuaciones a las disposiciones contenidas en esta ley, su reglamento, a las disposiciones de su Junta Directiva, a la política pública dictada por el ente rector.

La adquisición de bienes y servicios que realice la ANGD deberá ajustarse a la Ley 7494, Ley de Contratación Administrativa, de 2 de mayo de 1995 y su reglamento.

ARTÍCULO 5- Objetivos de la ANGD.

La ANGD es el órgano ejecutor de la política pública en materia de gobierno digital y en el desarrollo informático de la Administración Pública, en el ámbito de su competencia, para lo cual se definen los siguientes objetivos:

a) Transformar y hacer más eficientes y efectivos los servicios transversales que las instituciones públicas brindan a los ciudadanos y las empresas, por medio del uso intensivo de las tecnologías de información y comunicación.

b) Desarrollar proyectos y servicios transversales digitales para que faciliten y disminuyan los costos de los trámites del ciudadano y las empresas con la Administración Pública.

c) Implementar mecanismos de intercambio de información, identidad digital e integración de los sistemas de información electrónica (interoperabilidad), con el propósito de facilitar los servicios al ciudadano y generar ahorros significativos para la Administración Pública, la ciudadanía y las empresas.

d) Habilitar y facilitar la transparencia en el acceso a la información pública, con el propósito de que los ciudadanos puedan auditar y exigir la rendición de cuentas del funcionamiento de las instituciones de la Administración Pública en materia de gobierno digital.

e) La ANGD identificará opciones de cooperación nacional e internacional en coordinación con el ente rector; las acciones de cooperación interinstitucional estarán dirigidas a fomentar la integración, cocreación y la transferencia de conocimiento tanto a nivel nacional como internacional, entre la administración pública, la academia, el sector privado y la sociedad civil.

f) Generar propuestas para el desarrollo de los proyectos y servicios transversales o estratégicos, con base en la política pública emitida por el ente rector.

Las propuestas de desarrollo de los proyectos y servicios transversales para la Administración Pública deberán ser presentadas a la Junta Directiva para su respectiva aprobación, inclusión en el Plan Estratégico de la ANGD y cualquier otro trámite que se defina vía reglamento o por acuerdo de su Junta Directiva.

g) Coordinar con el ente rector la identificación de los proyectos y servicios transversales o estratégicos que puedan contribuir con el avance de la transformación digital, por medio de la implementación del gobierno digital del país. Para esta identificación se incluirán al sector público, el sector privado, la academia y la sociedad civil.

ARTÍCULO 6- Funciones.

La ANGD tendrá las siguientes funciones:

a) Desarrollar, ejecutar y administrar los proyectos y servicios transversales o estratégicos en materia de gobierno digital, para asegurar una prestación de servicios simples e inteligentes, a través de canales digitales que garanticen los principios y las políticas públicas en materia de gobierno digital.

b) Brindar acompañamiento y asesoramiento técnico a las instituciones de la Administración Pública, en su transformación digital, en el planteamiento y desarrollo de sus planes estratégicos de digitalización, que contribuyan al cumplimiento de los objetivos.

c) Generar insumos al ente rector para la elaboración de la política pública en materia de gobierno digital, aportando su perspectiva técnica.

d) Controlar y administrar, de forma eficiente, los recursos de carácter público que se asignen a la ANGD, para que sean utilizados en los proyectos y servicios transversales, y garantizar que sean ejecutados en forma integrada, estandarizada y que aseguren efectividad, eficiencia e impacto en la mejora del servicio al ciudadano.

e) Ejecutar los procesos necesarios para garantizar los principios de eficiencia, simplificación, eficacia, transparencia y participación en los proyectos y servicios transversales ejecutados por la ANGD.

f) Desarrollar espacios y mecanismos concretos en coordinación con el ente rector, para permitir que actores de la sociedad civil, la academia, las cámaras empresariales, la industria, entre otros, formen parte de este nuevo entorno y aporten en el desarrollo de proyectos y servicios transversales, que generen valor para lograr la transformación digital del Estado.

g) Suscribir convenios y contratos a nivel nacional para el cumplimiento de sus fines. Estos convenios y contratos se deberán desarrollar en el marco de la Ley 7494, Ley de Contratación Administrativa, de 2 de mayo de 1995 y su reglamento.

h) Diseñar proyectos y servicios transversales, para que sean propuestos a la Junta Directiva en el desarrollo del gobierno digital y su plan estratégico.

i) Dar seguimiento y hacer públicas las estadísticas de uso y aprovechamiento de los proyectos y servicios transversales utilizados por la Administración Pública.

j) Elaborar las guías técnicas de los proyectos y servicios transversales ofrecidos por la ANGD, para facilitar su uso e integración en las instituciones de la Administración Pública.

k) Ser el ejecutor y administrador de la interoperabilidad a nivel técnico.

l) Acompañar a las instituciones de la Administración Pública y apoyar en la gestión del cambio que involucra la implementación de los proyectos y servicios transversales de gobierno digital.

m) Convocar a las instituciones involucradas en las iniciativas de proyectos y servicios transversales que se vayan a implementar.

n) Ser órgano ejecutor de empréstitos de proyectos y servicios transversales digitales de la Administración Pública, en materia de gobierno digital.

La ANGD deberá hacer uso conforme y eficiente de los fondos públicos que se destinen a sus proyectos y servicios de gobierno digital. Deberá velar por que exista participación de empresas privadas y públicas en la ejecución de los proyectos de gobierno digital, los cuales se someterán a concurso público bajo el marco normativo vigente. La fiscalización estará a cargo de la Contraloría General de la República.

ARTÍCULO 7- Financiamiento.

La ANGD financiará sus operaciones con los siguientes recursos:

a) Los ingresos generados a partir de los servicios y proyectos transversales de la ANGD, en los cuales se incluirá su costo operativo y un factor de inversión que asegure recursos para el desarrollo adecuado de los servicios y proyectos.

b) Los recursos de cooperación internacional puestos a disposición de la Administración Pública por medio del ente rector para financiar actividades relacionadas con el desarrollo del gobierno digital.

c) Una asignación del diez por ciento (10%) de todas las subejecuciones de las instituciones del Gobierno central, en las partidas de equipo de cómputo y de bienes intangibles del año anterior a partir de la aprobación de esta ley.

d) Una asignación del veinte por ciento (20%) del ahorro total que tendrán las instituciones al utilizar los servicios transversales de gobierno digital provistos por la ANGD; para ello, las instituciones del sector público, en su gestión presupuestaria habitual, tendrán la obligación de destinar erogaciones para cubrir los costos de desarrollo de los proyectos y servicios transversales en la implementación del gobierno digital del país. El Ministerio de Hacienda revisará el cálculo respectivo realizado por cada institución y realizará la transferencia de las sumas dinerarias correspondientes a la ANGD.

e) Las donaciones, transferencias y contribuciones que realicen las personas físicas y entidades públicas o privadas, nacionales o extranjeras.

f) En caso de obtener excedentes, estos serán utilizados en un cincuenta por ciento (50%) para amortizar el servicio de la deuda pública y el otro cincuenta por ciento (50%) para invertirlos en proyectos tecnológicos definidos por el ente rector, para el fomento del uso de la tecnología en poblaciones vulnerables y en zonas rurales.

Los ingresos asignados en los incisos c) y d) se otorgarán hasta que la ANGD alcance la autosuficiencia, o bien, hasta un plazo máximo de ocho años.

La fiscalización estará a cargo de la Contraloría General de la República.

CAPÍTULO III.- ORGANIZACIÓN DE LA AGENCIA NACIONAL DE GOBIERNO DIGITAL

ARTÍCULO 8- Conformación de la ANGD.

La estructura interna de la ANGD estará definida en el reglamento de esta ley. La ANGD contará con una Junta Directiva y un gerente.

ARTÍCULO 9- Integración de la Junta Directiva de la ANGD.

La Junta Directiva de la ANGD estará integrada por cinco miembros propietarios y sus respectivos suplentes, quienes deben tener conocimiento en el tema de servicios digitales para la ciudadanía o simplificación de trámites o simplificación de procesos, o tecnologías de información y se conformará de la siguiente forma:

a) El ministro o la ministra de Ciencia, Tecnología y Telecomunicaciones, quien lo presidirá. En su ausencia presidirá su suplente.

b) Un representante del Ministerio de Hacienda.

c) Un representante del Ministerio de Economía, Industria y Comercio (MEIC).

d) Un representante del Ministerio de Planificación Nacional y Política Económica (Mideplán).

e) Un representante de la Unión Costarricense de Cámaras y Asociaciones del Sector Empresarial Privado (Uccaep).

Los representantes de los ministerios serán designados por el respectivo jerarca, quien designará un titular y su respectivo suplente.

Los miembros de esta Junta Directiva no devengarán dietas.

El gerente de la ANGD asistirá a las sesiones de la Junta Directiva con voz, pero sin voto.

ARTÍCULO 10- Funciones de la Junta Directiva.

Corresponde a la Junta Directiva:

a) Aprobar las normas y los reglamentos relativos a la organización y el funcionamiento de la ANGD.

b) Aprobar el presupuesto de la ANGD.

c) Aprobar las políticas generales y los planes estratégicos de la ANGD.

d) Aprobar el Plan Anual de Trabajo y los informes anuales de la ANGD.

e) Nombrar y destituir al gerente de la ANGD.

f) Aprobar el costo y el factor de inversión de los servicios y proyectos transversales brindados por la ANGD.

g) Acordar la integración de comisiones de investigación y comités ad hoc disciplinarios, así como conocer y resolver aquellas impugnaciones que por ley corresponda.

h) Conocer el informe de rendición de cuentas presentado por el gerente de la ANGD y realizar la evaluación de su gestión.

i) Conformar, dentro de sus propios miembros, comités ad hoc para la resolución de asuntos propios de las funciones de la Junta Directiva.

j) Aprobar o rechazar las propuestas de los proyectos y servicios transversales o estratégicos. Remitir, al ente rector, los proyectos servicios transversales o estratégicos aprobados para que se incluyan en los planes de acción de la política pública.

k) La Junta Directiva se reunirá ordinariamente una vez al mes y, extraordinariamente, cuando así se requiera, previa convocatoria de la presidencia de la Junta Directiva.

l) La Junta Directiva designará una secretaría de actas, como apoyo administrativo y de seguimiento de los acuerdos.

m) Las demás funciones que se deriven de esta ley, su reglamento y otras disposiciones.

ARTÍCULO 11- Gerencia de la ANGD.

La ANGD estará a cargo de un gerente nombrado por la Junta Directiva, quien tendrá facultades de apoderado general y la representación judicial y extrajudicial de la agencia.

Permanecerá en el cargo por un período de cinco años, renovable por el mismo plazo. En caso de que sea removido, se requerirá votación no menor de la mitad más uno de los votos de la Junta Directiva y dicha remoción deberá ser por causas justificadas referentes a las funciones y el cumplimiento de los objetivos de la ANGD. El gerente deberá cumplir con la idoneidad del cargo y los requisitos establecidos en el reglamento de la presente ley.

ARTÍCULO 12- Funciones del gerente de la ANGD.

El gerente será el responsable del eficiente y correcto funcionamiento administrativo y de los temas operativos y técnicos, tales como la implementación de las soluciones transversales que se definan para el gobierno digital y la gestión del cambio que involucra implementar las soluciones, los proyectos y los servicios transversales de la ANGD. Tendrá las siguientes atribuciones:

a) Ejercer las funciones inherentes a su condición de administrador general, vigilando la organización, el funcionamiento y la coordinación de todas sus dependencias y la observación de las leyes, los reglamentos y las resoluciones de la Junta Directiva.

b) Ejecutar los acuerdos y las resoluciones que dicte la Junta Directiva.

c) Participar, con voz pero sin voto, en las reuniones de la Junta Directiva. Podrá hacer constar en las actas sus consideraciones.

d) Presentar a la Junta Directiva, para su aprobación, el presupuesto anual, el plan estratégico, el programa anual de operaciones, los estados financieros y el informe anual.

e) Rendir informes a la Junta Directiva durante las sesiones ordinarias, y, extraordinariamente, cuando la Junta Directiva así lo solicite.

f) Firmar contratos conforme a la Ley 7494, Ley de Contratación Administrativa, de 2 mayo de 1995 y su reglamento.

g) Ejercer las demás funciones y facultades que le corresponden, de conformidad con la ley, los reglamentos de la ANGD y otras disposiciones pertinentes.

ARTÍCULO 13- Funciones de la Presidencia de la Junta Directiva.

Son funciones del presidente de la Junta Directiva:

a) Las establecidas en la Ley 6227, Ley General de la Administración Pública, de 2 de mayo de 1978, para los órganos colegiados.

b) Velar por el cumplimiento de la política pública dictada por el ente rector, en los planes estratégicos anuales de la ANGD.

c) Convocar a las sesiones de la Junta Directiva.

d) Definir la agenda de las sesiones de la Junta Directiva.

e) Tendrá voto de calidad.

f) Contribuir a resolver los inconvenientes presentados en la implementación de los proyectos o servicios transversales, en caso de existir algún conflicto.

ARTÍCULO 14- Personas funcionarias de la ANGD.

Las relaciones laborales de las personas funcionarias de la ANGD, así como sus nombramientos, se regirán por la Ley 1581, Estatuto de Servicio Civil, de 30 de mayo de 1953.

ARTÍCULO 15- Política pública en gobierno digital.

El Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt) definirá la política pública que la ANGD deberá cumplir e implementar para las instituciones de la Administración Pública, en materia de gobierno digital. Para esto, el Micitt podrá definir proyectos y servicios transversales para que sean ejecutados por la ANGD.

CAPÍTULO IV.- DISPOSICIONES TRANSITORIAS

TRANSITORIO I

El Poder Ejecutivo reglamentará la presente ley en un plazo de seis meses, a partir de su entrada en vigencia.

TRANSITORIO II-

A partir de la entrada en vigor de esta ley, y dentro de los noventa días naturales siguientes a la publicación del reglamento, la Junta Directiva se constituirá y realizará su primera sesión.

TRANSITORIO III

El ente rector, en un plazo máximo de seis meses luego de iniciar operaciones la ANGD, trasladará todos los proyectos en materia de gobierno digital para que sean ejecutados y administrados por la ANGD.

Dado en la Presidencia de la República, San José, a los once días del mes de mayo del año dos mil veintiuno.

EJECÚTESE Y PUBLIQUESE.

25Oct/24

Proyecto de ley de responsabilidad algorítmica y promoción de la robótica, algoritmos verdes e inteligencia artificial, 18 de marzo de 2024. Expediente 0805-D-2024.

25 octubre, 2024Argentina, Proyecto de LeyControl de la vigilancia estatal, Cooperación público-privada, Crecimiento inclusivo, Derecho Informático, desarrollo sostenible y bienestar, Legislación de Argentina, Legislación Informática, Prevención de riesgos y posibles daños, Protección especial a MIPyMES, Responsabilidad, Robustez, seguridad y protección, Transparencia y explicabilidad, Valores y equidad centrados en el ser humanoJosé Cuervo

Proyecto de ley de responsabilidad algorítmica y promoción de la robótica, algoritmos verdes e inteligencia artificial, 18 de marzo de 2024. Expediente 0805-D-2024.

EXPEDIENTE 0805-D-2024.

PROYECTO DE LEY

El Senado y la Cámara de Diputados de la Nación Argentina, reunidos en Congreso sancionan con fuerza de Ley:

RESPONSABILIDAD ALGORÍTMICA Y PROMOCIÓN DE LA ROBÓTICA, ALGORITMOS VERDES E INTELIGENCIA ARTIFICIAL EN LA REPÚBLICA ARGENTINA.

CAPÍTULO I.- RESPONSABILIDAD Y TRANSPARENCIA ALGORÍTMICA

Artículo 1°.- Objetivo:

El objetivo de la presente ley es establecer un marco legal a los desarrollos de la inteligencia artificial con el objetivo de crear certificaciones de buenas prácticas, implementar un registro de riesgos significativos, promover la inteligencia artificial en pequeñas y medianas empresas, como así también fomentar la responsabilidad y transparencia algorítmica de nuevas tecnologías en respeto del bien común, el estado de derecho y la protección de la autonomía individual.

Artículo 2°.- Objeto:

El objeto de la presente ley son los procesos computacionales o derivados como el aprendizaje de máquinas (machine learning), coding, mecanismos de aprendizaje automático, deep learning, minería de datos, uso de algoritmos, análisis estadístico, segmentación de perfiles de consumo, sistemas de computación cuántica, sistemas de transformación digital o tecnológica, u otros procesos con técnicas de inteligencia artificial que faciliten e influyen en la toma de decisiones humanas con particular impacto en los hábitos de consumo y sociales, como así también el conjunto de técnicas y algoritmos que permiten a las máquinas aprender de los datos y realizar tareas que normalmente requieren inteligencia humana, como el reconocimiento de patrones, la toma de decisiones y la resolución de problemas.

Artículo 3°.- Actores de la I.A.:

Serán actores de la I.A. para la presente Ley:

a) los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA o que introduzcan en el mercado modelos de IA de uso general, con independencia de si dichos proveedores están establecidos o ubicados en Argentina o en un tercer país;

b) los responsables del despliegue de sistemas de IA que estén establecidos o ubicados en la Argentina;

c) los proveedores y responsables del despliegue de sistemas de IA que estén establecidos o ubicados en un tercer país, cuando la información de salida generada por el sistema de IA se utilice en la Argentina;

d) los importadores y distribuidores de sistemas de IA;

e) los fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca comercial;

f) los representantes autorizados de los proveedores que no estén establecidos en la Argentina;

g) las personas afectadas que estén ubicadas en la Argentina.

Artículo 4°.- Principios:

Los efectos de la presente ley se regirán por los siguientes principios:

a) Crecimiento inclusivo, desarrollo sostenible y bienestar.

Los resultados de la inteligencia artificial y los procesos de decisión automatizada deben ser beneficiosos para las personas y el planeta, para aumentar las capacidades humanas y mejorar la creatividad, promover la inclusión de poblaciones subrepresentadas, reducir las desigualdades económicas, sociales, de género y de otro tipo, reducir las formas de corrupción en todos sus tipos y proteger los entornos naturales, estimulando así el crecimiento inclusivo, el desarrollo sostenible y el bienestar.

b) Valores y equidad centrados en el ser humano.

Los actores de la IA, tanto del sector público como privado, deben respetar el estado de derecho, los derechos humanos y los valores democráticos durante todo el ciclo de vida del sistema de IA. Estos incluyen libertad, dignidad y autonomía, privacidad y protección de datos, no discriminación e igualdad, diversidad y equidad.

Para ello, los actores de la IA deben implementar mecanismos y salvaguardas, como la capacidad de determinación humana, que sean apropiados y respetuosos de la autonomía individual.

Los resultados de la inteligencia artificial y procesos de decisión automatizada no podrán ser utilizados con la finalidad de reemplazar su sistema de gobierno republicano, representativo y federal, o desestabilizar los procesos democráticos, las deliberaciones humanas, ni los sistemas democráticos de votación.

c) Transparencia y explicabilidad.

Los actores de IA deben comprometerse con la transparencia y la divulgación responsable con respecto a los sistemas de IA. Para ello, deben proporcionar información significativa, adecuada al contexto y coherente con el estado de la técnica. Asimismo, se debe fomentar una comprensión general de los sistemas de IA, sensibilizar a las partes interesadas sobre sus interacciones con los sistemas de IA, incluso en el lugar de trabajo, permitir que los afectados por un sistema de IA comprendan el resultado, y permitir a los afectados negativamente por un sistema de IA desafiar su resultado basándose en

información simple y fácil de entender sobre los factores y la lógica que sirvió de base para la predicción, recomendación o decisión.

d) Robustez, seguridad y protección.

Los sistemas de IA deben ser robustos y seguros durante todo su ciclo de vida para que, en condiciones de uso normal, uso previsible o mal uso, u otras condiciones adversas, funcionen de manera adecuada y no presenten riesgos de seguridad irrazonables.

Con este fin, los actores de la inteligencia artificial deben garantizar la trazabilidad, incluso en relación con los conjuntos de datos, los procesos y las decisiones tomadas durante el ciclo de vida del sistema de inteligencia artificial, para permitir el análisis de los resultados del sistema de inteligencia artificial y las respuestas a las consultas, de manera adecuada al contexto y coherente con el estado de los desarrollos.

Los actores de la IA deben, según sus roles, el contexto y su capacidad para actuar, aplicar un enfoque sistemático de gestión de riesgos a cada fase del ciclo de vida del sistema de IA de forma continua para abordar los riesgos relacionados con los sistemas de IA, incluida la privacidad, la seguridad digital, seguridad y sesgo.

e) Responsabilidad.

Los actores de la IA deben ser responsables del correcto funcionamiento de los sistemas de IA y del respeto de los principios anteriores, en función de sus funciones, el contexto y de conformidad con el estado de los desarrollos. La responsabilidad implica avanzar progresivamente en eliminación de déficits de transparencia que eviten disponer de información veraz que tenga trazabilidad y sea controlable siempre que puedan verse afectados negativamente bienes jurídicos individuales o colectivos, como también que eviten el conocimiento de factores importantes para comprender el funcionamiento de programaciones, diseños técnicos y criterios basados en algoritmos.

f) Prevención de riesgos y posibles daños.

Los actores involucrados en las disposiciones de la presente ley deben guiar sus acciones teniendo particular atención a evitar daños y riesgos en cuanto a uso de datos de historial crediticio, derecho al olvido, elaboración de perfiles de consumo, elaboración de perfiles en el ámbito de procesos de solicitud de puestos de trabajo, comunicación comercial, privacidad, criminalidad, seguridad, algoritmos de aprendizaje automático, discriminación por algoritmos sesgados, errores de bugs que influyan en una toma de decisión errónea no adjudicable al usuario y los manejos de información como la difusión unilateral de información, manipulación de actitudes o valores personal con el objetivo de influir en tendencias sociales o el comportamiento. Los perfiles de consumo de personas menores de edad deberán ser restringidas o tener un control especial. También se tendrá especial precaución en todo lo relacionado a clasificación de personas para su puntuación y posterior otorgamiento de beneficios o castigos crediticios, laborales o de otra índole en función de su comportamiento.

g) Cooperación público-privada. Protección especial a MiPyMEs.

Toda política pública relacionada a implementación de responsabilidad o sanciones por utilización de IA debe contar con especial cuidado en su impacto a las micro, pequeñas y medianas empresas (MIPYMES). Deben diferenciarse los posibles impactos de responsabilidad para no daña las y ayudarlas en la implementación de nuevas tecnologías. Las medidas tomadas deben evitar generar daños contraproducentes que afecten la innovación como bloqueos y burocracia innecesaria. El principio general que debe priorizarse es la cooperación recíproca entre el ámbito público y privado, tomando en cuenta la multipolaridad y multidimensionalidad de los fenómenos a tratar y estableciendo análisis de costo-beneficio en las medidas a recomendar.

h) Control de la vigilancia estatal.

Cuando las tecnologías mencionadas en la presente ley sean utilizadas por diferentes organismos estatales con vistas a la prevención de riesgos o a la persecución penal se deberá contar con un especial programa de transparencia y responsabilidad, protegiendo el secreto para los fines razonables, pero con la condición de existencia de medidas de control por parte del Poder Judicial o Legislativo que garanticen la división de poderes.

Los principios enumerados en el presente artículo, de ninguna manera serán entendidos como negación de otros principios no enumerados pero que nacen de la Constitución Nacional, Tratados Internacionales y leyes de la Nación.

Artículo 5.- Consejo Asesor de I.A.

Créase con carácter Ad Honorem el Consejo Asesor de Inteligencia Artificial, que estará conformado por ocho (8) personas con trayectoria reconocida en el ámbito y formación académica en la materia, y deberán proceder paritariamente del sector privado y público.

Del total de los representantes dos de ellos serán: un (1) representante de la Comisión Nacional de Defensa de la Competencia y un (1) representante de la Defensoría del Pueblo de la Nación Argentina.

Todos serán nombrados por el Poder Ejecutivo Nacional con acuerdo de la Cámara de Diputados. La integración deberá respetar a su vez la paridad de género.

La duración del/los integrantes de cada Autoridad de Aplicación en su mandato serán de 4 años y pueden ser designados por una (1) sola vez.

Los/las miembros de las Autoridades de Aplicación pueden ser removidos/as por causal de negligencia grave en el desempeño de sus funciones.

Artículo 6.- Objetivos del Consejo.

El Consejo Asesor de I.A. será la Autoridad de Aplicación de la presente Ley y tendrá por objetivos elaborar planes de prevención de posibles peligros en innovaciones tecnológicas, emitir recomendaciones no vinculantes y estimular las buenas prácticas algorítmicas en innovaciones.

El Consejo Asesor deberá establecer procedimientos ágiles que fomenten la participación, educación, toma de conciencia y consulta por parte de la ciudadanía para garantizar que las decisiones que se tomen sean justas y representen los intereses de todas las partes involucradas.

Artículo 7.- Protocolos de transparencia.

La Autoridad de Aplicación establecerá los protocolos idóneos para garantizar la transparencia en la utilización de algoritmos respetando los principios del artículo 2° y en especial la no injerencia en la autonomía de las empresas o programadores, el secreto comercial y sin afectar su legítimo interés y protección a la propiedad intelectual. Se tendrá especial control en algoritmos cuya utilización pueda perjudicar bienes jurídicos como la no discriminación, la estigmatización de grupos, la manipulación de información o comportamientos y en campos de aplicación del sector sanitario. Se avanzará en trámites de certificación estatal y procedimientos de secreto adaptados especialmente para armonizar los objetivos del presente artículo.

Artículo 8.- Registro de riesgos significativos.

La Autoridad de Aplicación creará un registro público de “Sistemas de Decisión Automatizada de Riesgo Significativo”, entre los cuales se encontrarán todos aquellos mencionados en el artículo 2° que puedan generar eventuales daños o peligros que se entienda prioritario prevenir causados por la evolución de los procesos de digitalización, gestión de datos, robotización, inteligencia artificial u otros procesos innovadores que puedan derivar en problemas no previstos.

Especialmente se tendrá en cuenta para este registro aquellos sistemas que impliquen categorización biométrica basada en características sensibles, la extracción no selectiva de imágenes faciales de internet o de imágenes de circuito cerrado de televisión para bases de datos de reconocimiento facial, el reconocimiento de emociones en el lugar de trabajo y las escuelas, la puntuación social, la vigilancia predictiva basada en perfiles de una persona o la evaluación de sus características, los sistemas que manipulen el comportamiento humano o exploten vulnerabilidades de las personas, toda calificación de datos personales para puntuar historial crediticio o penal, de detenciones, arrestos o sistemas que puedan significar riesgos de injerencia de potencias extranjeras o afectar la seguridad nacional, como así también sistemas que puedan tener un impacto significativo en la salud, seguridad, derechos fundamentales, medio ambiente, la democracia o el Estado de Derecho.

El Registro deberá mantenerse actualizado y será público.

Artículo 9°.- Certificaciones de buenas prácticas.

Créase el programa de certificaciones de buenas prácticas algorítmicas el cual será reglamentado por la Autoridad de Aplicación y tendrá carácter voluntario no obligatorio para el sector privado y obligatorio para el sector público nacional.

En el sector público nacional se tendrá especial precaución y requerirá certificación especial las prácticas que contengan calificación ciudadana, sistemas de vigilancia masiva, o sistemas de identificación biométrica remota de personas en lugares públicos

Artículo 10°.- Objetivo de las certificaciones.

Las certificaciones de buenas prácticas algorítmicas tendrán por objetivo estimular, promover y crear un marco de certidumbre avalado y de interés del Estado Nacional que promueva diseños algorítmicos con fines de bien común, energéticamente eficientes, transparentes, accesibles y que dispensen de responsabilidad ulterior a los creadores de estos frente a eventuales procesos judiciales. La Autoridad de Aplicación implementará beneficios impositivos para los sujetos no obligados que apliquen las tecnologías certificadas.

Artículo 11°.- Requisitos de las certificaciones.

Las certificaciones de buenas prácticas algorítmicas deben cumplir criterios técnicos y recibirán aportes del sector privado, asociaciones no gubernamentales y especialistas en la materia para consolidar los métodos de evaluación.

Artículo 12°.- Evaluaciones de impacto.

La Autoridad de Aplicación podrá solicitar evaluaciones de impacto en la privacidad y los derechos fundamentales de las personas antes de la implementación de cualquier sistema de inteligencia artificial, siempre que la solicitud este motivada por razones de oportunidad, mérito y conveniencia, y garantizando la agilidad, economía procesal y tramitación digital de la respuesta para no afectar derechos de propiedad.

Se elaborará un procedimiento para que los consumidores puedan presentar quejas y obtener explicaciones sobre sistemas con el objetivo de requerir evaluaciones de impacto.

CAPITULO II.- PROGRAMA FEDERAL DE INTELIGENCIA ARTIFICIAL, ALGORITMOS VERDES, ROBÓTICA Y AUTOMATIZACIÓN

Artículo 13°.- Programa Federal IA.

Créase el Programa Federal de Inteligencia Artificial, robótica y automatización de la República Argentina el cual deberá ser elaborado por el Poder Ejecutivo Nacional con la intervención del Consejo Asesor en I.A. creado por la presente.

Artículo 14°.- Objetivos del Programa.

Los objetivos del Programa I.A. serán:

a) Desarrollar la robótica, procesos de automatización, coding e inteligencia artificial en todo el territorio nacional, tendiendo a su difusión, conocimiento, perfeccionamiento y aprovechamiento integral.

b) Establecer lineamientos estratégicos para reorganizar la estructura industrial nacional y promover la migración hacia esquemas más integrados, flexibles, conectados y colaborativos.

c) Promover la inversión en innovaciones asociadas a la creación y adaptación de tecnologías digitales claves para reconversión del sistema productivo como son la robótica avanzada, coding, big data, manufactura aditiva, Deep learning, Deep web, data analytics, procesamiento de lenguaje natural, entre otras.

d) Incentivar en el sector privado la competitividad y fomentar un perfil exportador que promueva la generación de empleo nacional.

e) Establecer planes conjuntos con el Ministerio de Educación, Ciencia y Tecnología que promuevan la acumulación de capital humano y acumulación de capital intangible asociado a inteligencia artificial y diversas tecnologías 4.0.

f) Promover la provisión de bienes públicos poniendo el foco en la infraestructura digital.

g) Promover una la creación y diseño de “algoritmos verdes” entendiendo por los mismos a aquellos que son energéticamente eficientes, contribuyendo a la lucha contra el cambio climático y la transición ecológica, así como impulsar aplicaciones de IA sostenibles.

h) Incorporar perspectivas de género y de cuidado al medio ambiente en las estrategias, planes y objetivos a elaborar.

i) Planificar, elaborar y acordar una política nacional en materia de robótica, automatización e inteligencia artificial que procure la identificación de oportunidades y amenazas en cuanto a derechos laborales, economía, política social y efectos colaterales para nuestra matriz productiva.

j) Establecer metas de desarrollo, objetivos a cumplir y planes estratégicos interdisciplinarios que apliquen los beneficios de los procesos de robotización, automatización e inteligencia artificial en el entramado productivo argentino, promoviendo la participación de Universidades, ONGs y centros de estudios específicos en la temática.

k) Crear estándares de buenas prácticas en el uso de inteligencia artificial de adopción voluntaria por parte del sector privado.

l) Elaborar informes anuales de la evolución de la legislación comparada en materia de inteligencia artificial para poder consultar y adoptar herramientas regulatorias internacionales que sean compatibles con los fines de la presente ley.

m) Constituir foros de debate y diálogo en el marco del cual el gobierno nacional y los gobiernos federales puedan intercambiar los avances alcanzados en la materia, desde una visión integral.

n) Promover la inclusión de toda la sociedad en las nuevas tecnologías a través de campañas en los medios de comunicación. Promover acciones de concientización con especial enfoque en peligros y riesgos de utilización de estas tecnologías por parte de menores de edad.

o) Establecer planes de migración de trabajos e implementar estrategias de desarrollo productivo asociadas a una adopción más rápida y generalizada de las tecnologías vinculadas a la Inteligencia Artificial en el sector de público. Esto incluye automatizar y digitalizar procesos del Estado con plazos de cumplimiento y metas.

Artículo 15.-

Las disposiciones de esta ley deberán interpretarse en conjunto con la Ley 25.326 de Protección de Datos Personales o las que en el futuro las reemplacen.

Artículo 16.- Comuníquese, etc.

MAXIMILIANO FERRARO

FUNDAMENTOS

El objetivo del presente proyecto es poner en debate un tema que creemos relevante para el presente y futuro de nuestras sociedades. El proyecto sirve a nuestro Congreso Nacional para adoptar medidas legislativas que aprovechen las oportunidades y los beneficios de la inteligencia artificial, pero sin dejar de garantizar la protección de principios éticos ni generar restricciones innecesarias en las industrias del sector.

Un algoritmo puede ser definido como un proceso o conjunto de reglas que se siguen en cálculos u otras operaciones de resolución de problemas, sobre todo los ejecutados por un ordenador. En los últimos años (y particularmente meses) la inteligencia artificial (IA) han permitido a máquinas ejecutar tareas que anteriormente realizaban los humanos. Desde reconocimiento de rostros, traducción de idiomas, o interpretación de radiografías. Asimismo, se ha demostrado su capacidad para realizar tareas complejas de predicción como pronosticar decisiones judiciales, determinar qué acusados tienen más probabilidades de saltarse la libertad bajo fianza y evaluar qué llamadas a servicios de protección infantil requieren mayor urgencia (1).

En el año 2023 asistimos a lo que muchos denominaron la era de la IA. Con los lanzamientos de Chat GPT o sus competidores, el público en general fue testigo de los avances en la materia. En palabras del reconocido empresario Bill Gates estamos viviendo una revolución: “El desarrollo de la inteligencia artificial es tan fundamental como la creación del microprocesador, el ordenador personal, internet y el teléfono móvil. Cambiará la forma en que las personas trabajan, aprenden, viajan, reciben atención sanitaria y se comunican entre sí. Industrias enteras se reorientarán a su alrededor. Las empresas se distinguirán por lo bien que lo utilicen” (2).

Asimismo, Harari, Harris y Raskin afirmaron que “Todavía podemos elegir qué futuro queremos con la inteligencia artificial. Cuando los poderes bienintencionados se combinan con la responsabilidad y el control correspondientes, podemos promover los beneficios que la inteligencia artificial promete. Hemos convocado una inteligencia ajena. No sabemos mucho al respecto, excepto que es extremadamente poderosa y nos ofrece regalos deslumbrantes, pero también podría hackear los cimientos de nuestra civilización. Hacemos un llamado a los líderes mundiales para que respondan a este momento al nivel del desafío que presenta. El primer paso es ganar tiempo para actualizar nuestras instituciones del siglo XIX para un mundo nuevo y aprender a dominar inteligencia artificial antes de que ella nos domine.” (3)

Regular los avances e innovaciones tecnológicas que están sucediendo en el mundo genera opiniones contrapuestas: hay quienes sostienen que se debe dar vía libre para expandir el poder innovador y aquellos que prefieren establecer ciertos límites y marcos legales para evitar posibles peligros. Con la presentación del presente proyecto creemos que, independientemente de tomar cualquier posición, el Congreso argentino debe tener un debate profundo y plural sobre un tema de tanta trascendencia para nuestro

futuro. Lo peor que podemos hacer es no interesarnos en los temas más fundamentales que afectan el presente, pero van a afectar cada vez más profundamente nuestro futuro. Es necesario que nuestro país tenga una estrategia planificada, de inventivo o preventiva sobre posibles cuestiones a las que nos enfrentaremos.

El presente proyecto de ley responde a una pregunta: ¿Tenemos que aceptar sin más un poder incontrolado asociado al acceso de datos y su tratamiento que puede influir en el comportamiento de todos nosotros? Tenemos que ser capaces de poner en discusión temas que el mundo debate en pleno siglo XXI, que nos invita a proyectar, prevenir y planificar un futuro que respete la autonomía, dignidad y equidad de las personas. El presente proyecto quiere aportar a un debate pendiente en nuestro país sobre diversos avances e innovaciones tecnológicas que requiere el aporte de todos los sectores para comprender y planificar adecuadamente.

Los algoritmos son creaciones humanas y, por lo tanto, falibles. Potencialmente tienen tantos errores y sesgos como los procesos humanos y no siempre su procesamiento es transparente o auditable. Sin embargo, pocos países han manifestado la voluntad de regular, un número aún menor ha efectivamente aprobado alguna regulación, y su contenido difiere sustancialmente entre casos. Para la gran cantidad de países que aún no tienen regulaciones específicas (e incluso para quienes ya tienen alguna), la discusión es amplia y los modelos propuestos son variados, aunque se distinguen principalmente en dos grupos: aquellos que impulsan una regulación horizontal -por tipo de tecnología- de aquellos que impulsan una regulación vertical -por sector-.

El estado de derecho debe tomar por las riendas muchos cambios sociales que se están produciendo como consecuencias de avances tecnológicos vertiginosos. Debemos promover la creatividad emprendedora y minimizar los riesgos de la utilización irresponsable de nuevos desarrollos.

Nuestro país nos exige en llenar lagunas jurídicas, vacíos legales y vaguedades anacrónicas para proteger la autonomía de potenciales perjudicados, derechos fundamentales, pero también entender en los procesos sociales y armonizar muchas infraestructuras dirigidas digitalmente en concordancia con el objetivo de tener una sociedad diversa y plural. Si bien Argentina no cuenta con una legislación que regule la responsabilidad algorítmica, podemos encontrar leyes relacionadas como la Ley de Protección de Datos Personales Nº 25.326, la Ley de Propiedad Intelectual Nº 11.723, la Ley de Defensa del Consumidor Nº 24.240 y la Ley de Telecomunicaciones Nº 19.798.

A nivel internacional encontramos que el derecho ha ido adaptándose a los desafíos que del avance tecnológico, por ejemplo: en el caso de accidentes causados por coches autónomos los seguros seguirán siendo el primer destinatario de las reclamaciones; en cuanto a las compañías que utilicen sistemas de inteligencia artificial para sus procesos de selección laboral podrán ser demandadas en caso de incurrir en prácticas discriminatorias, y también las aseguradoras que incurran en prácticas contra el consumidor derivadas de los análisis generados por sus modelos de inteligencia artificial para fijar precios y decidir a quién aseguran seguirán teniendo que responder como empresas (4).

La regulación es disímil en cada país: en Estados Unidos, por ejemplo, se está apostando por estándares que controlen el riesgo de los sistemas de inteligencia artificial, pero sean aceptados voluntariamente por las empresas. El objetivo es no detener la innovación y que las regulaciones puedan acompañar el desarrollo. En China se ha desarrollado un plan complejo que implica experimentación regulatoria, desarrollo de estándares y regulación dura. En Japón se apuesta a un partenariado entre estado, empresas, trabajadores y usuarios para evitar los peores problemas que la inteligencia artificial pueda causar. En Canadá todo sistema de Inteligencia Artificial usado en el sector público debe someterse a un análisis de impacto que prevea sus riesgos. En la Unión Europea encontramos la primera región que tiene una ley integral para regular la inteligencia artificial a partir de diciembre del 2023 (5) y su reciente ratificación por el Parlamento Europeo (6).

El mundo está avanzando a pasos rápidos, el avance de la inteligencia artificial, la big data, el machine learning, los sistemas ciberfísicos en ámbitos de producción y distribución, los hogares inteligentes, las nuevas posibilidades de movilidad, trabajo informático en la nube, la conducción automática o autónoma de automóviles, la cantidad de datos que se generan y su tratamiento y análisis, las nuevas formas de influencia comunicativa, los diagnósticos médicos o la telemedicina, entre otros muchos desarrollos, implican que comencemos un trabajo serio, plural y convocando a la mayor cantidad de analistas, especialistas, emprendedores y profesionales para establecer marcos generales de transparencia, responsabilidad y promoción de algoritmos.

Entre los peligros que la mayor parte de la doctrina menciona con respecto a los procesos de digitalización y creación de algoritmos encontramos: la caja negra o apertura del procesamiento de la información, los sesgos de los algoritmos, la ética de la selección, y el manejo de la información, con especial énfasis en la protección de los derechos de privacidad y de datos personales.

Varios gobiernos y entre los latinoamericanos, México, lanzaron planes integrales para promover el uso y desarrollo de la inteligencia artificial. La mayoría de los planes involucran la colaboración entre una multiplicidad de actores relevantes tanto del sector público, como del sector privado y de la academia. Es el camino que el presente proyecto propone debatir entre todas las fuerzas políticas interesadas.

Nos parece importante transcribir un trabajo de especialistas donde desarrollan los cuatro problemas principales que justifican poner el foco en el tema propuesto. Según el trabajo de María Belen Abdala, Santiago Lacroix Eussler y Santiago Soubie del CIPPEC (7), los cuatro grupos de posibles peligros que representan los algoritmos y ameritan una regulación son:

“… 1. La caja negra. Si bien uno podría pensar a la regulación de la IA como una extensión de otras regulaciones vigentes sobre obtención, procesamiento y uso de la información, los algoritmos utilizados son cualitativamente distintos. Gran parte del procesamiento, almacenamiento y uso de la información es realizado por el algoritmo mismo y de forma poco transparente dentro de una caja negra de procesamiento prácticamente inescrutable (Lodge & Mennicken, 2017). Para muchas actividades y dispositivos complejos, como pueden ser las herramientas de diagnóstico y tratamiento médico, escrutar el proceso mediante el cual el algoritmo actúa resulta imprescindible.

2. Los sesgos de los algoritmos. Los algoritmos poseen un sesgo de creación que emerge de su programación inicial, llevada a cabo por personas. Además, éstos responden a la información con la que se los alimenta; información que también puede encontrarse potencialmente sesgada (Lodge & Mennicken, 2017). En última instancia, dichos sesgos pueden derivar en respuestas o resultados discriminatorios en los que la IA seleccione una opción con sesgos de género, etnia, religión u otras características. Un ejemplo de esto es el caso de la herramienta de reclutamiento de personal utilizado (y eventualmente dado de baja) por Amazon. El motor de reclutamiento experimental de Amazon siguió el mismo patrón de selección que las principales compañías tecnológicas de EEUU que aún no han cerrado la brecha de género en la selección de sus equipos -especialmente en lo que refiere a los programadores y desarrolladores de software- y aprendió a penalizar los currículums que incluían la palabra “mujer”.

3. La ética de selección. En tercer lugar, existe también una preocupación acerca de cómo se procesa la información, especialmente en aquellos casos donde las decisiones se toman en situaciones conflictivas (European Parliament Research Service, 2016). El caso típico es el del vehículo autónomo que debe elegir entre arriesgar la vida de sus ocupantes o dañar a terceros. Algo similar ocurre con el Domo de Hierro israelí o el Phalanx® weapon system de Estados Unidos, cuyo algoritmo conectado a un radar escanea, detecta y decide qué objetos representan un peligro concreto y deben ser derribados. Como indica el Subcomité de Tecnología de la Información de la Cámara de Representantes de Estados Unidos (2018), todas las decisiones autónomas deberían ser escrutables, de forma tal de poder revisar y entender cómo fueron tomadas. Es, en este sentido, indispensable definir a quién se atribuye la responsabilidad ética y legal por las consecuencias de las decisiones tomadas de manera autónoma.

4. El manejo de la información. La implementación de cualquier sistema de IA depende, en gran medida, de la constante absorción de datos, del flujo y manejo de la información. En ese marco, la discusión sobre la regulación del acceso y uso de la información en la IA, refiere a definir cómo y a quiénes (personas u organizaciones) se les otorga el acceso a dichos datos (Schrock, 2018). La información es poder y, en la actualidad, se deposita una carga excesiva sobre el individuo para administrar sus derechos de privacidad. El modelo cerrado de “notificar y elegir” no otorga verdaderas opciones a las personas (Kerry, 2019). A la hora de recolectar datos, es necesario garantizar que las personas afectadas por esto no solo den su consentimiento, sino que también conozcan el objetivo para el cual su información está siendo recolectada, quiénes serán los receptores finales de esta información, la identidad de la organización que la esté recolectando y la organización que finalmente dispondrá de esa información. De otra forma, no se puede garantizar que los derechos a la privacidad e intimidad de las personas no estén siendo vulnerados. …”(8)

Entre la cantidad de tipos de regulaciones en diferentes países encontramos órganos de contralor, consejos que emiten recomendaciones, comisiones que crean sus propios algoritmos, direcciones federales de algoritmos (FDA de EE.UU.), Consejos Nacionales de Algoritmos, entre otros. (9)

Como se desarrolló anteriormente, en el mundo varios países están creando planes de desarrollo de I.A., Estonia reunió a el sector público y privado para crear una ley, y China ya presentó los objetivos de su plan. Las estrategias de inteligencia artificial son necesarias para cualquier país que quiera mirar a futuro. Tanto Japón como Singapur apostaron a modelos regulatorios ligeros que pongan foco en los posibles riesgos (sobre todo en datos personales) pero que no impidan promover el desarrollo y la innovación. El Reino Unido eligió un camino de una legislación específica para cada ámbito en particular y no la creación de un órgano transversal como lo que proponemos en la presente normativa. Estados Unidos también está avanzando en regulaciones específicas y cada estado mantiene particular interés en algunos ámbitos (Regulaciones a los automóviles sin chofer, por ejemplo). En el Congreso de los Diputados de España encontramos proposiciones de ley tanto del Partido Popular (161/001163) (10), como del Partido Socialista Obrero Español (161/002268) en esta materia.

Asimismo, el presento proyecto recepta y eleva a rango de ley las recomendaciones de la OCDE firmados por Argentina y varios países elaborados a partir de las orientaciones proporcionadas por un grupo de expertos integrado por más de cincuenta miembros procedentes de gobiernos, instituciones académicas, el mundo empresarial, la sociedad civil, organismos internacionales, la comunidad tecnológica y sindicatos. Los Principios sobre IA cuentan con el respaldo de la Comisión Europea, cuyo grupo de expertos de alto nivel en la materia ha elaborado unas Directrices éticas para una IA fiable. A partir de la aprobación de este proyecto de ley pasarían a ser un buen punto de partida para la futura elaboración de normas nacionales, provinciales o municipales.

La experiencia de las revoluciones industriales previas sugiere que aquellas firmas y países que más rápido adoptan las nuevas tecnologías son quienes obtienen más oportunidades de crecimiento. Como afirma un trabajo de CIPPEC “…hay dos factores que conducen al crecimiento a lo largo del tiempo de la producción agregada de una economía. Uno es el aumento de los factores productivos, es decir, la incorporación de trabajadores y la acumulación de capital —máquinas, caminos, puertos y otros bienes reproducibles— al sistema productivo. Con mayor trabajo y/o capital, la producción crece. El otro factor es el crecimiento de la productividad (PTF) que resulta tanto de las mejoras en la organización y eficiencia con la que se usan los factores (trabajo y capital) como de las innovaciones. Ambas —las mejoras en la eficiencia y las innovaciones— son muchas veces producto de la incorporación de nuevas tecnologías al sistema económico.”(11)

El informe citado los autores afirman que “una estrategia de política industrial 4.0 que estimule y facilite una rápida y masiva adopción de IA y otras tecnologías por parte de las firmas. Muchos países han empezado a trabajar activamente en esta dirección y Argentina no debería rezagarse. La segunda, tal vez más importante, se refiere a la estrategia de educación e inversión en capital humano que prepare a los futuros trabajadores y facilite la readaptación de los existentes para que puedan complementarse de forma virtuosa con la IA y otras nuevas tecnologías. También en este sentido Argentina enfrenta no pocos desafíos. La tercera apunta a desarrollar una estrategia que brinde una adecuada protección social a quienes enfrenten mayor dificultad de reinserción en el mercado de trabajo.” (12)

Con el presente proyecto no queremos promover una visión escéptica de los avances tecnológicos, pero si dotar de un proyecto borrador o herramienta básica de trabajo para que nuestro Poder Legislativo trabaje en un tema que creemos crucial para el futuro. No sorprende que recientemente sean cada vez más quienes advierten sobre los riesgos de un empleo sin límites de la inteligencia artificial, entre ellos actores que en su propio curriculum han impulsado el desarrollo de esas tecnologías y la han utilizado con fines comerciales.(13)

Un punto importante a destacar es la visión vinculada al medio ambiente y la necesidad de promover una estrategia de “algoritmos verdes”. En este sentido, nuestro proyecto establece que los objetivos del programa I.A. serán promover el diseño de “algoritmos verdes” teniendo en cuenta el impacto de la IA en la huella de carbono. El gran consumo energético que producen ciertas evoluciones tecnológicas es algo a tener en cuenta. Según datos de la consultora McKinsey, el mercado de las tecnologías de la información y la comunicación (TIC) fue el responsable de entre el 3 % al 4% de todas las emisiones de CO2 mundiales en 2020. Solamente en EE. UU. los centros de datos, donde se entrenan los algoritmos, suponen 1,8% del consumo eléctrico de ese país. Además, tan solo entre el 6% y el 12% del consumo de los centros de datos está dirigido a realizar cálculos o procesos, ya que el resto va destinado a su refrigeración y mantenimiento. Por lo tanto, varias organizaciones e iniciativas trabajan para reducir el impacto de la IA en el medio ambiente. Así, una estrategia nacional en esta materia debe tener en cuenta el diseño de una variante sostenible. Los llamados «algoritmos verdes» permiten utilizar la IA de forma más inclusiva y respetuosa con el planeta.

Recientemente, un grupo de más de mil expertos entre los que se encontraban Elon Musk, Yuval Noah Harari, Gary Marcus y Steve Wozniak de la plataforma “Future Of Life” afirmaron en un documento que “…los desarrolladores de IA deben trabajar con los legisladores para acelerar drásticamente el desarrollo de sistemas sólidos de gobierno de IA. Estos deben incluir como mínimo: autoridades reguladoras nuevas y capaces dedicadas a la IA; supervisión y seguimiento de sistemas de IA de alta capacidad y grandes conjuntos de capacidad computacional; sistemas de procedencia y marcas de agua para ayudar a distinguir las fugas reales de las sintéticas y rastrear modelos; un sólido ecosistema de auditoría y certificación; responsabilidad por daños causados por IA; financiación pública sólida para la investigación técnica de seguridad de la IA; e instituciones bien dotadas para hacer frente a las dramáticas perturbaciones económicas y políticas (especialmente en la democracia) que provocará la IA.”(14)

Actualmente encontramos normativa internacional a la que Argentina adhirió como los principios generales para el abordaje ético de la inteligencia artificial, de la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura (UNESCO) la cual emitió la Recomendación sobre la Ética de la Inteligencia Artificial dictada. Asimismo, podemos mencionar la Declaración de Qingdao, aprobada en 2015, sobre el aprovechamiento de las tecnologías de la información y la comunicación (TIC) para lograr el ODS 4. También podemos destacar la normativa dictada por el Poder Ejecutivo a través de decretos, por ejemplo, podemos mencionar el decreto 50/2019 o el decreto 2/2023 el cual establece recomendaciones para una inteligencia artificial fiable. Asimismo, si bien el artículo 3° de la Ley 25.467 establece principios de carácter irrenunciable y aplicación universal, que regirán en cualquier actividad de investigación en ciencia, tecnología e innovación, nos parece importante ampliar dichas consideraciones en una normativa que profundice el tema.

Creemos que más allá de lo valioso de normas dictadas por el Poder Ejecutivo, es un tema que debe ser debatido y trabajado en el Poder Legislativo, ámbito más plural y representativo de las diferentes miradas para obtener una legislación estable y amplia.

Por último, cabe destacar que el presente proyecto de Ley fue elaborado creyendo en el aporte que las nuevas tecnologías pueden ofrecer a la participación ciudadana, puntualmente, fue subido con anticipación al portal de Leyes Abiertas (https://leyesabiertas.hcdn.gob.ar/) estando a disposición del público y recabando aportes y apoyos por parte de la ciudadanía(15).

Es por los motivos expuestos que solicitamos el tratamiento y la aprobación del presente Proyecto de Ley.

MAXIMILIANO FERRARO

(1) KAHNEMAN, D., SIBONY, O. y SUNSTEIN C. Ruido. Una falla en el juicio humano. Ed. Debate. Buenos Aires, 2021. Pág 141.

(2) https://www.gatesnotes.com/The-Age-of-AI-Has-Begun

(3) https://www.nytimes.com/2023/03/24/opinion/yuval-harari-ai-chatgpt.html?smid=url-share

(4) https://www.perfil.com/noticias/economia/quien-quiere-regular-el-negocio-de-la-inteligencia-artificial.phtml

(5) https://www.lanacion.com.ar/tecnologia/una-ley-pionera-para-una-tecnologia-con-muchos-interrogantes-las-claves-de-la-regulacion-de-la-nid11122023/#:~:text=La%20Uni%C3%B3n%20Europea%20ha%20conseguido,inquietudes%20por%20su%20potencial%20disruptivo.

(6) https://www.lanacion.com.ar/agencias/parlamento-europeo-adopto-ley-que-regula-el-uso-de-la-inteligencia-artificial-en-la-ue-nid13032024/

(7) ABDALA, M., EUSSLER, S., SOUBIE, S. La política de la Inteligencia Artificial: sus usos en el sector público y sus implicancias regulatorias. CIPPEC, octubre 2019. Documento de trabajo n°185.

(8) https://www.cippec.org/wp-content/uploads/2019/10/185-DT-Abdala-Lacroix-y-Soubie-La-pol%C3%ADtica-de-la-Inteligencia-Artifici….pdf

(9) Las propuestas específicas abarcan la creación de un “órgano guardián” de IA (Sample, 2017), que monitoree y solicite explicaciones sobre la forma en que los algoritmos toman decisiones; un Consejo Nacional de Robótica (Calo, 2014), sin poder de policía, pero con capacidad técnica para realizar recomendaciones; una Comisión de Machine Learning (Mulgan, 2016) con capacidad tecnológica para crear sus propios algoritmos, e inspeccionar el desarrollo tecnológico, pero sin poder de certificación o aprobación; una Dirección Federal de Algoritmos que tome como modelo a la FDA estadounidense (Tutt, 2016), con gran poder regulatorio sobre el territorio nacional para evaluar los sistemas antes de sus lanzamiento al mercado; o un Consejo Nacional de Seguridad de Algoritmos (Maculay, 2017) con acceso a la información necesaria, directivos rotativos independientes a las empresas reguladas, monitoreo constante y capacidad de hacer aplicar sus recomendaciones. (ABDALA, LACROIX, SOUBIE, 2019)

(11) Ramiro Albrieu, Martín Rapetti, Caterina Brest y López Patricio Larroulet Alejo Sorrentino. Disponible en: https://www.cippec.org/wp-content/uploads/2018/11/ADE-ARG-vf.pdf

(12) Ibidem.

(13) HOFFMANN RIEM, W. Big Data. Desafíos también para el Derecho. Cuadernos Civitas, Thomson Reuters, 2018. Pág. 62

(14) https://www.clarin.com/tecnologia/elon-musk-mil-expertos-piden-poner-pausa-avances-inteligencia-artificial-grandes-riesgos-humanidad-_0_8sHKPyJKnV.html

(15) https://leyesabiertas.hcdn.gob.ar/propuesta?id=6205712e2aecc70012bf3cb3

24Oct/24

Ponencia Positiva para primer debate Proyecto de Ley Estatutaria nº 154 del 8 de octubre de 2024

24 octubre, 2024Colombia, Proyecto de LeyDecreto 20 del 3 de diciembre de 2021, Decreto Ejecutivo Ventanilla Única, Departamento Nacional de Planeación, Derecho Informático, IA, Iniciativa legislativa 6 agosto 2024, Legislación Informática, Legislacióon de Colombia, Ley 1581 de 2012, Ley Federal de Telecomunicaciones y Radiodifusion 2014, Ley General Protección Datos Personales Brasil, OCDE, Ponencia para primer debate, Principio Confidencialidad, Principio de desarrollo sostenible, Principio de Inclusión, Principio de Privacidad y Confidencialidad, Principio de proporcionalidad o INocuidad, Principio de Respeto, Principio de Responsabilidad, Principio de seguridad y protección, Principio de Supervisión y Prevalencia Inteligencia Humana, Principio Neutralidad Tecnológica, Principio Responsabilidad y Rendición de Cuentas, UNESCO, Versión RadicadaJosé Cuervo

Ponencia Positiva para primer debate Proyecto de Ley Estatutaria nº 154 del 8 de octubre de 2024 Cámara, por la cual se define y regula la inteligencia artificial, se ajusta a estándares de derechos humanos, se establecen límites frente a su desarrollo, uso e implementación se modifica parcialmente la ley 1581 de 2012 y se dictan otras disposiciones.

Bogotá D.C., 08 de octubre de 2024

Presidenta

ANA PAOLA GARCÍA SOTO

Comisión Primera Constitucional

Cámara de Representantes

Ciudad

Asunto: Ponencia Positiva para primer debate Proyecto de Ley Estatutaria No. 154 del 2024 Cámara “Por la cual se define y regula la inteligencia artificial, se ajusta a estándares de derechos humanos, se establecen límites frente a su desarrollo, uso e implementación se modifica parcialmente la ley 1581 de 2012 y se dictan otras disposiciones”

Cordial saludo Dra. García,

En cumplimiento de la designación hecha por la Mesa Directiva de la Comisión Primera Constitucional Permanente de la Cámara de Representantes, y siguiendo lo dispuesto en el artículo 174 de la ley 5 de 1992, procedemos a rendir informe de ponencia positiva para primer debate del Proyecto de Ley Estatutaria C 154 de 2024 “Por la cual se define y regula la inteligencia artificial, se ajusta a estándares de derechos humanos, se establecen límites frente a su desarrollo, uso e implementación se modifica parcialmente la ley 1581 de 2012 y se dictan otras disposiciones” por las razones que se exponen en el cuerpo de la ponencia.

De las y los Congresistas,

KARYME COTES MARTÍNEZ, Coordinadora Ponente

ALIRIO URIBE MUÑOZ, Coordinador Ponente,

ASTRID SÁNCHEZ MONTES DE OCA , Ponente

CATHERINE JUVINAO CLAVIJO, Ponente

MIGUEL POLO POLO, Ponente

OSCAR RODRIGO CAMPO, Ponente

ORLANDO CASTILLO ADVÍNCULA , Ponente

LUIS ALBERTO ALBÁN URBANO, Ponente

MARELEN CASTILLO TORRES, Ponente

INFORME DE PONENCIA PARA PRIMER DEBATE AL PROYECTO DE LEY ESTATUTARIA 154 de 2024 CÁMARA “POR LA CUAL SE DEFINE Y REGULA LA INTELIGENCIA ARTIFICIAL, SE AJUSTA A ESTÁNDARES DE DERECHOS HUMANOS, SE ESTABLECEN LÍMITES FRENTE A SU DESARROLLO, USO E IMPLEMENTACIÓN SE MODIFICA PARCIALMENTE LA LEY 1581 DE 2012 Y SE DICTAN OTRAS DISPOSICIONES”

1. OBJETO DEL PROYECTO

El proyecto de ley estatutaria tiene por objeto ajustar a estándares de respeto y garantía de los derechos humanos la inteligencia artificial, regular su desarrollo y establecer límites frente a su uso e implementación por parte de personas naturales y jurídicas. En esa medida, pretende establecer un marco jurídico seguro para el desarrollo tecnológico sin que represente cargas administrativas innecesarias para las pymes y las empresas emergentes, pero basado en consideraciones éticas y en el respeto de los derechos humanos y fundamentales; para tal efecto, propugna por la adaptación, aplicación y ejecución de las normas ya existentes en materia de protección de datos personales.

2. ANTECEDENTES

El 01 de diciembre de 2022 se adelantó una audiencia pública en el recinto de la Comisión Primera Constitucional llamada “Inteligencia Artificial en Colombia: Iniciativas para una regulación con enfoque de DDHH”. En este escenario participaron organizaciones de Derechos Humanos, docentes, miembros de la academia y representantes del Estado, puntualmente del Ministerio de Defensa, el Ministerio de las TIC y el Ministerio de Ciencia y Tecnología. Sobre la regulación de las Inteligencias Artificiales, en la audiencia conocimos que Naciones Unidas en 2021, fijó el primer acuerdo internacional sobre la ética de la inteligencia artificial.

Este acuerdo insiste en la estricta protección a los datos personales y el control de los mismos por las personas, en la estricta prohibición del uso de la I.A. para la clasificación social y la vigilancia masiva y también en necesidad de supervisar y evaluar la I.A. y sus impactos en las personas, la sociedad y el medio ambiente.

También la OCDE ya ha fijado algunos parámetros para la I.A., entre otros resaltó las recomendaciones que dio la OCDE para los Gobiernos en América Latina y el Caribe que indican que el Desarrollo de IA debe tener un enfoque responsable, fiable y centrado en el ser humano, que comprenda la ética de datos, garantice la imparcialidad y la atenuación del sesgo.

“La inteligencia Artificial puede violar derechos humanos y ser utilizada en procesos de discriminación y racialización; es necesario reglar el desarrollo y uso de las IA para evitar que sobrepasen límites éticos de la humanidad”. Este es uno de los principales desenlaces a los que llegamos en la audiencia pública. En conclusión, en el mundo, cada vez más los Estados se alejan más de los principios de “soft law” o leyes blandas que dejan a la ética de los desarrolladores el control sobre la I.A. y se acercan más a la creación de estándares legales que regulen la temática. Por lo tanto, es necesario que Colombia también emprenda este camino regulatorio.

Posteriormente fue radicado el proyecto de ley estatutaria No 200 de 2023 el 06 de septiembre de 2023 en la Secretaría de la Cámara de Representantes, siendo autores los HR Karyme Adrana Cotes Martínez, Alirio Uribe Muñoz, María Eugenia Lopera Monsalve, Sandra Bibiana Aristizábal Saleg, Carmen Felisa Ramírez Boscán, Gilma Díaz Arias, Flora Perdomo Andrade, Dolcey Oscar Torres Romero, Mónica Karina Bocanegra Pantoja, Jezmi Lizeth Barraza Arraut, Piedad Correal Rubiano, Álvaro Leonel Rueda caballero, Jhoany Carlos Alberto Palacios Mosquera, Hugo Alfonso Archila Suárez, Etna Tamara Argote Calderón, Eduard Giovanny Sarmiento Hidalgo, Pedro José Súarez Vacca, Gabriel Becerra Yañez, David Alejandro Toro Ramírez, Jorge Hernán Bastidas Rosero, fue publicado en gaceta del Congreso No 1260 de 2023. No obstante, este proyecto de ley estatutaria fue archivado en virtud del artículo 190 de la Ley 5ta de 1992.

El 6 de agosto de 2024, se presentó nuevamente la iniciativa legislativa, la cual recoge las disposiciones contenidas del proyecto de ley presentado en la Legislatura 2023 – 2024 y los diferentes ajustes solicitados por los ponentes y miembros de la Comisión I de la Cámara de Representantes.

El 03 de septiembre de 2024 la mesa directiva de la Comisión Constitucional Permanente de la Cámara de Representantes designó como ponentes de la presente iniciativa a los H.R. Karyme Adrana Cotes Martínez H.R. Alirio Uribe Muñoz H.R. Miguel Abraham Polo Polo H.R. Oscar Rodrigo Campo Hurtado H.R. Ruth Amelia Caycedo Rosero H.R. Astrid Sánchez Montes De Oca, H.R. Catherine Juvinao Clavijo H.R. Orlando Castillo Advincula H.R. Marelen Castillo Torres H.R. Luis Alberto Albán Urbano.

En el marco de la construcción conjunta de la ponencia para el primer debate, se han realizado algunos ajustes a la versión presentada, entre los que se encuentran los siguientes:

– Ajustes de redacción y se adiciona una disposición especial al uso de IA en instituciones educativas en el artículo 2 sobre el ámbito de aplicación de la ley.

– Se ajusta el artículo 12, referente a las garantías de seguridad laboral, teniendo en cuentas las disposiciones de la reforma laboral que actualmente cursa en el Congreso.

– Se ajustan las funciones de la Superintendencia y del Ministerio de Tecnologías de la Información.

Atendiendo la solicitud de los ponentes, el 30 de septiembre de 2024 se realizó una Audiencia Pública sobre el proyecto de ley. En esta participaron diversos delegados de entidades públicas con competencias en la materia, expertos en tecnología e inteligencia artificial, así como representantes del ámbito académico, entre los cuales se destacan:

– El Viceministro de Transformación Digital del Ministerio de las Tecnologías de la Información y las Comunicaciones, el doctor Belfor Fabio García.

– El Director de Ciencia del Ministerio de Ciencia, Tecnología e Innovación, el doctor Iván Rodrigo Luna.

– La Directora Técnica de Desarrollo Digital del Departamento Nacional de Planeación, la doctora Viviana Rocio Vanegas.

– La Superintendente de Industria y Comercio, la doctora Cielo Rusinque.

– La Directora Ejecutiva de la Comisión de Regulación de Comunicaciones.

– El Coordinador del Centro de Estudio de Derecho de las TIC (CENTI) de la Universidad Javeriana, el doctor Victor Ayalde.

– El Gerente de Políticas Públicas para la Zona Andina de la Asociación Latinoamericana de Internet (ALAI), el doctor Pablo Nieto.

– La Representante de la Unión Europea, la doctora Esther Montoya.

Durante la audiencia se expresaron diversas opiniones y propuestas de mejora al proyecto de ley, las cuales han sido incorporadas en la presente ponencia.

3. JUSTIFICACIÓN DEL PROYECTO

La realidad mundial demuestra que la inteligencia artificial (IA) hoy constituye una industria que viene creciendo a niveles acelerados, dadas las altas inversiones que están haciendo las empresas para ser más competitivas en el mercado. No obstante, los sistemas de inteligencia artificial al parecer comportan una amenaza para los derechos fundamentales teniendo en cuenta que los algoritmos que permiten el desarrollo, uso e implementación de estos sistemas, se basan en conjuntos masivos de datos personales que son recopilados, procesados y almacenados sin sujeción a los regímenes de protección de datos personales.

El rápido avance de la tecnología, el campo cyber y la Inteligencia Artificial le pone grandes retos a la legislación, a la justicia y a la garantía de los Derechos Humanos en nuestro país. Colombia cuenta con importantes avances en la protección de datos y en la elaboración de herramientas legales que nos ponen junto a Uruguay y Brasil en la punta del liderazgo continental para crear un clima adecuado en materia de Inteligencia Artificial desde los más altos niveles según el Índice Latinoamericano de Inteligencia Artificial (Ilia), elaborado por el Centro Nacional de Inteligencia Artificial de Chile (Cenia). Sin embargo, debemos partir de que no todo desarrollo tecnológico necesariamente es beneficioso para la humanidad.

Desde que se empezó a utilizar la IA hemos visto sus beneficios, pero también los riesgos para los derechos humanos que supone su uso indiscriminado, como una consecuencia natural, a veces inevitable, y tolerable a cambio de los beneficios que ofrece la inteligencia artificial como la agilidad y la eficiencia en las relaciones, con la administración pública, gestión documental, detección de errores procesales, etc. Sin embargo, se ha observado que los derechos humanos corren un riesgo considerable. Por ejemplo, en el ámbito de la salud, la inteligencia artificial puede realizar diagnósticos y predicción de riesgos, prescripción de tratamientos, cirugía robótica, asistencia médica remota, procesamiento de imágenes, mapas sanitarios, control de transmisión de enfermedades, etc. Sin embargo, existen riesgos claros en términos de impactar el derecho a la integridad personal, el procesamiento de datos personales altamente sensibles, la autonomía del paciente, el consentimiento y el control humano sobre la toma de decisiones finales del sistema. En el ámbito de la seguridad civil, la Inteligencia Artificial puede resultar muy útil en identificación biométrica, registro de actividades, análisis de comportamiento, interceptación y análisis de comunicaciones, búsqueda de personas desaparecidas, etc. Sin embargo, se volvió a llamar la atención sobre los riesgos del uso indebido de datos personales, en particular la preocupación por la dependencia de sesgos discriminatorios en la inteligencia prospectiva con fines de vigilancia policial predictiva (1).

En el ámbito judicial, la inteligencia artificial facilita la sistematización y búsqueda de información jurídica útil para jueces, abogados y la sociedad en su conjunto, y permite predicciones basadas en decisiones judiciales que se han dictado y pueden ser reproducidas, pero no tiene capacidad de argumentación y garantiza imparcialidad, precisión y decisión adecuada, lo que la hace vulnerable a “resultados inexactos, discriminatorios, sesgos implícitos o inherentes“(2) Acelerar el acceso a la justicia no conducirá a una sociedad más justa si no se garantiza que las decisiones del sistema sean justas, correctas y ajustadas a derecho.

Considerando lo anterior, cada vez con más fuerza nos acercamos al consenso de la necesidad de crear unos marcos regulatorios para el desarrollo y uso de Inteligencias Artificiales de manera acorde con los Derechos Humanos y Fundamentales. En el mundo, cada vez más los Estados se alejan de los principios de “soft law” o leyes blandas que dejan a la ética de los desarrolladores el control sobre la Inteligencia Artificial y se acercan más a la creación de estándares legales que regulen la temática.

En términos del parlamento europeo el desarrollo de la inteligencia artificial comprende la cuarta revolución industrial, cuyo impacto acelerado en la tecnología ya implementada por la administración pública, el comercio electrónico, el sector servicios, entre otros, hace necesaria la regulación del proceso de transformación digital que está sufriendo la sociedad con énfasis en el pleno respeto de los derechos fundamentales y en el verdadero servicio a la humanidad; en efecto, para el 2030 se prevé que la inteligencia artificial contribuirá con más de 12 billones de dólares a la economía mundial, siendo la economía digital la puerta de entrada de nuevos productos y servicios que incrementará las alternativas que tienen los consumidores para satisfacer sus necesidades (3).

En ese orden de ideas, dado el riesgo de reducción de la intervención humana, el reemplazo de la autonomía humana, la pérdida de libertad individual, y la gran cantidad de datos personales que usan y fluyen a través de los sistemas de inteligencia artificial, se justifica la generación de herramientas que permitan el avance de la tecnología y el crecimiento de la economía de manera segura. Países como China desde hace una década viene destacando el uso de la inteligencia artificial en el mejoramiento de las capacidades militares y promueve las asociaciones internacionales de IA como una forma de exportar sus propias prácticas de vigilancia basadas en la IA, su sistema de puntuación ciudadana y sus estrategias de censura, de tal manera que su planteamiento está basado en el despliegue de la IA basadas en normas correspondientes con la ideología del gobierno. Tanto Estados Unidos como China has venido acelerando el uso de la IA en el sector público y en el sector privado, a tal punto que sus inversiones representan más del 80 % de las inversiones anuales de capital en IA y tecnología de cadena de bloques.

Resulta por tanto preciso regular la IA, fundamentalmente porque las empresas públicas y privadas la están usando para tomar decisiones que impactan la vida de las personas, las cuales generan unas responsabilidades que deben ser asumidas por tales empresas, siendo plausible el establecimiento de una legislación que le permita a las personas recurrir a las autoridades para garantizar sus derechos fundamentales. En el caso de Estados Unidos se han aprobado proyectos de ley para regular asuntos específicos de la inteligencia artificial como la tecnología de reconocimiento facial, y así mismo, la Casa Blanca publicó diez principios para la regulación de la inteligencia artificial.

No obstante, la iniciativa más ambiciosa la ha hecho la Unión Europea y se fundamenta en el riesgo que los sistemas de inteligencia artificial representan para las libertades individuales. Igualmente ha habido iniciativas multilaterales para desarrollar directrices y normas para un uso ético y responsable de la IA, como los principios de la OCDE sobre la IA que Colombia acogió conforme lo manifestó el Ministerio de las TIC. (4), la Alianza Mundial sobre la IA, la Recomendación sobre la ética de la IA de la Unesco que Colombia también adoptó según manifestó el Ministerio de las TIC (5), las recomendaciones del Consejo de Europa sobre un posible marco jurídico en materia de IA y las orientaciones políticas de UNICEF sobre la IA para los niños. Pero respecto a iniciativas de regulación sobre la materia tenemos otros países como Chile (Decreto 20 del 3 de diciembre de 2021 sobre la Política Nacional de Inteligencia Artificial), Argentina (Plan Nacional de IA de agosto de 2018), Uruguay (Ley de protección de datos de 2008, Art. 16), México (Ley Federal de Telecomunicaciones y Radiodifusión – 2014, Decreto Ejecutivo Nacional de Ventanilla Única – 2015, y el Decreto Ejecutivo sobre Datos Abiertos – 2015), Brasil (Decreto Ejecutivo N.° 9.854 del 25 de junio de 2019, Decreto Ejecutivo N.° 9.319, del 21 de marzo de 2018, Ley General de Protección de Datos Personales de Brasil, Ley de Derechos de Internet de Brasil – Marco Civil de Internet, Decreto No. 8.771 de 2016).

Tratándose de Colombia la inteligencia artificial ha tenido avances a partir del Documento CONPES 3975 del 8 de noviembre de 2019 que definió la inteligencia artificial como “un campo de la informática dedicado a resolver problemas cognitivos comúnmente asociados con la inteligencia humana o seres inteligentes, entendidos como aquellos que pueden adaptarse a situaciones cambiantes. Su base es el desarrollo de sistemas informáticos, la disponibilidad de datos y los algoritmos”; sin embargo, más allá de este documento su importancia no se ha visto reflejada en el desarrollo legislativo local, ni a nivel regional, comoquiera que no existe una legislación específicamente diseñada para regular el uso de la inteligencia artificial, sino que se ha implementado a partir de normativas existentes en materia de protección de datos, de protección de los consumidores y de competencia empresarial. Así mismo, la Unesco ha formulado recomendaciones de ética para el sector público y privado en materia de inteligencia artificial para la región, que Colombia acogió y se circunscriben la aplicación de principios éticos como: transparencia, explicación, privacidad, control humano de las decisiones, seguridad, responsabilidad, no discriminación, inclusión, prevalencia de los derechos de niños, niñas y adolescentes y beneficio social.

3.1. Experiencia internacional

La inteligencia artificial está generando debates de índole éticos y jurídicos muy interesantes en el ámbito internacional debido a los riesgos que genera su propia existencia, la necesidad de que avance con una regulación clara y la necesidad de que esta eventual regulación garantice un enfoque de derechos humanos. En la vanguardia de estos debates han estado la Unión Europea y Naciones Unidas quienes han contribuido a construir dos modelos internacionales de regulación con dos enfoques diferentes y complementarios.

La propuesta de las Naciones Unidas por medio de la UNESCO, en 2021, fijó el primer acuerdo internacional sobre la ética de la inteligencia artificial. Este acuerdo insiste en la estricta protección a los datos personales y el control de los mismos por las personas, en la estricta prohibición del uso de la Inteligencia Artificial para la clasificación social y la vigilancia masiva y también el acuerdo marca la necesidad de supervisar y evaluar la Inteligencia Artificial y sus impactos en las personas, la sociedad y el medio ambiente.

Estas recomendaciones recogen exigencias de índole ético para que sean acogidas por los distintos países que le apuesten a regular la materia en la Recomendación sobre la Ética de la Inteligencia Artificial. Sus objetivos por una parte son

(i) brindar un marco universal de valores, principios y acciones para orientar a los Estados en la formulación de leyes y políticas,

(ii) orientar a las personas que participan en los sistemas de Inteligencia Artificial en una perspectiva ética,

(iii) promover el respeto a los derechos humanos,

(iv) fomentar el diálogo multidisciplinario sobre cuestiones éticas de la inteligencia artificial y (v) impulsar el acceso equitativo sobre beneficios y avances de la inteligencia artificial.

La recomendación se divide entre valores (de un contenido más ideal), principios (de un contenido más concreto) y exigencias más concretas que se agrupan en un ámbito de acción política y aplicación:

– Hay cuatro valores que son

(i) el respeto, protección y promoción de los derechos humanos, libertades fundamentales y la dignidad humana,

(ii) prosperidad del medio ambiente y los ecosistemas,

(iii) garantizar la diversidad y la inclusión y

(iv) vivir en sociedades pacíficas justas e interconectadas.

– Los principios enunciados son

(i) el de proporcionalidad e inocuidad,

(ii) seguridad y protección,

(iii) equidad y no discriminación,

(iv) sostenibilidad,

(v) derecho a la intimidad y protección de datos,

(vi) supervisión y decisión humanas,

(vii) transparencia y explicabilidad,

(vii) responsabilidad y rendición de cuentas,

(viii) sensibilización y educación y

(ix) gobernanza y colaboración adaptativas y de múltiples partes interesadas.

– Los ámbitos de acción política que se proponen en el proyecto son una forma en que la UNESCO propone materializar valores y principios y son once:

(i) Evaluación del impacto ético,

(ii) gobernanza y administración éticas,

(iii) política de datos,

(iv) desarrollo y cooperación internacional,

(v) medio ambiente y ecosistemas,

(vi) género,

(vii) cultura,

(viii) educación e investigación,

(ix) comunicación e información,

(x) economía y trabajo y

(xi) salud y bienestar social.

Es así que esta propuesta legislativa, recoge los principios y valores sugeridos por la UNESCO en esta propuesta de reglamentación. Por otro lado, dentro del contenido destacado de esta declaración está el reconocimiento de un enfoque de derechos amplio, promoviendo que todo desarrollo debe ser un avance para la humanidad, insistiendo en que no existan brechas en la seguridad y protección de las personas y sus datos, que haya una constante auditoría y supervisión, así como que haya transparencia sobre los algoritmos de Inteligencia Artificial cuando toman determinada decisión. De la misma manera, al reconocerse un ámbito amplio de acción política se describen acciones concomitantes que se deben tomar al momento de regular un fenómeno como el de la inteligencia artificial, por lo que la UNESCO hace un llamado a que, si bien un instrumento para reglamentar la inteligencia artificial es necesario, hay muchos temas con reglamentaciones propias que deben ser tenidas en cuenta.

También la Organización para la Cooperación y el Desarrollo Económicos -OCDE- ha fijado algunos parámetros para el desarrollo de la inteligencia artificial, entre otros son de resaltar las recomendaciones que dio la OCDE para los Gobiernos en América Latina y el Caribe. Señala la OCDE que los Gobiernos precisan desarrollar un enfoque responsable, fiable y centrado en el ser humano, que comprenda la ética de datos, garantice la imparcialidad y la atenuación del sesgo, contemple la transparencia y la explicabilidad de los algoritmos, impulse la seguridad y la protección, instituya mecanismos de rendición de cuentas, y aplique un enfoque inclusivo y orientado al usuario.

Lo anterior quiere decir que la Inteligencia Artificial debe centrarse en el ser humano, en el respeto a sus derechos, a la libertad, a la dignidad, a la justicia la no discriminación, a la protección de sus datos entre muchas otras medidas que protegen los derechos humanos y fundamentales.

Por otro lado, el impacto de la inteligencia artificial en los derechos humanos ha sido profundamente debatido en la Unión Europea en los últimos años, y este resultado se refleja en numerosos documentos del Grupo de Expertos de Alto Nivel sobre Inteligencia Artificial y en informes de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior. y Comisión de Asuntos Jurídicos, Fundación de Propuestas Parlamentarias y de Comisiones. En este camino se pueden distinguir dos fases, la primera con la prioridad de establecer un marco ético que complemente la legislación existente, y la segunda con la elección explícita de un marco legal innovador claramente concebido para la Inteligencia Artificial.

Dentro de este marco legal, el respeto a la dignidad humana, la autodeterminación humana, la prevención del daño, la equidad, la inclusión y la transparencia, la eliminación de la discriminación y los prejuicios, y como servicio técnico a las personas, la seguridad, transparencia y rendición de cuentas del sistema se convertirá en una obligación legal, ajustada a derecho y compatible con “todos los regímenes jurídicos aplicables”, en particular el Derecho internacional humanitario y el Derecho internacional de los derechos humanos, y por supuestos que sea conforme a la legislación, los principios y los valores de la Unión.

El segundo reglamento propone el establecimiento de un régimen de responsabilidad civil, objetiva y subjetiva, con el propósito de que pueda ser reclamado cualquier daño, moral, material e inmaterial, derivado del uso de la Inteligencia Artificial, incluyendo los derivados de “las violaciones de derechos importantes, jurídicamente protegidos, a la vida, la salud, la integridad física y la propiedad” (6).

Es así que el Parlamento Europeo se encuentra discutiendo el primer reglamento sobre inteligencia artificial para constituir la ley de Inteligencia Artificial de la Unión Europea. Señala la nota de prensa del portal de Noticias del Parlamento Europeo que “Como parte de su estrategia digital, la UE quiere regular la inteligencia artificial (IA) para garantizar mejores condiciones para el desarrollo y uso de esta tecnología innovadora”(7). El último avance se produjo el 14 de junio de 2023, los eurodiputados adoptaron la posición de negociación del Parlamento sobre la Ley de IA. Ahora comenzarán las conversaciones con los países de la Unión Europea en el Consejo sobre la forma final para la aprobación de la ley.

3.2 El uso de Inteligencias Artificiales por parte del Estado en Colombia

En los últimos meses, desde la oficina del Representante Alirio Uribe se han presentado solicitudes de información a diferentes entidades del Estado para conocer sobre el uso de inteligencias artificiales en el sector público. En respuesta a estas peticiones, se encontró que efectivamente en el Sector se vienen usando o investigando el uso de inteligencias artificiales para el desempeño de tareas en el sector, quedando la preocupación de que, a la fecha, no existe un marco regulatorio claro que oriente a las entidades sobre los límites para el uso e implementación de estas tecnologías.

Es así como la Fiscalía General de la Nación en respuesta a petición (8) informó que no “ha incorporado desarrollos o funcionalidades que contemplen componentes de automatización robótica de procesos, ni clasificación y/o toma de decisiones con componentes de inteligencia artificial”. Sin embargo, esta entidad si indicó que en el Marco de un proceso Investigación, Desarrollo e Innovación (I+D+i), la Subdirección de Políticas Públicas y Estrategia Institucional de la entidad en conjunto con el Ministerio de Tecnologías de la Información y las Comunicaciones, adelantaron de manera experimental, un ejercicio de cocreación denominado “Inteligencia artificial para el reparto automático de procesos penales y de extinción de dominio” que tuvo como objetivo general el de “Articular la política de priorización de la entidad y la decisión del reparto inicial de casos, desarrollando un algoritmo de inteligencia artificial para la clasificación automática de los casos.

Este contaba con un criterio de aceptación de aplicación integral de criterios de priorización, análisis completo de las características de los casos y de los fiscales y capacidad de predicción de la probabilidad de éxito de los casos que se registran en el sistema SPOA de la entidad”. Aunque los resultados fueron satisfactorios informa la Fiscalía que su propósito no era la puesta en marcha de esta tecnología sino simplemente su validación, dejando su implementación para un largo plazo según la normativa vigente para su aplicabilidad, las capacidades técnicas, tecnológicas y de recurso humano disponibles. Cabe destacar que la Fiscalía General de la Nación informó que actualmente, no existen directrices administrativas para el uso de inteligencias artificiales al interior de las fiscalías delegadas.

Por su parte, el Departamento Nacional de Planeación, en respuesta a petición radicada ante esa entidad (9), admite que la unidad de científicos de Datos –UCD-como dependencia de la entidad incorporan elementos de automatización de información para la analítica de datos. “Estos proyectos se sitúan en la fase intermedia entre la creación de modelos predictivos y la adaptación de datos para procesos específicos, con el propósito de proporcionar insumos esenciales para la toma de decisiones en política pública”(10). La entidad reconoce que estos modelos son de caracter “predictivo” para la adaptación de datos que busca crear insumos para la toma de decisiones en política pública. Las IA en comento son llamadas “Proyecto de Mejora Regulatoria – Diario Oficial” y el “WebScraping de Prácticas de Consulta Pública”. El proyecto de mejora del Diario Oficial clasifica la información en diez sectores económicos. Por su parte el WebScraping realiza la extracción automatizada de información de las páginas gubernamentales bajo el dominio “gov.co”, con el objetivo de recolectar los datos relativos a los procesos de consulta pública.

El DNP también suministra un enlace que da cuenta de las inteligencias artificiales usadas por la entidad para la analítica de datos. El consultar el link (11) es sorprendente la cantidad de Inteligencias Artificiales que utiliza esta entidad, aunque no discrimina si dichas herramientas tecnológicas son IAs o solamente sistemas de organización y automatización de información. Los sistemas reportados por el DNP son:

1. Herramienta para el análisis y evaluación de bases de datos del portal de datos abiertos-LEILA.

2. Identificación de redundancias en espacios de participación ciudadana.

3. Análisis de propuestas para las mesas de conversación nacional.

4. Clasificación de documentos del diario oficial mediante análisis de texto –actualización.

5. Caracterización de las compras públicas colombianas.

6. Tablero de control para el manejo de PQRSD.

7. Análisis de presencia en diarios de los últimos 5 gobiernos.

8. Tablero de control COVID-19.

9. Piloto de predicción del delito en Bucaramanga.

10.Indicadores agregados de vulnerabilidad municipal ante emergencia por COVID 19.

11.Índice de riesgo de calidad de agua para el consumo humano.

12.Comparación de la evolución y gestión del covid-19 en diferentes países.

13.Tablero de visualización de indicadores TIC.

14.Brecha de género en honorarios de contratistas del DNP.

15. Identificación y Análisis de palabras clave asociadas a documentos CONPES por periodo de Gobierno.

16.Similitudes en competencias de entidades públicas mediante análisis de texto.

17.Rastreo de proyectos de inversión relacionados con el cambio climático.

18.Articulación De los planes de desarrollo territorial 2020 – 2023 con los objetivos de desarrollo sostenible y el plan nacional de desarrollo 2018 – 2022.

19.Buzón de Ingreso Solidario.

20.Identificación de uso de proyectos tipo con similitud de texto.

21.Identificación de la demanda de evaluaciones de la conformidad y pruebas de laboratorios según estándares obligatorios vigentes.

22.Detección y análisis de sectores económicos con percepción de competencia desleal.

23.Análisis descriptivo de tweets de los equipos de respuesta ante emergencias informáticas.

24.Identificación de la inclusión de la política nacional para la reincorporación social y económica en los planes de desarrollo municipales.

25.Análisis de documentos de gasto público.

26.Estudio de comparación del CONPES de reactivación económica con los planes de desarrollo territorial (PDT) 2020 – 2023.

27.Análisis de términos y frases relacionados con temas de género en los planes de desarrollo territorial 2020 – 2023.

28.Análisis exploratorio y descriptivo de los PDT costeros y alineamiento con el CONPES 3990

29.Visor de entidades judiciales a nivel nacional.

30.Gestión de Bases de Datos de Ingreso Solidario.

Llama la atención que, al revisar los informes de estos sistemas de analítica de datos, dentro de sus objetivos varios están dirigidos a “evaluar” el asunto para el que fueron diseñados o para “generar” Bags of words, “identificar y caracterizar” grupos de propuestas, “clasificar” normas, entre otros. Lo que da a pensar que se trata de inteligencias artificiales toda vez que el proceso tecnológico toma decisiones respecto de la información que clasifica. Pero lo más preocupante de todo en esta entidad en la materia, es que adelantaron a través de una inteligencia artificial un piloto de predicción del delito en la ciudad de Bucaramanga, mediante el entrenamiento de modelos espacio- temporales de aprendizaje de máquina (machine learning) para predecir la ocurrencia de delitos (12), cuyo informe no da cuenta de las precauciones tomadas por las entidades para evitar afectaciones a derechos humanos. Sobre la revisión humana de las decisiones, informa el DNP que estas tecnologías son módulos intermedios, lo que se traduce en que no dan decisiones automáticas, sino que dichas decisiones son validadas por los expertos temáticos para ser incluida en algún proceso de toma de decisiones. Sin embargo, el DNP no explica cómo es este proceso de validación. También preocupa que manejan unas inteligencias artificiales que usan modelos de “caja negra” las cuales presentan ciertas limitaciones en cuanto a la trazabilidad de las fuentes que derivan a una conclusión.

Por su parte, la Corte Constitucional informa (13) que cuenta con una Inteligencia Artificial denominada Pretoria para la revisión de tutelas. Dastaca la Corte que la IA “genera gráficos estadísticos y mapas de calor sobre las consultas realizadas”. Es importante destacar que Pretoria no selecciona ni prioriza casos, pero sí contribuye a la identificación de patrones, a identificar casos novedosos y a tener un panorama general de las tutelas” pero que en ningún caso o reemplaza el análisis individual de cada tutela que está a cargo de personas naturales, sean sjudicantes y auxiliares judiciales.

Respecto del uso de Inteligencias artificiales, indica el Consejo Superior de la Judicatura que “actualmente no se implementan iniciativas relacionadas con inteligencia artificial o inteligencia artificial generativa” (14), empero, indica que actualmente se encuentran desarrollando lineamientos arquitectura digital de la Rama Judicial que podrían eventualmente considerar el uso de inteligencias artificiales.

En el mismo sentido, la Registraduría Nacional del Estado Civil informó que esa entidad no está haciendo uso de ninguna inteligencia artificial15. Sin embargo, si usan un sistema de identificación y autenticación de los colombianos. La tecnología que se utiliza se llama sistema automatizado ABIS (Automated Biometric Identification System) de identificación biométrica que reposa sobre una solución Morphocivis con sistema de cotejo motor Multibiométrico (facial y dactilar) MorphoBSS “MorphoBiometricSearchServices” (MB§S) que hace el proceso de identificación a partir de las biometrías de las personas haciendo uso del sistema de cotejo motor Multibiométrico (facial y dactilar). Indica que este sistema de información y bases de datos de referencia son consultadas por entidades del estado y sectores productivos del país, que en los parámetros de la Ley 1753 de 2015.

En conclusión, el Estado Colombiano si viene usando Inteligencias Artificiales sin el control debido que deberían tener para garantizar la no afectación de derechos humanos y fundamentales. En estas respuestas incluso se ven imprecisiones por parte de las entidades, quienes cuentan con sistemas de información que posiblemente son inteligencias artificiales, pero no las consideran como tal, por ejemplo, toda la tecnología machine learning con las que cuentan. Estas respuestas justifican la conveniencia de este proyecto de ley para regular la materia y estandarizar el uso y desarrollo de las mencionadas inteligencias artificiales.

4. CONTENIDO DEL PROYECTO

Para efectos del presente proyecto, se define la inteligencia artificial como un “Conjunto de técnicas informáticas, sistema de programación, sistema computacional, máquinas físicas o procesos tecnológicos que permiten desarrollar algoritmos, toma decisiones y crear programas informáticos para ejecutar objetivos definidos por humanos, hacer predicciones, recomendaciones, tomar decisiones crear nuevo conocimiento y/o completar tareas cognitivas y científico-técnicas a partir de la extracción, selección, recorte y organización de la información disponible o cualquier tarea que requiera inteligencia como el razonamiento o el aprendizaje”. A partir de allí, se pretende generar un marco normativo basado en los siguientes deberes:

* Prohibir las tecnologías que violan derechos fundamentales, como la vigilancia masiva biométrica o los sistemas de policía predictiva, sin que se incluyan excepciones que permitan que las empresas o a las autoridades públicas las empleen “bajo ciertas condiciones”.

* Establecer la información que las empresas tienen que hacer pública acerca de sus productos, como los datos que utiliza, el proceso de desarrollo, la finalidad del sistema y dónde y quién lo utiliza.

* Establecer un marco para que las personas puedan determinar responsabilidades en cabeza de las entidades públicas y privadas en caso de que se presenten problemas, comoquiera que las decisiones son tomadas por un algoritmo y no por el usuario.

* Garantizar la existencia de una autoridad de vigilancia y control, con autonomía presupuestal y administrativa, que verifique el cumplimiento de las normas por parte de las entidades públicas y privadas.

* Establecer un sistema que permita que las personas que se han visto perjudicadas por sistemas de inteligencia artificial puedan ejercer su derecho de defensa para garantizar sus derechos.

Considerando que Colombia suscribió la recomendación para la implementación de la Inteligencia Artificial del Consejo de Inteligencia Artificial (16) y adoptó la recomendación sobre la ética de la IA de la Unesco (17), se tiene que los principios establecidos por tales instrumentos fueron incorporados en el articulado con el fin de materializarlos en virtud de la normatividad que se pretende integrar al ordenamiento jurídico colombiano por medio de esta iniciativa; lo anterior, es concordante con lo planteado por el parlamento europeo que ha sugerido que la legislación digital debe basarse en principios y con un enfoque basado en el riesgo y en el respeto de los derechos fundamentales.

La regulación de la inteligencia artificial que se planeta está basada en colocar al ser humano en el centro y a los derechos fundamentales como límite material y formal al desarrollo, uso e implementación de estos sistemas, de manera que el desarrollo tecnológico permita a las entidades públicas ser más eficientes y a las privadas más competitivas, en un marco seguro y sujeto a consideraciones éticas y humanas, y sin que represente cargas administrativas innecesarias para las pymes y las empresas emergentes, pues procura la adaptación, aplicación y ejecución de la legislación vigente sobre protección de datos personales.

El proyecto está dividido en cinco títulos y contiene 24 artículos además de la vigencia, los cuales se describen a continuación:

El Título I hace referencia al objeto, ámbito de aplicación, definiciones y principios rectores del Proyecto de Ley Estatutaria por medio de la cual se define y regula la Inteligencia Artificial, se establecen límites frente a su desarrollo, uso e implementación y se dictan otras disposiciones.

Determinar el objeto y el ámbito de aplicación tiene como finalidad definir el propósito concreto de la regulación para que quede plenamente identificado el carácter no absoluto de esta y los eventos en los cuales se considera el desarrollo, uso e implementación de la IA. Así mismo, se incluye un artículo de definiciones que permite entender las prescripciones establecidas en el proyecto de ley, y otro artículo que contiene los principios que irradian la normatividad y sirvieron de fundamento para su construcción.

El Título II contiene las denominadas CONDICIONES PARA EL DESARROLLO, USO E IMPLEMENTACIÓN DE LA INTELIGENCIA ARTIFICIAL y hace referencia a los límites concretos a partir de los cuales se pueden desarrollar, usar e implementar los sistemas de inteligencia artificial. En ese sentido, establece los riesgos que comporta el uso e implementación de la IA y desarrolla requisitos y exigencias que condicionan la existencia de estos sistemas computacionales; igualmente, se establecen de manera no taxativa una serie de actividades proscritas del uso e implementación de la IA.

Igualmente se establecen herramientas que le permiten ejercer a la autoridad la inspección, control y vigilancia de manera eficiente, así como también, se prevé lo concerniente al procedimiento y sanciones frente a la transgresión de la ley.

El Título IV contiene MEDIDAS PARA EL APOYO Y PROMOCIÓN DE LA INTELIGENCIA ARTIFICIAL al establecer responsabilidades a cargo del gobierno nacional para la

difusión de la información relacionada con el desarrollo, uso e implementación de la inteligencia artificial, así como sus implicaciones y riesgos.

El Título IV denominado OTRAS DISPOSICIONES contiene un régimen de transición para que las entidades públicas y privadas puedan adecuarse a las disposiciones contenidas en la ley, y el gobierno nacional pueda expedir las reglamentación correspondiente y necesaria para garantizar la aplicación de la normatividad.

4. TRÁMITE

El artículo 207 de la Ley 5° de 1992 determina las materias que se tramitan como proyectos de ley estatutaria, a saber:

1. Derechos y deberes fundamentales de las personas y los procedimientos y recursos para su protección.

2. Administración de justicia. 3. Organización y régimen de los partidos y movimientos políticos.

4. Estatuto de la oposición y funciones electorales, reglamentando la participación de las minorías (art. 112 inc. 3 constitucional).

5. Instituciones y mecanismos de participación ciudadana.

6. Estados de excepción, regulando las facultades que de ellos se originan (art. 214 ord. 2 constitucional).

En ese orden de ideas y considerando que la materia objeto del proyecto involucra tratamiento de datos personales y derechos fundamentales, este se debe tramitar de acuerdo a las reglas de una Ley Estatutaria.

Por las consideraciones anteriormente expuestas, se presenta a consideración del Honorable Congreso de la República el proyecto de ley estatutaria por medio de la cual se define y regula la Inteligencia Artificial, se establecen límites frente a su desarrollo, uso e implementación y se dictan otras disposiciones, con el fin de adoptar las decisiones legislativas y políticas que garanticen el desarrollo, uso e implementación de la Inteligencia Artificial en Colombia, dentro de un marco seguro y respetuoso para los derechos fundamentales.

5. CONFLICTO DE INTERESES

De acuerdo con el artículo 291 de la Ley 5a de 1992 -Reglamento Interno del Congreso- modificado por el artículo 3° de la Ley 2003 de 2019, establece que: “el autor del proyecto y el ponente presentarán en el cuerpo de la exposición de motivos un acápite que describa las circunstancias o eventos que podrían generar un conflicto de interés para la discusión y votación del proyecto, de acuerdo con el artículo 286. Estos serán criterios guías para que los otros congresistas tomen una decisión en torno a si se encuentran en una causal de impedimento, no obstante, otras causales que el Congresista pueda encontrar”.

De igual manera, el artículo 286 de la norma en comento, modificado por el artículo 1° de la Ley 2003 de 2019, define el conflicto de interés como la “situación donde la discusión o votación de un proyecto de ley o acto legislativo o artículo, pueda resultar en un beneficio particular, actual y directo a favor del congresista”.

Con base en lo anterior y, de acuerdo al carácter abstracto e impersonal de la norma, tenemos que en esta iniciativa legislativa no se evidencia que los congresistas puedan incurrir en posibles conflictos de interés, toda vez que tampoco puede predicarse un beneficio particular, actual y directo que les impida participar de la discusión y votación de este proyecto. Lo anterior, sin perjuicio del deber de los congresistas de examinar, en cada caso en concreto, la existencia de posibles hechos generadores de conflictos de interés, en cuyo evento deberán declararlos de conformidad con lo dispuesto en el inciso 1° del artículo 286 ibídem:

“Todos los congresistas deberán declarar los conflictos de intereses que pudieran surgir en ejercicio de sus funciones”.

6. IMPACTO FISCAL

Sobre el impacto fiscal de los proyectos de ley, indica la Ley 819 de 2003 “Por la cual se dictan normas orgánicas en materia de presupuesto, responsabilidad y transparencia fiscal y se dictan otras disposiciones”, en su artículo séptimo señala que “el impacto fiscal de cualquier proyecto de ley, ordenanza o acuerdo, que ordene gasto o que otorgue beneficios tributarios, deberá hacerse explícito y deberá ser compatible con el Marco Fiscal de Mediano Plazo. Para estos propósitos, deberá incluirse expresamente en la exposición de motivos y en las ponencias de trámite respectivas los costos fiscales de la iniciativa y la fuente de ingreso adicional generada para el financiamiento de dicho costo”, por lo que, en cumplimiento de dicho requisito, en este apartado se explica los motivos por los que la iniciativa no cuenta con ningún tipo de impacto fiscal.

Sobre el valor de los costos, se aclara que con este proyecto de ley no se está incurriendo en gastos adicionales para el Estado, toda vez que impone obligaciones a las entidades existentes, pero ninguna de ellas implica la creación de nuevas dependencias ni la imposición de gastos adicionales. Adicionalmente, refiere unos valores y principios que deben observar las entidades públicas y privadas para el desarrollo de inteligencias artificiales, pero no les impone tarifas contractuales ni requisitos económicos adicionales para su uso y desarrollo. Por otro lado, la Corte Constitucional en las sentencias C-502 de 2007 y C-490 de 2011 sentencias en las que el alto tribunal ha señalado que el impacto fiscal no puede ser, en ningún caso, un obstáculo insuperable para el desarrollo de las propuestas legislativas, ni es necesariamente un requisito de trámite para la aprobación de los proyectos, así como tampoco puede constituirse en una barrera para ejercer las funciones legislativas de los congresistas.

7. PLIEGO DE MODIFICACIONES

VERSIÓN RADICADA	PONENCIA PARA PRIMER DEBATE
ARTÍCULO 1. OBJETO. La presente ley tiene por objeto definir y regular la inteligencia artificial ajustándola a estándares de respeto y garantía de los derechos humanos, así como regular y promover su desarrollo y establecer límites frente a su uso, implementación y evaluación por parte de personas naturales y jurídicas.	ARTÍCULO 1. OBJETO. La presente ley tiene por objeto definir y regular la inteligencia artificial ajustándola a estándares de respeto y garantía de los derechos humanos, así como para regular y promover su desarrollo y establecer límites frente a su uso, implementación y evaluación por parte de personas naturales y jurídicas.
Justificación: Se ajusta la redacción del artículo
ARTÍCULO 2. ÁMBITO DE APLICACIÓN. Las disposiciones de esta ley son aplicables a la inteligencia artificial de las personas naturales o jurídicas, proveedores nacionales y extranjeros, salvo regulación especial. Los principios y disposiciones contenidos en la presente ley serán aplicables a: a. Los Productores que desarrollen inteligencia artificial y/u ofrezcan la inteligencia artificial en territorio colombiano o fuera del territorio colombiano, sí el funcionamiento de la inteligencia artificial produce efectos en el territorio colombiano. b. Los proveedores que ofrezcan y presten el servicio de instalación y funcionamiento inteligencia artificial fuera del territorio colombiano, sí la instalación y funcionamiento de inteligencia artificial produce efectos en el territorio colombiano.	ARTÍCULO 2. ÁMBITO DE APLICACIÓN. Las disposiciones de esta ley son aplicables al diseño, innovación, aplicación, uso y desarrollo de la inteligencia artificial por parte de personas naturales o jurídicas, así como a los a la inteligencia artificial de las personas naturales o jurídicas, proveedores, productores o demás agentes que participen en el desarrollo de la inteligencia artificial nacionales y extranjeros, salvo regulación especial, de la inteligencia artificial por parte de personas naturales o jurídicas., salvo en los casos donde resulte aplicable una regulación especial. Los principios y disposiciones contenidos en la presente ley serán aplicables a: a. Los Productores que desarrollen inteligencia artificial y/u ofrezcan o comercialicen la inteligencia artificial en territorio colombiano o fuera del territorio colombiano, sí el funcionamiento de la inteligencia
c. Los usuarios de la inteligencia artificial ubicados en el territorio colombiano. Esta regulación no aplicará a la inteligencia artificial que: a. Se desarrolla en el marco de actividades de carácter educativo o académico o científico en instituciones educativas de educación básica primaria y básica secundaria e instituciones de educación superior ubicadas en el territorio colombiano, siempre que la inteligencia artificial no se instalada y entre en funcionamiento de manera permanente en la misma institución, actividades de terceros o por fuera del ámbito educativo o científico. En todo caso, cualquier institución educativa que pretenda desarrollar proyectos temporales de inteligencia artificial deberá conformar un comité de ética que conocerá de estos proyectos, exigirá planes de manejo del riesgo ético y los hará cumplir dentro de los lineamientos establecidos en la Ley 10 de 1990, o aquella que haga sus veces, y en las normas de origen legal y administrativo establecidas para regular la investigación con seres vivos. b. Sea empleada por usuarios persona natural no comerciante en el marco de actividades de índole personal y no profesionales o que afecten a terceros.	artificial produce efectos en el territorio colombiano. b. Los proveedores que ofrezcan y presten el servicio de instalación y funcionamiento inteligencia artificial fuera del territorio colombiano, sí la instalación y funcionamiento de inteligencia artificial produce efectos en el territorio colombiano. c. Los usuarios de la inteligencia artificial ubicados en el territorio colombiano. Esta regulación La regulación contenida en esta Ley Estatutaria no aplicará a la inteligencia artificial que: a. Se desarrolla en el marco de actividades de carácter educativo o académico o científico en instituciones educativas de educación básica primaria y básica secundaria e instituciones de educación superior ubicadas en el territorio colombiano, siempre que la inteligencia artificial no se instalada y entre en funcionamiento de manera permanente en la misma institución, actividades de terceros o por fuera del ámbito educativo o científico. En todo caso, cualquier institución educativa que pretenda desarrollar proyectos temporales de inteligencia artificial deberá conformar un comité de ética que conocerá de estos proyectos, exigirá planes de manejo del riesgo ético y los hará cumplir dentro de los lineamientos establecidos en la Ley 10 de 1990, o aquella que haga sus veces, y en las normas de origen legal y administrativo
Justificación: Se ajusta la redacción del primer inciso del artículo para que sea más claro el ámbito de aplicación de la ley y se adiciona una disposición especial para el desarrollo de proyectos de inteligencia artificial por parte de instituciones educativas. Además, se realizan ajustes de forma.
ARTÍCULO 3. DEFINICIONES. Para efectos de la aplicación e interpretación de la presente ley se establecen las siguientes definiciones: Dato personal: Cualquier información asociada a una o varias personas naturales determinadas o determinables que permita desarrollar algoritmos y crear programas informáticos. Productor de inteligencia artificial: Persona natural o jurídica nacional o extranjera, pública o privada, que diseña, produzca, implementa y desarrolla la inteligencia artificial en el mercado o para actividades concretas de un usuario. Proveedor de inteligencia artificial: Persona natural o jurídica nacional o extranjera, pública o privada, que ofrezca, suministre, distribuya, comercialice o instale la inteligencia artificial en el mercado o para actividades concretas de un usuario. Usuario de inteligencia artificial: Persona natural o jurídica, pública o privada, que	ARTÍCULO 3. DEFINICIONES. Para efectos de la aplicación e interpretación de la presente ley se establecen las siguientes definiciones: Dato personal: Cualquier información vinculada o que pueda asociarse asociada a una o varias personas naturales determinadas o determinables que permita desarrollar algoritmos y crear programas informáticos. Productor de inteligencia artificial: Persona natural o jurídica nacional o extranjera, pública o privada, que diseña, produce produzca, implementa y desarrolla la inteligencia artificial en el mercado o para actividades concretas de un usuario. Proveedor de inteligencia artificial: Persona natural o jurídica nacional o extranjera, pública o privada, que ofrezca, suministre, distribuya, comercialice o instale la inteligencia artificial en el mercado o para actividades concretas de un usuario.
emplea la inteligencia artificial en el marco de sus funciones legales, actividades comerciales y empresariales. Inteligencia Artificial: Conjunto de técnicas informáticas, sistema de programación, sistema computacional, máquinas físicas o procesos tecnológicos que permiten desarrollar algoritmos, toma decisiones y crear programas informáticos para ejecutar objetivos definidos por humanos, hacer predicciones, recomendaciones, tomar decisiones crear nuevo conocimiento y/o completar tareas cognitivas y científico-técnicas a partir de la extracción, selección, recorte y organización de la información disponible o cualquier tarea que requiera inteligencia como el razonamiento o el aprendizaje. Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento, para el desarrollo, uso o implementación de sistemas de inteligencia artificial. Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos destinados al desarrollo, uso o implementación de sistemas de inteligencia artificial. PARÁGRAFO. Los elementos técnicos y su aplicación de la definición de la Inteligencia Artificial dispuesta en el presente artículo se sujetarán a la reglamentación que expida el Ministerio de Tecnológicas de la Información y Comunicaciones de Colombia, garantizando la participación ciudadana.	Usuario de inteligencia artificial: Persona natural o jurídica, pública o privada, que emplea la inteligencia artificial en el marco de sus funciones legales, actividades comerciales y empresariales. Inteligencia Artificial: Conjunto de técnicas informáticas, sistema de programación, sistema computacional, máquinas físicas o procesos tecnológicos que permiten desarrollar algoritmos, toma decisiones y crear programas informáticos para ejecutar objetivos definidos por humanos, hacer predicciones, recomendaciones, tomar decisiones crear nuevo conocimiento y/o completar tareas cognitivas y científico-técnicas a partir de la extracción, selección, recorte y organización de la información disponible o cualquier tarea que requiera inteligencia como el razonamiento o el aprendizaje. Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento., para el desarrollo, uso o implementación de sistemas de inteligencia artificial. Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos personales. destinados al desarrollo, uso o implementación de sistemas de inteligencia artificial. PARÁGRAFO. Los elementos técnicos y su aplicación de la definición de la Inteligencia Artificial dispuesta en el presente artículo se sujetarán a la reglamentación que expida el Ministerio de Tecnologías Tecnológicas de la Información y Comunicaciones de Colombia, garantizando de esta manera la participación ciudadana y su actualización periódica.
Justificación: Se ajustan las definiciones de dato personal, productor de inteligencia artificial, encargado del tratamiento, y responsable del tratamiento, teniendo en cuenta las sugerencias recibidas en la audiencia pública. Además, se ajusta el parágrafo para enfatizar la importancia de la actualización.
ARTÍCULO 4. PRINCIPIOS. El desarrollo, interpretación y aplicación de la presente ley se realizará con arreglo a los siguientes principios: Principio de respeto: El desarrollo y el uso de la inteligencia artificial estará limitado por la preservación irrestricta de la dignidad humana y los derechos fundamentales. Principio de bienestar integral: El desarrollo y aplicación de la inteligencia artificial estará orientado al mejoramiento de la calidad de vida de las personas, reconociendo sus riesgos y potenciales impactos negativos. Principio de responsabilidad: Las personas que se vean perjudicadas con ocasión de los impactos negativos o vulneración generada del desarrollo de la inteligencia artificial, tendrán garantizado el derecho a reclamar indemnización o reparación a la que haya lugar ante las entidades públicas o privadas responsables. Principio de supervisión y prevalencia de la inteligencia humana: Se preferirá la	ARTÍCULO 4. PRINCIPIOS. El desarrollo, interpretación y aplicación de la presente ley se realizará con arreglo a los siguientes principios: Principio de Respeto: El desarrollo y el uso de la inteligencia artificial estará limitado por la preservación irrestricta de la dignidad humana y los derechos fundamentales. Principio de Bienestar Integral: El desarrollo y aplicación de la inteligencia artificial estará orientado al mejoramiento de la calidad de vida de las personas, reconociendo sus riesgos y potenciales impactos negativos. Principio de Responsabilidad: Las personas que se vean perjudicadas con ocasión de los impactos negativos o vulneración generada del desarrollo de la inteligencia artificial, tendrán garantizado el derecho a reclamar indemnización o reparación a la que haya lugar ante las entidades públicas o privadas responsables. Principio de Supervisión y Prevalencia de la Inteligencia
decisión humana respecto de los resultados derivados de la Inteligencia Artificial. Toda decisión tomada por las inteligencias artificiales será susceptible de revisión humana y será responsabilidad ética y legal de personas naturales y jurídicas. Principio de privacidad y confidencialidad: El uso e implementación de la inteligencia artificial propenderá por la no intrusión y perturbación de los asuntos privados de las personas. Principio de seguridad y protección: La información que permita desarrollar algoritmos y crear programas informáticos deberá gozar de confidencialidad e integridad. Principio de desarrollo sostenible: El uso e implementación de la inteligencia artificial estará orientado a potenciar el desarrollo de la tecnología con consideraciones sociales y medioambientales. Principio de inclusión: La información que permita el uso e implementación de la inteligencia artificial no debe discriminar a ningún grupo, ni ser utilizada en perjuicio de este, y el desarrollo de la inteligencia artificial se realizará con perspectiva de género y diversidad sexual. Principio de proporcionalidad o inocuidad: El desarrollo de inteligencias artificiales estará justificado a través de evidencia científica robusta que garantice la conveniencia de su desarrollo y aplicación en beneficio de las personas, la humanidad y el ambiente. Quedarán prohibidos los desarrollos de Inteligencias artificiales que atenten contra los Derechos Humanos.	Humana: Se preferirá la decisión humana respecto de los resultados derivados de la Inteligencia Artificial. Toda decisión tomada por con base en los resultados de sistemas de inteligencia artificial las inteligencias artificiales será susceptible de revisión humana y. La responsabilidad ética y legal de estas decisiones recaerá sobre las personas naturales o jurídicas involucradas en su uso. será responsabilidad ética y legal de personas naturales y jurídicas. Principio de Privacidad y Confidencialidad: El uso e implementación de la inteligencia artificial propenderá por la no intrusión y perturbación de los asuntos privados de las personas. Principio de Seguridad y Protección: La información que permita desarrollar algoritmos y crear programas informáticos deberá gozar de confidencialidad e integridad. Principio de Desarrollo Sostenible: El uso e implementación de la inteligencia artificial estará orientado a potenciar el desarrollo de la tecnología con consideraciones sociales y medioambientales. Principio de Inclusión: La información que permita el uso e implementación de la inteligencia artificial no debe discriminar a ningún grupo, ni ser utilizada en perjuicio de éste, y el desarrollo de la inteligencia artificial se realizará con perspectiva de género y diversidad sexual. Principio de Proporcionalidad o Inocuidad: El desarrollo de inteligencias artificiales estará justificado a través de evidencia científica robusta que garantice
Principio de transparencia y explicabilidad: Los desarrollos, resultados y subprocesos de las Inteligencias artificiales serán inteligibles, trazables, explicables y comprensibles. La ciudadanía deberá conocer el propósito y alcance de cada componente algorítmico y la forma en que contribuye a los resultados de los sistemas, para saber los motivos por los que la Inteligencia Artificial llega a una u otra conclusión o decisión. Principio de responsabilidad y rendición de cuentas: Los creadores de inteligencias artificiales e intermediarios deben asumir las consecuencias éticas y jurídicas por las tecnologías que diseñen e implementen de conformidad con el ordenamiento jurídico vigente. El sector público tendrá la obligación de rendir cuentas y crear mecanismos de supervisión a lo largo de todas las etapas que sean auditables y trazables. Principio de Neutralidad Tecnológica: Garantizar la libre adopción de tecnologías que permitan fomentar la eficiente prestación de servicios, el desarrollo de la inteligencia artificial y el empleo de contenidos y aplicaciones que usen Tecnologías de la Información y las Comunicaciones, así como garantizar la libre y leal competencia, y que su adopción sea armónica con el desarrollo ambiental sostenible. Principio de confidencialidad: Todas las personas que intervengan en los procesos de inteligencia artificial están obligadas a garantizar la reserva de la información privada que tengan, pudiendo sólo realizar suministro comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley 1581 de 2012.	la conveniencia de su desarrollo y aplicación en beneficio de las personas, la humanidad y el medio ambiente. Quedarán prohibidos los desarrollos de Inteligencias artificiales que atenten contra los Derechos Humanos. Principio de Transparencia y Explicabilidad: Los desarrollos, resultados y subprocesos de las Inteligencias artificiales serán inteligibles, trazables, explicables y comprensibles. La ciudadanía deberá conocer el propósito y alcance de cada componente algorítmico y la forma en que contribuye a los resultados de los sistemas, para saber los motivos por los que la Inteligencia Artificial llega a una u otra conclusión o decisión. Principio de Responsabilidad y Rendición de Cuentas: Los creadores de inteligencias artificiales e intermediarios deben asumir las consecuencias éticas y jurídicas por las tecnologías que diseñen e implementen de conformidad con el ordenamiento jurídico vigente. El sector público tendrá la obligación de rendir cuentas y crear mecanismos de supervisión a lo largo de todas las etapas que sean auditables y trazables. Principio de Neutralidad Tecnológica: Garantizar la libre adopción de tecnologías que permitan fomentar la eficiente prestación de servicios, el desarrollo de la inteligencia artificial y el empleo de contenidos y aplicaciones que usen Tecnologías de la Información y las Comunicaciones, así como garantizar la libre y leal competencia, y que su adopción sea armónica con el desarrollo ambiental sostenible. Principio de Confidencialidad: Todas las personas que intervengan en los procesos de inteligencia artificial están obligadas a garantizar la reserva de la información privada que tengan, pudiendo sólo realizar suministro comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley 1581 de 2012.
PARÁGRAFO. Se entenderán igualmente como principios los establecidos en las leyes estatutarias 1266 de 2008 y 1581 de 2012.	PARÁGRAFO. Se entenderán igualmente como principios los establecidos en las leyes estatutarias 1266 de 2008 y 1581 de 2012.
Justificación: Se realizan ajustes de forma al principios y se ajusta la redacción del Principio de Supervisión y Prevalencia de la Inteligencia Humana
ARTICULO 5: VALORES. El desarrollo, interpretación y aplicación de la presente ley se realizará con arreglo de los siguientes valores: Respeto, protección y promoción de los derechos humanos, las libertades fundamentales y la dignidad humana: Los creadores e implementadores de inteligencias artificiales serán responsables de que el desarrollo tecnológico garantice el respeto, protección y promoción de los derechos humanos, las libertades fundamentales y la dignidad humana. Ninguna persona o comunidad podrá sufrir daños o sometimiento como consecuencia del desarrollo y uso la inteligencia artificial. Construcción de una sociedad pacífica y justa: Los creadores e implementadores de inteligencias artificiales velarán porque el desarrollo tecnológico no afecte la paz y justicia en la sociedad. Las inteligencias artificiales no podrán dividir y enfrentar entre si a las personas ni promover la violencia.	ARTÍCULO 5: VALORES. El desarrollo, interpretación y aplicación de la presente ley se realizará con arreglo de los siguientes valores: Respeto, protección y promoción de los derechos humanos, las libertades fundamentales y la dignidad humana: Los creadores e implementadores de inteligencias artificiales serán responsables de que el desarrollo tecnológico garantice el respeto, protección y promoción de los derechos humanos, las libertades fundamentales y la dignidad humana. Ninguna persona o comunidad podrá sufrir daños o sometimiento como consecuencia del desarrollo y uso de la inteligencia artificial. Construcción de una sociedad pacífica y justa: Los creadores e implementadores de inteligencias artificiales velarán porque el desarrollo tecnológico no afecte la paz y justicia en la sociedad. Las inteligencias artificiales no podrán dividir y enfrentar
Diversidad e inclusión: Los creadores e implementadores de las inteligencias artificiales garantizarán el respeto, ́protección y promoción de la diversidad e inclusión activa de todos los grupos y personas con independencia de su raza, color, ascendencia, genero edad, idioma, religión, opiniones políticas, origen regional, étnico o social, condición económica, discapacidad o cualquier otro motivo, respetando especialmente la diversidad en las elecciones de estilos de vida, creencias, opiniones o expresiones individuales. Prosperidad del medio ambiente y los ecosistemas: Los creadores e implementadores de las inteligencias artificiales impedirán que las tecnologías afecten los ecosistemas, los seres vivos y el ambiente en el marco de la constitución y la ley. Propenderán por reducir la huella de carbono, minimizar el cambio climático, los factores de riesgo ambiental y prevenir la explotación, utilización y transformación no sostenible de recursos naturales.	entre si a las personas ni promover la violencia. Diversidad e inclusión: Los creadores e implementadores de las inteligencias artificiales garantizarán el respeto, ́protección y promoción de la diversidad e inclusión activa de todos los grupos y personas con independencia de su raza, color, ascendencia, genero género, edad, idioma, religión, opiniones políticas, origen regional, étnico o social, condición económica, discapacidad o cualquier otro motivo, respetando especialmente la diversidad en las elecciones de estilos de vida, creencias, opiniones o expresiones individuales. Prosperidad del medio ambiente y los ecosistemas: Los creadores e implementadores de las inteligencias artificiales impedirán que las tecnologías afecten los ecosistemas, los seres vivos y el ambiente en el marco de la constitución y la ley. Propenderán por reducir la huella de carbono, minimizar el cambio climático, los factores de riesgo ambiental y prevenir la explotación, utilización y transformación no sostenible de recursos naturales.
Justificación: Se realizan ajustes de redacción.
ARTÍCULO 6. CLASIFICACIÓN DEL RIESGO DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL. Los sistemas o programas informáticos que usen e implementen la inteligencia artificial serán identificados según el riesgo por los	ARTÍCULO 6. CLASIFICACIÓN DEL RIESGO DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL. Los sistemas o programas informáticos que usen e implementen la inteligencia artificial serán identificados según el
productores y proveedores de la siguiente manera: Riesgo inaceptable: Constituye riesgo inaceptable aquel que genera afectación a la seguridad, la subsistencia y los derechos humanos y fundamentales, y por tanto está proscrito. Alto riesgo: Constituye alto riesgo aquel que, no siendo inaceptable, corresponde a actividades susceptibles de automatización admisibles bajo el mantenimiento de la calidad de los datos y facilidad de supervisión humana pero que eventualmente puede limitar algunos derechos humanos y fundamentales. Riesgo limitado: Constituye riesgo limitado aquel que se deriva del uso e implementación de chatbots o robots conversacionales. Riesgo nulo: Constituye riesgo nulo aquel derivado del uso e implementación de sistemas que no afectan los derechos y la seguridad de los usuarios. PARÁGRAFO 1. La clasificación de riesgos genera obligaciones diferenciadas para los proveedores y usuarios, según lo contemplado en la ley. PARÁGRAFO 2. Dentro del Reglamento que se expida se deberán identificar los sistemas o programas de inteligencia artificial que se consideren de riesgo inaceptable	riesgo por los productores y proveedores de la siguiente manera: Riesgo inaceptable: Constituye riesgo inaceptable aquel que genera afectación a la seguridad, la subsistencia y los derechos humanos y fundamentales, y por tanto está proscrito. Alto riesgo: Constituye alto riesgo aquel que, no siendo inaceptable, corresponde a actividades susceptibles de automatización admisibles bajo el mantenimiento de la calidad de los datos y facilidad de supervisión humana pero que eventualmente puede limitar algunos derechos humanos y fundamentales. Riesgo limitado: Constituye riesgo limitado aquel que se deriva del uso e implementación de chatbots o robots conversacionales. Riesgo nulo: Constituye riesgo nulo aquel derivado del uso e implementación de sistemas que no afectan los derechos y la seguridad de los usuarios. PARÁGRAFO 1. La clasificación de riesgos genera obligaciones diferenciadas para los proveedores y usuarios, según lo contemplado en la ley. PARÁGRAFO 2. Dentro del Reglamento que se expida se deberán identificar los sistemas o programas de inteligencia artificial que se consideren de riesgo inaceptable , alto riesgo, riesgo limitado y riesgo nulo. El reglamento deberá contar con actualización periódica de los sistemas o programas teniendo en cuenta los avances de este tipo de tecnologías y también el tipo de industria o sector que provea o use estos sistemas.
Justificación: Se adicionan criterios a tener en cuenta en la reglamentación, frente a la solicitud realizada por semillero de la Universidad de los Andes, de Asociación Latinoamericana de Internet (ALAI) y La Cámara Colombiana de Informática y Telecomunicaciones, en el marco de la Audiencia Pública.
ARTÍCULO 7. USO DE LA INTELIGENCIA ARTIFICIAL. Las personas naturales o jurídicas podrán usar e implementar inteligencia artificial que facilite la eficacia y eficiencia de gestión, siempre que dé cumplimiento a los principios señalados en esta ley y las obligaciones asignadas al nivel de riesgo de la inteligencia artificial que empleen en el marco de sus actividades PARÁGRAFO. Cualquier organización, tanto pública como privada, tendrá la facultad de ajustar sus reglamentos internos para determinar, cómo y hasta qué punto se utilizará la inteligencia artificial. Esta adaptación deberá realizarse respetando los derechos de autor y propiedad intelectual.	ARTÍCULO 7. USO DE LA INTELIGENCIA ARTIFICIAL. Las personas naturales o jurídicas podrán usar e implementar inteligencia artificial que facilite la eficacia y eficiencia de gestión, siempre que dé cumplimiento a los principios señalados en esta ley y las obligaciones asignadas al nivel de riesgo de la inteligencia artificial que empleen en el marco de sus actividades PARÁGRAFO. Cualquier organización, tanto pública como privada, tendrá la facultad de ajustar sus reglamentos internos para determinar, cómo y hasta qué punto se utilizará la inteligencia artificial. Esta adaptación deberá realizarse respetando los derechos de autor y propiedad intelectual.
Justificación: Se realiza un ajuste de redacción en el parágrafo.
ARTÍCULO 8. AFECTACIONES DERIVADAS DE LA INTELIGENCIA ARTIFICIAL. Las personas que resulten afectadas en sus derechos fundamentales con ocasión del uso e implementación de sistemas de inteligencia artificial podrán solicitar la revisión por parte de la autoridad competente, presentar reclamaciones y solicitudes de revocatoria ante la autoridad competente y solicitar medidas cautelares así como para prevenir mayores afectaciones.	Sin ajustes
ARTÍCULO 9. TRANSPARENCIA EN EL USO DE LA INTELIGENCIA ARTIFICIAL. Los productores y proveedores que desarrollen, ofrezcan y pongan en funcionamiento y los usuarios que empleen sistemas de inteligencia artificial de riesgo alto y limitado deberán publicar una evaluación sobre los riesgos y el impacto que pudieran llegar a sufrir los derechos humanos y fundamentales, antes de desplegar dichos sistemas. De impacto en la privacidad, que debe incluir por lo menos los siguientes criterios: a. Una descripción detallada de las operaciones de tratamiento de datos personales que involucre el desarrollo de la inteligencia artificial. b. Una evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales. c. Las medidas previas para afrontar los riesgos. PARÁGRAFO 1. Las entidades que tengan la intención de emplear la inteligencia artificial deberán asegurar la realización de capacitaciones orientadas al uso adecuado y responsable de esa tecnología para del personal PARÁGRAFO 2. Dicha evaluación deberá ser presentada ante el Ministerio de las TICs entidad encargada de almacenar y hacerle seguimiento a las evaluaciones presentadas	ARTÍCULO 9. TRANSPARENCIA EN EL USO DE LA INTELIGENCIA ARTIFICIAL. Los productores y proveedores que desarrollen, ofrezcan y pongan en funcionamiento y los usuarios que empleen sistemas de inteligencia artificial de riesgo alto y limitado deberán publicar una evaluación sobre los riesgos y el impacto que pudieran llegar a sufrir los derechos humanos y fundamentales, antes de desplegar dichos sistemas. De impacto en la privacidad, que debe incluir por lo menos los siguientes criterios: d. Una descripción detallada de las operaciones de tratamiento de datos personales que involucre el desarrollo de la inteligencia artificial. e. Una evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales. f. Las medidas previas para afrontar los riesgos. PARÁGRAFO 1. Las entidades públicas y/o privadas que tengan la intención de emplear la inteligencia artificial deberán asegurar la realización de capacitaciones orientadas al uso adecuado y responsable de esa tecnología para del personal PARÁGRAFO 2. Dicha evaluación deberá ser presentada ante el Ministerio de las TICs entidad encargada de almacenar y hacerle seguimiento a las evaluaciones presentadas.
Justificación: Se ajusta el parágrafo 1 para que sea más claro.
ARTÍCULO 10. CONSENTIMIENTO INFORMADO. En el uso de los sistemas de inteligencia artificial los usuarios deberán manifestar de manera libre y voluntaria su consentimiento para asumir los riesgos expresamente identificados y comunicados por los productores y proveedores que llegare a representar para sus derechos humanos y fundamentales y para el tratamiento de sus datos personales. PARÁGRAFO 1. Los responsables en el uso, desarrollo e implementación de la Inteligencia Artificial que genera un riesgo alto, limitado o nulo deberán comunicar a los titulares de los datos que los mismos están interactuando con un sistema de IA y la manera correcta en que deben hacerlo, así como informar de manera clara los riesgos en los que incurren en caso de no darle un correcto uso a la herramienta. PARÁGRAFO 2. En todo caso, el consentimiento informado no será interpretado como una cláusula de indemnidad de la responsabilidad legal de los productores o proveedores de la inteligencia artificial. PARÁGRAFO 3. Los productores y proveedores deberán responder solidariamente por los vicios ocultos de la inteligencia artificial.	ARTÍCULO 10. CONSENTIMIENTO INFORMADO. En el uso de los sistemas de inteligencia artificial los usuarios deberán manifestar de manera libre y voluntaria su consentimiento para asumir los riesgos expresamente identificados y comunicados por los productores y proveedores que llegare a representar para sus derechos humanos y fundamentales y para el tratamiento de sus datos personales. PARÁGRAFO 1. Los responsables en el uso, desarrollo e implementación de la Inteligencia Artificial que genera un riesgo alto, limitado o nulo deberán comunicar a los titulares de los datos que los mismos están interactuando con un sistema de IA y la manera correcta en que deben hacerlo, así como informar de manera clara los riesgos en los que incurren en caso de no darle un correcto uso a la herramienta. PARÁGRAFO 2. En todo caso, el consentimiento informado no será interpretado como una cláusula de indemnidad de la responsabilidad legal de los productores o proveedores de la inteligencia artificial que eventualmente pueda ser declarada por parte de un juez. PARÁGRAFO 3. Los productores y proveedores deberán responder solidariamente por los vicios ocultos de la inteligencia artificial.
Justificación: Se modifica el parágrafo 2 del artículo para hacer claridad frente a la responsabilidad legal.
ARTÍCULO 11. ALFABETIZACIÓN DIGITAL. El Ministerio de Educación Nacional formulará, dentro de los seis meses siguientes a la entrada en vigencia de la presente ley, políticas de alfabetización digital con énfasis en el uso responsable y ético de los sistemas y/o programas de inteligencia artificial. Estas políticas se implementarán para estudiantes de educación básica, media y superior, con el único fin de entregar insumos necesarios a los jóvenes para el uso de las inteligencias artificiales.	ARTÍCULO 11. ALFABETIZACIÓN DIGITAL. El Ministerio de Educación Nacional en coordinación con el Ministerio de tecnologías de la información y las comunicaciones formularán, dentro de los seis (6) meses siguientes a la entrada en vigencia de la presente ley, políticas de alfabetización digital con énfasis en el uso responsable y ético de los sistemas y/o programas de inteligencia artificial. Estas políticas se implementarán para estudiantes de educación básica, media y superior, con el único fin de formar integralmente entregar insumos necesarios a los jóvenes en para el uso responsable y productivo de sistemas de las inteligencias artificiales.
Justificación: Teniendo en cuenta las competencia del Ministerio de Tecnologías de la información y las comunicaciones frente al uso de la Inteligencia Artificial en el país, se agrega como competente para apoyar al Ministerio de Educación Nacional en la estrategía de Alfabetización Digital en programas de IA.
ARTÍCULO 12. GARANTÍA DE ESTABILIDAD LABORAL. Las empresas públicas o privadas que con ocasión del uso e implementación de los sistemas de inteligencia artificial supriman puestos de trabajo, deberán ubicar al trabajador desfavorecido en un puesto de trabajo de iguales o superiores condiciones por un término igual al del contrato laboral que se encuentre vigente al momento de la supresión del puesto de trabajo; una vez vencido, el empleador podrá gestionar la desvinculación del trabajador, conforme a la legislación laboral vigente. PARÁGRAFO. Para el sector público, en ningún caso se podrá desvincular a los trabajadores con derechos de carrera administrativa, los cuales deberán ser reubicados en cargos iguales o mejores condiciones.	ARTÍCULO 12. GARANTÍA DE ESTABILIDAD SEGURIDAD LABORAL A MEDIANO Y LARGO PLAZO. Las empresas públicas o privadas que con ocasión del uso e implementación de los sistemas de inteligencia artificial supriman puestos de trabajo, deberán ubicar al trabajador desfavorecido en un puesto de trabajo de iguales o superiores condiciones por un término igual al del contrato laboral que se encuentre vigente al momento de la supresión del puesto de trabajo; una vez vencido, el empleador podrá gestionar la desvinculación del trabajador, conforme a la legislación laboral vigente. Las empresas públicas o privadas que tomen la decisión de suprimir puestos de trabajo con ocasión del uso e implementación de sistemas de inteligencia artificial tendrán la obligación de: Informar a los empleados afectados sobre la eventual supresión de su puesto de trabajo, con una antelación no inferior a seis (6) meses previos a la fecha en que se prevé la supresión de los puestos. Desarrollar planes de reconversión laboral y capacitación en nuevas formas de trabajo, al menos durante los seis (6) meses previos a la fecha en que se prevé la supresión de los puestos. Los trabajadores cuyo puesto de trabajo sea suprimido con ocasión del uso e implementación de sistemas de inteligencia artificial ingresarán a la ruta de empleabilidad de la Unidad del Servicio Público de Empleo. Parágrafo 1. El Ministerio del Trabajo integrará al mecanismo de protección al cesante, el seguro de desempleo por automatización y una forma de continuidad en la cotización de la seguridad social de los trabajadores afectados. Parágrafo 2. El empleador deberá solicitar autorización al Ministerio del Trabajo cuando se trate de despidos colectivos, de conformidad con la normatividad vigente. Parágrafo 3. En las empresas donde exista organización sindical, se socializará con estos de manera previa la implementación y el uso de sistemas de inteligencia artificial y la ruta para la protección del empleo y derechos laborales, permitiendo que presenten observaciones al respecto. Parágrafo 4. Para el sector público, en ningún caso se podrá desvincular a los trabajadores con derechos de carrera administrativa, los cuales deberán ser reubicados en cargos iguales o mejores condiciones.
Justificación: Se modifica la totalidad del artículo 12 de la iniciativa legislativa, con la finalidad de establecer de manera clara y detallada en una nueva redacción laboral por la implementación de los Sistemas de Inteligencia Artificial.
ARTÍCULO 13. ACTIVIDADES EXCLUIDAS DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL. Serán excluidas del uso e implementación de los sistemas de inteligencia artificial conforme a la clasificación de los riesgos prevista en el artículo 5° de la presente ley, las siguientes actividades: 1. Manipulación del comportamiento 2. Explotación de la vulnerabilidad de grupos o personas 3. Calificación de perfiles para el otorgamiento de créditos 4. Predicción policiva de conductas delictivas a partir de la elaboración de perfiles, ubicación o comportamientos pasados 5. Manipulación de emociones 6. Extracción no dirigida de imágenes faciales de internet para la creación de bases de datos de reconocimiento facial 7. Vigilancia e identificación biométrica remota en tiempo real sin previa autorización judicial 8. Identificación biométrica para persecución de delitos graves sin autorización judicial	ARTÍCULO 13. ACTIVIDADES EXCLUIDAS DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL. Serán excluidas del uso e implementación de los sistemas de inteligencia artificial conforme a la clasificación de los riesgos prevista en el artículo 5° de la presente ley, las siguientes actividades: 1. Manipulación del comportamiento. 2. Explotación de la vulnerabilidad de grupos o personas. 3. Imposición de barreras de acceso o la exclusión de personas mediante la Ccalificación de perfiles para el otorgamiento de créditos. 4. Predicción policiva de conductas delictivas a partir de la elaboración de perfiles demográficos, étnicos o socioeconómicos, la ubicación o comportamientos pasados. 5. Manipulación de emociones, instintos y razones de decisión. 6. Extracción no dirigida de imágenes faciales de internet para la creación de bases de datos de reconocimiento facial. 7. Vigilancia e identificación biométrica remota en tiempo real sin previa autorización judicial.
9. Categorización biométrica basada en género, raza, etnia, etc. 10. Realización de puntuación social o reputacional para la clasificación de personas en función de su comportamiento, estatus socioeconómico o características personales 11. Influencia en votantes y resultados de procesos electorales 12. Definición de sentencias y decisiones judiciales. 13. Limitar la libertad de expresión 14. Cualquier otra actividad que suponga un daño significativo para la vida, la salud, la seguridad, los derechos humanos y fundamentales o el ambiente, así como dividir y enfrentar entre sí a las personas y los grupos y amenazar la coexistencia armoniosa entre los seres humanos	8. Identificación biométrica para persecución de delitos graves sin autorización judicial. 9. Categorización biométrica basada en género, raza, etnia, etc. 10. Realización de puntuación social o reputacional para la clasificación de personas en función de su comportamiento, estatus socioeconómico o características personales. 11. Influencia en votantes y resultados de procesos electorales. 12. La Definición de sentencias y decisiones judiciales o la generación de análisis normativos que configuren un reemplazo del ejercicio de la función jurisdiccional en cabeza de los jueces. 13. Limitar la libertad de expresión. 14. El diseño, fabricación, producción y comercialización de armas y sistemas de armas con autonomía para realizar ataques o ejercer violencia sobre personas y bienes, sin una supervisión humana efectiva y eficiente. 154. Cualquier otra actividad que suponga un daño significativo para la vida, la salud, la seguridad, los derechos humanos y fundamentales o el ambiente, así como dividir y enfrentar entre sí a las personas y los grupos y amenazar la coexistencia armoniosa entre los seres humanos.
Justificación: Se realizan los ajustes teniendo en cuenta la solicitud de José Armando Ordóñez de la ICESI y la Universidad Pontificia Bolivariana en el marco de la Audiencia Pública. Además, se toman en cuenta las disposiciones de la sentencia T-323 de 2024 de la Corte Constitucional.
ARTÍCULO 14. RESPONSABILIDAD LEGAL EN MATERIA DE INTELIGENCIA ARTIFICIAL. En el uso e implementación de los sistemas de inteligencia artificial la responsabilidad legal no radica en los algoritmos sino en las empresas públicas o privadas personales naturales o jurídicas que los desarrollan y la entidad pública o privada que las contrata, quienes ostentan la capacidad de contraer obligaciones. PARÁGRAFO 1. Los responsables legales en materia de inteligencia artificial deberán informar y advertir a las autoridades competentes sobre los potenciales riesgos peligros, deficiencias e incidentes graves presentados en el manejo y gestión de esta. PARÁGRAFO 2. El Ministerio de Tecnologías de la Información y las Comunicaciones en coordinación con la Superintendencia de Industria y Comercio establecerán un guía de responsabilidades y plan de gestión de riesgos en lo concerniente al manejo de Inteligencia Artificial, en un término no mayor a un (1) año a partir de la vigencia de la presente ley.	ARTÍCULO 14. RESPONSABILIDAD LEGAL EN MATERIA DE INTELIGENCIA ARTIFICIAL. En el uso e implementación de los sistemas de inteligencia artificial la responsabilidad legal no radica en los algoritmos sino en las empresas públicas o privadas que los desarrollan y la entidad pública o privada que las contrata, quienes ostentan la capacidad de contraer obligaciones. PARÁGRAFO 1. Los responsables legales en materia de inteligencia artificial deberán informar y advertir a las autoridades competentes sobre los potenciales peligros, deficiencias e incidentes graves presentados en el manejo y gestión de esta. PARÁGRAFO 2. El Ministerio de Tecnologías de la Información y las Comunicaciones en coordinación con la Superintendencia de Industria y Comercio establecerán un guía de responsabilidades y plan de gestión de riesgos en lo concerniente al manejo de Inteligencia Artificial, en un término no mayor a un (1) año a partir de la vigencia de la presente ley.
Justificación: Se realizan los ajustes al presente artículo teniendo en cuenta las sugerencias de la Universidad Pontificia Bolivariana y la Superintendencia de Industria y Comercio en el marco de la Audiencia Pública.
ARTÍCULO 15. RESPONSABILIDAD SOCIO AMBIENTAL. En el uso e implementación de los sistemas de inteligencia artificial las empresas públicas o privadas que los desarrollan, propenderán por la lucha contra el cambio climático. PARÁGRAFO 1. Los responsables legales en materia de inteligencia artificial deberán informar y advertir a las autoridades competentes sobre los potenciales peligros, deficiencias e incidentes graves presentados en el manejo y gestión de esta. PARÁGRAFO 2. El Ministerio de Tecnologías de la Información y las Comunicaciones en coordinación con la Superintendencia de Industria y Comercio establecerán un guía de responsabilidades y plan de gestión de riesgos en lo concerniente al manejo de Inteligencia Artificial, en un término no mayor a un (1) año a partir de la vigencia de la presente ley.	ARTÍCULO 15. RESPONSABILIDAD SOCIO AMBIENTAL. En el uso e implementación de los sistemas de inteligencia artificial las empresas públicas o privadas que los desarrollan, propenderán por la lucha contra el cambio climático. PARÁGRAFO 1. Los responsables legales en materia de inteligencia artificial deberán informar y advertir a las autoridades competentes sobre los potenciales peligros, deficiencias e incidentes graves presentados en el manejo y gestión de esta. PARÁGRAFO 2. El Ministerio de Tecnologías de la Información y las Comunicaciones en coordinación con el Ministerio de Ambiente y Desarrollo Sostenible la Superintendencia de Industria y Comercio establecerán un guía de responsabilidades y plan de gestión de riesgos en lo concerniente al manejo de Inteligencia Artificial, en un término no mayor a un (1) año a partir de la vigencia de la presente ley.
Justificación: Se realizan los ajustes al presente artículo teniendo en cuenta la sugerencia de la Superintendencia de Industria y Comercio en el marco de la Audiencia Pública.
ARTÍCULO 16. Modifíquese el artículo 19 de la Ley 1581 de 2012, el cual quedará así: Artículo 19. autoridad de protección de datos. La Superintendencia de Industria y Comercio, a través de la Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales y en el desarrollo, uso e implementación de los sistemas de inteligencia artificial, se respeten los principios, derechos, garantías y procedimientos previstos en la constitución y la presente ley. Parágrafo. El Gobierno Nacional en el plazo de seis (6) meses contados a partir de la fecha de entrada en vigencia de la presente ley modificará el Decreto 4886 de 2011 e incorporará dentro de las funciones de la Superintendencia de Industria y Comercio la inspección control y vigilancia en materia de desarrollo, uso e implementación de los sistemas de inteligencia artificial, así como la administración de la Plataforma de Certificación de Sistemas de Inteligencia Artificial.	ARTÍCULO 16. Modifíquese el artículo 19 de la Ley 1581 de 2012, el cual quedará así: Artículo 19.Autoridad de protección de datos. La Superintendencia de Industria y Comercio, a través de la Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales y en el desarrollo, uso e implementación de los sistemas de inteligencia artificial, se respeten los principios, derechos, garantías y procedimientos previstos en la constitución y la presente ley. Parágrafo. El Gobierno Nacional en el plazo de seis (6) meses contados a partir de la fecha de entrada en vigencia de la presente ley modificará el Decreto 4886 de 2011 e incorporará dentro de las funciones de la Superintendencia de Industria y Comercio la inspección control y vigilancia en materia de desarrollo, uso e implementación de los sistemas de inteligencia artificial., así como la administración de la Plataforma de Certificación de Sistemas de Inteligencia Artificial.
Justificación: Se ajustan las competencias de la Superintendencia de Industria y Comercio, teniendo en cuenta que la administración de dicha plataforma estará a cargo del Ministerio de Tecnologías de la Información y las Comunicaciones.
ARTÍCULO 17. Modifíquese el artículo 18 de la Ley 1341 de 2009, el cual quedará así: ARTÍCULO 18. FUNCIONES DEL MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES. El Ministerio de Tecnologías de la Información y las Comunicaciones tendrá, además de las funciones que determinan la Constitución Política, y la Ley 489 de 1998, las siguientes: (…) 31. Velar por el cumplimiento de la legislación en materia de inteligencia artificial; 32. Promover, divulgar e implementar campañas pedagógicas para capacitar e informar a los ciudadanos acerca de sus derechos, riesgos del desarrollo, uso e implementación de la inteligencia artificial; 33. Administrar el Registro Nacional de la Plataforma de Certificación de Sistemas de Inteligencia Artificial, y emitir las órdenes y los actos necesarios para su administración y funcionamiento. 34. Las demás que le sean asignadas en la ley.	ARTÍCULO 17. Modifíquese el artículo 18 de la Ley 1341 de 2009, el cual quedará así: ARTÍCULO 18. FUNCIONES DEL MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES. El Ministerio de Tecnologías de la Información y las Comunicaciones tendrá, además de las funciones que determinan la Constitución Política, y la Ley 489 de 1998, las siguientes: (…) 31. Velar por el cumplimiento de la legislación en materia de inteligencia artificial Desarrollar los lineamientos de política pública necesarios para reglamentar y velar por el cumplimiento de la legislación en materia de inteligencia artificial; 32. Promover, divulgar e implementar campañas pedagógicas para capacitar e informar a los ciudadanos acerca de sus derechos, riesgos del desarrollo, uso e implementación de la inteligencia artificial; 33. Crear y Administrar el Registro Nacional de la Plataforma de Certificación de Sistemas de Inteligencia Artificial, y emitir las órdenes y los actos necesarios para su administración y funcionamiento. 34. Las demás que le sean asignadas en la ley.
Justificación: Se realizan ajustes a la redacción de las funciones del Ministerio de Tecnologías de la Información y las Comunicaciones para que sean más claras.
ARTÍCULO 18. AUDITORÍA DE ALGORITMOS. La Superintendencia de Industria y Comercio implementará procesos de auditoría de los sistemas de inteligencia artificial en proceso de certificación o aquellos que generen riesgos altos, para garantizar la protección de los derechos de los usuarios, sus datos personales de los usuarios y el cumplimiento de lo previsto en la presente ley.	Sin modificaciones
ARTÍCULO 19. PLATAFORMA DE CERTIFICACIÓN DE SISTEMAS DE INTELIGENCIA ARTIFICIAL. Los productores y proveedores que desarrollen, ofrezcan e instalen inteligencia artificial que desarrollen sistemas de inteligencia artificial deberán registrar sus modelos en la plataforma de certificación que administrará el Ministerio de las Tecnologías de la información y comunicaciones quien certificará que se encuentren ajustados a derechos humanos y fundamentales y autorizará su viabilidad. Los productores nacionales de inteligencia artificial deberán demostrar, como mínimo, el cumplimiento de las obligaciones señaladas en la presente ley ante la Superintendencia de Industria y Comercio. La autoridad competente deberá constatar el efectivo cumplimiento de las obligaciones y certificará que se encuentra ajustado a los estándares de esta ley. PARÁGRAFO. El proceso de certificación de la inteligencia artificial deberá respetar los derechos de propiedad intelectual de los productores de inteligencia artificial. En este sentido, la autoridad competente deberá asegurar la reserva de las informaciones y documentos que conozca en el marco de sus funciones.	ARTÍCULO 19. PLATAFORMA DE CERTIFICACIÓN DE SISTEMAS DE INTELIGENCIA ARTIFICIAL. Los productores y proveedores que desarrollen, ofrezcan e instalen inteligencia artificial que desarrollen sistemas de inteligencia artificial deberán registrar sus modelos en la plataforma de certificación que administrará el Ministerio de las Tecnologías de la información y comunicaciones quien certificará que se encuentren ajustados a derechos humanos y fundamentales y autorizará su viabilidad. Los productores nacionales e internacionales que usen sistemas de inteligencia artificial en Colombia deberán rendir un informe anual ante la Superintendencia de Industria y Comercio en el que demuestran demostrar, como mínimo, el cumplimiento de las obligaciones señaladas en la presente ley. ante la Superintendencia de Industria y Comercio. La autoridad competente deberá constatar el efectivo cumplimiento de las obligaciones y certificará que se la actividad se encuentra ajustado a los estándares de esta Ley. PARÁGRAFO. El proceso de certificación de la inteligencia artificial deberá respetar los derechos de propiedad intelectual de los productores de inteligencia artificial. En este sentido, la autoridad competente deberá asegurar la reserva de las informaciones y documentos que conozca en el marco de sus funciones.
Justificación: Se realizan ajustes de redacción y se modifica el segundo inciso del artículo teniendo en cuenta los comentarios del doctor José Armando Ordóñez de la ICESI en el marco de la Audiencia Pública.
ARTÍCULO 20. PROHIBICIÓN DE TRANSFERENCIA DE INFORMACIÓN. Las empresas públicas o privadas que desarrollen sistemas de inteligencia artificial, ostentan prohibición para transferir e intercambiar datos personales destinados al uso e implementación de estos sistemas, salvo que el riesgo que comporte sea nulo y se encuentre excluido de lo previsto en el artículo 13 de la presente ley.	ARTÍCULO 20. PROHIBICIÓN DE TRANSFERENCIA DE INFORMACIÓN. Las empresas públicas o privadas que desarrollen sistemas de inteligencia artificial, ostentan prohibición para transferir e intercambiar datos personales destinados al uso e implementación de estos sistemas, salvo que el riesgo que comporte sea nulo y se encuentre excluido de lo previsto en el artículo 13 de la presente ley. En todo caso la Superintendencia de Industria y Comercio fijará los estándares y condiciones para obtener una declaración de conformidad para realizar transferencia internacional de datos personales.
Justificación: Se ajusta el artículo y se establecen competencias de la Superintendencia de Industria y Comercio frente a la transferencia internacional de datos personales.
ARTÍCULO 21. PROCEDIMIENTO Y SANCIONES. La Superintendencia de Industria y Comercio determinará el incumplimiento de lo dispuesto en la presente ley y adoptará las medidas o impondrá las sanciones correspondientes conforme al Capítulo II del Título VII de la Ley 1581 de 2012. Lo anterior sin perjuicio de lo establecido en el artículo 296 del Código Penal.	ARTÍCULO 21. PROCEDIMIENTO Y SANCIONES. La Superintendencia de Industria y Comercio determinará el incumplimiento de lo dispuesto en la presente ley y adoptará las medidas o impondrá las sanciones correspondientes conforme al Capítulo II del Título VII de la Ley 1581 de 2012. Lo anterior sin perjuicio de lo establecido en el artículo 296 del Código Penal.
Justificación: Se ajusta error de digitación
ARTÍCULO 22. FORMACIÓN EN MATERIA DE INTELIGENCIA ARTIFICIAL. El gobierno nacional a través del Ministerio de tecnologías de la información y las comunicaciones adoptará medidas para que la sociedad conozca los beneficios, oportunidades, retos, implicaciones y riesgos para los derechos humanos y fundamentales del desarrollo, uso e implementación de la inteligencia artificial, especialmente a través de la formación de los servidores públicos sobre la materia, para ello promoverá descuentos en los cursos de extensión, diplomados, posgrados en materia tecnológica, dicho tema será reglamentado por el Gobierno Nacional en un plazo no menor a 6 meses.	Sin modificaciones
ARTÍCULO 23. APRENDIZAJE DE LA INTELIGENCIA ARTIFICIAL. El gobierno nacional a través del Ministerio de tecnologías de la información y las comunicaciones promoverá el desarrollo de campañas sobre el uso responsable de la inteligencia artificial para los estudiantes de las instituciones públicas y privadas, así como se incentivará el desarrollo de cursos de formación en programación responsable.	Sin modificaciones
ARTICULO 24. PROMOCIÓN E INCENTIVO AL DESARROLLO E IMPLEMENTACION DE LA INTELIGENCIA ARTIFICIAL: El gobierno nacional a través del Ministerio de tecnologías de la información y las comunicaciones promoverá el desarrollo, uso e implementación de las inteligencias artificiales y procesos de automatización para promover la educación, la ciencia, la innovación, la investigación, la identidad y diversidad culturales y facilitar los procesos al interior de las entidades estatales para la organización de información. El Gobierno Nacional propenderá el desarrollo de sistemas y/o programas de inteligencia artificial éticos y responsables con los derechos humanos y fundamentales.	ARTÍCULO 24. PROMOCIÓN E INCENTIVO AL DESARROLLO, USO E IMPLEMENTACIÓN DE LA INTELIGENCIA ARTIFICIAL: El gobierno nacional a través del Ministerio de tecnologías de la información y las comunicaciones promoverá el desarrollo, uso e implementación de las inteligencias artificiales y procesos de automatización para promover la educación, la ciencia, la innovación, la investigación, la identidad y diversidad culturales y facilitar los procesos al interior de las entidades estatales para la organización de información. El Gobierno Nacional propenderá el desarrollo de sistemas y/o programas de inteligencia artificial éticos y responsables con los derechos humanos y fundamentales.
Justificación: Se ajusta el título del artículo para que sea acorde al contenido del mismo.
ARTÍCULO 25. RÉGIMEN DE TRANSICIÓN. Las empresas públicas o privadas que a la fecha de entrada en vigencia de la presente ley desarrollen, usen o implementen sistemas de inteligencia artificial o alguna de las actividades acá reguladas tendrán un plazo de hasta seis (6) meses para adecuarse a las disposiciones contempladas en esta ley.	ARTÍCULO 25. RÉGIMEN DE TRANSICIÓN. Las empresas públicas o privadas que a la fecha de entrada en vigencia de la presente ley desarrollen, usen o implementen sistemas de inteligencia artificial o alguna de las actividades acá reguladas tendrán un plazo de hasta seis (6) meses contados a partir de la expedición de la reglamentación que trata la presente ley, para adecuarse a dichas las disposiciones. contempladas en esta ley.
Justificación: Se ajusta el artículo para especificar a partir de qué momento inicia el régimen de transición, por sugerencia del Grupo de Transformación Digital de la Presidencia de la República.
ARTÍCULO 26. REGLAMENTACIÓN. El Ministerio de Tecnologías de la información y las Comunicaciones en coordinación con el Ministerio de Ciencia, Tecnología e Innovación, el Ministerio de Industria, Comercio y Turismo reglamentará en un período no mayor de un (1) año a partir de la promulgación de esta ley, los lineamientos, criterios, condiciones y disposiciones técnicos y éticos para el desarrollo, uso y manejo de la Inteligencia Artificial en el contexto nacional. Dicha reglamentación deberá garantizar la protección de los Derechos Humanos y del medio ambiente, en concordancia con las recomendaciones internacionales proferidas sobre el desarrollo y manejo de la Inteligencia artificial, para asegurar la armonía entre el desarrollo tecnológico y el bienestar de la sociedad en general, estableciendo un equilibrio que promueva el desarrollo responsable y ético de la Inteligencia Artificial. PARÁGRAFO 1. Las autoridades anteriormente mencionadas en articulación con la Superintendencia de Industria y Comercio deberán establecer un plan de seguimiento, control, vigilancia y evaluación para el cumplimiento de la reglamentación acerca del manejo y uso de la Inteligencia Artificial en un término no mayor de (1) año a partir de la promulgación de esta ley. PARÁGRAFO 2. El Gobierno Nacional promoverá y fomentará la participación e inclusión ciudadana a través de las veedurías para asegurar la transparencia y seguridad en la gestión de la Inteligencia Artificial.	Sin modificaciones
ARTICULO 27. COOPERACIÓN NACIONAL E INTERNACIONAL. El Gobierno Nacional promoverá la cooperación y colaboración de las diferentes entidades, empresas y organizaciones nacionales e internacionales en materia de investigación, sensibilización, innovación, gestión y manejo ético e integral para el avance responsable de la Inteligencia Artificial	Sin modificaciones
ARTÍCULO 28. VIGENCIA Y DEROGACIONES. La presente ley rige a partir de su sanción y publicación en el Diario Oficial y deroga todas las disposiciones legales o reglamentarias que le sean contrarias.	Sin modificaciones

8. PROPOSICIÓN

En virtud de las consideraciones anteriormente expuestas, solicitamos a los miembros de la Comisión Primera de la Cámara de Representantes dar primer debate al Proyecto de Ley Estatutaria No. 154 de 2024 Cámara “Por la cual se define y regula la inteligencia artificial, se ajusta a estándares de derechos humanos, se establecen límites frente a su desarrollo, uso e implementación se modifica parcialmente la ley 1581 de 2012 y se dictan otras disposiciones”, de acuerdo con el texto propuesto.

Atentamente,

KARYME COTES MARTÍNEZ, Coordinadora Ponente

ALIRIO URIBE MUÑOZ, Coordinador Ponente

ASTRID SÁNCHEZ MONTES DE OCA, Ponente

CATHERINE JUVINAO CLAVIJO, Ponente

MIGUEL POLO POLO, Ponente

OSCAR RODRIGO CAMPO, Ponente

ORLANDO CASTILLO ADVÍNCULA, Ponente

LUIS ALBERTO ALBÁN URBANO, Ponente

MARELEN CASTILLO TORRES, Ponente

(1) Parlamento Europeo, Considerandos de la Resolución de 6 de octubre de 2021, sobre la inteligencia artificial en el Derecho penal y su utilización por las autoridades policiales y judiciales en asuntos penales (2020/2016(INI)),

(2) Grupo de Trabajo UNESCO, Estudio preliminar sobre la ética de la Inteligencia Artificial, cit., n. 50. Vid. San Miguel Caso, C., “La aplicación de la Inteligencia Artificial en el proceso: ¿un nuevo reto para las garantías procesales?, Ius et Scientia vol. 7, no 1, 2021, pp. 286-303; De Asís Pulido, M., “La incidencia de las nuevas tecnologías en el derecho al debido proceso”, Ius et Scientia vol. 6, no 2, 2020, pp. 186-199

(3) PARLAMENTO EUROPEO, Resolución del Parlamento Europeo, de 3 de mayo de 2022, sobre la inteligencia artificial en la era digital, Disponible en: https://www.europarl.europa.eu/doceo/document/TA-9-2022-0140_ES.pdf

(4) REPÚBLICA DE COLOMBIA, MINISTERIO DE LAS TIC, Colombia se adhiere a acuerdo sobre Inteligencias Artificial ante los países de la OCDE. Mayo 22 de 2019. Disponible en: https://www.mintic.gov.co/portal/inicio/Sala-de-Prensa/Noticias/100683:Colombia-se-adhiere-a-acuerdo-sobre-Inteligencia-Artificial-ante-los-paises-de-la-OCDE

(5) REPÚBLICA DE COLOMBIA,MINISTERIO DE LAS TIC, Colombia adopta de forma temprana recomendaciones de ética en inteligencia artificial de la Unesco para la región. Mayo 2 de 2022. Disponible en: https://mintic.gov.co/portal/inicio/Sala-de-prensa/Noticias/208109:Colombia-adopta-de-forma-temprana-recomendaciones-de-etica-en-Inteligencia-Artificial-de-la-Unesco-para-la-region

(6) Unión Europea, Resolución 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un régimen de responsabilidad civil en materia de inteligencia artificial (2020/2014(INL)).

(7) EU AI Act: first regulation on artificial intelligence. Nota de prensa publicada el 06 de agosto de 2023 disponible en https://www.europarl.europa.eu/news/en/headlines/society/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence. Traducción propia.

(8) Respuesta Suministrada por la Fiscalía General de la Nación a petición radicada por el HR Alirio Uribe cuya respuesta fue entregada con radicado No 20231200004051 el 25 de agosto de 2023.

(9) Respuesta Suministrada por el Departamento Nacional de Planeación a petición radicada por el HR Alirio Uribe cuya respuesta fue recibida con radicado No 20233100538591 el 25 de agosto de 2023.

(10) IBID

(11) https://2022.dnp.gov.co/programas/Desarrollo%20Digital/Paginas/Big%20Data2020.aspx

(12) Análisis cuantitativo y predicción del delito en Bucaramanga, Departamento Nacional de Planeación –DNP- julio de 2020 disponible en https://colaboracion.dnp.gov.co/CDT/Desarrollo%20Digital/Big%20Data/2020/08_Prediccion_crimen/Prediccion_crimen_Presentacion.pdf

(13) Respuesta Suministrada por La H. Corte Constitucional a petición radicada por el HR Alirio Uribe cuya respuesta fue recibida con Oficio No. 2023-3930 el 24 de agosto de 2023.

(14) Respuesta Suministrada por el H. Consejo Superior de la Judicatura a petición radicada por el HR Alirio Uribe cuya respuesta fue recibida con Oficio No. SGOJ 0857 con radicado interno NoRNEC-E-2023143191 del 23 agosto de 2023.

(15) Respuesta Suministrada por el H. Consejo Superior de la Judicatura a petición radicada por el HR Alirio Uribe cuya respuesta fue recibida con Oficio No. DEAJO23-594 el 23 de agosto de 2023.

(16) ORGANIZACIÓN DE COOPERACIÓN Y DESARROLLO ECONÓMICOS, OCDE, Recomendación del Consejo de Inteligencia Artificial, Adoptado el: 21/05/2019, Disponible en: https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449

(17) UNESCO, Recomendación sobre la ética de la Inteligencia Artificial, Disponible en: https://unesdoc.unesco.org/ark:/48223/pf0000380455_spa

—————————————————————————

9. TEXTO PROPUESTO PARA PRIMER DEBATE PROYECTO DE LEY

ESTATUTARIA N.° 154 DE 2024 C

“POR LA CUAL SE DEFINE Y REGULA LA INTELIGENCIA ARTIFICIAL, SE AJUSTA A ESTÁNDARES DE DERECHOS HUMANOS, SE ESTABLECEN LÍMITES FRENTE A SU DESARROLLO, USO E IMPLEMENTACIÓN SE MODIFICA PARCIALMENTE LA LEY 1581 DE 2012 Y SE DICTAN OTRAS DISPOSICIONES”

EL CONGRESO DE COLOMBIA,

DECRETA:

T Í T U L O I.- D I S P O S I C I O N E S G E N E R A L E S

ARTÍCULO 1. OBJETO.

La presente ley tiene por objeto definir y regular la inteligencia artificial ajustándola a estándares de respeto y garantía de los derechos humanos, así como para regular y promover su desarrollo y establecer límites frente a su uso, implementación y evaluación por parte de personas naturales y jurídicas.

ARTÍCULO 2. ÁMBITO DE APLICACIÓN.

Las disposiciones de esta ley son aplicables al diseño, innovación, aplicación, uso y desarrollo de la inteligencia artificial por parte de personas naturales o jurídicas, así como a los proveedores, productores o demás agentes que participen en el desarrollo de la inteligencia artificial nacionales y extranjeros, salvo en los casos donde resulte aplicable una regulación especial.

Los principios y disposiciones contenidos en la presente ley serán aplicables a:

d. Los Productores que desarrollen inteligencia artificial y/u ofrezcan o comercialicen la inteligencia artificial en territorio colombiano o fuera del territorio colombiano, sí el funcionamiento de la inteligencia artificial produce efectos en el territorio colombiano.

e. Los proveedores que ofrezcan y presten el servicio de instalación y funcionamiento inteligencia artificial fuera del territorio colombiano, sí la instalación y funcionamiento de inteligencia artificial produce efectos en el territorio colombiano.

f. Los usuarios de la inteligencia artificial ubicados en el territorio colombiano.

La regulación contenida en esta Ley Estatutaria no aplicará a la inteligencia artificial que:

c. Se desarrolla en el marco de actividades de carácter educativo o académico o científico en instituciones educativas de educación básica primaria y básica secundaria e instituciones de educación superior ubicadas en el territorio colombiano, siempre que la inteligencia artificial no se instalada y entre en funcionamiento de manera permanente en la misma institución, actividades de terceros o por fuera del ámbito educativo o científico.

En todo caso, cualquier institución educativa que pretenda desarrollar proyectos temporales de inteligencia artificial deberá conformar un comité de ética que conocerá de estos proyectos, exigirá planes de manejo del riesgo ético y los hará cumplir dentro de los lineamientos establecidos en la Ley 10 de 1990, o aquella que haga sus veces, y en las normas de origen legal y administrativo establecidas para regular la investigación con seres vivos.

d. Sea empleada por usuarios persona natural no comerciante en el marco de actividades de índole personal y no profesionales o que afecten a terceros.

ARTÍCULO 3. DEFINICIONES.

Para efectos de la aplicación e interpretación de la presente ley se establecen las siguientes definiciones:

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

Productor de inteligencia artificial: Persona natural o jurídica nacional o extranjera, pública o privada, que diseña, produce, implementa y desarrolla la inteligencia artificial en el mercado o para actividades concretas de un usuario.

Proveedor de inteligencia artificial: Persona natural o jurídica nacional o extranjera, pública o privada, que ofrezca, suministre, distribuya, comercialice o instale la inteligencia artificial en el mercado o para actividades concretas de un usuario.

Usuario de inteligencia artificial: Persona natural o jurídica, pública o privada, que emplea la inteligencia artificial en el marco de sus funciones legales, actividades comerciales y empresariales.

Inteligencia Artificial: Conjunto de técnicas informáticas, sistema de programación, sistema computacional, máquinas físicas o procesos tecnológicos que permiten desarrollar algoritmos, toma decisiones y crear programas informáticos para ejecutar objetivos definidos por humanos, hacer predicciones, recomendaciones, tomar decisiones crear nuevo conocimiento y/o completar tareas cognitivas y científico-técnicas a partir de la extracción, selección, recorte y organización de la información disponible o cualquier tarea que requiera inteligencia como el razonamiento o el aprendizaje.

Encargado del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del Responsable del Tratamiento.

Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos personales.

PARÁGRAFO. Los elementos técnicos y su aplicación de la definición de la Inteligencia Artificial dispuesta en el presente artículo se sujetarán a la reglamentación que expida el Ministerio de Tecnologías de la Información y Comunicaciones de Colombia, garantizando de esta manera la participación ciudadana y su actualización periódica.

ARTÍCULO 4. PRINCIPIOS.

El desarrollo, interpretación y aplicación de la presente ley se realizará con arreglo a los siguientes principios:

Principio de Respeto: El desarrollo y el uso de la inteligencia artificial estará limitado por la preservación irrestricta de la dignidad humana y los derechos fundamentales.

Principio de Bienestar Integral: El desarrollo y aplicación de la inteligencia artificial estará orientado al mejoramiento de la calidad de vida de las personas, reconociendo sus riesgos y potenciales impactos negativos.

Principio de Responsabilidad: Las personas que se vean perjudicadas con ocasión de los impactos negativos o vulneración generada del desarrollo de la inteligencia artificial, tendrán garantizado el derecho a reclamar indemnización o reparación a la que haya lugar ante las entidades públicas o privadas responsables.

Principio de Supervisión y Prevalencia de la Inteligencia Humana: Se preferirá la decisión humana respecto de los resultados derivados de la Inteligencia Artificial.

Toda decisión tomada con base en los resultados de sistemas de inteligencia artificial será susceptible de revisión humana y. La responsabilidad ética y legal de estas decisiones recaerá sobre las personas naturales o jurídicas involucradas en su uso.

Principio de Privacidad y Confidencialidad: El uso e implementación de la inteligencia artificial propenderá por la no intrusión y perturbación de los asuntos privados de las personas.

Principio de Seguridad y Protección: La información que permita desarrollar algoritmos y crear programas informáticos deberá gozar de confidencialidad e integridad.

Principio de Desarrollo Sostenible: El uso e implementación de la inteligencia artificial estará orientado a potenciar el desarrollo de la tecnología con consideraciones sociales y medioambientales.

Principio de Inclusión: La información que permita el uso e implementación de la inteligencia artificial no debe discriminar a ningún grupo, ni ser utilizada en perjuicio de éste, y el desarrollo de la inteligencia artificial se realizará con perspectiva de género y diversidad sexual.

Principio de Proporcionalidad o Inocuidad: El desarrollo de inteligencias artificiales estará justificado a través de evidencia científica robusta que garantice la conveniencia de su desarrollo y aplicación en beneficio de las personas, la humanidad y el medio ambiente. Quedarán prohibidos los desarrollos de Inteligencias artificiales que atenten contra los Derechos Humanos.

Principio de Transparencia y Explicabilidad: Los desarrollos, resultados y subprocesos de las Inteligencias artificiales serán inteligibles, trazables, explicables y comprensibles. La ciudadanía deberá conocer el propósito y alcance de cada componente algorítmico y la forma en que contribuye a los resultados de los sistemas, para saber los motivos por los que la Inteligencia Artificial llega a una u otra conclusión o decisión.

Principio de Responsabilidad y Rendición de Cuentas: Los creadores de inteligencias artificiales e intermediarios deben asumir las consecuencias éticas y jurídicas por las tecnologías que diseñen e implementen de conformidad con el ordenamiento jurídico vigente. El sector público tendrá la obligación de rendir cuentas y crear mecanismos de supervisión a lo largo de todas las etapas que sean auditables y trazables.

Principio de Neutralidad Tecnológica: Garantizar la libre adopción de tecnologías que permitan fomentar la eficiente prestación de servicios, el desarrollo de la inteligencia artificial y el empleo de contenidos y aplicaciones que usen Tecnologías de la Información y las Comunicaciones, así como garantizar la libre y leal competencia, y que su adopción sea armónica con el desarrollo ambiental sostenible.

Principio de Confidencialidad: Todas las personas que intervengan en los procesos de inteligencia artificial están obligadas a garantizar la reserva de la información privada que tengan, pudiendo sólo realizar suministro comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley 1581 de 2012.

PARÁGRAFO. Se entenderán igualmente como principios los establecidos en las leyes estatutarias 1266 de 2008 y 1581 de 2012.

ARTÍCULO 5: VALORES. El desarrollo, interpretación y aplicación de la presente ley se realizará con arreglo de los siguientes valores:

Respeto, protección y promoción de los derechos humanos, las libertades fundamentales y la dignidad humana: Los creadores e implementadores de inteligencias artificiales serán responsables de que el desarrollo tecnológico garantice el respeto, protección y promoción de los derechos humanos, las libertades fundamentales y la dignidad humana. Ninguna persona o comunidad podrá sufrir daños o sometimiento como consecuencia del desarrollo y uso de la inteligencia artificial.

Construcción de una sociedad pacífica y justa: Los creadores e implementadores de inteligencias artificiales velarán porque el desarrollo tecnológico no afecte la paz y justicia en la sociedad. Las inteligencias artificiales no podrán dividir y enfrentar entre sí a las personas ni promover la violencia.

Diversidad e inclusión: Los creadores e implementadores de las inteligencias artificiales garantizarán el respeto, ́protección y promoción de la diversidad e inclusión activa de todos los grupos y personas con independencia de su raza, color, ascendencia, género, edad, idioma, religión, opiniones políticas, origen regional, étnico o social, condición económica, discapacidad o cualquier otro motivo, respetando especialmente la diversidad en las elecciones de estilos de vida, creencias, opiniones o expresiones individuales.

Prosperidad del medio ambiente y los ecosistemas: Los creadores e implementadores de las inteligencias artificiales impedirán que las tecnologías afecten los ecosistemas, los seres vivos y el ambiente en el marco de la constitución y la ley. Propenderán por reducir la huella de carbono, minimizar el cambio climático, los factores de riesgo ambiental y prevenir la explotación, utilización y transformación no sostenible de recursos naturales.

T Í T U L O II.-

CONDICIONES PARA EL DESARROLLO, USO E IMPLEMENTACIÓN DE LA INTELIGENCIA ARTIFICIAL

ARTÍCULO 6. CLASIFICACIÓN DEL RIESGO DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL.

Los sistemas o programas informáticos que usen e implementen la inteligencia artificial serán identificados según el riesgo por los productores y proveedores de la siguiente manera:

Riesgo inaceptable: Constituye riesgo inaceptable aquel que genera afectación a la seguridad, la subsistencia y los derechos humanos y fundamentales, y por tanto está proscrito.

Alto riesgo: Constituye alto riesgo aquel que, no siendo inaceptable, corresponde a actividades susceptibles de automatización admisibles bajo el mantenimiento de

la calidad de los datos y facilidad de supervisión humana pero que eventualmente puede limitar algunos derechos humanos y fundamentales.

Riesgo limitado: Constituye riesgo limitado aquel que se deriva del uso e implementación de chatbots o robots conversacionales.

Riesgo nulo: Constituye riesgo nulo aquel derivado del uso e implementación de sistemas que no afectan los derechos y la seguridad de los usuarios.

PARÁGRAFO 1. La clasificación de riesgos genera obligaciones diferenciadas para los proveedores y usuarios, según lo contemplado en la ley.

PARÁGRAFO 2. Dentro del Reglamento que se expida se deberán identificar los sistemas o programas de inteligencia artificial que se consideren de riesgo inaceptable, alto riesgo, riesgo limitado y riesgo nulo. El reglamento deberá contar con actualización periódica de los sistemas o programas teniendo en cuenta los avances de este tipo de tecnologías y también el tipo de industria o sector que provea o use estos sistemas.

ARTÍCULO 7. USO DE LA INTELIGENCIA ARTIFICIAL.

Las personas naturales o jurídicas podrán usar e implementar inteligencia artificial que facilite la eficacia y eficiencia de gestión, siempre que dé cumplimiento a los principios señalados en esta ley y las obligaciones asignadas al nivel de riesgo de la inteligencia artificial que empleen en el marco de sus actividades

PARÁGRAFO. Cualquier organización, tanto pública como privada, tendrá la facultad de ajustar sus reglamentos internos para determinar cómo y hasta qué punto se utilizará la inteligencia artificial. Esta adaptación deberá realizarse respetando los derechos de autor y propiedad intelectual.

ARTÍCULO 8. AFECTACIONES DERIVADAS DE LA INTELIGENCIA ARTIFICIAL.

Las personas que resulten afectadas en sus derechos fundamentales con ocasión del uso e implementación de sistemas de inteligencia artificial podrán solicitar la revisión por parte de la autoridad competente, presentar reclamaciones y solicitudes de revocatoria ante la autoridad competente y solicitar medidas cautelares así como para prevenir mayores afectaciones.

ARTÍCULO 9. TRANSPARENCIA EN EL USO DE LA INTELIGENCIA ARTIFICIAL.

Los productores y proveedores que desarrollen, ofrezcan y pongan en funcionamiento y los usuarios que empleen sistemas de inteligencia artificial de riesgo alto y limitado deberán publicar una evaluación sobre los riesgos y el impacto que pudieran llegar a sufrir los derechos humanos y fundamentales, antes de desplegar dichos sistemas. De impacto en la privacidad, que debe incluir por lo menos los siguientes criterios:

g. Una descripción detallada de las operaciones de tratamiento de datos personales que involucre el desarrollo de la inteligencia artificial.

h. Una evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales.

i. Las medidas previas para afrontar los riesgos. PARÁGRAFO 1. Las entidades públicas y/o privadas que tengan la intención de emplear la inteligencia artificial deberán asegurar la realización de capacitaciones orientadas al uso adecuado y responsable de esa tecnología para del personal

PARÁGRAFO 2. Dicha evaluación deberá ser presentada ante el Ministerio de las TICs entidad encargada de almacenar y hacerle seguimiento a las evaluaciones presentadas.

ARTÍCULO 10. CONSENTIMIENTO INFORMADO.

En el uso de los sistemas de inteligencia artificial los usuarios deberán manifestar de manera libre y voluntaria su consentimiento para asumir los riesgos expresamente identificados y comunicados por los productores y proveedores que llegare a representar para sus derechos humanos y fundamentales y para el tratamiento de sus datos personales.

PARÁGRAFO 1. Los responsables en el uso, desarrollo e implementación de la Inteligencia Artificial que genera un riesgo alto, limitado o nulo deberán comunicar a los titulares de los datos que los mismos están interactuando con un sistema de IA y la manera correcta en que deben hacerlo, así como informar de manera clara los riesgos en los que incurren en caso de no darle un correcto uso a la herramienta.

PARÁGRAFO 2. En todo caso, el consentimiento informado no será interpretado como una cláusula de indemnidad de la responsabilidad legal de los productores o proveedores de la inteligencia artificial que eventualmente pueda ser declarada por parte de un juez.

PARÁGRAFO 3. Los productores y proveedores deberán responder solidariamente por los vicios ocultos de la inteligencia artificial.

ARTÍCULO 11. ALFABETIZACIÓN DIGITAL.

El Ministerio de Educación Nacional en coordinación con el Ministerio de tecnologías de la información y las comunicaciones formularán, dentro de los seis (6) meses siguientes a la entrada en vigencia de la presente ley, políticas de alfabetización digital con énfasis en el uso responsable y ético de los sistemas y/o programas de inteligencia artificial. Estas políticas se implementarán para estudiantes de educación básica, media y superior, con el único fin de formar integralmente a los jóvenes en el uso responsable y productivo de sistemas de inteligencia artificial.

ARTÍCULO 12. GARANTÍA DE SEGURIDAD LABORAL A MEDIANO Y LARGO PLAZO.

Las empresas públicas o privadas que tomen la decisión de suprimir puestos de trabajo con ocasión del uso e implementación de sistemas de inteligencia artificial tendrán la obligación de:

Informar a los empleados afectados sobre la eventual supresión de su puesto de trabajo, con una antelación no inferior a seis (6) meses previos a la fecha en que se prevé la supresión de los puestos.

Desarrollar planes de reconversión laboral y capacitación en nuevas formas de trabajo, al menos durante los seis (6) meses previos a la fecha en que se prevé la supresión de los puestos.

Los trabajadores cuyo puesto de trabajo sea suprimido con ocasión del uso e implementación de sistemas de inteligencia artificial ingresarán a la ruta de empleabilidad de la Unidad del Servicio Público de Empleo.

Parágrafo 1. El Ministerio del Trabajo integrará al mecanismo de protección al cesante, el seguro de desempleo por automatización y una forma de continuidad en la cotización de la seguridad social de los trabajadores afectados.

Parágrafo 2. El empleador deberá solicitar autorización al Ministerio del Trabajo cuando se trate de despidos colectivos, de conformidad con la normatividad vigente.

Parágrafo 3. En las empresas donde exista organización sindical, se socializará con estos de manera previa la implementación y el uso de sistemas de inteligencia artificial y la ruta para la protección del empleo y derechos laborales, permitiendo que presenten observaciones al respecto.

Parágrafo 4. Para el sector público, en ningún caso se podrá desvincular a los trabajadores con derechos de carrera administrativa, los cuales deberán ser reubicados en cargos iguales o mejores condiciones.

ARTÍCULO 13. ACTIVIDADES EXCLUIDAS DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL. Serán excluidas del uso e implementación de los sistemas de inteligencia artificial conforme a la clasificación de los riesgos prevista en el artículo 5° de la presente ley, las siguientes actividades:

1. Manipulación del comportamiento.

2. Explotación de la vulnerabilidad de grupos o personas.

3. Imposición de barreras de acceso o la exclusión de personas mediante la calificación de perfiles para el otorgamiento de créditos.

4. Predicción policiva de conductas delictivas a partir de la elaboración de perfiles demográficos, étnicos o socioeconómicos, la ubicación o comportamientos pasados.

5. Manipulación de emociones, instintos y razones de decisión.

6. Extracción no dirigida de imágenes faciales de internet para la creación de bases de datos de reconocimiento facial.

7. Vigilancia e identificación biométrica remota en tiempo real sin previa autorización judicial.

8. Identificación biométrica para persecución de delitos graves sin autorización judicial.

9. Categorización biométrica basada en género, raza, etnia, etc.

10. Realización de puntuación social o reputacional para la clasificación de personas en función de su comportamiento, estatus socioeconómico o características personales.

11. Influencia en votantes y resultados de procesos electorales.

12. La definición de sentencias y decisiones judiciales o la generación de análisis normativos que configuren un reemplazo del ejercicio de la función jurisdiccional en cabeza de los jueces.

13. Limitar la libertad de expresión.

14. El diseño, fabricación, producción y comercialización de armas y sistemas de armas con autonomía para realizar ataques o ejercer violencia sobre personas y bienes, sin una supervisión humana efectiva y eficiente.

15. Cualquier otra actividad que suponga un daño significativo para la vida, la salud, la seguridad, los derechos humanos y fundamentales o el ambiente, así como dividir y enfrentar entre sí a las personas y los grupos y amenazar la coexistencia armoniosa entre los seres humanos.

ARTÍCULO 14. RESPONSABILIDAD LEGAL EN MATERIA DE INTELIGENCIA ARTIFICIAL.

En el uso e implementación de los sistemas de inteligencia artificial la responsabilidad legal no radica en los algoritmos sino en las personales naturales o jurídicas que los desarrollan y la entidad pública o privada que las contrata, quienes ostentan la capacidad de contraer obligaciones.

PARÁGRAFO 1. Los responsables legales en materia de inteligencia artificial deberán informar y advertir a las autoridades competentes sobre los potenciales riesgos, deficiencias e incidentes graves presentados en el manejo y gestión de esta.

PARÁGRAFO 2. El Ministerio de Tecnologías de la Información y las Comunicaciones en coordinación con la Superintendencia de Industria y Comercio establecerán un guía de responsabilidades y plan de gestión de riesgos en lo concerniente al manejo de Inteligencia Artificial, en un término no mayor a un (1) año a partir de la vigencia de la presente ley.

ARTÍCULO 15. RESPONSABILIDAD SOCIO AMBIENTAL.

En el uso e implementación de los sistemas de inteligencia artificial las empresas públicas o privadas que los desarrollan, propenderán por la lucha contra el cambio climático.

PARÁGRAFO 1. Los responsables legales en materia de inteligencia artificial deberán informar y advertir a las autoridades competentes sobre los potenciales peligros, deficiencias e incidentes graves presentados en el manejo y gestión de esta.

PARÁGRAFO 2. El Ministerio de Tecnologías de la Información y las Comunicaciones en coordinación con el Ministerio de Ambiente y Desarrollo Sostenible establecerán un guía de responsabilidades y plan de gestión de riesgos en lo concerniente al manejo de Inteligencia Artificial, en un término no mayor a un (1) año a partir de la vigencia de la presente ley.

T Í T U L O III.- INSPECCIÓN, CONTROL Y VIGILANCIA EN MATERIA DE INTELIGENCIA

ARTIFICIAL

ARTÍCULO 16. Modifíquese el artículo 19 de la Ley 1581 de 2012, el cual quedará así:

Artículo 19. Autoridad de protección de datos. La Superintendencia de Industria y Comercio, a través de la Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales y en el desarrollo, uso e implementación de los sistemas de inteligencia artificial, se respeten los principios, derechos, garantías y procedimientos previstos en la constitución y la presente ley.

Parágrafo. El Gobierno Nacional en el plazo de seis (6) meses contados a partir de la fecha de entrada en vigencia de la presente ley modificará el Decreto 4886 de 2011 e incorporará dentro de las funciones de la Superintendencia de Industria y Comercio la inspección control y vigilancia en materia de desarrollo, uso e implementación de los sistemas de inteligencia artificial.

ARTÍCULO 17. Modifíquese el artículo 18 de la Ley 1341 de 2009, el cual quedará así:

ARTÍCULO 18. FUNCIONES DEL MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES.

El Ministerio de Tecnologías de la Información y las Comunicaciones tendrá, además de las funciones que determinan la Constitución Política, y la Ley 489 de 1998, las siguientes:

(…)

31. Desarrollar los lineamientos de política pública necesarios para reglamentar y velar por el cumplimiento de la legislación en materia de inteligencia artificial;

32. Promover, divulgar e implementar campañas pedagógicas para capacitar e informar a los ciudadanos acerca de sus derechos, riesgos del desarrollo, uso e implementación de la inteligencia artificial;

33. Crear y administrar el Registro Nacional de la Plataforma de Certificación de Sistemas de Inteligencia Artificial, y emitir las órdenes y los actos necesarios para su administración y funcionamiento.

34. Las demás que le sean asignadas en la ley.

ARTÍCULO 18. AUDITORÍA DE ALGORITMOS.

La Superintendencia de Industria y Comercio implementará procesos de auditoría de los sistemas de inteligencia artificial en proceso de certificación o aquellos que generen riesgos altos, para garantizar la protección de los derechos de los usuarios, sus datos personales de los usuarios y el cumplimiento de lo previsto en la presente ley.

ARTÍCULO 19. PLATAFORMA DE CERTIFICACIÓN DE SISTEMAS DE INTELIGENCIA ARTIFICIAL.

Los productores y proveedores que desarrollen, ofrezcan e instalen inteligencia artificial que desarrollen sistemas de inteligencia artificial deberán registrar sus modelos en la plataforma de certificación que administrará el Ministerio de las Tecnologías de la Información y Comunicaciones quien certificará que se encuentren ajustados a derechos humanos y fundamentales y autorizará su viabilidad.

Los productores nacionales e internacionales que usen sistemas de inteligencia artificial en Colombia deberán rendir un informe anual ante la Superintendencia de Industria y Comercio en el que demuestran, como mínimo, el cumplimiento de las obligaciones señaladas en la presente ley. La autoridad competente deberá constatar el efectivo cumplimiento de las obligaciones y certificará que la actividad se encuentra ajustada a los estándares de esta Ley.

PARÁGRAFO. El proceso de certificación de la inteligencia artificial deberá respetar los derechos de propiedad intelectual de los productores de inteligencia artificial.

En este sentido, la autoridad competente deberá asegurar la reserva de las informaciones y documentos que conozca en el marco de sus funciones.

ARTÍCULO 20. PROHIBICIÓN DE TRANSFERENCIA DE INFORMACIÓN.

Las empresas públicas o privadas que desarrollen sistemas de inteligencia artificial, ostentan prohibición para transferir e intercambiar datos personales destinados al uso e implementación de estos sistemas, salvo que el riesgo que comporte sea nulo y se encuentre excluido de lo previsto en el artículo 13 de la presente ley. En todo caso la Superintendencia de Industria y Comercio fijará los estándares y condiciones para obtener una declaración de conformidad para realizar transferencia internacional de datos personales.

ARTÍCULO 21. PROCEDIMIENTO Y SANCIONES.

La Superintendencia de Industria y Comercio determinará el incumplimiento de lo dispuesto en la presente ley y adoptará las medidas o impondrá las sanciones correspondientes conforme al Capítulo II del Título VII de la Ley 1581 de 2012. Lo anterior sin perjuicio de lo establecido en el artículo 296 del Código Penal.

T Í T U L O IV.- MEDIDAS PARA EL APOYO Y PROMOCIÓN DE LA INTELIGENCIA ARTIFICIAL

ARTÍCULO 22. FORMACIÓN EN MATERIA DE INTELIGENCIA ARTIFICIAL.

El gobierno nacional a través del Ministerio de tecnologías de la información y las comunicaciones adoptará medidas para que la sociedad conozca los beneficios, oportunidades, retos, implicaciones y riesgos para los derechos humanos y fundamentales del desarrollo, uso e implementación de la inteligencia artificial, especialmente a través de la formación de los servidores públicos sobre la materia, para ello promoverá descuentos en los cursos de extensión, diplomados, posgrados en materia tecnológica, dicho tema será reglamentado por el Gobierno Nacional en un plazo no menor a 6 meses.

ARTÍCULO 23. APRENDIZAJE DE LA INTELIGENCIA ARTIFICIAL.

El gobierno nacional a través del Ministerio de tecnologías de la información y las comunicaciones promoverá el desarrollo de campañas sobre el uso responsable de la inteligencia artificial para los estudiantes de las instituciones públicas y privadas, así como se incentivará el desarrollo de cursos de formación en programación responsable.

ARTÍCULO 24. PROMOCIÓN E INCENTIVO AL DESARROLLO, USO E IMPLEMENTACIÓN DE LA INTELIGENCIA ARTIFICIAL:

El gobierno nacional a través del Ministerio de tecnologías de la información y las comunicaciones promoverá el desarrollo, uso e implementación de las inteligencias artificiales y procesos de automatización para promover la educación, la ciencia, la innovación, la investigación, la identidad y diversidad culturales y facilitar los procesos al interior de las entidades estatales para la organización de información.

El Gobierno Nacional propenderá el desarrollo de sistemas y/o programas de inteligencia artificial éticos y responsables con los derechos humanos y fundamentales.

T Í T U L O V.- OTRAS DISPOSICIONES

ARTÍCULO 25. RÉGIMEN DE TRANSICIÓN.

Las empresas públicas o privadas que a la fecha de entrada en vigencia de la presente ley desarrollen, usen o implementen sistemas de inteligencia artificial o alguna de las actividades acá reguladas tendrán un plazo de hasta seis (6) meses contados a partir de la expedición de la reglamentación que trata la presente ley, para adecuarse a dichas disposiciones.

ARTÍCULO 26. REGLAMENTACIÓN.

El Ministerio de Tecnologías de la información y las Comunicaciones en coordinación con el Ministerio de Ciencia, Tecnología e Innovación, el Ministerio de Industria, Comercio y Turismo reglamentará en un período no mayor de un (1) año a partir de la promulgación de esta ley, los lineamientos, criterios, condiciones y disposiciones técnicos y éticos para el desarrollo, uso y manejo de la Inteligencia Artificial en el contexto nacional.

Dicha reglamentación deberá garantizar la protección de los Derechos Humanos y del medio ambiente, en concordancia con las recomendaciones internacionales proferidas sobre el desarrollo y manejo de la Inteligencia artificial, para asegurar la armonía entre el desarrollo tecnológico y el bienestar de la sociedad en general, estableciendo un equilibrio que promueva el desarrollo responsable y ético de la Inteligencia Artificial.

PARÁGRAFO 1. Las autoridades anteriormente mencionadas en articulación con la Superintendencia de Industria y Comercio deberán establecer un plan de seguimiento, control, vigilancia y evaluación para el cumplimiento de la reglamentación acerca del manejo y uso de la Inteligencia Artificial en un término no mayor de (1) año a partir de la promulgación de esta ley.

PARÁGRAFO 2. El Gobierno Nacional promoverá y fomentará la participación e inclusión ciudadana a través de las veedurías para asegurar la transparencia y seguridad en la gestión de la Inteligencia Artificial.

ARTÍCULO 27. COOPERACIÓN NACIONAL E INTERNACIONAL.

El Gobierno Nacional promoverá la cooperación y colaboración de las diferentes entidades, empresas y organizaciones nacionales e internacionales en materia de investigación, sensibilización, innovación, gestión y manejo ético e integral para el avance responsable de la Inteligencia Artificial.

ARTÍCULO 28. VIGENCIA Y DEROGACIONES.

La presente ley rige a partir de su sanción y publicación en el Diario Oficial y deroga todas las disposiciones legales o reglamentarias que le sean contrarias.

Atentamente,

KARYME COTES MARTÍNEZ , Coordinadora Ponente

ALIRIO URIBE MUÑOZ, Coordinador Ponente

ASTRID SÁNCHEZ MONTES DE OCA, Ponente

CATHERINE JUVINAO CLAVIJO, Ponente

MIGUEL POLO POLO, Ponente

OSCAR RODRIGO CAMPO, Ponente

ORLANDO CASTILLO ADVÍNCULA, Ponente

LUIS ALBERTO ALBÁN URBANO, Ponente

MARELEN CASTILLO TORRES, Ponente

22Oct/24

Radicación Proyecto de Ley Estatutaria nº de 6 de agosto de 2024, por la cual se define y regula la Inteligencia Artificial

22 octubre, 2024Colombia, Proyecto de LeyAuditoria de Algoritmos, Derecho Informático, Legislación Colombia, Legislación Informática, Ley 1266 de 2008, Ley 1581 de 2012, Ministerio Tecnologías de la Información y Comunicaciones, Responsabilidad legal IA, Responsabilidad Socio AmbientalJosé Cuervo

Radicación Proyecto de Ley Estatutaria nº de 6 de agosto de 2024, por la cual se define y regula la Inteligencia Artificial, se ajusta a estándares de Derechos Humanos, se establecen límites frente a su desarrollo, uso e implementación, se modifica parcialmente la Ley 1581 de 2012 y se dictan otras disposiciones.

Bogotá D.C., 06 de agosto de 2024

Doctor

JAIME LUIS LACOUTURE PEÑALOZA

Secretario General Cámara de Representantes

Ciudad

REF: RADICACIÓN PROYECTO DE LEY ESTATUTARIA “POR LA CUAL SE DEFINE Y REGULA LA INTELIGENCIA ARTIFICIAL, SE AJUSTA A ESTÁNDARES DE DERECHOS HUMANOS, SE ESTABLECEN LÍMITES FRENTE A SU DESARROLLO, USO E IMPLEMENTACIÓN SE MODIFICA PARCIALMENTE LA LEY 1581 DE 2012 Y SE DICTAN OTRAS DISPOSICIONES”

En nuestra condición de miembros del Congreso de la República y en uso del derecho consagrado en los artículos 150, 151 y 154 de la Constitución Política de Colombia, por su digno conducto nos permitimos poner a consideración de la Honorable Cámara de Representantes el siguiente Proyecto de Ley Estatutaria “Por la cual se define y regula la inteligencia artificial, se ajusta a estándares de derechos humanos, se establecen límites frente a su desarrollo, uso e implementación se modifica parcialmente la ley 1581 de 2012 y se dictan otras disposiciones”

Cordialmente,

KARYME COTES MARTÍNEZ ALIRIO URIBE MUÑÓZ

Representante a la Cámara Representante a la Cámara

PROYECTO DE LEY N.° _______ DE 2024

EL CONGRESO DE COLOMBIA,

DECRETA:

T Í T U L O I.- D I S P O S I C I O N E S G E N E R A L E S

ARTÍCULO 1. OBJETO.

La presente ley tiene por objeto definir y regular la inteligencia artificial ajustándola a estándares de respeto y garantía de los derechos humanos, así como regular y promover su desarrollo y establecer límites frente a su uso, implementación y evaluación por parte de personas naturales y jurídicas.

ARTÍCULO 2. ÁMBITO DE APLICACIÓN.

Las disposiciones de esta ley son aplicables a la inteligencia artificial de las personas naturales o jurídicas, proveedores nacionales y extranjeros, salvo regulación especial.

Los principios y disposiciones contenidos en la presente ley serán aplicables a:

a. Los Productores que desarrollen inteligencia artificial y/u ofrezcan la inteligencia artificial en territorio colombiano o fuera del territorio colombiano, sí el funcionamiento de la inteligencia artificial produce efectos en el territorio colombiano.

b. Los proveedores que ofrezcan y presten el servicio de instalación y funcionamiento inteligencia artificial fuera del territorio colombiano, sí la instalación y funcionamiento de inteligencia artificial produce efectos en el territorio colombiano.

c. Los usuarios de la inteligencia artificial ubicados en el territorio colombiano.

Esta regulación no aplicará a la inteligencia artificial que:

a. Se desarrolla en el marco de actividades de carácter educativo o académico o científico en instituciones educativas de educación básica primaria y básica secundaria e instituciones de educación superior ubicadas en el territorio colombiano, siempre que la inteligencia artificial no se instalada y entre en funcionamiento de manera permanente en la misma institución, actividades de terceros o por fuera del ámbito educativo o científico.

b. Sea empleada por usuarios persona natural no comerciante en el marco de actividades de índole personal y no profesionales o que afecten a terceros.

ARTÍCULO 3. DEFINICIONES.

Para efectos de la aplicación e interpretación de la presente ley se establecen las siguientes definiciones:

Dato personal: Cualquier información asociada a una o varias personas naturales determinadas o determinables que permita desarrollar algoritmos y crear programas informáticos.

Productor de inteligencia artificial: Persona natural o jurídica nacional o extranjera, pública o privada, que diseña, produzca, implementa y desarrolla la inteligencia artificial en el mercado o para actividades concretas de un usuario.

Responsable del tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el tratamiento de los datos destinados al desarrollo, uso o implementación de sistemas de inteligencia artificial.

PARÁGRAFO. Los elementos técnicos y su aplicación de la definición de la Inteligencia Artificial dispuesta en el presente artículo se sujetarán a la reglamentación que expida el Ministerio de Tecnológicas de la Información y Comunicaciones de Colombia, garantizando la participación ciudadana.

ARTÍCULO 4. PRINCIPIOS.

El desarrollo, interpretación y aplicación de la presente ley se realizará con arreglo a los siguientes principios:

Principio de respeto: El desarrollo y el uso de la inteligencia artificial estará limitado por la preservación irrestricta de la dignidad humana y los derechos fundamentales.

Principio de bienestar integral: El desarrollo y aplicación de la inteligencia artificial estará orientado al mejoramiento de la calidad de vida de las personas, reconociendo sus riesgos y potenciales impactos negativos.

Principio de responsabilidad: Las personas que se vean perjudicadas con ocasión de los impactos negativos o vulneración generada del desarrollo de la inteligencia artificial, tendrán garantizado el derecho a reclamar indemnización o reparación a la que haya lugar ante las entidades públicas o privadas responsables.

Principio de supervisión y prevalencia de la inteligencia humana: Se preferirá la decisión humana respecto de los resultados derivados de la Inteligencia Artificial. Toda decisión tomada por las inteligencias artificiales será susceptible de revisión humana y será responsabilidad ética y legal de personas naturales y jurídicas.

principio de privacidad y confidencialidad: El uso e implementación de la inteligencia artificial propenderá por la no intrusión y perturbación de los asuntos privados de las personas.

Principio de seguridad y protección: La información que permita desarrollar algoritmos y crear programas informáticos deberá gozar de confidencialidad e integridad.

Principio de desarrollo sostenible: El uso e implementación de la inteligencia artificial estará orientado a potenciar el desarrollo de la tecnología con consideraciones sociales y medioambientales.

Principio de inclusión: La información que permita el uso e implementación de la inteligencia artificial no debe discriminar a ningún grupo, ni ser utilizada en perjuicio de este, y el desarrollo de la inteligencia artificial se realizará con perspectiva de género y diversidad sexual.

Principio de proporcionalidad o inocuidad: El desarrollo de inteligencias artificiales estará justificado a través de evidencia científica robusta que garantice la conveniencia de su desarrollo y aplicación en beneficio de las personas, la humanidad y el ambiente. Quedarán prohibidos los desarrollos de Inteligencias artificiales que atenten contra los Derechos Humanos.

Principio de transparencia y explicabilidad: Los desarrollos, resultados y subprocesos de las Inteligencias artificiales serán inteligibles, trazables, explicables y comprensibles. La ciudadanía deberá conocer el propósito y alcance de cada componente algorítmico y la forma en que contribuye a los resultados de los sistemas, para saber los motivos por los que la Inteligencia Artificial llega a una u otra conclusión o decisión.

Principio de responsabilidad y rendición de cuentas: Los creadores de inteligencias artificiales e intermediarios deben asumir las consecuencias éticas y jurídicas por las tecnologías que diseñen e implementen de conformidad con el ordenamiento jurídico vigente. El sector público tendrá la obligación de rendir cuentas y crear mecanismos de supervisión a lo largo de todas las etapas que sean auditables y trazables.

Principio de confidencialidad: Todas las personas que intervengan en los procesos de inteligencia artificial están obligadas a garantizar la reserva de la información privada que tengan, pudiendo sólo realizar suministro comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la ley 1581 de 2012.

PARÁGRAFO. Se entenderán igualmente como principios los establecidos en las leyes estatutarias 1266 de 2008 y 1581 de 2012.

ARTICULO 5: VALORES.

El desarrollo, interpretación y aplicación de la presente ley se realizará con arreglo de los siguientes valores:

Diversidad e inclusión: Los creadores e implementadores de las inteligencias artificiales garantizarán el respeto, protección y promoción de la diversidad e inclusión activa de todos los grupos y personas con independencia de su raza, color, ascendencia, genero edad, idioma, religión, opiniones políticas, origen regional, étnico o social, condición económica, discapacidad o cualquier otro motivo, respetando especialmente la diversidad en las elecciones de estilos de vida, creencias, opiniones o expresiones individuales.

T Í T U L O II.- CONDICIONES PARA EL DESARROLLO, USO E IMPLEMENTACIÓN DE LA INTELIGENCIA ARTIFICIAL

ARTÍCULO 6. CLASIFICACIÓN DEL RIESGO DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL.

Los sistemas o programas informáticos que usen e implementen la inteligencia artificial serán identificados según el riesgo por los productores y proveedores de la siguiente manera:

Riesgo inaceptable: Constituye riesgo inaceptable aquel que genera afectación a la seguridad, la subsistencia y los derechos humanos y fundamentales, y por tanto está proscrito.

Alto riesgo: Constituye alto riesgo aquel que, no siendo inaceptable, corresponde a actividades susceptibles de automatización admisibles bajo el mantenimiento de la calidad de los datos y facilidad de supervisión humana pero que eventualmente puede limitar algunos derechos humanos y fundamentales.

Riesgo limitado: Constituye riesgo limitado aquel que se deriva del uso e implementación de chatbots o robots conversacionales.

Riesgo nulo: Constituye riesgo nulo aquel derivado del uso e implementación de sistemas que no afectan los derechos y la seguridad de los usuarios.

PARÁGRAFO 1. La clasificación de riesgos genera obligaciones diferenciadas para los proveedores y usuarios, según lo contemplado en la ley.

PARÁGRAFO 2. Dentro del Reglamento que se expida se deberán identificar los sistemas o programas de inteligencia artificial que se consideren de riesgo inaceptable

ARTÍCULO 7. USO DE LA INTELIGENCIA ARTIFICIAL.

PARÁGRAFO. Cualquier organización, tanto pública como privada, tendrá la facultad de ajustar sus reglamentos internos para determinar, cómo y hasta qué punto se utilizará la inteligencia artificial. Esta adaptación deberá realizarse respetando los derechos de autor y propiedad intelectual.

ARTÍCULO 8. AFECTACIONES DERIVADAS DE LA INTELIGENCIA ARTIFICIAL.

ARTÍCULO 9. TRANSPARENCIA EN EL USO DE LA INTELIGENCIA ARTIFICIAL.

a. Una descripción detallada de las operaciones de tratamiento de datos personales que involucre el desarrollo de la inteligencia artificial.

b. Una evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales.

c. Las medidas previas para afrontar los riesgos.

PARÁGRAFO 1. Las entidades que tengan la intención de emplear la inteligencia artificial deberán asegurar la realización de capacitaciones orientadas al uso adecuado y responsable de esa tecnología para del personal

PARÁGRAFO 2. Dicha evaluación deberá ser presentada ante el Ministerio de las TICs entidad encargada de almacenar y hacerle seguimiento a las evaluaciones presentadas

ARTÍCULO 10. CONSENTIMIENTO INFORMADO.

PARÁGRAFO 3. Los productores y proveedores deberán responder solidariamente por los vicios ocultos de la inteligencia artificial.

ARTÍCULO 11. ALFABETIZACIÓN DIGITAL.

El Ministerio de Educación Nacional formulará, dentro de los seis meses siguientes a la entrada en vigencia de la presente ley, políticas de alfabetización digital con énfasis en el uso responsable y ético de los sistemas y/o programas de inteligencia artificial. Estas políticas se implementarán para estudiantes de educación básica, media y superior, con el único fin de entregar insumos necesarios a los jóvenes para el uso de las inteligencias artificiales.

ARTÍCULO 12. GARANTÍA DE ESTABILIDAD LABORAL.

Las empresas públicas o privadas que con ocasión del uso e implementación de los sistemas de inteligencia artificial supriman puestos de trabajo, deberán ubicar al trabajador desfavorecido en un puesto de trabajo de iguales o superiores condiciones por un término igual al del contrato laboral que se encuentre vigente al momento de la supresión del puesto de trabajo; una vez vencido, el empleador podrá gestionar la desvinculación del trabajador, conforme a la legislación laboral vigente.

PARÁGRAFO. Para el sector público, en ningún caso se podrá desvincular a los trabajadores con derechos de carrera administrativa, los cuales deberán ser reubicados en cargos iguales o mejores condiciones.

ARTÍCULO 13. ACTIVIDADES EXCLUIDAS DE LOS SISTEMAS DE INTELIGENCIA ARTIFICIAL.

Serán excluidas del uso e implementación de los sistemas de inteligencia artificial conforme a la clasificación de los riesgos prevista en el artículo 5° de la presente ley, las siguientes actividades:

1. Manipulación del comportamiento

2. Explotación de la vulnerabilidad de grupos o personas

3. Calificación de perfiles para el otorgamiento de créditos

4. Predicción policiva de conductas delictivas a partir de la elaboración de perfiles, ubicación o comportamientos pasados

5. Manipulación de emociones

6. Extracción no dirigida de imágenes faciales de internet para la creación de bases de datos de reconocimiento facial

7. Vigilancia e identificación biométrica remota en tiempo real sin previa autorización judicial

8. Identificación biométrica para persecución de delitos graves sin autorización judicial

9. Categorización biométrica basada en género, raza, etnia, etc.

10. Realización de puntuación social o reputacional para la clasificación de personas en función de su comportamiento, estatus socioeconómico o características personales

11. Influencia en votantes y resultados de procesos electorales

12. Definición de sentencias y decisiones judiciales.

13. Limitar la libertad de expresión

14. Cualquier otra actividad que suponga un daño significativo para la vida, la salud, la seguridad, los derechos humanos y fundamentales o el ambiente, así como dividir y enfrentar entre sí a las personas y los grupos y amenazar la coexistencia armoniosa entre los seres humanos

ARTÍCULO 14. RESPONSABILIDAD LEGAL EN MATERIA DE INTELIGENCIA ARTIFICIAL.

En el uso e implementación de los sistemas de inteligencia artificial la responsabilidad legal no radica en los algoritmos sino en las empresas públicas o privadas que los desarrollan y la entidad pública o privada que las contrata, quienes ostentan la capacidad de contraer obligaciones.

ARTÍCULO 15. RESPONSABILIDAD SOCIO AMBIENTAL. En el uso e implementación de los sistemas de inteligencia artificial las empresas públicas o privadas que los desarrollan, propenderán por la lucha contra el cambio climático.

T Í T U L O III.- INSPECCIÓN, CONTROL Y VIGILANCIA EN MATERIA DE INTELIGENCIA ARTIFICIAL

ARTÍCULO 16. Modifíquese el artículo 19 de la Ley 1581 de 2012, el cual quedará así:

Artículo 19. autoridad de protección de datos. La Superintendencia de Industria y Comercio, a través de la Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales y en el desarrollo, uso e implementación de los sistemas de inteligencia artificial, se respeten los principios, derechos, garantías y procedimientos previstos en la constitución y la presente ley.

ARTÍCULO 17. Modifíquese el artículo 18 de la Ley 1341 de 2009, el cual quedará así:

ARTÍCULO 18. FUNCIONES DEL MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES.

El Ministerio de Tecnologías de la Información y las Comunicaciones tendrá, además de las funciones que determinan la Constitución Política, y la Ley 489 de 1998, las siguientes:

(…)

31. Velar por el cumplimiento de la legislación en materia de inteligencia artificial;

33. Administrar el Registro Nacional de la Plataforma de Certificación de Sistemas de Inteligencia Artificial, y emitir las órdenes y los actos necesarios para su administración y funcionamiento.

34. Las demás que le sean asignadas en la ley.

ARTÍCULO 18. AUDITORÍA DE ALGORITMOS.

ARTÍCULO 19. PLATAFORMA DE CERTIFICACIÓN DE SISTEMAS DE INTELIGENCIA ARTIFICIAL.

Los productores y proveedores que desarrollen, ofrezcan e instalen inteligencia artificial que desarrollen sistemas de inteligencia artificial deberán registrar sus modelos en la plataforma de certificación que administrará el Ministerio de las Tecnologías de la información y comunicaciones quien certificará que se encuentren ajustados a derechos humanos y fundamentales y autorizará su viabilidad.

Los productores nacionales de inteligencia artificial deberán demostrar, como mínimo, el cumplimiento de las obligaciones señaladas en la presente ley ante la Superintendencia de Industria y Comercio. La autoridad competente deberá constatar el efectivo cumplimiento de las obligaciones y certificará que se encuentra ajustado a los estándares de esta ley.

PARÁGRAFO. El proceso de certificación de la inteligencia artificial deberá respetar los derechos de propiedad intelectual de los productores de inteligencia artificial. En este sentido, la autoridad competente deberá asegurar la reserva de las informaciones y documentos que conozca en el marco de sus funciones.

ARTÍCULO 20. PROHIBICIÓN DE TRANSFERENCIA DE INFORMACIÓN.

ARTÍCULO 21. PROCEDIMIENTO Y SANCIONES.

T Í T U L O IV.- MEDIDAS PARA EL APOYO Y PROMOCIÓN DE LA INTELIGENCIA ARTIFICIAL

ARTÍCULO 22. FORMACIÓN EN MATERIA DE INTELIGENCIA ARTIFICIAL.

ARTÍCULO 23. APRENDIZAJE DE LA INTELIGENCIA ARTIFICIAL.

ARTICULO 24. PROMOCIÓN E INCENTIVO AL DESARROLLO E IMPLEMENTACION DE LA INTELIGENCIA ARTIFICIAL:

El Gobierno Nacional propenderá el desarrollo de sistemas y/o programas de inteligencia artificial éticos y responsables con los derechos humanos y fundamentales.

T Í T U L O V.- OTRAS DISPOSICIONES

ARTÍCULO 25. RÉGIMEN DE TRANSICIÓN.

Las empresas públicas o privadas que a la fecha de entrada en vigencia de la presente ley desarrollen, usen o implementen sistemas de inteligencia artificial o alguna de las actividades acá reguladas tendrán un plazo de hasta seis (6) meses para adecuarse a las disposiciones contempladas en esta ley.

ARTÍCULO 26. REGLAMENTACIÓN.

ARTICULO 27. COOPERACIÓN NACIONAL E INTERNACIONAL.

ARTÍCULO 28. VIGENCIA Y DEROGACIONES.

La presente ley rige a partir de su sanción y publicación en el Diario Oficial y deroga todas las disposiciones legales o reglamentarias que le sean contrarias.

Cordialmente,

KARYME COTES MARTÍNEZ ALIRIO URIBE MUÑÓZ

Representante a la Cámara Representante a la Cámara

E X P O S I C I O N DE M O T I V O S

1. OBJETO DEL PROYECTO

2. ANTECEDENTES

Esta iniciativa se presentó en el Congreso de la República en la Legislatura 2023 – 2024 por los congresistas: Karyme Adrana Cotes Martínez , Alirio Uribe Muñoz, María Eugenia Lopera Monsalve, Sandra Bibiana Aristizábal Saleg, Carmen Felisa Ramírez Boscán, Gilma Díaz Arias, Flora Perdomo Andrade, Dolcey Oscar Torres Romero, Mónica Karina Bocanegra Pantoja, Jezmi Lizeth Barraza Arraut, Piedad Correal Rubiano, Álvaro Leonel Rueda Caballero, Jhoany Carlos Alberto Palacios Mosquera, Hugo Alfonso Archila Suárez, Etna Tamara Argote Calderón, Eduard Giovanny Sarmiento, Hidalgo, Pedro José Súarez Vacca, Gabriel Becerra Yañez,David Alejandro Toro Ramírez y Jorge Hernán Bastidas Rosero. No obstante, este proyecto de ley estatuaria fue archivado en virtud del artículo 190 de la Ley 5ta de 1992.

El 01 de diciembre de 2022 se adelantó una audiencia pública en el recinto de la Comisión Primera Constitucional llamada “Inteligencia Artificial en Colombia: Iniciativas para una regulación con enfoque de DDHH”1. En este escenario participaron organizaciones de Derechos Humanos, docentes, miembros de la academia y representantes del Estado, puntualmente del Ministerio de Defensa, el Ministerio de las TIC y el Ministerio de Ciencia y Tecnología. Sobre la regulación de las Inteligencias Artificiales, en la audiencia conocimos que Naciones Unidas en 2021, fijó el primer acuerdo internacional sobre la ética de la inteligencia artificial.

“La inteligencia Artificial puede violar derechos humanos y ser utilizada en procesos de discriminación y racialización; es necesario reglar el desarrollo y uso de las IA para evitar que sobrepasen límites éticos de la humanidad”. Este es uno de los principales desenlaces a las que llegamos en la audiencia pública. En conclusión, en el mundo, cada vez más los Estados se alejan más de los principios de “soft law” o leyes blandas que dejan a la ética de los desarrolladores el control sobre la I.A. y se acercan más a la creación de estándares legales que regulen la temática. Por lo tanto, es necesario que Colombia también emprenda este camino regulatorio.

3. JUSTIFICACIÓN DEL PROYECTO

Desde que se empezó a utilizar la IA hemos visto sus beneficios, pero también los riesgos para los derechos humanos que supone su uso indiscriminado, como una consecuencia natural, a veces inevitable, y tolerable a cambio de los beneficios que ofrece la inteligencia artificial como la agilidad y la eficiencia en las relaciones. con la administración pública, gestión documental, detección de errores procesales, etc. Sin embargo, se ha observado que los derechos humanos corren un riesgo considerable. Por ejemplo, en el ámbito de la salud, la inteligencia artificial puede realizar diagnósticos y predicción de riesgos, prescripción de tratamientos, cirugía robótica, asistencia médica remota, procesamiento de imágenes, mapas sanitarios, control de transmisión de enfermedades, etc. Sin embargo, existen riesgos claros en términos de impactar el derecho a la integridad personal, el procesamiento de datos personales altamente sensibles, la autonomía del paciente, el consentimiento y el control humano sobre la toma de decisiones finales del sistema. En el ámbito de la seguridad civil, la Inteligencia Artificial puede resultar muy útil en identificación biométrica, registro de actividades, análisis de comportamiento, interceptación y análisis de comunicaciones, búsqueda de personas desaparecidas, etc. Sin embargo, se volvió a llamar la atención sobre los riesgos del uso indebido de datos personales, en particular la preocupación por la dependencia de sesgos discriminatorios en la inteligencia prospectiva con fines de vigilancia policial predictiva .

En el ámbito judicial, la inteligencia artificial facilita la sistematización y búsqueda de información jurídica útil para jueces, abogados y la sociedad en su conjunto, y permite predicciones basadas en decisiones judiciales que se han dictado y pueden ser reproducidas, pero no tiene capacidad de argumentación y garantiza imparcialidad, precisión y decisión adecuada, lo que la hace vulnerable a “resultados inexactos, discriminatorios, sesgos implícitos o inherentes” . Acelerar el acceso a la justicia no conducirá a una sociedad más justa si no se garantiza que las decisiones del sistema sean justas, correctas y ajustadas a derecho.

No obstante, la iniciativa más ambiciosa la ha hecho la Unión Europea y se fundamenta en el riesgo que los sistemas de inteligencia artificial representen para las libertades individuales. Igualmente ha habido iniciativas multilaterales para desarrollar directrices y normas para un uso ético y responsable de la IA, como los principios de la OCDE sobre la IA que Colombia acogió conforme lo manifestó el Ministerio de las TIC. , la Alianza Mundial sobre la IA, la Recomendación sobre la ética de la IA de la Unesco que Colombia también adoptó según manifestó el Ministerio de las TIC , las recomendaciones del Consejo de Europa sobre un posible marco jurídico en materia de IA y las orientaciones políticas de UNICEF sobre la IA para los niños. Pero respecto a iniciativas de regulación sobre la materia tenemos otros países como Chile (Decreto 20 del 3 de diciembre de 2021 sobre la Política Nacional de Inteligencia Artificial), Argentina (Plan Nacional de IA de agosto de 2018), Uruguay (Ley de protección de datos de 2008, Art. 16), México (Ley Federal de Telecomunicaciones y Radiodifusión – 2014, Decreto Ejecutivo Nacional de Ventanilla Única – 2015, y el Decreto Ejecutivo sobre Datos Abiertos – 2015), Brasil (Decreto Ejecutivo N.° 9.854 del 25 de junio de 2019, Decreto Ejecutivo N.° 9.319, del 21 de marzo de 2018, Ley General de Protección de Datos Personales de Brasil, Ley de Derechos de Internet de Brasil – Marco Civil de Internet, Decreto No. 8.771 de 2016).

2.1. Experiencia internacional

(i) brindar un marco universal de valores, principios y acciones para orientar a los Estados en la formulación de leyes y políticas,

(ii) orientar a las personas que participan en los sistemas de Inteligencia Artificial en una perspectiva ética,

(iii) promover el respeto a los derechos humanos,

(iv) fomentar el diálogo multidisciplinario sobre cuestiones éticas de la inteligencia artificial y

(v) impulsar el acceso equitativo sobre beneficios y avances de la inteligencia artificial.

– Hay cuatro valores que son

(i) el respeto, protección y promoción de los derechos humanos, libertades fundamentales y la dignidad humana,

(ii) prosperidad del medio ambiente y los ecosistemas,

(iii) garantizar la diversidad y la inclusión y

(iv) vivir en sociedades pacíficas justas e interconectadas.

– Los principios enunciados son

(i) el de proporcionalidad e inocuidad,

(ii) seguridad y protección,

(iii) equidad y no discriminación,

(iv) sostenibilidad,

(v) derecho a la intimidad y protección de datos,

(vi) supervisión y decisión humanas,

(vii) transparencia y explicabilidad,

(vii) responsabilidad y rendición de cuentas,

(viii) sensibilización y educación y

(ix) gobernanza y colaboración adaptativas y de múltiples partes interesadas.

– Los ámbitos de acción política que se proponen en el proyecto son una forma en que la UNESCO propone materializar valores y principios y son once:

(i) Evaluación del impacto ético,

(ii) gobernanza y administración éticas,

(iii) política de datos,

(iv) desarrollo y cooperación internacional,

(v) medio ambiente y ecosistemas,

(vi) género,

(vii) cultura,

(viii) educación e investigación,

(ix) comunicación e información,

(x) economía y trabajo y

(xi) salud y bienestar social.

Es así que esta propuesta legislativa, recoge los principios y valores sugeridos por la UNESCO en esta propuesta de reglamentación. Por otro lado, dentro del contenido destacado de esta declaración está el reconocimiento de un enfoque de derechos amplio, promoviendo que todo desarrollo debe ser un avance para la humanidad, insistiendo en que no exista brechas en la seguridad y protección de las personas y sus datos, que haya una constante auditoria y supervisión, así como que haya transparencia sobre los algoritmos de Inteligencia Artificial cuando toman determinada decisión. De la misma manera, al reconocerse un ámbito amplio de acción política se describen acciones concomitantes que se deben tomar al momento de regular un fenómeno como el de la inteligencia artificial, por lo que la UNESCO hace un llamado a que, si bien un instrumento para reglamentar la inteligencia artificial es necesario, hay muchos temas con reglamentaciones propias que deben ser tenidas en cuenta.

El marco legal en comento son dos reglamentos; El primero propone un marco regulatorio para la IA, traduciendo los principios éticos en obligaciones legales, ya que “los principios morales compartidos sólo son válidos si se basan en la ley” y los códigos de ética son un buen punto de partida, pero no garantizan que los desarrolladores, implementadores y usuarios actúen de manera justa o que las personas y sus derechos fundamentales estén protegidos de manera efectiva. Dentro de este marco legal, el respeto a la dignidad humana, la autodeterminación humana, la prevención del daño, la equidad, la inclusión y la transparencia, la eliminación de la discriminación y los prejuicios, y como servicio técnico a las personas, la seguridad, transparencia y rendición de cuentas del sistema se convertirá en una obligación legal, ajustada a derecho y compatible con “todos los regímenes jurídicos aplicables”, en particular el Derecho internacional humanitario y el Derecho internacional de los derechos humanos, y por supuestos que sea conforme a la legislación, los principios y los valores de la Unión.

4. CONTENIDO DEL PROYECTO

Para efectos del presente proyecto, se define la inteligencia artificial como un “Conjunto de técnicas informáticas o sistema computacional que permiten desarrollar algoritmos y crear programas informáticos para ejecutar objetivos definidos por humanos, hacer predicciones, recomendaciones, tomar decisiones o cualquier tarea que requiera inteligencia como el razonamiento o el aprendizaje”. A partir de allí, se pretende generar un marco normativo basado en los siguientes deberes:

* Establecer un sistema que permita que las personas que se han visto perjudicadas por sistemas de inteligencia artificial puedan ejercer su derecho de defensa para garantizar sus derechos.

Considerando que Colombia suscribió la recomendación para la implementación de la Inteligencia Artificial del Consejo de Inteligencia Artificial y adoptó la recomendación sobre la ética de la IA de la Unesco , se tiene que los principios establecidos por tales instrumentos fueron incorporados en el articulado con el fin de materializarlos en virtud de la normatividad que se pretende integrar al ordenamiento jurídico colombiano por medio de esta iniciativa; lo anterior, es concordante con lo planteado por el parlamento europeo que ha sugerido que la legislación digital debe basarse en principios y con un enfoque basado en el riesgo y en el respeto de los derechos fundamentales.

El proyecto está dividido en cinco títulos y contiene 24 artículos además de la vigencia, los cuales se describen a continuación:

El Título III denominado INSPECCIÓN, CONTROL Y VIGILANCIA EN MATERIA DE INTELIGENCIA ARTIFICIAL define la autoridad encargada de garantizar el respeto de los principios y derechos humanos que puedan verse afectados con ocasión del desarrollo, uso e implementación de los sistemas de inteligencia artificial. Igualmente se establecen herramientas que le permiten ejercer a la autoridad la inspección, control y vigilancia de manera eficiente, así como también, se prevé lo concerniente al procedimiento y sanciones frente a la transgresión de la ley.

El Título IV contiene MEDIDAS PARA EL APOYO Y PROMOCIÓN DE LA INTELIGENCIA ARTIFICIAL al establecer responsabilidades a cargo del gobierno nacional para la difusión de la información relacionada con el desarrollo, uso e implementación de la inteligencia artificial, así como sus implicaciones y riesgos.

4. TRÁMITE

El artículo 207 de la Ley 5° de 1992 determina las materias que se tramitan como proyectos de ley estatutaria, a saber:

1. Derechos y deberes fundamentales de las personas y los procedimientos y recursos para su protección.

2. Administración de justicia. 3. Organización y régimen de los partidos y movimientos políticos.

4. Estatuto de la oposición y funciones electorales, reglamentando la participación de las minorías (art. 112 inc. 3 constitucional).

5. Instituciones y mecanismos de participación ciudadana.

6. Estados de excepción, regulando las facultades que de ellos se originan (art. 214 ord. 2 constitucional).

5. CONFLICTO DE INTERESES

De acuerdo con el artículo 291 de la Ley 5ª de 1992 -Reglamento Interno del Congreso- modificado por el artículo 3° de la Ley 2003 de 2019, establece que: “el autor del proyecto y el ponente presentarán en el cuerpo de la exposición de motivos un acápite que describa las circunstancias o eventos que podrían generar un conflicto de interés para la discusión y votación del proyecto, de acuerdo con el artículo 286. Estos serán criterios guías para que los otros congresistas tomen una decisión en torno a si se encuentran en una causal de impedimento, no obstante, otras causales que el Congresista pueda encontrar”.

Cordialmente,

KARYME COTES MARTÍNEZ ALIRIO URIBE MUÑÓZ

Representante a la Cámara Representante a la Cámara

20Oct/24

COM/2021/118 final, de 9 de marzo de 2021.

20 octubre, 2024Comunicación Comisión EuropeaBrujula Digital 2030, Cartografiar la trayectoria de la UE, Ciudadanía digital, Competencias digitales, Decenio digital, Derecho Informático, Digitalización servicios públicos, Estrategia de Conectividad UE-Asia, Estrategia Europea de Datos, Infraestructuras digitales, Legislación Informática, Legislación Unión Europea, Pacto Verde Europeo, Pasaporte digital, Soluciones sanitarias, Tecnología Digital, Telemedicina, Transformación digital empresasJosé Cuervo

COM/2021/118 final, de 9 de marzo de 2021. Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de Las Regiones. Brújula Digital 2030: el enfoque de Europa para el Decenio Digital.

Bruselas, 9.3.2021

COM(2021) 118 final

COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO, AL COMITÉ ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ DE LAS REGIONES

Brújula Digital 2030: el enfoque de Europa para el Decenio Digital

1. AUNAMIENTO DE FUERZAS: LA TRANSFORMACIÓN DIGITAL PARA LA RESILIENCIA DE EUROPA

En tan solo un año, la pandemia de COVID-19 ha cambiado radicalmente el papel y la percepción de la digitalización en nuestras sociedades y economías, y ha acelerado su implantación. Las tecnologías digitales son ahora esenciales para trabajar, aprender, entretenerse, socializar, comprar y acceder a todo tipo de cosas, desde los servicios sanitarios hasta la cultura. También ha demostrado el papel decisivo que puede desempeñar una innovación disruptiva (1). Asimismo, la pandemia ha puesto de manifiesto las vulnerabilidades de nuestro espacio digital, su dependencia de tecnologías no europeas y el impacto de la desinformación en nuestras sociedades democráticas.

A la luz de estos retos, nuestra ambición declarada es más pertinente que nunca: aplicar políticas digitales que capaciten a las personas y las empresas para aprovechar un futuro digital centrado en el ser humano, sostenible y más próspero.

Europa tendrá que aprovechar sus puntos fuertes: un mercado único abierto y competitivo, normas sólidas que incorporan los valores europeos, ser un participante activo en el comercio internacional justo y basado en normas, y disponer de una base industrial sólida, ciudadanos muy cualificados y una sociedad civil robusta.

Al mismo tiempo, debe evaluar y abordar cuidadosamente cualquier deficiencia estratégica, vulnerabilidad y dependencia de alto riesgo que ponga en peligro la consecución de sus ambiciones, y tiene que acelerar la inversión asociada (2).

Así es como Europa puede ser digitalmente soberana en un mundo interconectado mediante la creación y el despliegue de capacidades tecnológicas que capaciten a las personas y las empresas para aprovechar el potencial de la transformación digital y ayuden a lograr una sociedad más sana y ecológica (3).

En el Discurso sobre el Estado de la Unión de septiembre de 2020, la presidenta Von der Leyen abogó por que Europa garantice la soberanía digital con una visión común de la UE para 2030, sobre la base de objetivos y principios claros. La presidenta hizo especial hincapié en una «nube europea», el liderazgo en una inteligencia artificial ética, una identidad digital segura para todos y unas infraestructuras de datos, superordenadores y conectividad sumamente mejoradas. En respuesta a esto, el Consejo Europeo invitó a la Comisión a presentar una «Brújula Digital» completa en marzo de 2021, en la que se expusieran las ambiciones digitales para 2030, se estableciera un sistema de seguimiento y se esbozaran los hitos y los medios para alcanzar estas ambiciones.

Este impulso político requiere una intensificación del trabajo comenzado en el pasado decenio para acelerar la transformación digital de Europa: proseguir los avances hacia un mercado único digital (4) efectivo e intensificar las acciones definidas en la estrategia para Configurar el futuro digital de Europa (5). La estrategia estableció un programa de reformas (6) que ya se ha iniciado con la Ley de gobernanza de datos, la Ley de servicios digitales, el Reglamento sobre mercados digitales y la Estrategia de Ciberseguridad. Una serie de instrumentos presupuestarios de la Unión apoyarán las inversiones necesarias para la transición digital, incluidos los programas de cohesión, el instrumento de apoyo técnico y el Programa Europa Digital. El acuerdo de los colegisladores de que un mínimo del 20 % del Mecanismo de Recuperación y Resiliencia debe apoyar la transición digital contribuirá a sustentar este programa de reformas, con financiación para asentar el Decenio Digital de Europa sobre bases sólidas.

2. CIUDADANOS Y EMPRESAS CAPACITADOS EN 2030

La vía europea hacia una economía y una sociedad digitalizadas se basa en la solidaridad, la prosperidad y la sostenibilidad, ancladas en la capacitación de sus ciudadanos y empresas, garantizando al mismo tiempo la seguridad y la resiliencia de su ecosistema digital y sus cadenas de suministro.

Una de las principales lecciones de la pandemia es que la digitalización puede unir a las personas independientemente de dónde se encuentren físicamente. La infraestructura digital y la conectividad rápida brindan nuevas oportunidades a las personas. La digitalización puede convertirse en un factor decisivo para los derechos y las libertades, ya que permite a las personas llegar más allá de territorios, posición social o grupos comunitarios específicos y abre nuevas posibilidades de aprender, divertirse, trabajar, explorar y materializar sus propias ambiciones. Esto dará lugar a una sociedad en la que la distancia geográfica sea menos importante, ya que las personas pueden trabajar, aprender, interactuar con las Administraciones públicas, gestionar sus finanzas y pagos, utilizar sistemas de asistencia sanitaria, sistemas de transporte automatizado, participar en la vida democrática, entretenerse o reunirse con gentes de cualquier lugar de la UE, incluidas las zonas rurales y remotas.

Sin embargo, la crisis también puso de manifiesto las vulnerabilidades de nuestro espacio digital, su creciente dependencia de tecnologías esenciales, a menudo extraeuropeas, la subordinación con respecto a un puñado de grandes empresas tecnológicas, registró un aumento de la afluencia de productos falsificados y robos cibernéticos, y magnificó el impacto de la desinformación en nuestras sociedades democráticas. También ha surgido una nueva brecha digital, no solo entre zonas urbanas bien conectadas y zonas rurales y remotas, sino también entre quienes pueden beneficiarse plenamente de un espacio digital enriquecido, accesible y seguro con una amplia gama de servicios, y quienes no pueden hacerlo. Una brecha similar surgió entre las empresas que ya pueden aprovechar todo el potencial del entorno digital y las que aún no están plenamente digitalizadas. En este sentido, la pandemia ha puesto de manifiesto una nueva «pobreza digital», por lo que es imperativo garantizar que todos los ciudadanos y empresas de Europa puedan aprovechar la transformación digital para una vida mejor y más próspera. La visión europea para 2030 es una sociedad digital en la que nadie se quede atrás.

Soluciones sanitarias gracias a la tecnología digital

La pandemia de COVID-19 ha demostrado el potencial y ha predispuesto al uso generalizado de soluciones innovadoras de telemedicina, atención a distancia y robótica para proteger al personal médico y poder atender a los pacientes a distancia en su hogar. Las tecnologías digitales pueden capacitar a los ciudadanos para supervisar su estado de salud, adaptar su estilo de vida, apoyar una vida independiente, prevenir las enfermedades no transmisibles y aportar eficiencia a los proveedores de asistencia sanitaria y los sistemas sanitarios. Junto con unas competencias digitales adecuadas, los ciudadanos utilizarán herramientas que les ayuden a proseguir su vida profesional activa a medida que envejecen, y los profesionales de la salud y los cuidadores podrán aprovechar al máximo las ventajas de las soluciones sanitarias digitales para supervisar y tratar a sus pacientes.

La digitalización dota a las personas de nuevas fuentes de prosperidad (7), permitiendo a los emprendedores innovar, crear y desarrollar sus negocios dondequiera que vivan, abriendo mercados e inversiones en toda Europa y en todo el mundo, y creando nuevos puestos de trabajo en un momento en el que un creciente número de europeos se sienten amenazados en su seguridad económica o su entorno.

Las tecnologías digitales pueden contribuir significativamente a la consecución de los objetivos del Pacto Verde Europeo. La adopción de soluciones digitales y el uso de datos contribuirán a la transición hacia una economía climáticamente neutra, circular y más resiliente. La sustitución de los viajes de negocios por videoconferencia reduce las emisiones, mientras que las tecnologías digitales permiten procesos más ecológicos en la agricultura, la energía, los edificios, la industria o la planificación y los servicios urbanos, contribuyendo así al objetivo propuesto por Europa de reducir las emisiones de gases de efecto invernadero en al menos un 55 % de aquí a 2030 y de proteger mejor nuestro medio ambiente. Las propias infraestructuras y tecnologías digitales tendrán que ser más sostenibles y eficientes desde el punto de vista energético y de los recursos. Con innovación y unas normas ecológicas ambiciosas, las empresas, en su transformación digital, podrán adoptar tecnologías digitales con menor huella medioambiental y mayor eficiencia energética y material.

Soluciones ecológicas digitales – Pasaporte digital de productos

La transición hacia una economía sostenible requiere una gestión más inteligente de los datos relativos a los productos durante todo el ciclo de vida del producto. La mayor parte de esta información existe, pero no está a disposición de quienes pueden utilizarla mejor. Las tecnologías digitales ofrecen la posibilidad de etiquetar, rastrear, localizar y compartir datos relacionados con los productos a lo largo de las cadenas de valor, hasta el nivel de los componentes y materiales individuales. Empezando por las baterías para vehículos eléctricos y las aplicaciones industriales, el pasaporte europeo de productos digitales (como parte de la Iniciativa sobre Productos Sostenibles) mejorará la información a disposición de las empresas, impulsará la eficiencia en el uso de los recursos y capacitará a los consumidores para que tomen decisiones adecuadas.

Unas infraestructuras y tecnologías resilientes, seguras y fiables son indispensables para garantizar el respeto de las normas y los valores europeos. Un mercado único fuerte, una competencia leal y un comercio basado en normas que funcione son activos esenciales para el éxito económico y la resiliencia de la UE.

Al mismo tiempo, las tecnologías digitales se desarrollan principalmente fuera de la UE (8) y la convergencia entre los Estados miembros en materia de digitalización sigue siendo limitada, lo que obstaculiza las economías de escala (9). La UE será un socio internacional más robusto gracias al refuerzo de sus puntos fuertes y las capacidades internas. Es necesaria una enorme expansión de las inversiones, a través de todos los fondos pertinentes de la UE y del gasto nacional, que incluya la movilización de inversiones privadas significativas, a fin de que la UE pueda desarrollar tecnologías esenciales de manera que se fomente su productividad y su desarrollo económico en plena coherencia con sus valores y objetivos sociales.

3. CUATRO PUNTOS CARDINALES PARA CARTOGRAFIAR LA TRAYECTORIA DE LA UE

La Comisión propone establecer una Brújula Digital para traducir las ambiciones digitales de la UE para 2030 en objetivos concretos y alcanzar estos objetivos. La Brújula se basará en un sistema de seguimiento mejorado (10) para verificar la trayectoria de la UE en relación con el ritmo de la transformación digital, las lagunas en las capacidades digitales estratégicas europeas y la aplicación de los principios digitales. Incluirá los medios para materializar la visión y establecerá hitos a lo largo de cuatro puntos cardinales. Los dos primeros se centran en las capacidades digitales en infraestructuras, y en educación y capacidades, y los otros dos, en la transformación digital de las empresas y los servicios públicos.

3.1. Ciudadanos con capacidades digitales y profesionales del sector digital muy cualificados

En el mundo del mañana, si queremos controlar nuestro propio destino, confiar en nuestros medios, valores y posibilidades, debemos contar con ciudadanos capacitados y capaces digitalmente, trabajadores con competencias digitales y muchos más expertos en el sector digital que en la actualidad. Esto debería fomentarse mediante el desarrollo de un ecosistema educativo digital de alto rendimiento, así como de una política eficaz para promover vínculos con el talento de todo el mundo y atraerlo.

Las competencias digitales serán esenciales para reforzar nuestra resiliencia colectiva como sociedad. Las capacidades digitales básicas para todos los ciudadanos y la oportunidad de adquirir nuevas competencias digitales especializadas para los trabajadores son un requisito previo para participar activamente en el Decenio Digital, tal como se explica en la Agenda de Capacidades Europea (11).

El Plan de acción del pilar europeo de derechos sociales prevé que el objetivo de porcentaje de adultos con al menos capacidades digitales básicas sea del 80 % en 2030 (12). Para que todos los europeos puedan beneficiarse plenamente del bienestar que aporta una sociedad digital inclusiva y, como se propone en el capítulo sobre principios digitales (sección 4), el acceso a una educación que permita adquirir competencias digitales básicas debe ser un derecho para todos los ciudadanos de la UE y el aprendizaje permanente debe hacerse realidad.

Las competencias digitales generalizadas también deben crear una sociedad que pueda confiar en los productos digitales y los servicios en línea, detectar los intentos de desinformación y fraude, protegerse contra los ciberataques, las estafas y el fraude en línea, y en la que los niños aprendan a entender y navegar a través de la multitud de información a la que están expuestos en línea.

Unas competencias digitales avanzadas requieren algo más que dominar la codificación o tener unos conocimientos informáticos básicos. La formación y la educación digitales deben apoyar a unos trabajadores que puedan adquirir competencias digitales especializadas para ocupar puestos de trabajo de calidad y ejercer unas carreras profesionales gratificantes. En 2019 había 7,8 millones de especialistas en tecnologías de la información y las comunicaciones, y la tasa de crecimiento anual previa alcanzaba el 4,2 %. Si esta tendencia continúa, la UE estará muy por debajo de las necesidades previstas de 20 millones de expertos, por ejemplo, en ámbitos clave como la ciberseguridad o el análisis de datos. Más del 70 % de las empresas afirman que la falta de personal con competencias digitales adecuadas constituye un obstáculo para la inversión. También existe un grave desequilibrio entre sexos, ya que solo uno de cada seis especialistas en tecnologías de la información y las comunicaciones y uno de cada tres graduados en ciencias, tecnología, ingeniería y matemáticas son mujeres (13). Esto se ve agravado por la falta de capacidad en términos de programas de educación y formación especializados en ámbitos como la inteligencia artificial, la cuántica y la ciberseguridad, y por la escasa integración de las disciplinas digitales y las herramientas multimedia educativas en otras disciplinas. Hacer frente a este reto requiere una inversión enorme para formar a las futuras generaciones de trabajadores y mejorar y reorientar sus cualificaciones.

Las acciones nacionales deben complementarse con apoyo para mejorar la alfabetización digital a escala mundial y alcanzar los Objetivos de Desarrollo Sostenible (ODS) de las Naciones Unidas. El programa Erasmus+ también ofrecerá oportunidades a ingenieros y especialistas digitales de terceros países y, por lo general, reforzará los entornos de aprendizaje digitales. En África, las coaliciones nacionales de competencias digitales y empleo podrían desarrollar planes de estudios comunes sobre competencias digitales y apoyar a los Gobiernos con conocimientos especializados y proyectos para llevar a las escuelas y las instituciones educativas a la era digital. Del mismo modo, las competencias y la alfabetización digitales se están convirtiendo en un elemento central en el desarrollo de capacidades digitales en nuestras relaciones con América Latina y el Caribe.

Hacia 2030, la competencia mundial por el talento será feroz, ya que los conocimientos especializados seguirán siendo escasos y constituirán un factor esencial de innovación, crecimiento de la productividad y prosperidad para todos los países. El fomento del atractivo de la UE y de los sistemas de apoyo al talento digital desempeñará un papel clave en la transformación digital de la UE.

Proponemos que, en 2030, además del objetivo sobre competencias digitales básicas establecido en el Plan de acción del pilar europeo de derechos sociales, estén trabajando 20 millones de especialistas en tecnologías de la información y las comunicaciones en la UE, con convergencia entre mujeres y hombres.

3.2. Infraestructuras digitales sostenibles que sean seguras y eficaces

Europa solo logrará el liderazgo digital basándolo en una infraestructura digital sostenible en relación con la conectividad, la microelectrónica y la capacidad de procesar grandes cantidades de datos, ya que actúan como facilitadores de otros avances tecnológicos y apoyan la ventaja competitiva de nuestra industria. Es necesario realizar importantes inversiones en todos estos ámbitos que requieren coordinación para alcanzar la escala europea.

Una conectividad excelente y segura para todos y en toda Europa es un requisito previo para una sociedad en la que todas las empresas y los ciudadanos puedan participar plenamente. Es fundamental lograr una conectividad de altísima velocidad de aquí a 2030. Aunque esta ambición puede alcanzarse con cualquier combinación tecnológica, la atención debe centrarse en la conectividad fija, móvil y por satélite de próxima generación más sostenible, con el despliegue de redes de muy alta capacidad, incluida la 5G, sobre la base de una asignación rápida y eficiente del espectro y el respeto del conjunto de herramientas de ciberseguridad 5G (14), y con el desarrollo de la 6G en los próximos años (15).

A medida que avance el decenio, aumentará la aceptación de estas tecnologías de red en los hogares, que se refleja en sus crecientes necesidades de conectividad de muy alta capacidad.

A finales del presente decenio, se espera que las nuevas características y capacidades de comunicación digital, como la alta precisión, los medios holográficos y los sentidos digitales a través de las redes, ofrezcan una perspectiva completamente nueva a una sociedad habilitada digitalmente que sustente la necesidad de conectividad de altísima velocidad. Mucho antes de que finalice la década, las empresas necesitarán conexiones de altísima velocidad e infraestructuras de datos específicas para la computación en nube y el tratamiento de datos, al igual que las escuelas y los hospitales las necesitarán para la educación electrónica y la sanidad electrónica. La informática de alto rendimiento (IAR) requerirá conexiones a velocidades de terabit que permitan el tratamiento instantáneo de datos.

Proponemos que, en 2030, todos los hogares europeos tengan acceso a una red de altísima velocidad, y todas las zonas pobladas tengan cobertura 5G (16).

El liderazgo digital y la competitividad mundial de Europa dependen de una sólida conectividad interna y externa y también deberían fundamentar nuestro compromiso internacional, en particular a lo largo de los husos horarios europeos, y teniendo en cuenta la aparición de pasarelas de datos en torno a la periferia de la UE. La UE cuenta con un amplio programa de compromisos que incluye el despliegue de la banda ancha con socios de los Balcanes Occidentales y la Asociación Oriental. Europa estará vinculada a sus socios en los países vecinos y en África, en particular a través de cables terrestres y submarinos y una constelación segura de satélites. Además, la UE intensificará la aplicación de la Estrategia de Conectividad UE-Asia a través de nuevas asociaciones de conectividad con la India y la ASEAN. La Asociación Digital con América Latina y el Caribe complementará el lanzamiento del componente de conectividad de la Alianza Digital con América Latina y el Caribe, utilizando el cable BELLA.

Aunque la conectividad es una condición previa para la transformación digital, los microprocesadores están en la base de la mayoría de las cadenas de valor estratégicas clave, como los coches conectados, los teléfonos, el internet de las cosas, los ordenadores de alto rendimiento, los ordenadores de vanguardia y la inteligencia artificial. Si bien Europa diseña y fabrica procesadores de gama alta, existen importantes lagunas, en particular en las tecnologías de fabricación más avanzadas y en el diseño, lo que expone a Europa a una serie de vulnerabilidades (17).

Proponemos que, en 2030, la producción de semiconductores de vanguardia y sostenibles en Europa, incluidos los procesadores, suponga al menos el 20 % de la producción mundial en valor (es decir, capacidades de fabricación por debajo de los nodos de 5 nm con un objetivo de 2 nm, y 10 veces más eficientes desde el punto de vista energético que en la actualidad) (18).

Una infraestructura digital al servicio de los ciudadanos, las pymes, el sector público y las grandes empresas requiere una informática de alto rendimiento e infraestructuras de datos exhaustivas. Hoy en día, los datos producidos en Europa suelen almacenarse y tratarse fuera de Europa, y su valor se extrae también fuera de Europa (19). Si bien las empresas que generan y explotan datos deben conservar la libertad de elección a este respecto, esto puede entrañar riesgos en términos de ciberseguridad, puntos vulnerables del suministro, posibilidades de cambio de proveedor y acceso ilícito a los datos por parte de terceros países (20). Los proveedores de servicios de computación en nube establecidos en la UE solo tienen una pequeña cuota del mercado de la nube, lo que deja a la UE expuesta a tales riesgos y limita el potencial de inversión de la industria digital europea en el mercado del tratamiento de datos.

Asimismo, habida cuenta del impacto de los centros de datos y las infraestructuras en nube en el consumo de energía, la UE debería asumir el liderazgo para que estas infraestructuras sean climáticamente neutras y eficientes desde el punto de vista energético de aquí a 2030, utilizando al mismo tiempo su excedente de energía para contribuir a calentar nuestros hogares, empresas y espacios públicos comunes. Como parte de la mejora del Índice de la Economía y la Sociedad Digitales (DESI), la Comisión introducirá mecanismos para medir la eficiencia energética de los centros de datos y las redes de comunicaciones electrónicas utilizados por las empresas europeas.

Como se destaca en la estrategia europea de datos, el volumen de datos generados está aumentando considerablemente y se espera que una proporción creciente de ellos se procesen más cerca de los usuarios y allí donde se generen. Este cambio requerirá el desarrollo y el despliegue de tecnologías de tratamiento de datos fundamentalmente nuevas que abarquen las zonas próximas al usuario, alejándose de los modelos de infraestructura centralizados basados en la nube. Para abordar estas tendencias hacia una mayor distribución y descentralización de las capacidades de tratamiento de datos, y para superar la brecha de un suministro adecuado en la nube que responda a las necesidades de las empresas y la Administración pública europeas, Europa necesita reforzar su propia infraestructura y sus capacidades en la nube (21).

Aplicaciones de una informática inteligente más próxima al usuario

– Vigilar las intersecciones peligrosas en el caso de un vehículo autónomo para que pueda circular con seguridad.

– En la «agricultura inteligente», en la que el despliegue de una capacidad de vanguardia próxima al usuario y conectada a la maquinaria en las explotaciones agrícolas permitirá recopilar instantáneamente datos, prestar servicios avanzados a los agricultores, como la predicción de cosechas o la gestión de las explotaciones, y optimizar las cadenas de suministro de alimentos.

– En el sector manufacturero como servicio esto permitirá a las empresas manufactureras (en particular las pymes) tener acceso local a plataformas innovadoras de servicios industriales basadas en la nube y a mercados para dar más visibilidad a sus capacidades de producción.

– Datos sanitarios e historiales médicos, lo que permitirá recopilar y agregar datos sanitarios a nivel local mucho más rápidamente (por ejemplo, en el contexto de pandemias).

– En la modernización del sector público, en el que un despliegue más próximo al usuario ofrecerá capacidad de tratamiento de datos a la Administración local.

Proponemos que, en 2030, en la UE se hayan desplegado 10 000 nodos de proximidad con alto grado de seguridad y neutros desde el punto de vista climático (22), distribuidos de manera que se garantice el acceso a servicios de datos de baja latencia (unos milisegundos) dondequiera que se encuentren las empresas.

Sin embargo, la nube y el ecosistema de proximidad no aportarán todos sus beneficios a las empresas y Administraciones públicas europeas a menos que vayan acompañadas de una capacidad informática de vanguardia. A este respecto, se acelerará la cooperación con los Estados miembros a través de la Empresa Común Europea de Informática de Alto Rendimiento ya establecida con el fin de desplegar una infraestructura de datos de supercomputación y computación cuántica federada que sea líder en el mundo.

Al mismo tiempo, la UE debe invertir en nuevas tecnologías cuánticas. La UE debe estar a la vanguardia mundial del desarrollo de ordenadores cuánticos totalmente programables y accesibles desde cualquier lugar en Europa, que al mismo tiempo sean muy eficientes energéticamente y puedan resolver en horas lo que se resuelve actualmente en cientos de días, si no en años.

La revolución cuántica del próximo decenio será un factor de cambio en la aparición y el uso de las tecnologías digitales. Como ejemplos de posibles aplicaciones cabe citar:

– Sanidad: los ordenadores cuánticos permitirán un desarrollo más rápido y eficiente de medicamentos, como la simulación de un cuerpo humano («gemelo digital») para realizar ensayos virtuales de medicamentos, desarrollar tratamientos contra el cáncer personalizados, secuenciar el genoma mucho más rápidamente, etc.

– Mayor seguridad de las comunicaciones y las transferencias de datos: los sistemas de comunicación cuántica segura pueden salvaguardar las comunicaciones sensibles, los sistemas de votación en línea y las transacciones financieras, garantizar el almacenamiento a largo plazo de datos sensibles relacionados con la salud y la seguridad nacional, y mantener la seguridad de las infraestructuras esenciales de comunicación.

– Mejor control de los recursos: los sensores de gravedad cuántica basados en la Tierra o instalados en satélites espaciales medirán campos gravitacionales, lo que permitirá detectar obstáculos, hundimientos y recursos hídricos subterráneos y hacer un seguimiento de fenómenos naturales como la actividad volcánica.

– Empresas y medio ambiente: los ordenadores cuánticos optimizarán el uso de algoritmos para resolver problemas logísticos y de organización muy complejos, lo que permitirá ahorrar tiempo y combustible o encontrar la combinación más barata de fuentes renovables para abastecer una red energética.

Proponemos que, en 2025 Europa disponga de su primer ordenador con aceleración cuántica que prepare a Europa para estar en la vanguardia de las capacidades cuánticas en 2030.

3.3. Transformación digital de las empresas

Durante la pandemia de COVID-19 el vuelco hacia las tecnologías digitales se ha convertido en esencial para muchas empresas. En 2030, más que meras facilitadoras, las tecnologías digitales, incluida la 5G, el internet de las cosas, la computación próxima al usuario, la inteligencia artificial, la robótica y la realidad aumentada estarán en el centro de nuevos productos, nuevos procesos de fabricación y nuevos modelos de negocio basados en un intercambio justo de datos en la economía de datos. En este contexto, la rápida adopción y aplicación de las propuestas de la Comisión para el mercado único digital y la configuración de las futuras estrategias digitales de Europa (23) mejorarán la transformación digital de las empresas y garantizarán una economía digital justa y competitiva. Esto también tendrá que ir acompañado de unas condiciones de competencia equitativas en el extranjero.

La transformación de las empresas dependerá de su capacidad para adoptar rápida y generalizadamente nuevas tecnologías digitales, entre otros en los ecosistemas industriales y de servicios que se están quedando atrás. El apoyo de la UE, en particular a través de los programas del mercado único, Europa Digital y de cohesión, promoverá el despliegue y el uso de las capacidades digitales, incluidos los espacios de datos industriales, la capacidad informática, las normas abiertas, y las instalaciones de ensayo y experimentación.

Debe alentarse a las empresas a que adopten tecnologías digitales y productos con menor huella medioambiental y una mayor eficiencia energética y material. Las tecnologías digitales deben desplegarse rápidamente para permitir un uso más intensivo y eficiente de los recursos.

De este modo, impulsar la productividad en Europa reducirá tanto los costes de los insumos de fabricación como nuestra vulnerabilidad ante las perturbaciones del suministro.

Potencial de la transformación digital para cinco ecosistemas clave (24)

– Fabricación: gracias a la conectividad 5G, los dispositivos de las fábricas estarán aún más conectados y recopilarán datos industriales. La inteligencia artificial instruirá instantáneamente a los robots, haciéndolos cada vez más colaborativos, mejorando así las tareas, la seguridad, la productividad y el bienestar de los trabajadores. Los fabricantes podrán mejorar el mantenimiento predictivo y producir en función de la demanda, sobre la base de las necesidades de los consumidores, con existencias nulas gracias a los gemelos digitales, a nuevos materiales y a la impresión 3D.

– Sanidad: la introducción de más interacción en línea, servicios sin papel, transmisión electrónica y acceso a los datos en lugar de registros en papel, junto con la automatización, podrían generar beneficios de hasta 120 000 millones EUR al año en Europa.

– Construcción: el sector que ha registrado el menor aumento de la productividad de todos los grandes sectores en los últimos 20 años. El 70 % de los ejecutivos de la construcción mencionan las nuevas tecnologías de producción y la digitalización como motores del cambio en el sector.

– Agricultura: las tecnologías agrícolas digitales pueden permitir al sector agrícola producir más a medida y de manera más eficiente, aumentando así el rendimiento en materia de sostenibilidad y la competitividad del sector. La agricultura se considera un sector clave, en el que las soluciones digitales pueden ayudar a reducir las emisiones mundiales de gases de efecto invernadero y el uso de plaguicidas.

– Movilidad: las soluciones digitales para la movilidad conectada y automatizada tienen un gran potencial para reducir los accidentes de tráfico, mejorar la calidad de vida y la eficiencia de los sistemas de transporte, también en lo que respecta a su huella medioambiental.

Debe prestarse especial atención a la innovación puntera y disruptiva. Si bien Europa está creando ya tantas empresas emergentes como Estados Unidos, debe contar con unas condiciones más favorables y un mercado único que funcione realmente para un rápido crecimiento y expansión (25). Europa se ha dotado de diversos instrumentos (26), pero el déficit de inversión para financiar el crecimiento de las empresas emergentes entre Estados Unidos y Europa e incluso entre la UE y China sigue siendo considerable. La UE ya ha producido una serie de «unicornios», pero hay margen de mejora. El desarrollo de un estándar de excelencia de las empresas emergentes de las naciones puede contribuir a facilitar el crecimiento transfronterizo, en particular aumentando el acceso a la financiación para su expansión (27).

Las pymes desempeñan un papel central en esta transición, no solo porque representan el grueso de las empresas de la UE, sino también porque son una fuente crítica de innovación (28).

Con el apoyo de más de 200 centros de innovación digital y agrupaciones industriales, de aquí a 2030 las pymes deben tener la oportunidad de acceder fácilmente y en condiciones justas a las tecnologías o los datos digitales, garantizados por una normativa adecuada, y beneficiarse de un apoyo adecuado para digitalizarse. A este respecto, más de 200 centros europeos de innovación digital y agrupaciones industriales en toda la UE deben apoyar la transformación digital tanto de las pymes innovadoras como de las no digitales y conectar a los proveedores digitales con los ecosistemas locales. El objetivo es lograr un alto nivel de intensidad digital, sin dejar a nadie atrás. La Comisión actualizará su estrategia industrial, también con vistas a acelerar la transformación digital de los ecosistemas industriales en apoyo de los objetivos de 2030.

Proponemos que, en 2030,

– el 75 % de las empresas europeas hayan adoptado servicios de computación en nube, macrodatos e inteligencia artificial

– más del 90 % de las pymes hayan alcanzado al menos un nivel básico de intensidad digital (29)

– Europa haya ampliado la cartera de empresas innovadoras de rápido crecimiento y mejorado su acceso a la financiación, duplicando así el número de «unicornios» (30) en Europa

3.4. Digitalización de los servicios públicos

De aquí a 2030, el objetivo de la UE es garantizar que la vida democrática y los servicios públicos en línea sean plenamente accesibles para todos, incluidas las personas con discapacidad, y se beneficien de un entorno digital de máxima calidad que ofrezca servicios y herramientas fáciles de utilizar, eficientes y personalizados con altos niveles de seguridad y privacidad. La votación electrónica segura fomentaría una mayor participación pública en la vida democrática. Unos servicios de fácil utilización permitirán a los ciudadanos de todas las edades y a empresas de todos los tamaños influir en la dirección y los resultados de las actividades de los Gobiernos de forma más eficiente y mejorar los servicios públicos. El Gobierno como plataforma, una nueva forma de establecer servicios públicos digitales, facilitará un acceso general y fácil a los servicios públicos con una interacción continua de capacidades avanzadas, como el tratamiento de datos, la inteligencia artificial y la realidad virtual. También contribuirá a estimular el aumento de la productividad en las empresas europeas, gracias a unos servicios más eficientes que sean digitales por defecto (31), así como a un modelo que incentive a las empresas, especialmente las pymes, a digitalizarse más.

Sin embargo, falta bastante para materializar esta visión. A pesar del creciente uso de los servicios públicos en línea, los servicios prestados digitalmente suelen ser básicos, por ejemplo, la cumplimentación de formularios. Europa debe aprovechar la digitalización para impulsar un cambio de paradigma en la manera en que los ciudadanos, las Administraciones públicas y las instituciones democráticas interactúan, garantizando la interoperatividad en todos los niveles administrativos y entre todos los servicios públicos (32).

Telemedicina

Durante la pandemia, las consultas de telemedicina aumentaron más en un mes que en 10 años, lo que desempeñó un papel clave a la hora de controlar las colas en los hospitales y mantener a los pacientes en buen estado de salud (33). La capacidad de los ciudadanos europeos de acceder y controlar el acceso a su historial médico electrónico en toda la UE debería mejorar considerablemente de aquí a 2030 sobre la base de especificaciones técnicas comunes para el intercambio de datos sanitarios, la interoperatividad, el desarrollo de una infraestructura segura y la adopción de medidas para facilitar la aceptación pública del intercambio de información sanitaria con la comunidad médica.

Identidad digital europea: el Gobierno en la palma de la mano

Para 2030, el marco de la UE debería haber dado lugar a un amplio despliegue de una identidad fiable y controlada por el usuario, lo que permitiría a cada ciudadano controlar sus propias interacciones y su presencia en línea. Los usuarios pueden hacer un uso pleno de los servicios en línea fácilmente y en toda la UE, preservando al mismo tiempo su privacidad.

Las comunidades de la UE también están desarrollando plataformas de datos inteligentes que integran datos de diferentes sectores y ciudades y mejoran la calidad de la vida cotidiana de sus ciudadanos. En la actualidad, la mayoría de los servicios digitales que ofrecen estas plataformas se limitan a servicios básicos, como los aparcamientos inteligentes, la iluminación inteligente o la telemática del transporte público. La digitalización también desempeña un papel clave en el desarrollo de «pueblos inteligentes», es decir, comunidades en zonas rurales que utilizan soluciones innovadoras para mejorar su resiliencia, aprovechando los puntos fuertes y las oportunidades locales.

Las plataformas de las comunidades rurales y urbanas estarán impulsadas por tecnologías digitales y ofrecerán servicios tales como sistemas de transporte multimodal inteligentes, asistencia rápida de emergencia en caso de accidente, soluciones más específicas de gestión de residuos, gestión del tráfico, planificación urbana, soluciones inteligentes de energía e iluminación, optimización de recursos, etc. El uso de criterios de contratación pública ecológica (34) puede impulsar la demanda de una transformación digital ecológica.

La transformación digital también debe posibilitar unos sistemas judiciales modernos y eficientes (35), la aplicación de los derechos de los consumidores y una mayor eficacia de la acción pública, incluidas las capacidades policiales y de investigación (36) (lo que es ilegal fuera de línea también es ilegal en línea), y los servicios policiales y judiciales deben estar mejor equipados para hacer frente a delitos digitales cada vez más sofisticados.

Nuestro nivel de ambición propuesto es que en 2030:

* Todos los servicios públicos clave estén a disposición en línea en beneficio de los ciudadanos y las empresas europeos

* La totalidad de los ciudadanos europeos tenga acceso a sus historiales médicos (en formato electrónico)

* El 80 % de los ciudadanos utilice una solución de identificación digital

4. CIUDADANÍA DIGITAL

El despliegue de infraestructuras, competencias y capacidades digitales y la digitalización de las empresas y los servicios públicos por sí solos no son suficientes para definir el enfoque de la UE sobre su futuro digital; también es necesario hacer posible que todos los europeos aprovechen plenamente las oportunidades y tecnologías digitales. En el espacio digital, debemos asegurarnos de que los mismos derechos que se aplican fuera de línea puedan ejercerse plenamente en línea.

Para estar plenamente capacitadas, las personas deben tener primero acceso a una conectividad asequible, segura y de alta calidad, ser capaces de adquirir competencias digitales básicas (lo que debe convertirse en un derecho para todos) y estar equipadas con otros medios que, conjuntamente, les permitan participar plenamente en las actividades económicas y sociales actuales y futuras. También deben tener fácil acceso a los servicios públicos digitales, sobre la base de una identidad digital universal, así como a los servicios sanitarios digitales. Las personas deben beneficiarse de un acceso no discriminatorio a los servicios en línea y a la realización de principios, como espacios digitales seguros y fiables, de un equilibrio entre vida privada y vida laboral en un entorno de trabajo a distancia, la protección de los menores y la toma de decisiones basadas en algoritmos que sean éticas.

Además, las tecnologías y servicios digitales que utilizan las personas deben ser conformes con el marco jurídico aplicable y respetar los derechos y valores intrínsecos de la forma de vida europea. Por otra parte, un entorno digital centrado en el ser humano, seguro y abierto debe cumplir la ley, pero también permitir que las personas hagan valer sus derechos, como los derechos a la intimidad y a la protección de datos, la libertad de expresión, los derechos del niño y los derechos de los consumidores.

Los principios digitales se basan en el Derecho primario de la UE, en particular el Tratado de la Unión Europea (TUE), el Tratado de Funcionamiento de la Unión Europea (TFUE), la Carta de los Derechos Fundamentales y la jurisprudencia del Tribunal de Justicia de la Unión Europea, así como en el Derecho derivado (37).

Esta vía europea para la sociedad digital también debe sustentar y apoyar las iniciativas de democracia abierta, contribuyendo a la elaboración de políticas inclusivas, permitiendo un amplio compromiso con las personas y estimulando la acción de base para desarrollar iniciativas locales como factores facilitadores para mejorar la aceptación social y el apoyo público a las decisiones democráticas.

Esta vía europea para la sociedad digital también se basa en garantizar el pleno respeto de los derechos fundamentales de la UE:

* Libertad de expresión, incluido el acceso a información diversa, fiable y transparente.

* Libertad de establecimiento y ejercicio de una actividad empresarial en línea.

* Protección de los datos personales y de la intimidad, y derecho al olvido.

* Protección de la creación intelectual individual en el espacio en línea.

Es igualmente importante establecer un conjunto completo de principios digitales que permita informar a los usuarios y orientar a los responsables políticos y a los operadores digitales, tales como:

* Acceso universal a los servicios de internet.

* Entorno en línea seguro y fiable.

* Educación y competencias digitales universales para que las personas participen activamente en la sociedad y en los procesos democráticos.

* Acceso a sistemas y dispositivos digitales que respeten el medio ambiente.

* Administración y servicios públicos digitales accesibles y centrados en el ser humano.

* Principios éticos para algoritmos centrados en el ser humano.

* Protección y capacitación de los niños en el espacio en línea.

* Acceso a servicios sanitarios digitales.

La Comisión propondrá incluir este conjunto de principios y derechos digitales en una declaración interinstitucional solemne entre la Comisión Europea, el Parlamento Europeo y el Consejo, sobre la base de una propuesta de la Comisión Europea, beneficiándose de la experiencia del pilar europeo de derechos sociales y complementándola.

La Comisión tiene la intención de realizar anualmente un sondeo del Eurobarómetro dedicado específicamente al seguimiento de la percepción de los europeos sobre el respeto de sus derechos y valores, y en qué medida consideran que la digitalización de nuestra sociedad les está beneficiando.

5. UNA BRÚJULA PARA ALCANZAR LAS METAS Y OBJETIVOS DE 2030

Para alcanzar la ambición renovada de la UE en materia de digitalización es necesario un marco sólido. Debe abarcar nuestra visión basada en los cuatro puntos cardinales, los principios digitales y abordar las carencias fundamentales de capacidad.

BRÚJULA DIGITAL

Estructura de gobernanza con informes anuales y seguimiento

Consecución de los objetivos concretos en los cuatro puntos cardinales (38)

Concepción y lanzamiento de proyectos plurinacionales (39)

Seguimiento de los principios digitales

Supervisada por indicadores clave de rendimiento cuantitativos, informes sobre las acciones emprendidas y seguimiento con recomendaciones

Seguimiento de las infraestructuras y de las carencias críticas de capacidad. Búsqueda del consenso y fomento.

Búsqueda del consenso y del acuerdo sobre proyectos del acuerdo sobre proyectos comunes y facilitación de su aplicación

Informes y cuadros de indicadores

Eurobarometro anual

5.1 Gobernanza

Desde el punto de vista operativo, la Comisión tiene la intención de proponer una Brújula Digital consistente en un programa de política digital (40) que se adoptará mediante codecisión del Parlamento Europeo y del Consejo y se centrará en los resultados y en un compromiso constante con los objetivos digitales comunes. El programa incluiría los siguientes aspectos:

– Un conjunto de objetivos concretos para cada uno de los cuatro puntos cardinales propuestos en la sección 3.

– Un sistema de seguimiento que mida los avances de la UE en relación con los objetivos clave para 2030 (sección 3 y anexo) y los principios digitales (sección 4), evaluando también los ámbitos con un desarrollo insuficiente a nivel de los Estados miembros, como, por ejemplo, la falta de acción o la aplicación incompleta de propuestas reglamentarias clave (41). Los indicadores subyacentes para el seguimiento de los objetivos a escala de la UE y las tendencias de digitalización a nivel nacional formarán parte de una información mejorada del DESI con el fin de aprovechar los procesos y metodologías existentes (42) y adaptarlos a ellos. La Comisión Europea será responsable del análisis y de la información general sobre los progresos realizados a escala europea. Estos informes ofrecerán una visión general y un análisis de la situación y mostrarán la distancia restante hacia los objetivos del Decenio Digital (véase, a modo de ejemplo, el gráfico que se adjunta a continuación). El objetivo final es determinar en qué ámbitos los avances van a la zaga y cómo pueden subsanarse las lagunas detectadas mediante medidas y recomendaciones a nivel europeo o nacional.

¿A qué distancia estamos de los objetivos de 2030 relativos a una sociedad digital inclusiva y sostenible?

…

– Sobre la base del análisis, la Comisión publicará anualmente el Informe sobre el estado del Decenio Digital en Europa destinado al Consejo y al Parlamento Europeo, a fin de informar sobre los avances hacia la visión de 2030 y los correspondientes puntos cardinales, metas y principios, así como la situación más general de cumplimiento de estos objetivos, mediante una puntuación basada en un «semáforo». El informe sensibilizará sobre las desviaciones con respecto a los objetivos comunes de la UE para 2030 y los principios digitales, así como sobre las carencias detectadas en materia de inversión. El informe, como informe único relativo a los avances en el ámbito digital, contribuirá también al Semestre Europeo y se ajustará al proceso del Mecanismo de Recuperación y Resiliencia.

– El informe pondrá en marcha un análisis colaborativo entre la Comisión y los Estados miembros para identificar soluciones destinadas a subsanar las deficiencias y proponer acciones específicas para encontrar soluciones eficaces. La Comisión estará facultada, en colaboración con los Estados miembros, para llevar a cabo un seguimiento operativo y formular recomendaciones. Podrían ser recomendaciones relativas a la aplicación de la normativa (43) o a la necesidad de intervención pública para fomentar inversiones adicionales en tecnologías y capacidades digitales, por ejemplo mediante el desarrollo de proyectos plurinacionales.

El programa de actuación establecerá un mecanismo que permita a la Comisión colaborar con los Estados miembros a través de una estrecha cooperación y coordinación con el objetivo de asumir compromisos conjuntos, así como posibles medidas a escala nacional y de la UE, teniendo también en cuenta la aplicación de otras políticas e iniciativas digitales. Además, el programa de actuación permitirá a la Comisión colaborar con los Estados miembros para poner en marcha y configurar proyectos plurinacionales, tal como se describe a continuación.

Si bien la atención se centraría en la cooperación y la coordinación con los Estados miembros, para que la gobernanza sea eficaz todos los agentes económicos y sociales deben tener una confianza sólida en los resultados. Dado que se trata de una condición clave para el éxito de la aceleración de la digitalización de la UE, la Brújula será objeto de consultas específicas con las partes interesadas pertinentes.

5.2. Proyectos plurinacionales

Para materializar la visión europea del Decenio Digital, se necesitan capacidades digitales en los cuatro ámbitos de la Brújula, que solo podrán lograrse si los Estados miembros y la UE ponen en común sus recursos. En el caso de los grandes proyectos tecnológicos necesarios para la transición digital de Europa, es indispensable un enfoque europeo del desarrollo de capacidades digitales. Las capacidades europeas de vanguardia requieren una masa crítica de financiación y la armonización de todos los agentes.

El Consejo Europeo ha pedido que se sigan reforzando las sinergias entre el uso de los fondos nacionales y de la UE en lo que respecta a estos proyectos tecnológicos clave. El Reglamento sobre el Mecanismo de Recuperación y Resiliencia (MRR) y el instrumento de apoyo técnico reconocen la conveniencia de desarrollar proyectos plurinacionales que combinen inversiones de varios planes nacionales de recuperación y resiliencia. Además, debe prepararse una acción a largo plazo con el fin de garantizar la movilización de las inversiones con cargo al presupuesto de la UE, los Estados miembros y la industria.

Las posibles orientaciones para los proyectos plurinacionales ya se han debatido con los Estados miembros como parte de la preparación de los planes nacionales de recuperación y resiliencia, en el marco de las iniciativas emblemáticas Conectar Europa, Crecimiento, Modernización y Reciclaje y Mejora de las capacidades. La Comisión ha ofrecido apoyo operativo y ha animado a los Estados miembros a utilizar la financiación de sus planes nacionales de recuperación y resiliencia para aunar fuerzas y apoyar estos proyectos plurinacionales.

Proyectos digitales plurinacionales debatidos hasta la fecha con los Estados miembros en el marco del MRR (44):

– Construir una infraestructura paneuropea interconectada de tratamiento de datos común y polivalente, que se utilice respetando plenamente los derechos fundamentales, desarrollando

capacidades de proximidad instantánea (con muy baja latencia) para satisfacer las necesidades de los usuarios finales cerca de dónde se generan los datos (es decir, en la proximidad de los usuarios de las redes de telecomunicaciones), diseñando plataformas de programas informáticos intermedios seguras, con bajo consumo de energía e interoperables para usos sectoriales, y facilitando el intercambio y la puesta en común de datos, en particular para espacios europeos comunes de datos.

– Dotar a la UE de capacidades de diseño y despliegue electrónicos de la próxima generación de procesadores de confianza de baja potencia y otros componentes electrónicos necesarios para alimentar su infraestructura digital crítica, los sistemas de inteligencia artificial y las redes de comunicaciones.

– Despliegue paneuropeo de corredores 5G para operaciones ferroviarias digitales avanzadas y una movilidad conectada y automatizada que contribuyan a la seguridad vial y a los objetivos del Pacto Verde.

– Adquirir superordenadores y ordenadores cuánticos, conectados a la red de comunicación de ancho de banda extremo de EuroHPC, invertir y cooperar en plataformas de aplicaciones a gran escala que requieran una informática de alto rendimiento (por ejemplo, en materia de salud o predicción de catástrofes), así como en centros nacionales de competencia y capacidades en informática de alto rendimiento y tecnología cuántica.

– Desarrollar y desplegar una infraestructura de comunicación cuántica ultrasegura que abarque toda la UE, con el fin de aumentar significativamente la seguridad de la comunicación y el almacenamiento de datos sensibles en toda la UE, incluidas las infraestructuras críticas.

– Desplegar una red de centros de operaciones de seguridad, basados en la inteligencia artificial, capaces de detectar señales de ciberataque con la suficiente antelación, y de permitir medidas proactivas para mejorar la preparación y respuesta conjuntas frente a los riesgos a escala nacional y de la UE.

– Administraciones públicas conectadas. Desarrollar, en complementariedad y sinergia con el marco eIDAS, y ofrecer de forma voluntaria la identidad digital europea, para acceder a los servicios digitales en línea de los sectores público y privado y utilizarlos en línea, reforzando la privacidad y cumpliendo plenamente la legislación vigente en materia de protección de datos.

Crear un sistema único que permita a las Administraciones públicas a nivel local, regional y nacional intercambiar datos y pruebas de forma transfronteriza, respetando plenamente los requisitos legales y los derechos fundamentales.

– Infraestructura europea de servicios de cadena de bloques. Desarrollar, desplegar y explotar una infraestructura paneuropea basada en la cadena de bloques que sea ecológica, segura y plenamente acorde con los valores y el marco jurídico de la UE, haciendo que la prestación de servicios públicos transfronterizos y nacionales y locales sea más eficiente y fiable y promueva nuevos modelos de negocio.

– Centros europeos de innovación digital. Apoyar la digitalización de la industria europea completando una red a escala de la UE de «centros europeos de innovación digital», es decir, «ventanillas únicas» que ofrezcan a las pymes conocimientos técnicos, oportunidades de «probar antes de invertir», asesoramiento financiero, formación, etc.

– Asociaciones de alta tecnología para las competencias digitales a través del Pacto por las Capacidades. Cada vez hay más escasez de especialistas en tecnologías de la información y las comunicaciones en todos los ecosistemas industriales, regiones y Estados miembros. Para colmar esta laguna, podría crearse una asociación multilateral de competencias a gran escala para tender puentes entre la oferta y la demanda, fomentar una mayor inversión privada y pública, aumentar la cantidad y calidad de la oferta de educación y formación especializada e impulsar la excelencia en las instituciones de educación superior y formación profesional, haciéndolas más atractivas y receptivas a las necesidades del mercado laboral en términos digitales.

La Comisión se ha comprometido a apoyar el desarrollo y la ejecución de proyectos plurinacionales, también en el marco del DRR, y a un diálogo reforzado con los Estados miembros, en particular a través de un marco de gobernanza flexible.

Hasta ahora se han utilizado diversos mecanismos (45) para diferentes proyectos e inversiones, que han puesto de manifiesto una laguna en las herramientas de que la Comisión dispone para combinar la financiación procedente de los Estados miembros, el presupuesto de la UE y la inversión privada a efectos de desplegar y explotar infraestructuras y servicios de interés común fuera del ámbito de la investigación.

En particular, son necesarias una serie de características combinadas para un mecanismo eficiente de despliegue y funcionamiento de proyectos digitales plurinacionales (y posiblemente también en proyectos en otros ámbitos):

* la posibilidad de establecimiento con rapidez y flexibilidad, garantizando al mismo tiempo la apertura a todos los Estados miembros interesados;

* disposiciones normalizadas para cuestiones comunes como la propiedad y la gestión de los datos, incluido el papel de la Comisión para garantizar la apertura, la armonización con las prioridades y la normativa acordadas de la UE, incluidas las normas sobre competencia y ayudas estatales, y la coordinación con los programas y políticas de la UE;

* facilitar la puesta en común de la financiación nacional y de la UE y la complementariedad y la combinación de las distintas fuentes de financiación, creando al mismo tiempo incentivos para atraer inversiones privadas;

* capacidad jurídica para adquirir y explotar infraestructuras plurinacionales y servicios paneuropeos de interés público, más allá de la investigación, facilitando al mismo tiempo la neutralidad de los proveedores.

A fin de ofrecer una solución eficiente e incentivar a los Estados miembros para que colaboren en proyectos plurinacionales, aprovechando la experiencia adquirida, incluida la ejecución de tales proyectos en el marco del MRR, la Comisión está evaluando opciones, como la viabilidad y las características de un instrumento específico para proyectos plurinacionales, como parte de la futura propuesta del Programa de Política Digital.

La Brújula Digital: una nueva herramienta para pilotar el Decenio Digital

La Comisión propondrá una Brújula Digital consistente en un programa político que se adoptará mediante codecisión del Parlamento Europeo y del Consejo y que incluirá:

i) objetivos concretos para alcanzar nuestra visión en torno a cuatro puntos cardinales medidos a escala nacional y de la UE con indicadores clave de rendimiento basados en un DESI mejorado;

ii) una estructura de gobernanza, que incluya un informe anual de la Comisión al Parlamento Europeo y al Consejo sobre los avances hacia el Decenio Digital, que podría incluir recomendaciones específicas para limitar las desviaciones con respecto a la consecución de los objetivos;

iii) seguimiento de los principios digitales aprobados en la declaración interinstitucional;

iv) un mecanismo para organizar con los Estados miembros los proyectos plurinacionales necesarios para proceder a la transición digital de Europa en ámbitos esenciales.

6. ASOCIACIONES INTERNACIONALES PARA EL DECENIO DIGITAL

Se ha demostrado que el grado de digitalización de una economía o sociedad no solo es una base crítica de la resiliencia económica y social, sino también un factor de influencia mundial. En la medida en que la pandemia ha puesto de relieve hasta qué punto la política digital nunca es neutral desde el punto de vista de los valores, con modelos que compiten entre sí, la UE tiene ahora la oportunidad de promover su visión positiva y centrada en el ser humano de la economía y la sociedad digitales.

Para que el Decenio Digital de Europa tenga éxito, estableceremos sólidas asociaciones digitales internacionales que se ajusten a los cuatro pilares de nuestra Brújula: capacidades, infraestructuras y transformación de las empresas y los servicios públicos. Estas medidas reforzarán la capacidad de la UE para defender sus propios intereses y ofrecer soluciones mundiales, luchando al mismo tiempo contra las prácticas desleales y abusivas y garantizando la seguridad y la resiliencia de las cadenas de suministro digitales de la UE.

El punto de partida de la UE es una economía digital abierta basada en el flujo de inversión e innovación como motor de prosperidad. Al mismo tiempo, la UE promoverá firmemente nuestros intereses y valores fundamentales a través de tres principios básicos: unas condiciones de competencia equitativas en los mercados digitales, un ciberespacio seguro y la defensa de los derechos fundamentales en línea.

La política y los acuerdos comerciales desempeñarán un papel fundamental a este respecto al establecer las normas mundiales y bilaterales para el comercio digital de manera abierta, pero firme, sobre la base de los valores europeos.

Como parte central de la renovada relación transatlántica, la UE ha propuesto crear un nuevo Consejo de Comercio y Tecnología UE-EE.UU., profundizar nuestra asociación en materia de comercio e inversión, reforzar nuestro liderazgo tecnológico e industrial conjunto, desarrollar normas compatibles, intensificar la colaboración en materia de investigación, promover la competencia leal y garantizar la seguridad de las cadenas de suministro críticas.

La UE es un actor clave en los foros multilaterales y un promotor del multilateralismo integrador en el que colaboran los Gobiernos, la sociedad civil, el sector privado, el mundo académico y otras partes interesadas. Estos foros pueden mejorar el funcionamiento de la economía digital a escala mundial, como en el caso de las negociaciones relativas a nuevas normas sobre comercio electrónico en la Organización Mundial del Comercio. La UE trabajará activa y firmemente para promover su visión centrada en el ser humano de la digitalización en las organizaciones internacionales, en cooperación con sus Estados miembros y socios afines. Este enfoque coordinado debería defender especialmente un uso de la tecnología que se adhiera plenamente a la Carta de las Naciones Unidas y a la Declaración Universal de los Derechos Humanos.

Las asociaciones digitales internacionales de la UE se sustentarán en una caja de herramientas basada en una combinación de cooperación en materia de reglamentación, que abordará el desarrollo de capacidades, inversión en cooperación internacional y asociaciones de investigación. Para ello se utilizará un programa creciente de diálogos bilaterales:

* Las asociaciones digitales internacionales de la UE promoverán la armonización o la convergencia con las normas y estándares de la UE sobre cuestiones como la protección de datos, la privacidad y los flujos de datos, el uso ético de la inteligencia artificial, la ciberseguridad y la confianza, la lucha contra la desinformación y los contenidos ilícitos en línea, la garantía de la gobernanza de internet y el apoyo al desarrollo de la financiación digital y la Administración electrónica. La UE también contribuirá a soluciones comunes, como el trabajo en curso en el G-20 y la OCDE en relación con una solución mundial basada en el consenso para abordar la fiscalidad de la economía digital.

* Para respaldar sus asociaciones digitales con los países en desarrollo y emergentes, la Comisión diseñará y propondrá paquetes de economía digital que se basen en la caja de herramientas. Se financiarán a través de iniciativas del Equipo Europa que combinen recursos de la UE (46) y sus Estados miembros, trabajando con empresas europeas líderes en el mundo, en particular a través del desarrollo y la creación de redes de centros de innovación digital. Estos paquetes se diseñarán de forma que los puntos cardinales permanezcan vinculados y se aborden de forma integral, garantizando la promoción de un modelo de desarrollo digital centrado en el ser humano. El fomento de la conectividad digital para colmar la brecha digital requiere importantes inversiones y, por ende, una amplia cooperación financiera, también con socios de ideas afines e instituciones financieras internacionales. El Equipo Europa abordará esta brecha digital en los países socios, con especial atención a África, promoviendo al mismo tiempo la tecnología y los valores de la UE. Esto podría verse respaldado por la creación de un Fondo de Conectividad Digital en un enfoque de Equipo Europa. La Comisión estudiará su viabilidad, junto con nuestros socios, en los próximos meses.

* Las asociaciones digitales brindarán la oportunidad de llevar a cabo actividades conjuntas de investigación, también en el marco de empresas comunes sobre cuestiones industriales, que respaldarán el liderazgo de la UE en tecnologías en evolución como la 6G, la computación cuántica o el uso de la tecnología digital en la lucha contra el cambio climático y los retos medioambientales.

Asociaciones internacionales: la Brújula Digital en acción

En 2020, la UE propuso una asociación para la transformación digital con África, centrada en las capacidades a través de oportunidades de educación y formación, la inversión en infraestructuras sostenibles clave, la cooperación y la convergencia en materia de normas, incluido el refuerzo de la protección de los datos personales, así como el aumento de la seguridad de los flujos de datos y la cooperación en materia de inteligencia artificial y la digitalización de la Administración Pública. La asociación apoyará el desarrollo de centros de innovación digital y la ampliación del Espacio Europeo de Investigación, así como el apoyo al mercado único digital africano. El Centro Digital4Development, puesto en marcha en diciembre de 2020, aportará conocimientos especializados europeos al desarrollo del programa y asistencia técnica.

Las asociaciones digitales mundiales son igualmente fundamentales para nuestras relaciones con los Balcanes Occidentales y los países vecinos del este y del sur de Europa. La Brújula también se refleja en nuestro compromiso digital más allá de los husos horarios europeos, incluidos nuestros socios asiáticos, así como América Latina y el Caribe.

Sobre la base de una relación transatlántica renovada como sólido pilar de nuestro compromiso internacional digital, la UE debe abrir el camino hacia una coalición más amplia de socios de ideas afines, abierta y desarrollada junto con todos aquellos que comparten su visión de una transformación digital centrada en el ser humano. Juntos defenderemos una internet abierta y descentralizada, basada en una única red mundial, y un uso de la tecnología que respete las libertades individuales y promueva unas condiciones de competencia equitativas en el ámbito digital. Esta coalición debería colaborar para impulsar la competitividad y la innovación, establecer normas en foros multilaterales (como el uso ético de la inteligencia artificial), promover los flujos comerciales digitales a través de cadenas de suministro resilientes e interdependientes y un ciberespacio seguro. La Comisión y el Alto Representante colaborarán con los Estados miembros de la UE en el desarrollo de un enfoque general y coordinado de la creación de coaliciones digitales y las labores diplomáticas, también a través de la red de Delegaciones de la UE.

De aquí a 2030, las asociaciones digitales internacionales deberían dar lugar a más oportunidades para las empresas europeas, un mayor comercio digital a través de redes seguras, el respeto de las normas y los valores europeos y un entorno más favorable a escala internacional para el tipo de transformación digital centrada en el ser humano que queremos ver nosotros y otros socios.

7. CONCLUSIÓN: EL CAMINO A SEGUIR

La Comunicación de la Comisión sobre la Brújula Digital esboza un camino claro hacia una visión común y acciones para que Europa tenga éxito en el Decenio Digital, tanto en Europa como en el mundo.

La participación y el compromiso de los ciudadanos y de todas las partes interesadas es crucial para lograr una transformación digital satisfactoria. En este contexto, la Comisión, poco después de la presente Comunicación, iniciará un amplio proceso de consulta sobre los principios digitales. Colaborará con los Estados miembros, el Parlamento Europeo, los interlocutores regionales, económicos y sociales, las empresas y los ciudadanos sobre elementos específicos de la Comunicación durante 2021, incluido el marco de orientación con objetivos específicos y gobernanza. La Comisión creará un foro de partes interesadas, que se asociará a algunos aspectos del trabajo de la Brújula Digital 2030.

La Comisión se basará en estas medidas de concertación con vistas a proponer el programa de política digital a los colegisladores en el tercer trimestre de 2021, y espera lograr avances decisivos con las demás instituciones en relación con una Declaración de Principios Digitales para finales de 2021.

————————————————

(1) El desarrollo de tipos de vacunas totalmente nuevos (por ejemplo, Moderna, BioNTech) ha puesto de relieve para el gran público los beneficios de una innovación disruptiva que ha permitido desarrollar vacunas en menos de un año, con eficiencia y siguiendo un método que nunca se había aplicado hasta ahora, así como la importancia de dominar estas tecnologías.

(2) El análisis realizado por los servicios de la Comisión para la recuperación estimó en 125 000 millones EUR al año las necesidades de inversión y capacidades en tecnologías de la información y las comunicaciones para cerrar la brecha con los principales competidores de Estados Unidos y China. El Banco Europeo de Inversiones ha señalado el riesgo de que, en lugar de aumentar sus inversiones, el 45 % de las empresas las reduzca tras la crisis de la COVID-19.

(3) La presente Comunicación se inscribe en un conjunto más amplio de acciones destinadas a reforzar la autonomía estratégica abierta y la resiliencia de la UE. Entre ellas cabe citar la Comunicación sobre el fomento de la apertura, la fortaleza y la resiliencia del sistema económico y financiero europeo, la revisión de la política comercial, la próxima actualización de la estrategia industrial para Europa y el informe de prospectiva estratégica de 2021.

(4) Una Estrategia para el Mercado Único Digital de Europa, 6 de mayo de 2015. De las 30 propuestas legislativas, 28 fueron aprobadas por la colegislatura.

(5) Configurar el futuro digital de Europa, 19 de febrero de 2020.

(6) En 2021 está previsto adoptar ocho propuestas legislativas y tres no legislativas, incluida la presente Comunicación. Véase el Programa de Trabajo de la Comisión para 2020.

(7) Aumentar la puntuación en el Índice de la Economía y la Sociedad Digitales (DESI, por sus siglas en inglés) hasta 90 de aquí a 2027 daría lugar a un aumento del PIB per cápita del 7,2 % en toda la UE. Deloitte, febrero de 2021, «Digitalización: una oportunidad para Europa».

(8) La posición de los agentes europeos está muy por debajo del peso económico mundial de la UE en ámbitos tecnológicos clave, como los procesadores, las plataformas web y la infraestructura de la nube; por ejemplo, el 90 % de los datos de la UE son gestionados por empresas estadounidenses, menos del 4 % de las principales plataformas en línea son europeas, y los microchips fabricados en Europa representan menos del 10 % del mercado europeo.

(9) El DESI muestra que la mayoría de los países de la UE, que están por debajo de la media de la UE en el nivel de digitalización, no han avanzado mucho en los últimos cinco años. https://ec.europa.eu/digital-single-market/en/digital-economy-and-society-index-desi

(10) Basado en el sistema de seguimiento del Índice de la Economía y la Sociedad Digitales (DESI) establecido por la Comisión desde 2014 ( https://ec.europa.eu/digital-single-market/en/digital-economy-and-society-index-desi ). El informe de prospectiva estratégica de 2020 anuncia la finalización de cuadros de indicadores de resiliencia, incluido uno para la dimensión digital, que aporta información complementaria sobre las vulnerabilidades y capacidades digitales de la UE.

(11) Agenda de Capacidades Europea y Plan de Acción de Educación Digital.

(12) Plan de acción del pilar europeo de derechos sociales, COM(2021) 102. Adoptado el 4 de marzo de 2021.

(13) Véase la situación de las mujeres en el Cuadro de indicadores digitales de 2020: https://ec.europa.eu/digital-single-market/en/news/women-digital-scoreboard-2020 .

(14) La Comisión velará por que la participación en los programas de financiación de la UE en los ámbitos tecnológicos pertinentes esté condicionada al cumplimiento de los requisitos de seguridad especificados en los respectivos programas de la UE, incluidos los programas de financiación exterior y los instrumentos financieros de la UE, y se ajuste al enfoque de la caja de herramientas de la UE sobre ciberseguridad para las redes 5G.

(15) Con objeto de contribuir a este objetivo, la Comisión adoptó una propuesta para poner en marcha una Empresa Común de Redes y Servicios Inteligentes para coordinar las actividades de investigación e innovación sobre tecnología 6G en el marco de Horizonte Europa, así como iniciativas de despliegue de la 5G en el marco de los programas digitales y otros programas del Mecanismo «Conectar Europa». https://ec.europa.eu/digital-single-market/en/news/europe-puts-forward-proposal-joint-undertaking-smart-networks-and-services-towards-6g.

(16) Esta ambición continúa por el camino propuesto en la Comunicación de la Comisión de 2016 titulada «La conectividad para un mercado único digital competitivo – hacia una sociedad europea del gigabit» y los objetivos para 2025 establecidos en ella.

(17) Para contribuir a este objetivo, la Comisión adoptó una propuesta destinada a poner en marcha una empresa común sobre tecnologías digitales clave para coordinar las actividades de investigación e innovación sobre tecnologías de semiconductores y procesadores en el marco de Horizonte Europa y ha puesto en marcha una alianza europea sobre microprocesadores.

(18) Cuanto menor sea el nodo tecnológico, menor será el tamaño, lo que permite producir transistores más pequeños, rápidos y eficientes.

(19) Según datos de Eurostat, aunque mejoraron en comparación con 2018, solo el 36 % de las empresas de la UE utilizaron servicios en la nube en 2020, principalmente para servicios sencillos como el correo electrónico y el almacenamiento de archivos (solo el 19 % de las empresas utilizan servicios avanzados en la nube).

(20) La UE actúa para mitigar estas preocupaciones mediante una cooperación internacional mutuamente beneficiosa, como el Acuerdo UE-EE.UU. propuesto para facilitar el acceso transfronterizo a pruebas electrónicas y, de este modo, reducir el riesgo de conflicto de leyes y establecer salvaguardias claras para los datos de los ciudadanos y las empresas de la UE.

(21) La declaración sobre la federación y la alianza en la nube contribuirá a este objetivo.

(22) Un nodo de proximidad es un ordenador que actúa como portal del usuario final (o «pasarela») para la comunicación con otros nodos en la informática de agrupación, en el que los componentes de un sistema de programa informático se comparten entre múltiples ordenadores.

(23) Por ejemplo, la Estrategia de Ciberseguridad de la UE para el Decenio Digital, la Ley de Servicios Digitales y la Ley de Mercados Digitales, la Identidad Digital Europea, el Plan de Acción de Medios Audiovisuales y Medios de Comunicación, el Plan de Acción Europeo para la Democracia, la Estrategia de Financiación Digital, las estrategias de datos e inteligencia artificial, la Plataforma para la Regulación Empresarial y el Reglamento sobre el bloqueo geográfico.

(24) Fuente: Informe McKinsey, Shaping the digital transformation in Europe, septiembre de 2020.

(25) Los líderes de la Europa del mañana: la Iniciativa sobre las empresas emergentes y en expansión, COM(2016) 0733 final.

(26) Será importante profundizar en la Unión de los Mercados de Capitales de la UE, reforzar la movilización de la financiación privada y de Horizonte Europa, el Consejo Europeo de Innovación e InvestEU.

(27) https://ec.europa.eu/digital-single-market/en/startup-europe .

(28) Una estrategia para las pymes en pro de una Europa sostenible y digital, COM(2020) 103 final.

(29) El índice de intensidad digital mide el uso de diferentes tecnologías digitales por una empresa. La puntuación (0-12) viene determinada por el número de tecnologías digitales que utiliza. Un nivel básico de intensidad digital corresponde a una puntuación igual o superior a 4.

(30) Por «unicornio» entendemos tanto: 1) «unicornios materializados», es decir, empresas creadas después de 1990 que hayan tenido una oferta pública inicial o una venta superior a 1 000 millones USD, y 2) «unicornios fallidos», es decir, empresas que han sido valoradas en 1 000 millones USD o más en su última ronda de financiación privada (lo que significa que la valoración no se ha confirmado en una transacción secundaria).

(31) Si bien los servicios públicos siempre serán accesibles en persona, una transformación digital exitosa hará que sea la vía digital la preferida por las personas para acceder a ellos.

(32) Véase, en particular, la Declaración de Berlín sobre la sociedad digital y el Gobierno digital basado en valores, diciembre de 2020. El esfuerzo de digitalización exigido por el portal digital único de la UE debe ampliarse a otros sectores, de modo que los ciudadanos y las empresas puedan interactuar digitalmente con todos los escalones de las Administraciones nacionales.

(33) En Francia, se realizaron 10 000 teleconsultas diarias a principios de marzo de 2020, y esta cifra aumentó a 1 millón al día a finales de marzo, según la Asociación para la Salud Digital.

(34) https://ec.europa.eu/environment/gpp/eu_gpp_criteria_es.htm

(35) Comunicación de la Comisión: La digitalización de la justicia en la UE – Un abanico de oportunidades, COM(2020) 710 final.

(36) El 85 % de las investigaciones penales se basan en pruebas electrónicas.

(37) Este es el caso de la legislación vigente, por ejemplo, la Directiva sobre garantías y ventas de los bienes de consumo, la Ley Europea de Accesibilidad, el Código Europeo de Comunicaciones Electrónicas, la Directiva de servicios de comunicación audiovisual, el Reglamento sobre el portal digital único o el Reglamento de ciberseguridad, así como la legislación que ha sido propuesta y debe ser adoptada rápidamente por los colegisladores de la UE y ratificada por los Parlamentos nacionales, como la Ley de servicios digitales y la Ley de mercados digitales.

(38) Véase el punto 5.1.

(39) Véase el punto 5.2.

(40) Posiblemente similar al programa de política del espectro radioeléctrico (PPER, por sus siglas en inglés) aprobado el 14 de marzo de 2012 por el Parlamento Europeo y el Consejo. Esta Decisión creó un plan exhaustivo, estableció principios generales y pidió acciones concretas para cumplir los objetivos de las políticas de la UE en materia de uso del espectro radioeléctrico.

(41) Si bien los objetivos clave para los cuatro puntos cardinales se definirán en el programa de política digital, los principios digitales se establecerán en la declaración interinstitucional solemne mencionada anteriormente.

(42) Los Estados miembros ya facilitan información pertinente para el índice DESI, por lo que no habrá un incremento significativo de las solicitudes de información, al tiempo que el DESI se convertirá en un instrumento oficial y concertado. Los Estados miembros desempeñarán un papel clave en la definición de los objetivos e indicadores pertinentes, así como en el mecanismo de ejecución.

(43) Esto podría incluir, por ejemplo, una mayor armonización de las políticas relativas al espectro.

(44) La lista de proyectos plurinacionales facilitada es indicativa. La elegibilidad para recibir financiación del Mecanismo de Recuperación y Resiliencia de cualquiera de estos proyectos depende del pleno cumplimiento del Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo.

(45) Por ejemplo, empresas comunes, consorcios de infraestructuras de investigación europeas, asociaciones sin ánimo de lucro y proyectos importantes de interés común europeo.

(46) Especialmente a través del Instrumento de Vecindad, Desarrollo y Cooperación Internacional, pero también a través de su Mecanismo «Conectar Europa».

19Oct/24

Decreto Legislativo 8 novembre 2021, n. 207

19 octubre, 2024Decreto Legislativo, ItaliaAccesso, Agenzia per la cybersicurezza nazionale, alta velocità, api, apparato radio elettrico, Application Programming Interface, BEREC, Codice, comunicazioni elettroniche, cybersecurezza nazionale, dati personali, Derecho Informático, innovazione digitale, IT-Alert, Legislación Informática, Legislación Italia, OPERATORE, PSAP, reti e servizi di comunicazione ellettronica, servizi radioelettrici, transizione digitaleJosé Cuervo

Decreto Legislativo 8 novembre 2021, n. 207. Attuazione della direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, che istituisce il Codice europeo delle comunicazioni elettroniche.

DECRETO LEGISLATIVO 8 novembre 2021 , n. 207. Attuazione della direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, che istituisce il Codice europeo delle comunicazioni elettroniche (rifusione).

IL PRESIDENTE DELLA REPUBBLICA

VISTI gli articoli 76 e 87 della Costituzione;

VISTA la direttiva (UE) 2018/1972, del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, che istituisce il Codice europeo delle comunicazioni elettroniche;

VISTA la legge 22 aprile 2021, n. 53, recante delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2019-2020 e, in particolare, l’articolo 4;

VISTO il decreto legislativo 1° agosto 2003, n. 259, recante codice delle comunicazioni elettroniche;

VISTO il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica;

VISTO il decreto legislativo 28 maggio 2012, n.70, recante modifiche al decreto legislativo 1° agosto 2003, n. 259, recante codice delle comunicazioni elettroniche in attuazione delle direttive 2009/140/CE, in materia di reti e servizi di comunicazione elettronica, e 2009/136/CE in materia di trattamento dei dati personali e tutela della vita privata;

VISTO il decreto legislativo 15 febbraio 2016, n. 33, recante attuazione della direttiva 2014/61/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, recante misure volte a ridurre i costi dell’installazione di reti di comunicazione elettronica ad alta velocità;

VISTO il decreto-legge 18 aprile 2019, n. 32, convertito, con modificazioni, dalla legge 14 giugno 2019, n. 55, recante disposizioni urgenti per il rilancio del settore dei contratti pubblici, per l’accelerazione degli interventi infrastrutturali, di rigenerazione urbana e di ricostruzione a seguito di eventi sismici;

VISTO il decreto-legge 16 luglio 2020, n.76, convertito, con modificazioni, dalla legge 11 settembre 2020, n. 120, recante misure urgenti per la semplificazione e l’innovazione digitale;

VISTO il decreto-legge 31 dicembre 2020, n.183, convertito, con modificazioni, dalla legge 26 febbraio 2021, n.21, recante disposizioni urgenti in materia di termini legislativi, di realizzazione di collegamenti digitali, di esecuzione della decisione (UE, EURATOM) 2020/2053 del Consiglio, del 14 dicembre 2020, nonché’ in materia di recesso del Regno Unito dall’Unione europea;

VISTO il decreto-legge 31 maggio 2021, n. 77, recante governance del Piano nazionale di ripresa e resilienza e prime misure di rafforzamento delle strutture amministrative e di accelerazione e snellimento delle procedure;

VISTO il decreto-legge 14 giugno 2021, n. 82, recante disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale;

VISTO il decreto del Ministro dello sviluppo economico 12 dicembre 2018, recante misure di sicurezza ed integrità delle reti di comunicazione elettronica e notifica degli incidenti significativi, pubblicato nella Gazzetta Ufficiale, Serie Generale, n. 17 del 21 gennaio 2019;

VISTO il decreto del Presidente del Consiglio dei ministri 19 giugno 2020, n. 110, concernente regolamento recante modalità e criteri di attivazione e gestione del servizio IT-Alert;

VISTO il decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131, recante regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell’articolo 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133;

VISTA la preliminare deliberazione del Consiglio dei ministri adottata nella riunione del 5 agosto 2021;

ACQUISITO il parere della Conferenza Unificata di cui all’articolo 8 del decreto legislativo 28 agosto 1997, n. 281, reso nella seduta del 22 settembre 2021;

ACQUISITI i pareri delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;

VISTA la deliberazione del Consiglio dei ministri adottata nella riunione del 4 novembre 2021;

SULLA PROPOSTA del Presidente del Consiglio dei Ministri e del Ministro dello sviluppo economico, di concerto con i Ministri degli affari esteri e della cooperazione internazionale, della giustizia, dell’economia e delle finanze, della difesa, della salute, delle infrastrutture e della mobilità sostenibili, della transizione ecologica, per l’innovazione tecnologica e la transizione digitale, e per gli affari regionali e le autonomie;

EMANA

il seguente decreto legislativo:

ARTICOLO 1

Disposizioni di recepimento della direttiva (UE) 2018/1972 che istituisce il Codice europeo delle comunicazioni elettroniche

1. Al decreto legislativo 1° agosto 2003, n. 259, al Titolo I e al Titolo II, gli articoli da 1 a 98 sono sostituiti dai seguenti:

“PARTE I.- NORME GENERALI DI ORGANIZZAZIONE DEL SETTORE

TITOLO I.- AMBITO DI APPLICAZIONE, FINALITÀ E OBIETTIVI, DEFINIZIONI

CAPITOLO I.- OGGETTO, FINALITÀ E DEFINIZIONI

Articolo 1

(Ambito di applicazione)

(Articolo 1 eecc; Articolo 2 Codice 2003)

1. Formano oggetto del presente decreto le disposizioni in materia di:

a) reti e servizi di comunicazione elettronica ad uso pubblico, ivi comprese le reti utilizzate per la diffusione circolare di programmi sonori e televisivi e le reti della televisione via cavo;

b) gruppi chiusi di utenti;

c) reti e servizi di comunicazione elettronica ad uso privato;

d) tutela degli impianti sottomarini di comunicazione elettronica;

e) servizi radioelettrici.

2. Non formano oggetto del decreto le disposizioni in materia di:

a) servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica o che comportano un controllo editoriale su tali contenuti;

b) apparecchiature contemplate dal decreto legislativo 22 giugno 2016, n. 128 che attua la direttiva 2014/53/UE concernente l’armonizzazione delle legislazioni degli Stati membri relative alla messa a disposizione sul mercato di apparecchiature radio e che abroga la direttiva 1999/5/CE, fatte salve le apparecchiature utilizzate dagli utenti della radio e televisione digitale;

c) disciplina dei servizi della società dell’informazione, definiti dalla legge 21 giugno 1986, n. 317, disciplinati dal decreto legislativo 9 aprile 2003, n. 70.

3. Il presente decreto reca le specifiche norme in materia di tutela dei consumatori nel settore delle comunicazioni elettroniche, quali condizioni a corredo delle autorizzazioni generali per la fornitura di servizi di comunicazione elettronica. Rimangono ferme le disposizioni del Codice del consumo, di cui al decreto legislativo 6 settembre 2005, n. 206.

4. Rimangono ferme e prevalgono sulle disposizioni del decreto le norme speciali in materia di reti utilizzate per la diffusione circolare di programmi sonori e televisivi.

5. Le Amministrazioni competenti all’applicazione del presente decreto garantiscono la conformità del trattamento dei dati alle norme in materia di protezione dei dati.

6. Le disposizioni del presente decreto si applicano fatte salve le limitazioni derivanti da esigenze della difesa e della sicurezza dello Stato, della protezione civile, della salute pubblica e della tutela dell’ambiente e della riservatezza e protezione dei dati personali, poste da specifiche disposizioni di legge o da disposizioni regolamentari di attuazione.

7. Restano ferme le competenze e i poteri del Presidente del Consiglio dei Ministri di cui all’articolo 5, comma 3, lettera b-bis) della legge 23 agosto 1988, n. 400, nonché􀒓 le competenze e i poteri del Comitato interministeriale per la transizione digitale di cui all’articolo 8 del decreto-legge 1° marzo 2021, n. 22.

Articolo 2

(Definizioni)

(ex Articolo 2 eecc e Articolo 1 Codice 2003)

1. Ai fini del presente decreto si intende per:

a) Codice: il “Codice delle comunicazioni elettroniche” per quanto concerne le reti e i servizi di comunicazione elettronica;

b) accesso: il fatto di rendere accessibili risorse o servizi a un’altra impresa a determinate condizioni, su base esclusiva o non esclusiva, al fine di fornire servizi di comunicazione elettronica anche quando sono utilizzati per la prestazione di servizi della società dell’informazione o di servizi di diffusione di contenuti radiotelevisivi; il concetto comprende, tra l’altro, l’accesso agli elementi della rete e alle risorse correlate, che può comportare la connessione di apparecchiature con mezzi fissi o non fissi (ivi compreso, in particolare, l’accesso alla rete locale nonché alle risorse e ai servizi necessari per fornire servizi tramite la rete locale); l’accesso all’infrastruttura fisica, tra cui edifici, condotti e piloni; l’accesso ai pertinenti sistemi software, tra cui i sistemi di supporto operativo; l’accesso a sistemi informativi o banche dati per l’effettuazione preventiva di ordini, la fornitura, l’effettuazione di ordini, la manutenzione, le richieste di riparazione e la fatturazione; l’accesso ai servizi di traduzione del numero o a sistemi che svolgono funzioni analoghe; l’accesso alle reti fisse e mobili, in particolare per il roaming; l’accesso ai sistemi di accesso condizionato per i servizi di televisione digitale e l’accesso ai servizi di rete virtuale;

c) Agenzia per la cybersicurezza nazionale: l’Agenzia per la cybersicurezza nazionale, istituita a tutela degli interessi nazionali nel campo della cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico, con decreto-legge 14 giugno 2021, n. 82, recante disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia, di seguito denominata Agenzia;

d) apparato radio elettrico: un trasmettitore, un ricevitore o un ricetrasmettitore destinato ad essere applicato in una stazione radioelettrica. In alcuni casi l’apparato radioelettrico può coincidere con la stazione stessa;

e) apparecchiature digitali televisive avanzate: i sistemi di apparecchiature di decodifica destinati al collegamento con televisori o sistemi televisivi digitali integrati in grado di ricevere i servizi della televisione digitale interattiva;

f) Application Programming Interface (API): interfaccia software fra applicazioni rese disponibili da emittenti o fornitori di servizi e le risorse delle apparecchiature digitali televisive avanzate per la televisione e i servizi radiofonici digitali;

g) Autorità nazionale di regolamentazione: l’Autorità per le garanzie nelle comunicazioni, di seguito denominata Autorità;

h) apparecchiature terminali: apparecchiature terminali quali definite all’articolo 1, comma 1), del decreto legislativo 26 ottobre 2010 n. 198;

i) attribuzione di spettro radio: la designazione di una determinata banda di spettro radio destinata a essere utilizzata da parte di uno o più tipi di servizi di radiocomunicazione, se del caso, alle condizioni specificate;

l) autorizzazione generale: il regime giuridico che garantisce i diritti alla fornitura di reti o di servizi di comunicazione elettronica e stabilisce obblighi specifici per il settore applicabili a tutti i tipi o a tipi specifici di reti e servizi di comunicazione elettronica, conformemente al presente decreto;

m) BEREC: organismo dei regolatori europei delle comunicazioni elettroniche;

n) centro di raccolta delle chiamate di emergenza o “PSAP” (public safety answering point): un luogo fisico, sotto la responsabilità di un’autorità pubblica o di un organismo privato riconosciuto dallo Stato, in cui perviene inizialmente una comunicazione di emergenza;

o) centrale unica di risposta o CUR: il centro di raccolta delle chiamate di emergenza (PSAP) più idoneo per la ricezione delle comunicazioni di emergenza sul territorio nazionale con PSAP di primo livello definiti su base regionale secondo le modalità stabilite con appositi protocolli d’intesa tra le regioni ed il Ministero dell’interno;

p) chiamata: la connessione stabilita da un servizio di comunicazione interpersonale accessibile al pubblico che consente la comunicazione vocale bidirezionale;

q) comunicazione di emergenza: comunicazione mediante servizi di comunicazione interpersonale tra un utente finale e il PSAP con l’obiettivo di richiedere e ricevere aiuto d’urgenza dai servizi di emergenza;

r) consumatore: la persona fisica che utilizza o chiede di utilizzare un servizio di comunicazione elettronica accessibile al pubblico per scopi non riferibili all’attività lavorativa, commerciale, artigianale o professionale svolta;

s) fornitura di una rete di comunicazione elettronica: la realizzazione, la gestione, il controllo o la messa a disposizione di tale rete;

t) gruppo chiuso di utenti (CUG – Closed User Group): una pluralità di soggetti legati fra loro da uno stabile interesse professionale o d’utenza comune, tale da giustificare esigenze interne di comunicazione confinata, soddisfatta a mezzo di reti e servizi esclusivi e chiusi di comunicazione elettronica;

u) incidente di sicurezza: un evento con un reale effetto pregiudizievole per la sicurezza delle reti o dei servizi di comunicazione elettronica;

v) informazioni sulla localizzazione del chiamante: i dati trattati in una rete mobile pubblica, derivanti dall’infrastruttura di rete o dai dispositivi mobili, che indicano la posizione geográfica delle apparecchiature terminali mobili di un utente finale e in una rete pubblica fissa i dati sull’indirizzo fisico del punto terminale di rete;

z) interconnessione: una particolare modalità di accesso messa in opera tra operatori della rete pubblica mediante il collegamento fisico e logico delle reti pubbliche di comunicazione elettronica utilizzate dalla medesima impresa o da un’altra impresa per consentire agli utenti di un’impresa di comunicare con gli utenti della medesima o di un’altra impresa o di accedere ai servizi offerti da un’altra impresa qualora tali servizi siano forniti dalle parti interessate o da altre parti che hanno accesso alla rete;

aa) interferenza dannosa: un’interferenza che pregiudica il funzionamento di un servizio di radionavigazione o di altri servizi di sicurezza o che deteriora gravemente, ostacola o interrompe ripetutamente un servizio di radiocomunicazione che opera conformemente alle normative internazionali, dell’Unione Europea o nazionali applicabili;

bb) larga banda: l’ambiente tecnologico costituito da applicazioni, contenuti, servizi ed infrastrutture, che consente l’utilizzo delle tecnologie digitali ad elevati livelli di interattività;

cc) libero uso: la facoltà di utilizzo di dispositivi o di apparecchiature terminali di comunicazione elettronica senza necessità di autorizzazione generale;

dd) mercati transnazionali: mercati individuati conformemente all’articolo 65 del codice europeo delle comunicazioni elettroniche, che coprono l’Unione o una parte considerevole di questa, situati in più di uno Stato membro;

ee) messaggio IT-Alert: messaggio riguardante gravi emergenze e catastrofi imminenti o in corso, inviato dal sistema di allarme pubblico IT-Alert;

ff) Ministero: il Ministero dello sviluppo economico;

gg) misure di autoprotezione: azioni da porre in essere utili a ridurre i rischi e ad attenuare le conseguenze derivanti da gravi emergenze e catastrofi imminenti o in corso;

hh) numero geografico: qualsiasi numero del piano di numerazione nazionale dei servizi di comunicazione elettronica nel quale alcune delle cifre hanno un indicativo geografico per instradare le chiamate verso l’ubicazione fisica del punto terminale di rete;

ii) numero non geografico: qualsiasi numero del piano di numerazione nazionale dei servizi di comunicazione elettronica che non sia un numero geografico, ad esempio i numeri di telefonía mobile, i numeri di chiamata gratuita e i numeri relativi ai servizi a sovrapprezzo;

ll) operatore: un’impresa che fornisce o è autorizzata a fornire una rete pubblica di comunicazione elettronica, o una risorsa correlata;

mm) PSAP più idoneo: uno PSAP istituito dalle autorità competenti per coprire le comunicazioni di emergenza da un dato luogo o per le comunicazioni di emergenza di un certo tipo;

nn) punto di accesso senza fili di portata limitata: apparecchiatura senza fili di accesso alla rete di piccole dimensioni, a bassa potenza, di portata limitata, che utilizza spettro radio soggetto a licenza o spettro radio esente da licenza oppure una combinazione dei due, che può essere utilizzata come parte di una rete pubblica di comunicazione elettronica ed essere dotata di una o più antenne a basso impatto visivo, che consente agli utenti un accesso senza fili alle reti di comunicazione elettronica indipendentemente dalla topologia di rete sottostante, che può essere mobile o fissa;

oo) punto terminale di rete: il punto fisico a partire dal quale l’utente finale ha accesso a una rete pubblica di comunicazione elettronica e che, in caso di reti in cui abbiano luogo la commutazione o l’instradamento, è definito mediante un indirizzo di rete specifico correlabile a un numero di utente finale o a un nome di utente finale; per il servizio di comunicazioni mobili e personali il punto terminale di rete è costituito dall’antenna fissa cui possono collegarsi via radio le apparecchiature terminali utilizzate dagli utenti del servizio;

pp) rete ad altissima capacità: una rete di comunicazione elettronica costituita interamente da elementi in fibra ottica almeno fino al punto di distribuzione nel luogo servito oppure una rete di comunicazione elettronica in grado di fornire prestazioni di rete analoghe in condizioni normali di picco in termini di larghezza di banda disponibile per downlink/uplink, resilienza, parametri di errore, latenza e relativa variazione; le prestazioni di rete possono essere considerate analoghe a prescindere da eventuali disparità di servizio per l’utente finale dovute alle caratteristiche intrinsecamente diverse del mezzo attraverso cui la rete si collega in ultima istanza al punto terminale di rete;

qq) rete locale in radiofrequenza o “RLAN” (radio local area network): un sistema di accesso senza fili a bassa potenza, di portata limitata, con un basso rischio di interferenze con altri sistemi di questo tipo installati in prossimità da altri utenti, che utilizza su base non esclusiva una porzione di spettro radio armonizzato;

rr) rete locale: il percorso fisico utilizzato dai segnali di comunicazione elettronica che collega il punto terminale della rete a un permutatore o a un impianto equivalente nella rete pubblica fissa di comunicazione elettronica;

ss) Rete privata o Rete di comunicazione elettronica ad uso privato: rete di comunicazione elettronica con la quale sono realizzati servizi di comunicazione elettronica ad uso esclusivo del titolare della relativa autorizzazione. Una rete privata può interconnettersi, su base commerciale, con la rete pubblica tramite uno o più punti terminali di rete, purché i servizi di comunicazione elettronica realizzati con la rete privata non siano accessibili al pubblico.

tt) rete pubblica di comunicazione elettronica: una rete di comunicazione elettronica, utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di rete;

uu) rete televisiva via cavo: ogni infrastruttura prevalentemente cablata installata principalmente per la diffusione o la distribuzione di segnali radiofonici o televisivi al pubblico;

vv) reti di comunicazione elettronica: i sistemi di trasmissione, basati o meno su un’infrastruttura permanente o una capacità di amministrazione centralizzata e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti mobili e fisse (a commutazione di circuito e a commutazione di pacchetto, compresa internet), i sistemi per il trasporto via cavo della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti utilizzate per la diffusione radiotelevisiva e le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;

zz) risorse correlate: servizi correlati, infrastrutture fisiche e altre risorse o elementi correlati a una rete di comunicazione elettronica o a un servizio di comunicazione elettronica che permettono o supportano la fornitura di servizi attraverso tale rete o servizio, o sono potenzialmente in grado di farlo, compresi gli edifici o gli accessi agli edifici, il cablaggio degli edifici, le antenne, le torri e le altre strutture di supporto, le condotte, le tubazioni, i piloni, i pozzetti e gli armadi di distribuzione;

aaa) RSPG: il gruppo “Politica dello spettro radio”;

bbb) servizio CBS – Cell Broadcast Service: servizio che consente la comunicazione unidirezionale di brevi messaggi di testo ai dispositivi mobili presenti in una determinata area geografica coperta da una o più celle delle reti mobili pubbliche;

ccc) servizio correlato: un servizio correlato a una rete o a un servizio di comunicazione elettronica che permette o supporta la fornitura, l’auto fornitura o la fornitura automatizzata di servizi attraverso tale rete o servizio, o è potenzialmente in grado di farlo, e comprende i servizi di traduzione del numero o i sistemi che svolgono funzioni analoghe, i sistemi di accesso condizionato e le guide elettroniche ai programmi (electronic programme guides — EPG), nonché altri servizi quali quelli relativi all’identità, alla posizione e alla presenza;

ddd) servizio di comunicazione da macchina a macchina: servizio di comunicazione non interpersonale in cui le informazioni sono iniziate e trasferite in modo prevalentemente automatizzato tra dispositivi e applicazioni con nessuna o marginale interazione umana. Tale servizio può essere basato sul numero e non consente la realizzazione di un servizio interpersonale;

eee) servizio di comunicazione elettronica ad uso privato: servizio svolto in una rete privata senza l’utilizzo neanche parziale di elementi della rete pubblica. Il servizio è svolto exclusivamente nell’interesse e per traffico tra terminali del titolare di un’autorizzazione generale, overo beneficiario del servizio, ad uso privato. Qualora la rete privata nella quale il servizio ad uso privato è svolto sia interconnessa con la rete pubblica il traffico non attraversa il punto terminale di rete;

fff) servizio di comunicazione elettronica: i servizi, forniti di norma a pagamento su reti di comunicazioni elettroniche, che comprendono, con l’eccezione dei servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica o che esercitano un controllo editoriale su tali contenuti, i tipi di servizi seguenti:

1) servizio di accesso a internet quale definito all’articolo 2, secondo comma, punto 2), del regolamento (UE) 2015/2120;

2) servizio di comunicazione interpersonale;

3) servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali come i servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina e per la diffusione circolare radiotelevisiva;

ggg) servizio di comunicazione interpersonale basato sul numero: un servizio di comunicazione interpersonale che si connette a risorse di numerazione assegnate pubblicamente – ossia uno o più numeri che figurano in un piano di numerazione nazionale o internazionale – o consente la comunicazione con uno o più numeri che figurano in un piano di numerazione nazionale o internazionale;

hhh) servizio di comunicazione interpersonale indipendente dal numero: un servizio di comunicazione interpersonale che non si connette a risorse di numerazione assegnate pubblicamente, ossia uno o più numeri che figurano in un piano di numerazione nazionale o internazionale, o che non consente la comunicazione con uno o più numeri che figurano in un piano di numerazione nazionale o internazionale;

iii) servizio di comunicazione interpersonale: un servizio di norma a pagamento che consente lo scambio diretto interpersonale e interattivo di informazioni tramite reti di comunicazione elettronica tra un numero limitato di persone, mediante il quale le persone che avviano la comunicazione o che vi partecipano ne stabiliscono il destinatario o i destinatari e non comprende i servizi che consentono le comunicazioni interpersonali e interattive esclusivamente come elemento accessorio meno importante e intrinsecamente collegato a un altro servizio;

lll) servizio di comunicazione vocale: un servizio di comunicazione elettronica accessibile al pubblico che consente di effettuare e ricevere, direttamente o indirettamente, chiamate nazionali o nazionali e internazionali tramite uno o più numeri che figurano in un piano di numerazione nazionale o internazionale;

mmm) servizio di conversazione globale: un servizio di conversazione multimediale in tempo reale che consente il trasferimento bidirezionale simmetrico in tempo reale di immagini video in movimento, nonché comunicazioni testuali e vocali in tempo reale tra gli utenti in due o più località;

nnn) servizio di emergenza: un servizio, riconosciuto come tale, che fornisce assistenza immediata e rapida in situazioni in cui esiste, in particolare, un rischio immediato per la vita o l’incolumità fisica, la salute o la sicurezza individuale o pubblica, la proprietà privata o pubblica o l’ambiente;

ooo) sistema IT-Alert: piattaforma tecnologica con cui, in applicazione dello standard Europeo ETSI TS 102 900 V1.3.1 (2019-02) – Emergency Communications (EMTEL), European Public Warning System (EU-ALERT) using the Cell Broadcast Service, è realizzato in Italia il sistema di allarme pubblico;

ppp) servizio telefonico accessibile al pubblico: un servizio reso accessibile al pubblico che consente di effettuare e ricevere direttamente o indirettamente, chiamate nazionali o nazionali e internazionali tramite uno o più numeri che figurano in un piano di numerazione dei servizi di comunicazione elettronica nazionale o internazionale;

qqq) servizio televisivo in formato panoramico: un servizio televisivo che si compone esclusivamente o parzialmente di programmi prodotti ed editati per essere visualizzati su uno schermo a formato panoramico. Il rapporto d’immagine 16:9 è il formato di riferimento per i servizi televisivi in formato panoramico;

rrr) servizio universale: un insieme minimo di servizi di una qualità determinata, accessibili a tutti gli utenti a prescindere dalla loro ubicazione geografica e, tenuto conto delle condizioni nazionali specifiche, offerti ad un prezzo accessibile;

sss) sicurezza delle reti e dei servizi: la capacità delle reti e dei servizi di comunicazione elettronica di resistere, a un determinato livello di riservatezza, a qualsiasi azione che comprometta la disponibilità, l’autenticità, l’integrità o la riservatezza di tali reti e servizi, dei dati conservati, trasmessi o trattati oppure dei relativi servizi offerti o accessibili tramite tali reti o servizi di comunicazione;

ttt) sistema di accesso condizionato: qualsiasi misura tecnica, sistema di autenticazione o intesa secondo i quali l’accesso in forma intelligibile a un servizio protetto di diffusione radiotelevisiva è subordinato a un abbonamento o a un’altra forma di autorizzazione preliminare individuale;

uuu) sistema di allarme pubblico: sistema di diffusione di allarmi pubblici agli utenti finali interessati da gravi emergenze e catastrofi imminenti o in corso;

vvv) spettro radio armonizzato: uno spettro radio per il quale sono state definite condizioni armonizzate relative alla sua disponibilità e al suo uso efficiente mediante misure tecniche di attuazione conformemente all’articolo 4 della decisione n. 676/2002/CE;

zzz) stazione radioelettrica: uno o più apparati radioelettrici, ivi comprese le apparecchiature accessorie, necessari in una data postazione, anche mobile o portatile, per assicurare un servizio di radiocomunicazione o di radioastronomia ovvero per svolgere un’attività di comunicazione elettronica ad uso privato. Ogni stazione, in particolare, viene classificata sulla base del servizio o dell’attività alle quali partecipa in maniera permanente o temporanea;

aaaa) telefono pubblico a pagamento: qualsiasi apparecchio telefonico accessibile al pubblico, utilizzabile con mezzi di pagamento che possono includere monete o carte di credito o di addebito o schede prepagate, comprese le schede con codice di accesso;

bbbb) uso condiviso dello spettro radio: l’accesso da parte di due o più utenti per l’utilizzo delle stesse bande di spettro radio nell’ambito di un accordo di condivisione definito, autorizzato sulla base di un’autorizzazione generale, di diritti d’uso individuali dello spettro radio o di una combinazione dei due, che include approcci normativi come l’accesso condiviso soggetto a licenza volto a facilitare l’uso condiviso di una banda di spettro radio, previo accordo vincolante di tutte le parti interessate, conformemente alle norme di condivisione previste nei loro diritti d’uso dello spettro radio onde da garantire a tutti gli utenti accordi di condivisione prevedibili e affidabili, e fatta salva l’applicazione del diritto della concorrenza;

cccc) utente finale: un utente che non fornisce reti pubbliche di comunicazione elettronica o servizi di comunicazione elettronica accessibili al pubblico o a gruppi chiusi di utenti;

dddd) utente: la persona fisica o giuridica che utilizza o chiede di utilizzare un servizio di comunicazione elettronica accessibile al pubblico, ovvero a un insieme predefinito e chiuso di persone fisiche o giuridiche all’uopo autorizzate.

Articolo 3

(Principi generali)

(Articolo 3 eecc e Articolo 3 Codice 2003)

1. La disciplina delle reti e servizi di comunicazione elettronica di cui al presente decreto è volta a salvaguardare, nel rispetto del principio della libera circolazione delle persone e delle cose, i diritti costituzionalmente garantiti di:

a) libertà di comunicazione;

b) segretezza delle comunicazioni, anche attraverso il mantenimento dell’integrità e della sicurezza delle reti di comunicazione elettronica e l’adozione di misure preventive delle interferenze;

c) libertà di iniziativa economica e suo esercizio in regime di concorrenza, garantendo un accesso al mercato delle reti e servizi di comunicazione elettronica secondo criteri di obiettività, trasparenza, non discriminazione e proporzionalità.

2. La fornitura di reti e servizi di comunicazione elettronica, che è di preminente interesse generale, è libera e ad essa si applicano le disposizioni del decreto.

3. Il Ministero, l’Autorità, e le amministrazioni competenti contribuiscono nell’ambito della propria competenza a garantire l’attuazione delle politiche volte a promuovere la libertà di espressione e di informazione, la diversità culturale e linguistica e il pluralismo dei mezzi di comunicazione, nel rispetto dei diritti e delle libertà fondamentali delle persone fisiche, garantiti dalla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali e dai principi generali del diritto dell’Unione europea.

4. Sono fatte salve le limitazioni derivanti da esigenze della difesa e della sicurezza dello Stato, della protezione civile, della salute pubblica e della tutela dell’ambiente e della riservatezza e protezione dei dati personali, poste da specifiche disposizioni di legge o da disposizioni regolamentari di attuazione.

Articolo 4

(Obiettivi generali della disciplina di reti e servizi di comunicazione elettronica)

(artt. 1 e 3 eecc; artt. 4 e 13 Codice 2003)

1. L’Autorità e il Ministero, ciascuno nell’ambito delle proprie competenze, e fermo quanto previsto all’articolo 6 comma 3, perseguono i seguenti obiettivi generali, che non sono elencati in ordine di priorità:

a) promuovere la connettività e l’accesso alle reti ad altissima capacità, comprese le reti fisse, mobili e senza fili, e il loro utilizzo da parte di tutti i cittadini e le imprese;

b) promuovere la concorrenza nella fornitura delle reti di comunicazione elettronica e delle risorse correlate, compresa un’efficace concorrenza basata sulle infrastrutture, e nella fornitura dei servizi di comunicazione elettronica e dei servizi correlati;

c) contribuire allo sviluppo del mercato interno rimuovendo gli ostacoli residui e promuovendo condizioni convergenti per gli investimenti e la fornitura di reti di comunicazione elettronica, servizi di comunicazione elettronica, risorse correlate e servizi correlati, sviluppando approcci normativi prevedibili e favorendo l’uso effettivo, efficiente e coordinato dello spettro radio, l’innovazione aperta, la creazione e lo sviluppo di reti transeuropee, la fornitura, la disponibilità e l’interoperabilità dei servizi paneuropei e la connettività da punto a punto (end-to-end);

d) promuovere gli interessi dei cittadini, garantendo la connettività e l’ampia disponibilità e utilizzo delle reti ad altissima capacità , comprese le reti fisse, mobili e senza fili, e dei servizi di comunicazione elettronica, garantendo i massimi vantaggi in termini di scelta, prezzo e qualità sulla base di una concorrenza efficace, preservando la sicurezza delle reti e dei servizi, garantendo un livello di protezione degli utenti finali elevato e uniforme tramite la necessaria normativa settoriale e rispondendo alle esigenze , ad esempio in termini di prezzi accessibili , di gruppi sociali specifici, in particolare utenti finali con disabilità, utenti finali anziani o utenti finali con esigenze social particolari, nonché la scelta e l’accesso equivalente degli utenti finali con disabilità.

2. La disciplina delle reti e servizi di comunicazione elettronica è volta altresì a:

(a) promuovere la semplificazione dei procedimenti amministrativi e la partecipazione ad essi dei soggetti interessati, attraverso l’adozione di procedure tempestive, non discriminatorie e trasparenti nei confronti delle imprese che forniscono reti e servizi di comunicazione elettronica;

(b) garantire la trasparenza, pubblicità e tempestività delle procedure per la concessione dei diritti di passaggio e di installazione delle reti di comunicazione elettronica sulle proprietà pubbliche e private;

c) garantire l’osservanza degli obblighi derivanti dal regime di autorizzazione generale per l’offerta al pubblico di reti e servizi di comunicazione elettronica; garantire l’osservanza degli obblighi derivanti dal regime di autorizzazione generale, sia essa per l’offerta al pubblico di reti e servizi di comunicazione elettronica ovvero per regolare la fornitura di reti e servizi per gruppi chiusi di utenti e le reti e servizi di comunicazione elettronica ad uso privato;

(d) garantire la fornitura del servizio universale, limitando gli effetti distorsivi della concorrenza;

e) promuovere lo sviluppo in regime di concorrenza delle reti e servizi di comunicazione elettronica, ivi compresi quelli a larga banda e la loro diffusione sul territorio nazionale, dando impulso alla coesione sociale ed economica anche a livello locale;

(f) garantire in modo flessibile l’accesso e l’interconnessione per le reti di comunicazione elettronica a larga banda, avendo riguardo alle singole tipologie di servizio, in modo da assicurare concorrenza sostenibile, innovazione e vantaggi per i consumatori;

(g) garantire l’esercizio senza interruzioni od interferenze delle reti di comunicazione elettronica poste a presidio dell’ordine pubblico, nonché a salvaguardia della sicurezza ed a soccorso della vita umana (PPDR – Public Protection and Disaster Relief);

(h) garantire la convergenza, la interoperabilità tra reti e servizi di comunicazione elettronica e l’utilizzo di standard aperti;

(i) garantire il rispetto del principio di neutralità tecnologica, inteso come non discriminazione tra particolari tecnologie, non imposizione dell’uso di una particolare tecnologia rispetto alle altre e possibilità di adottare provvedimenti ragionevoli al fine di promuovere taluni servizi indipendentemente dalla tecnologia utilizzata;

(l) promuovere e favorire, nell’imminenza o in caso di gravi emergenze e catastrofi imminenti o in corso, attraverso le tecnologie dell’informazione e della comunicazione, l’adozione di misure di autoprotezione da parte dei cittadini;

(m) garantire un livello di protezione degli utenti finali elevato e uniforme tramite la necesaria normativa settoriale e rispondere alle esigenze, ad esempio in termine di prezzi accessibili, di gruppi sociali specifici, in particolare utenti finali con disabilità, utenti finali anziani o utenti finali con esigenze sociali particolari e assicurare la scelta e l’accesso equivalente degli utenti finali con disabilità.

3. A garanzia dei diritti di cui all’articolo 3 e per il perseguimento degli obiettivi di cui al comma 1, gli obblighi per le imprese che forniscono reti e servizi di comunicazione elettronica, disposti dal presente decreto, sono imposti secondo principi di imparzialità, obiettività, trasparenza, non distorsione della concorrenza, non discriminazione e proporzionalità.

4. La disciplina della fornitura di reti e servizi di comunicazione elettronica tiene conto delle norme e misure tecniche approvate in sede comunitaria, nonché dei piani e raccomandazioni approvati da organismi internazionali cui l’Italia aderisce in virtù di convenzioni e trattati.

5. Nel perseguire le finalità programmatiche specificate nel presente articolo, l’autorità nazionale di regolamentazione e le altre autorità competenti tra l’altro:

a) promuovono la prevedibilità regolamentare, garantendo un approccio regolatore coherente nell’arco di opportuni periodi di revisione e attraverso la cooperazione reciproca, con il BEREC, con il RSPG e con la Commissione europea;

b) garantiscono che, in circostanze analoghe, non vi siano discriminazioni nel trattamento dei fornitori di reti e servizi di comunicazione elettronica;

c) applicano il diritto dell’Unione europea secondo il principio della neutralità tecnologica, nella misura in cui ciò sia compatibile con il conseguimento degli obiettivi di cui al comma 3;

d) promuovono investimenti efficienti e innovazione in infrastrutture nuove e migliorate, anche garantendo che qualsiasi obbligo di accesso tenga debito conto del rischio sostenuto dalle imprese che investono e consentendo vari accordi di cooperazione tra gli investitori e le parti che richiedono accesso onde diversificare il rischio di investimento, assicurando nel contempo la salvaguardia della concorrenza nel mercato e del principio di non discriminazione;

e) tengono debito conto della varietà delle condizioni attinenti all’infrastruttura, della concorrenza, della situazione degli utenti finali e, in particolare, dei consumatori nelle diverse aree geografiche all’interno del territorio dello Stato, ivi compresa l’infrastruttura locale gestita da persone fisiche senza scopo di lucro;

f) impongono obblighi regolamentari ex ante unicamente nella misura necessaria a garantire una concorrenza effettiva e sostenibile nell’interesse dell’utente finale e li attenuano o revocano non appena sia soddisfatta tale condizione.

6. Il Ministero e l’Autorità, anche in collaborazione con la Commissione europea, l’RSPG e il BEREC, adottano, nello svolgimento dei compiti di regolamentazione indicati nel presente decreto, tutte le ragionevoli misure necessarie e proporzionate per conseguire gli obiettivi di cui al presente articolo.

Articolo 5

(Pianificazione strategica e coordinamento della politica in materia di spettro radio)

(Articolo 4 eecc; Articolo 13-bis Codice 2003)

1. Il Ministero, sentite l’Autorità e l’Agenzia per la cybersicurezza nazionale per i profili di competenza, coopera con i competenti organi degli altri Stati membri e con la Commissione europea nella pianificazione strategica, nel coordinamento e nell’armonizzazione dell’uso dello spettro radio nell’Unione europea per la realizzazione e il funzionamento del mercato interno delle comunicazioni elettroniche. A tal fine il Ministero prende in considerazione, tra l’altro, gli aspetti economici, inerenti alla sicurezza, alla salute, all’interesse pubblico, alla libertà di espressione, gli aspetti culturali, scientifici, sociali e tecnici delle politiche dell’Unione europea, come pure i vari

interessi delle comunità di utenti dello spettro radio, allo scopo di ottimizzarne l’uso e di evitare interferenze dannose.

2. Il Ministero, cooperando con i competenti organi degli altri Stati membri e con la Commissione europea, d’intesa con l’Autorità nell’ambito delle competenze di quest’ultima, promuove il coordinamento delle politiche in materia di spettro radio nell’Unione europea e, ove opportuno, condizioni armonizzate per quanto concerne la disponibilità e l’uso efficiente dello spettro radio, che sono necessari per la realizzazione e il funzionamento del mercato interno delle comunicazioni elettroniche.

3. Il Ministero, nell’ambito del RSPG, d’intesa con l’Autorità nell’ambito delle competenze di quest’ultima, coopera con i competenti organi degli altri Stati membri e con la Commissione europea secondo quanto disposto al comma 1 e, su loro richiesta, con il Parlamento europeo e il Consiglio, per sostenere la pianificazione strategica e il coordinamento delle politiche in materia di spettro radio nell’Unione:

a) sviluppando le migliori prassi sulle questioni connesse allo spettro radio al fine di attuare il presente decreto;

b) agevolando il coordinamento tra gli Stati membri al fine di attuare il presente decreto e altra legislazione dell’Unione e di contribuire allo sviluppo del mercato interno;

c) coordinando i propri approcci all’assegnazione e all’autorizzazione all’uso dello spettro radio e pubblicando relazioni o pareri sulle questioni connesse allo spettro radio.

CAP I-BIS.- ASSETTO ISTITUZIONALE E GOVERNANCE

Articolo 6

(Attribuzioni del Ministero, dell’Autorità per le garanzie nelle comunicazioni e delle altre Amministrazioni competenti)

(artt. 5, 6 e 11 eecc; artt. 7 e 8 Codice 2003)

1. Il Ministero esercita le competenze derivanti dal decreto legislativo 30 luglio 1999, n.300, dalla legge 16 gennaio 2003, n. 3, nonché dal decreto-legge 16 maggio 2008, n. 85, convertito, con modificazioni, dalla legge 14 luglio 2008, n. 121. Fermo restando il puntuale riparto di competenze tra Autorità e Ministero, di cui al presente decreto, il Ministero svolge, in particolare, i seguenti compiti:

a) predispone e adotta lo schema del Piano nazionale di ripartizione delle frequenze;

b) effettua il coordinamento internazionale al fine di definire le frequenze pianificabili e assegnabili in Italia;

c) effettua l’assegnazione delle frequenze e il rilascio dei diritti di uso, e vigila sulla loro utilizzazione;

d) assegna le risorse di numerazione e il rilascio dei diritti di uso ad eccezione dell’assegnazione delle numerazioni per servizi di emergenza, e vigila sulla loro utilizzazione;

e) definisce il perimetro del servizio universale e gestisce il relativo fondo di compensazione degli oneri;

f) congiuntamente all’Autorità, vigila sulla effettiva erogazione e disponibilità del servicio universale;

g) effettua la mappatura geografica delle informazioni di previsione sulle installazioni di rete per come previsto dal presente decreto;

h) riceve le notifiche di inizio attività ai fini del conseguimento delle autorizzazioni generali, disponendo in mancanza dei presupposti e dei requisiti richiesti il divieto di prosecuzione dell’attività, acquisisce al bilancio i diritti amministrativi e i contributi dovuti. Trasmette le informazioni al BEREC e può definire, conformemente alle prescrizioni del presente decreto, regimi specifici per particolari categorie di reti o servizi;

i) vigila sull’osservanza degli obblighi derivanti dal regime di autorizzazione generale per l’offerta al pubblico di reti e servizi di comunicazione elettronica ed irroga le sanzioni di cui al presente decreto;

l) ogni altro compito conferito dal diritto nazionale nelle materie di cui al presente decreto, comprese le disposizioni nazionali di attuazione del diritto dell’Unione europea.

2. L’Autorità esercita le competenze derivanti dalla legge 14 novembre 1995, n. 481 nonché dalla legge 31 luglio 1997, n. 249. Fermo restando il puntuale riparto di competenze tra Autorità e Ministero, di cui al presente decreto, l’Autorità svolge, in particolare, i seguenti compiti:

a) regolamentazione ex ante del mercato, compresa l’imposizione di obblighi in materia di acceso e interconnessione;

b) risoluzione delle controversie tra le imprese, anche con riguardo alle controversie relative ai diritti e agli obblighi previsti dal decreto legislativo del 15 febbraio 2016, n. 33;

c) pianificazione per l’assegnazione delle frequenze e pareri in materia di spettro radio, ai sensi del presente decreto;

d) tutela dei diritti degli utenti finali nel settore della comunicazione elettronica mediante l’applicazione della normativa settoriale e l’irrogazione delle sanzioni di cui al presente decreto, nonché attraverso procedure per la risoluzione delle controversie tra utenti e operatori;

e) garanzia di un accesso aperto a internet ai sensi del regolamento europeo (UE) 2120/2015, mediante l’esercizio dei relativi poteri regolamentari, di vigilanza e sanzionatori;

f) valutazione dell’onere indebito e calcolo del costo netto della fornitura del servizio universale;

g) garanzia della portabilità del numero tra i fornitori;

h) esercizio dei poteri regolamentari, di vigilanza e sanzionatori in materia di roaming internazionale, ai sensi del regolamento europeo (UE) 2120/2015;

i) raccolta di dati e altre informazioni dai partecipanti al mercato, anche al fine di contribuire ai compiti del BEREC;

l) mappatura della copertura geografica delle reti a larga banda all’interno del territorio, ai sensi del presente decreto;

m) ogni altro compito conferito dal diritto nazionale, comprese le disposizioni nazionali di attuazione del diritto dell’Unione europea, nonché relativo a qualsiasi ruolo conferito al BEREC.

3. L’Agenzia per la cybersicurezza nazionale esercita le competenze derivanti dal Titolo V del presente Codice e dal decreto-legge 14 giugno 2021, n. 82. L’Agenzia svolge, in particolare, i compiti relativi alla sicurezza delle reti e dei servizi di comunicazione elettronica accessibili al pubblico e alla protezione dalle minacce informatiche delle comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità e garantendone altresì la resilienza.

4. Il Ministero e l’Autorità, per le parti di rispettiva competenza, adottano le misure espressamente previste dal presente decreto intese a conseguire gli obiettivi di cui all’articolo 4, nel rispetto dei principi di certezza, efficacia, ragionevolezza e proporzionalità delle regole. Le competenze del Ministero, così come quelle dell’Autorità, sono notificate alla Commissione europea e sono rese pubbliche sui rispettivi siti Internet istituzionali.

5. Il Ministero, l’Autorità, l’Agenzia e l’Autorità garante della concorrenza e del mercato, ai fini di una leale collaborazione e reciproca cooperazione nelle materie di interesse comune, si scambiano le informazioni necessarie all’applicazione del presente decreto e delle disposizioni del diritto dell’Unione europea relative alle reti ed i servizi di comunicazione elettronica. I soggetti che ricevono le informazioni sono tenuti a rispettare lo stesso grado di riservatezza cui sono vincolati i soggetti che le trasmettono.

6. Il Ministero, l’Autorità, l’Agenzia e l’Autorità garante della concorrenza e del mercato, entro centoventi giorni dalla data di entrata in vigore del presente decreto, mediante specifiche intese, adottano disposizioni sulle procedure di consultazione e di cooperazione nelle materie di interesse comune. Tali disposizioni sono rese pubbliche sui rispettivi siti internet istituzionali.

7. Il Ministero, l’Autorità, l’Agenzia e l’Autorità garante della concorrenza e del mercato, per le parti di rispettiva competenza, assicurano cooperazione e trasparenza tra loro e nei riguardi della Commissione europea al fine di garantire la piena applicazione delle disposizioni stabilite dal presente decreto.

8. Il Ministero e l’Autorità per le parti di rispettiva competenza ai sensi del presente decreto, esercitano i propri poteri in modo imparziale, trasparente e tempestivo, operano in indipendenza e sono giuridicamente distinte e funzionalmente autonome da qualsiasi persona fisica o giuridica che fornisca reti, apparecchiature o servizi di comunicazione elettronica. In caso di proprietà o di controllo pubblico delle imprese che forniscono reti o servizi di comunicazione elettronica, le funzioni e le attività di regolamentazione sono caratterizzata da una piena ed effettiva separazione strutturale dalle funzioni e attività inerenti alla proprietà o al controllo di tali imprese.

Articolo 7

(Autorità per le garanzie nelle comunicazioni)

(ex Articolo 7 eecc)

1. Il Presidente e i Commissari dell’Autorità sono nominati e operano ai sensi dell’articolo 1 della legge 31 luglio 1997, n. 249.

2. L’Autorità esercita i propri poteri in modo imparziale, obiettivo, trasparente e tempestivo.

3. L’Autorità opera in indipendenza e non sollecita né accetta istruzioni da alcun altro organismo nell’esercizio dei compiti ad essa affidati, anche con riferimento allo sviluppo delle proprie procedure interne e all’organizzazione del personale.

4. L’Autorità dispone di risorse finanziarie e umane adeguate a svolgere i compiti ad essa assegnati; adotta e pubblica annualmente il proprio bilancio e gode di autonomia nella sua esecuzione. Il controllo sul bilancio dell’Autorità è esercitato in modo trasparente ed è reso pubblico.

5. L’Autorità dispone di risorse finanziarie e umane sufficienti affinché possa partecipare e contribuire attivamente al BEREC. Essa sostiene attivamente gli obiettivi del BEREC relativamente alla promozione di un coordinamento e di una coerenza normativi maggiori e, allorché adotta le proprie decisioni, tiene nella massima considerazione le linee guida, i pareri, le raccomandazioni, le posizioni comuni, le migliori prassi e le metodologie adottati dal BEREC.

6. L’Autorità riferisce annualmente al Parlamento sull’attività svolta e sui programmi di lavoro, ai sensi dell’articolo 1, comma 6, lettera c) n. 12), della legge n. 249 del 1997. La relazione è resa pubblica.

Articolo 8

(Regioni ed Enti locali)

(Articolo 5 Codice 2003)

1. Lo Stato, le Regioni e gli Enti locali, ferme restando le competenze legislative e regolamentari delle Regioni e delle Province autonome, operano in base al principio di leale collaborazione, anche mediante intese ed accordi. Lo Stato, le Regioni e gli Enti locali concordano, in sede di Conferenza Unificata, di cui all’articolo 8 del decreto legislativo 28 agosto 1997, n. 281, le linee generali dello sviluppo del settore, anche per l’individuazione delle necessarie risorse finanziarie. A tal fine è istituito, nell’ambito della Conferenza Unificata, avvalendosi della propria organizzazione e senza oneri aggiuntivi per la finanza pubblica, un Comitato paritetico, con il compito di verificare il grado di attuazione delle iniziative intraprese, di acquisire e scambiare dati ed informazioni dettagliate sulla dinamica del settore e di elaborare le proposte da sottoporre alla Conferenza medesima.

2. In coerenza con i principi di tutela dell’unità economica, di tutela della concorrenza e di sussidiarietà, nell’ambito dei principi fondamentali di cui al presente decreto e comunque desumibili dall’ordinamento della comunicazione stabiliti dallo Stato, e in conformità con quanto previsto dal diritto dell’Unione europea ed al fine di rendere più efficace ed efficiente l’azione dei soggetti pubblici locali e di soddisfare le esigenze dei cittadini e degli operatori economici, le Regioni e gli Enti locali, nell’ambito delle rispettive competenze e nel rispetto dei principi di cui al primo comma dell’articolo 117 della Costituzione, dettano disposizioni in materia di:

a) individuazione di livelli avanzati di reti e servizi di comunicazione elettronica a larga banda, da offrire in aree locali predeterminate nell’ambito degli strumenti di pianificazione e di sviluppo, anche al fine di evitare fenomeni di urbanizzazione forzata ovvero di delocalizzazione di imprese;

b) agevolazioni per l’acquisto di apparecchiature terminali d’utente e per la fruizione di reti e servizi di comunicazione elettronica a larga banda;

c) promozione di livelli minimi di disponibilità di reti e servizi di comunicazione elettronica a larga banda, nelle strutture pubbliche localizzate sul territorio, ivi comprese quelle sanitarie e di formazione, negli insediamenti produttivi, nelle strutture commerciali ed in quelle ricettive, turistiche e alberghiere;

d) definizione di iniziative volte a fornire un sostegno alle persone anziane, persone con disabilità, ai consumatori di cui siano accertati un reddito modesto o particolari esigenze sociali ed a quelli che vivono in zone rurali o geograficamente isolate.

3. L’utilizzo di fondi pubblici, ivi compresi quelli previsti dalla normativa comunitaria, necessari per il conseguimento degli obiettivi indicati al comma 2, lettere a) e b), deve avvenire nel rispetto dei principi di trasparenza, non distorsione della concorrenza, non discriminazione e proporzionalità.

4. Le presenti disposizioni sono applicabili nelle Regioni a statuto speciale e nelle Province autonome di Trento e di Bolzano compatibilmente con i rispettivi statuti e norme di attuazione, anche con riferimento alle disposizioni del Titolo V, parte II, della Costituzione, per le parti in cui prevedono forme di autonomia più ampia rispetto a quelle già attribuite.

Articolo 9

(Misure di garanzia)

(Articolo 6 Codice 2003)

1. Lo Stato, le Regioni e gli Enti locali, o loro associazioni, non possono fornire reti o servizi di comunicazione elettronica accessibili al pubblico, se non attraverso società controllate o collegate.

2. Ai fini del presente articolo il controllo sussiste, anche con riferimento a soggetti diversi dalle società, nei casi previsti dall’articolo 2359, commi primo e secondo del Codice civile. Il controllo si considera esistente nella forma dell’influenza dominante, salvo prova contraria, allorché ricorra una delle situazioni previste dall’articolo 43 decreto legislativo 31 luglio 2005, n. 177.

3. Non sono consentite sovvenzioni o altre forme anche indirette di agevolazioni alle imprese, da parte dello Stato, delle Regioni, degli Enti locali e di altri Enti pubblici, tali da distorcere le condizioni di concorrenza e configurare aiuti di Stato ai sensi del titolo V del trattato sull’Unione europea, se non nei limiti e alle condizioni di cui al medesimo titolo V.

Articolo 10

(Protocolli d’intesa, convenzioni ed accordi)

1. Per la stipula di accordi internazionali e di intese tecniche con amministrazioni di altri Stati, restano ferme le competenze del Ministero degli affari esteri e della cooperazione internazionale.

2. Restano ferme le competenze dell’Agenzia per la cybersicurezza nazionale in materia di stipula di protocolli d’intesa, convenzioni ed accordi in materia di cybersicurezza.

CAPITOLO II.- AUTORIZZAZIONE GENERALE

(ARTT. 12 – 19 CCEE)

Sezione I.- Parte generale

Articolo 11 (Autorizzazione generale per le reti e i servizi di comunicazione elettronica)

(ex Articolo 12 eecc – ex Articolo 25 d.lgs. n. 259/2003)

1. L’attività di fornitura di reti o servizi di comunicazione elettronica è libera, fatte salve le condizioni stabilite nel presente decreto e le eventuali limitazioni introdotte da disposizioni legislative regolamentari e amministrative che prevedano un regime particolare per i cittadini o le imprese di Paesi non appartenenti all’Unione europea o allo Spazio economico europeo, o che siano giustificate da esigenze della difesa e della sicurezza dello Stato e della sanità pubblica, compatibilmente con le esigenze della tutela dell’ambiente e della protezione civile, poste da specifiche disposizioni, ivi comprese quelle vigenti alla data di entrata in vigore del presente decreto. Le disposizioni del presente articolo si applicano anche ai cittadini o imprese di Paesi non appartenenti all’Unione europea, nel caso in cui lo Stato di appartenenza applichi, nelle materia disciplinate dal presente decreto, condizioni di piena reciprocità. Rimane salvo quanto previsto da trattati internazionali cui l’Italia aderisce o da specifiche convenzioni.

2. La fornitura di reti o di servizi di comunicazione elettronica diversi dai servizi di comunicazione interpersonale indipendenti dal numero, fatti salvi gli obblighi specifici di cui all’articolo 13 o i diritti di uso di cui agli articoli 59 e 98-septies, è assoggettata ad un’autorizzazione generale, che consegue alla presentazione della dichiarazione di cui al comma 4. Il Ministero, sentita l’Autorità per i profili di competenza, può definire, pubblicandone i regolamenti, conformi alle prescrizioni del presente decreto, regimi specifici per l’autorizzazione generale per particolari categorie di reti o servizi, cui l’impresa che intende offrire le dette reti o servizi è tenuta ad ottemperare.

3. Le imprese che intendono avviare le attività di cui al comma 1, notificano tale intenzione al Ministero e possono esercitare i diritti che derivano dall’autorizzazione generale subito dopo la notifica, se del caso nel rispetto delle disposizioni sui diritti d’uso stabilite a norma del presente decreto, salva motivata opposizione da parte del Ministero.

4. La notifica di cui al comma 3 è composta dalla dichiarazione, resa dalla persona fisica titolare ovvero dal legale rappresentante della persona giuridica, o da soggetti da loro delegati, dell’intenzione di iniziare la fornitura di reti o di servizi di comunicazione elettronica, nonché dalla presentazione delle informazioni necessarie per consentire al Ministero la tenuta di un registro dei fornitori di reti e di servizi di comunicazione elettronica. Tale dichiarazione costituisce segnalazione certificata di inizio attività e deve essere conforme al modello di cui all’allegato n. 14.

5. Le informazioni di cui al comma 4 comprendono quanto segue:

a) il nome del fornitore;

b) lo status giuridico, la forma giuridica e il numero di registrazione del fornitore, qualora il fornitore sia registrato nel registro pubblico delle imprese o in un altro registro pubblico análogo nell’Unione;

c) l’eventuale indirizzo geografico della sede principale del fornitore nell’Unione e delle eventuali sedi secondarie in uno Stato membro;

d) l’indirizzo del sito web del fornitore, se applicabile, associato alla fornitura di reti o servizi di comunicazione elettronica;

e) una persona di contatto e suoi recapiti completi;

f) una breve descrizione delle reti o dei servizi che si intende fornire;

g) gli Stati membri interessati;

h) la data presunta di inizio dell’attività;

i) l’impegno a rispettare le norme del decreto e del regime previsto per l’autorizzazione generale;

l) l’ubicazione delle stazioni radioelettriche, se applicabile, unitamente al MAC Address, al Service Set Identifier (SSID) e alla frequenza utilizzata.

6. Al fine di consentire al BEREC la tenuta di una banca dati dell’Unione delle notifiche trasmesse, il Ministero inoltra senza indebito ritardo al BEREC, per via elettronica, ciascuna notifica ricevuta.

Le notifiche trasmesse al Ministero prima del 21 dicembre 2020 sono inoltrate al BEREC entro il 21 dicembre 2021.

7. Ai sensi dell’articolo 19 della legge 7 agosto 1990, n. 241, il Ministero, entro e non oltre sessanta giorni dalla presentazione della dichiarazione di cui al comma 3, verifica d’ufficio la sussistenza dei presupposti e dei requisiti richiesti e dispone, se del caso, con provvedimento motivato da notificare agli interessati entro il medesimo termine, il divieto di prosecuzione dell’attività. Il Ministero pubblica le informazioni relative alle dichiarazioni presentate sul sito Internet. Le imprese titolari di autorizzazione sono tenute all’iscrizione nel registro degli operatori di comunicazione di cui all’articolo 1 della legge 31 luglio 1997, n. 249.

8. La cessazione dell’esercizio di un’attività di rete o dell’offerta di un servizio di comunicazione elettronica può aver luogo in ogni tempo. L’operatore informa gli utenti della cessazione, ai sensi dell’articolo 98-septies decies, comma 4, con un preavviso di almeno tre mesi, dandone comunicazione contestualmente al Ministero e all’Autorità. Tale termine è ridotto a un mese nel caso di cessazione dell’offerta di un profilo tariffario.

9. Le autorizzazioni generali hanno una durata pari alla durata richiesta nella notifica e comunque non superiore a venti anni, con scadenza che coincide con il 31 dicembre dell’ultimo anno di validità, termine elevabile alla durata di un diritto d’uso di frequenze radio o risorse di numerazione o posizioni orbitali, nel caso in cui al fine dell’esercizio dell’autorizzazione generale sia previsto tale utilizzo. Entro il termine di scadenza l’autorizzazione generale può essere rinnovata mediante nuova dichiarazione, alle condizioni vigenti, salvo quanto previsto per gli eventuali diritti d’uso associati ai sensi dell’articolo 63.

10. Fatto salvo quanto previsto all’articolo 64, una autorizzazione generale può essere ceduta a terzi, anche parzialmente e sotto qualsiasi forma, previa comunicazione al Ministero nella quale siano chiaramente indicati le frequenze radio ed i numeri oggetto di cessione. Il Ministero entro sessanta giorni dalla presentazione della relativa istanza da parte dell’impresa cedente può comunicare il proprio diniego fondato sulla non sussistenza in CAPITOLO all’impresa cessionaria dei requisiti oggettivi e soggettivi per il rispetto delle condizioni di cui all’autorizzazione medesima. Il termine è interrotto per una sola volta se il Ministero richiede chiarimenti o documentazione ulteriore e decorre nuovamente dalla data in cui pervengono al Ministero stesso i richiesti chiarimenti o documenti.

Articolo 12

(Sperimentazione)

(Articolo 39 Codice 2003)

1. Fatti salvi i criteri e le procedure specifiche previsti da norme di legge e di regolamento in materia di sperimentazione della radiodiffusione sonora e televisiva terrestre in tecnica digitale, la sperimentazione di reti o servizi di comunicazione elettronica è subordinata a dichiarazione preventiva. L’impresa interessata presenta al Ministero una dichiarazione della persona física titolare o del legale rappresentante della persona giuridica o di soggetti da loro delegati, contenente l’intenzione di effettuare una sperimentazione di reti o servizi di comunicazione elettronica, conformemente al modello riportato nell’allegato 13. L’impresa è abilitata ad iniziare la sperimentazione a decorrere dall’avvenuta presentazione della dichiarazione. Ai sensi dell’articolo 19 della legge 7 agosto 1990, n. 241, il Ministero, entro e non oltre trenta giorni dalla presentazione della dichiarazione, verifica d’ufficio la sussistenza dei presupposti e dei requisiti richiesti e dispone, se del caso, con provvedimento motivato da notificare agli interessati entro il medesimo termine, il divieto di prosecuzione dell’attività.

2. La dichiarazione di cui al comma 1:

a) non costituisce titolo per il conseguimento di una successiva autorizzazione generale per l’offerta al pubblico, a fini commerciali, della rete o servizio di comunicazione elettronica oggetto di sperimentazione;

b) non riveste carattere di esclusività né in relazione al tipo di rete o servizio, né in relazione all’area o alla tipologia di utenza interessate;

c) può prevedere, a causa della limitatezza delle risorse di spettro radio disponibili per le reti o servizi di comunicazione elettronica, l’espletamento della sperimentazione in regime di condivisione di frequenze.

3. La dichiarazione di cui al comma 1 deve indicare:

a) l’eventuale richiesta di concessione di diritti individuali di uso delle frequenze radio e dei numeri necessari;

b) la durata della sperimentazione, limitata nel tempo e comunque non superiore a sei mesi, a partire dal giorno indicato per l’avvio della stessa;

c) l’estensione dell’area operativa, le modalità di esercizio, la tipologia, la consistenza dell’utenza ammessa che, comunque, non può superare le tremila unità, e il carattere sperimentale del servizio;

d) l’eventuale previsione di oneri economici per gli utenti che aderiscono alla sperimentazione;

e) l’obbligo di comunicare all’utente la natura sperimentale del servizio e l’eventuale sua qualità ridotta;

f) l’obbligo di comunicare al Ministero e, ove siano interessate reti o e servizi pubblici, all’Autorità i risultati della sperimentazione al termine della stessa.

4. Se la sperimentazione prevede la concessione di diritti individuali di uso delle frequenze radio o dei numeri, il Ministero li concede, entro due settimane dal ricevimento della dichiarazione nel caso di numeri assegnati per scopi specifici nell’ambito del piano nazionale di numerazione, ed entro quattro settimane nel caso delle frequenze radio assegnate per scopi specifici nell’ambito del piano nazionale di ripartizione delle frequenze. Se la dichiarazione risulta incompleta, il Ministero, entro i termini di cui al primo periodo, invita l’impresa interessata a integrarla. I termini vengono sospesi fino al recepimento delle integrazioni che debbono pervenire al Ministero entro e non oltre dieci giorni dalla richiesta. Il mancato ricevimento nei termini delle integrazioni richieste costituisce rinuncia alla sperimentazione.

5. Per il rinnovo della sperimentazione si applica la procedura di cui al comma 1 e la presentazione della richiesta deve avvenire entro sessanta giorni antecedenti la data di scadenza.

Articolo 13

(Condizioni apposte all’autorizzazione generale, ai diritti d’uso dello spettro radio e delle risorse di numerazione e obblighi specifici)

(Articolo 13 eecc- Articolo 28 d.lgs 2003)

1. L’autorizzazione generale per la fornitura di reti o servizi di comunicazione elettronica, per l’accesso a una rete pubblica di comunicazione elettronica attraverso le RLAN e i diritti di uso dello spettro radio e delle risorse di numerazione possono essere assoggettati esclusivamente alle condizioni elencate nell’allegato 1. Tali condizioni sono non discriminatorie, proporzionate e trasparenti. Nel caso dei diritti d’uso dello spettro radio, tali condizioni ne garantiscono l’uso effettivo ed efficiente e sono conformi agli articoli 58 e 64, mentre nel caso dei diritti d’uso delle risorse di numerazione, sono conformi all’articolo 98-septies. L’autorizzazione generale è sempre sottoposta alla condizione n. 4 della parte A dell’allegato 1.

2. Gli obblighi specifici prescritti alle imprese che forniscono reti e servizi di comunicazione elettronica ai sensi dell’articolo 72, commi 1 e 5, e degli articoli 73, 79 e 93 o a quelli designati per la fornitura del servizio universale ai sensi del presente decreto sono separati, sotto il profilo giuridico, dai diritti e dagli obblighi previsti dall’autorizzazione generale. Per garantire la trasparenza, nell’autorizzazione generale è fatta menzione dei criteri e delle procedure in base ai quali tali obblighi specifici sono prescritti alle singole imprese.

3. L’autorizzazione generale contiene solo le condizioni specifiche del settore e quelle indicate nelle sezioni A, B e C dell’allegato 1 e non riproduce le condizioni che sono imposte alle imprese in virtù di altra normativa nazionale.

4. Nel concedere i diritti di uso dello spettro radio o delle risorse di numerazione, il Ministero non ripete le condizioni previste nell’autorizzazione generale.

5. Nel definire eventuali condizioni all’autorizzazione generale, relative alla sicurezza delle reti e dei servizi di comunicazioni elettronica, che non riproducano condizioni già imposte alle imprese da altra normativa, il Ministero acquisisce il parere dell’Agenzia.

Articolo 14

(Dichiarazioni intese ad agevolare l’esercizio del diritto di installare infrastrutture e dei diritti di interconnessione)

(ex Articolo 14 eecc, Articolo 31 Codice 2003)

1. Su richiesta di un operatore, il Ministero, allo scopo di agevolare l’esercizio dei diritti di installare infrastrutture, di negoziare l’interconnessione o di ottenere l’accesso e l’interconnessione nei confronti di altre autorità o di altri operatori, rilascia entro sette giorni dal ricevimento della richiesta una dichiarazione da cui risulti che l’operatore stesso ha presentato una dichiarazione ai sensi dell’articolo 11 comma 3, indicando le condizioni alle quali una impresa che fornisce reti o servizi di comunicazione elettronica in forza di autorizzazione generale è legittimata a richiedere tali diritti.

Articolo 15

(Elenco minimo dei diritti derivanti dall’autorizzazione generale)

(ex Articolo 15 eeccc, Articolo 26 Codice 2003)

1. Le imprese soggette all’autorizzazione generale ai sensi dell’articolo 11 hanno il diritto di:

a) fornire reti e servizi di comunicazione elettronica al pubblico;

b) che si esamini la loro domanda per la concessione dei necessari diritti di installare strutture in conformità dell’articolo 43;

c) utilizzare, fatti salvi gli articoli 13, 59 e 67, lo spettro radio in relazione alle reti e ai servizi di comunicazione elettronica;

d) che si esamini la loro domanda per la concessione dei necessari diritti d’uso delle risorse di numerazione conformemente all’articolo 98-septies;

e) fornire l’accesso a una rete pubblica di comunicazione elettronica attraverso le RLAN.

2. Allorché tali imprese intendano fornire al pubblico reti o servizi di comunicazione elettronica, l’autorizzazione generale dà loro inoltre il diritto di:

a) negoziare l’interconnessione con altri fornitori di reti e di servizi di comunicazione elettronica accessibili al pubblico titolare di un’autorizzazione generale, e ove applicabile ottenere l’accesso o l’interconnessione alle reti in qualunque luogo dell’Unione europea, alle condizioni del CAPITOLO II del presente Titolo;

b) poter essere designate quali fornitori di vari elementi del servizio universale o in diverse parti del territorio nazionale conformemente agli articoli 96 e 97.

Articolo 16

(Diritti amministrativi)

(ex Articolo 16 eecc, Articolo 34 Codice 2003)

1. Oltre ai contributi di cui all’articolo 42, sono imposti alle imprese che forniscono reti o servizi ai sensi dell’autorizzazione generale o alle quali sono stati concessi diritti di uso, diritti amministrativi che coprano complessivamente i soli costi amministrativi sostenuti per la gestione, il controllo e l’applicazione del regime di autorizzazione generale, dei diritti di uso e degli obblighi specifici di cui all’articolo 13 comma 2, ivi compresi i costi di cooperazione internazionale, di armonizzazione e di standardizzazione, di analisi di mercato, di sorveglianza del rispetto delle disposizioni e di altri controlli di mercato, nonché di preparazione e di applicazione del diritto derivato e delle decisioni amministrative, e in particolare di decisioni in materia di accesso e interconnessione. I diritti amministrativi sono imposti alle singole imprese in modo proporzionato, obiettivo e trasparente che minimizzi i costi amministrativi aggiuntivi e gli oneri accessori.

2. Per la copertura dei costi amministrativi sostenuti per le attività di competenza del Ministero, la misura dei diritti amministrativi di cui al comma 1 è individuata nell’allegato 12. Il Ministero nel determinare l’entità della contribuzione può definire eventuali soglie di esenzione.

3. Per la copertura dei costi amministrativi complessivamente sostenuti per l’esercizio delle funzioni di regolazione, di vigilanza, di composizione delle controversie e sanzionatorie attribuite dalla legge all’Autorità nelle materie di cui al comma 1, la misura dei diritti amministrativi di cui al medesimo comma 1 è determinata ai sensi dell’articolo 1, commi 65 e 66, della legge 23 dicembre 2005, n. 266, in proporzione ai ricavi maturati nel mercato delle comunicazioni elettroniche dalle imprese titolari di autorizzazione generale o di diritti d’uso. L’Autorità nel determinare l’entità della contribuzione può definire eventuali soglie di esenzione.

Sezione 2.- Diritti e obblighi derivanti dall’autorizzazione generale

4. Il Ministero e l’Autorità pubblicano annualmente sui rispettivi siti internet i costi amministrativi sostenuti per le attività di cui al comma 1 e l’importo complessivo dei diritti riscossi ai sensi, rispettivamente, dei commi 2 e 3. In base alle eventuali differenze tra l’importo totale dei diritti e i costi amministrativi, vengono apportate opportune rettifiche. Per i diritti riscossi dal Ministero le modifiche sono apportate di concerto con il Ministero dell’economia e delle finanze.

Articolo 17

(Separazione contabile e rendiconti finanziari)

(ex Articolo 17 eecc, artt. 16 e 48 Codice 2003)

1. Il Ministero o l’Autorità, ciascuno per quanto di propria competenza prescrivono alle imprese che forniscono reti pubbliche di comunicazione elettronica o servizi di comunicazione elettronica accessibili al pubblico e godono di diritti speciali o esclusivi per la fornitura di servizi in altri settori nello stesso Stato membro o in un altro Stato membro:

a) di tenere una contabilità separata per le attività attinenti alla fornitura di reti o servizi di comunicazione elettronica nella misura che sarebbe richiesta se dette attività fossero svolte da soggetti con personalità giuridica distinta, onde individuare tutti i fattori di costo e ricavo, congiuntamente alla base del loro calcolo e ai metodi dettagliati di imputazione utilizzati, relativi a tali attività, compresa una ripartizione suddivisa per voci delle immobilizzazioni e dei costi strutturali;

b) di provvedere, in alternativa, a una separazione strutturale per le attività attinenti alla fornitura di reti o servizi di comunicazione elettronica.

2. Le prescrizioni di cui al primo comma non si applicano alle imprese il cui fatturato annuo sia inferiore a 50 milioni di euro nelle attività attinenti alla fornitura di reti o servizi di comunicazione elettronica nell’Unione.

3. Se le imprese che forniscono reti pubbliche di comunicazione elettronica o servizi di comunicazione elettronica accessibili al pubblico non sono soggette ai requisiti del diritto delle società e non soddisfano i criteri relativi alle piccole e medie imprese previsti dalla vigente normativa nazionale e comunitaria, i loro rendiconti finanziari sono elaborati e presentati a una revisione contabile indipendente e successivamente pubblicati. La revisione è effettuata in conformità delle pertinenti norme dell’Unione europea e nazionali. Il presente comma si aplica anche alla separazione contabile di cui al comma 1, lettera a).

Sezione 3.- Modifica e revoca

Articolo18

(Modifica dei diritti e degli obblighi)

(Articolo 18 eecc, Articolo 36 Codice 2003)

1. I diritti, le condizioni e le procedure relativi alle autorizzazioni generali, ai diritti di uso dello spettro radio o delle risorse di numerazione o ai diritti di installazione delle strutture possono essere modificati solo in casi obiettivamente giustificati e in misura proporzionata, tenendo conto, se del caso, delle condizioni specifiche applicabili ai diritti d’uso trasferibili dello spettro radio o delle risorse di numerazione.

2. Salvo i casi in cui le modifiche proposte sono minime e sono state convenute con il titolare dei diritti o dell’autorizzazione generale, il Ministero, sentita l’Autorità per gli eventuali profili di competenza, comunica l’intenzione di procedere alle modifiche ai soggetti interessati, compresi gli utenti e i consumatori, ai quali è concesso un periodo di tempo sufficiente per esprimere la propria posizione al riguardo. Tale periodo, tranne casi eccezionali, non può essere inferiore a Quattro settimane. Le modifiche sono pubblicate, unitamente ai relativi motivi, sul sito del Ministero.

Articolo 19

(Limitazione o revoca dei diritti)

(Articolo 18 e 19 eecc, Articolo 36 Codice 2003)

1. Fatto salvo l’articolo 32 commi 5 e 6, il Ministero non limita, né revoca i diritti di installare strutture o i diritti d’uso dello spettro radio o delle risorse di numerazione prima della scadenza del periodo per il quale sono stati concessi, salvo in casi motivati a norma del comma 2 del presente articolo e, ove applicabile, in conformità all’allegato 1, nel rispetto delle disposizioni di cui all’articolo 21- quinquies della legge 7 agosto 1990, n. 241.

2. Il Ministero e l’Autorità, nell’ambito delle rispettive competenze, possono consentire la limitazione o la revoca dei diritti d’uso dello spettro radio, compresi i diritti di cui all’articolo 62 del presente decreto, sulla base di procedure previamente disposte e chiaramente definite, nel rispetto dei principi di proporzionalità e non discriminazione. In conformità al diritto dell’Unione europea e alle pertinenti disposizioni nazionali, previo congruo indennizzo.

3. Una modifica nell’uso dello spettro radio conseguente all’applicazione dell’articolo 58 comma 4 o 5, non costituisce di per sé un motivo per giustificare la revoca di un diritto d’uso dello spettro radio.

4. L’intenzione di limitare o revocare i diritti a norma dell’autorizzazione generale o i diritti d’uso individuali dello spettro radio o delle risorse di numerazione senza il consenso del titolare dei diritti è soggetta a consultazione delle parti interessate in conformità dell’articolo 23.

CAPITOLO III.- Comunicazione di informazioni, indagini, meccanismi di consultazione

Articolo 20

(Richiesta di informazioni alle imprese)

(ex Articolo 20 eecc e Articolo 10 codice del 2003)

1. Le imprese che forniscono reti e servizi di comunicazione elettronica, risorse correlate o servizi correlati, trasmettono tutte le informazioni, anche di carattere finanziario, necessarie al Ministero o all’Autorità, al BEREC, per le materie di rispettiva competenza, al fine di assicurare la conformità con le decisioni o opinioni adottate ai sensi del presente decreto e del regolamento (UE) 2018/1971 del Parlamento europeo e del Consiglio o con le disposizioni contenute in tali atti. In particolare, il Ministero e l’Autorità hanno la facoltà di chiedere che tali imprese comunichino informazioni circa gli sviluppi previsti a livello di reti o di servizi che potrebbero avere ripercussioni sui servizi all’ingrosso da esse resi disponibili ai concorrenti, nonché informazioni sulle reti di comunicazione elettronica e sulle risorse correlate che siano disaggregate a livello locale e suficientemente dettagliate da consentire la mappatura geografica e la designazione delle aree ai sensi dell’articolo 22. Qualora le informazioni raccolte in conformità del primo comma non siano sufficienti a consentire al Ministero, all’Autorità e al BEREC di svolgere i propri compiti di regolamentazione ai sensi del diritto dell’Unione, tali informazioni possono essere richieste ad altre imprese competente attive nel settore delle comunicazioni elettroniche o in settori strettamente collegati. Le imprese che dispongono di un significativo potere sui mercati all’ingrosso possono essere inoltre tenute a presentare dati contabili sui mercati al dettaglio collegati a tali mercati all’ingrosso. Le imprese che forniscono reti e servizi di comunicazione elettronica devono fornire tempestivamente le informazioni richieste, nel rispetto dei termini e del grado di dettaglio determinati, rispettivamente, dal Ministero e dall’Autorità. Le richieste di informazioni del Ministero e dell’Autorità sono proporzionate rispetto all’assolvimento dello specifico compito al quale la richiesta si riferisce e sono adeguatamente motivate. Il Ministero e l’Autorità trattano le informazioni conformemente al comma 3. Il Ministero e l’Autorità possono chiedere informazioni agli sportelli unici istituiti a norma della direttiva 2014/61/UE.

2. Il Ministero e l’Autorità forniscono alla Commissione europea, su richiesta motivata, le informazioni che sono necessarie a quest’ultima per assolvere i compiti che il Trattato le conferisce, proporzionate rispetto all’assolvimento di tali compiti. Su richiesta motivata, le informazioni fornite al Ministero e all’Autorità possono essere messe a disposizione di un’altra Autorità indipendente nazionale o di analoga Autorità di altro Stato membro dell’Unione europea e del BEREC, ove ciò sia necessario per consentire l’adempimento delle responsabilità loro derivanti in base al diritto comunitario. Se le informazioni trasmesse alla Commissione europea o ad altra analoga Autorità riguardano informazioni precedentemente fornite da un’impresa su richiesta del Ministero overo dell’Autorità, tale impresa deve esserne informata.

3. Qualora le informazioni raccolte a norma del comma 1, ivi comprese le informazioni raccolte nel contesto di una mappatura geografica, siano considerate riservate da un’autorità nazionale di regolamentazione o da un’altra autorità competente, in conformità con la normativa dell’Unione e nazionale sulla riservatezza commerciale, il Ministero e l’Autorità ne garantiscono la riservatezza commerciale. Tale riservatezza non impedisce la condivisione di informazioni tra l’Autorità, il Ministero, la Commissione europea, il BEREC e qualsiasi altra autorità competente interessata in tempo utile ai fini dell’esame, del controllo e della sorveglianza dell’applicazione del presente decreto.

4. Il Ministero e l’Autorità pubblicano le informazioni di cui al presente articolo nella misura in cui contribuiscano a creare un mercato libero e concorrenziale, nell’osservanza della legge 7 agosto 1990, n. 241 e nel rispetto della normativa comunitaria e nazionale in materia di riservatezza commerciale e protezione dei dati personali.

5. Il Ministero e l’Autorità pubblicano, entro e non oltre novanta giorni dalla data di entrata in vigore del decreto, le disposizioni relative all’accesso del pubblico alle informazioni di cui al presente articolo, comprese guide e procedure dettagliate per ottenere tale accesso. Ogni decisione di diniego dell’accesso alle informazioni deve essere esaurientemente motivata e tempestivamente comunicata alle parti interessate.

Articolo 21

(Informazioni richieste ai fini dell’autorizzazione generale, dei diritti di uso e degli obblighi specifici)

(Articolo 21 eecc e Articolo 33 codice del 2003)

1. Fatte salve eventuali informazioni richieste a norma dell’articolo 20 e fatti salvi gli obblighi di informazione e segnalazione periodica stabiliti dalla normativa nazionale diversa dall’autorizzazione generale, il Ministero e l’Autorità non possono imporre alle imprese di fornire informazioni in relazione all’autorizzazione generale, ai diritti d’uso o agli obblighi specifici di cui all’articolo 13 comma 2, che non siano proporzionate e oggettivamente giustificate, in particolare:

a) per verificare, sistematicamente o caso per caso, l’osservanza della condizione 1 della parte A, delle condizioni 2 e 6 della parte D e delle condizioni 2 e 7 della parte E dell’allegato 1 e l’osservanza degli obblighi specificati all’articolo 13 comma 2;

b) per verificare caso per caso l’osservanza delle condizioni specificate nell’allegato 1 a seguito di denuncia o in caso di verifica avviata di propria iniziativa dal Ministero e dall’Autorità nell’ambito delle rispettive competenze, o quando il Ministero o l’Autorità abbiano comunque motivo di ritenere che una data condizione non sia stata rispettata;

c) per predisporre procedure e valutare le richieste di concessione dei diritti d’uso;

d) per pubblicare prospetti comparativi sulla qualità e sui prezzi dei servizi a vantaggio dei consumatori;

e) per compilare statistiche, relazioni o studi chiaramente definiti;

f) per effettuare analisi del mercato ai sensi del presente decreto, compresi i dati sui mercati a valle o al dettaglio associati o connessi a quelli che sono oggetto dell’analisi di mercato;

g) per salvaguardare l’uso efficiente e garantire la gestione efficace dello spettro radio e delle risorse di numerazione;

h) per valutare sviluppi futuri a livello di reti e servizi che potrebbero avere ripercussioni sui servizi all’ingrosso resi disponibili ai concorrenti, sulla copertura territoriale, sulla connettività disponible per gli utenti finali o sulla designazione di aree ai sensi dell’articolo 22;

i) per realizzare mappature geografiche;

l) per rispondere a richieste motivate di informazioni da parte del BEREC.

2. Nessuna delle informazioni di cui alle lettere a) e b), e da d) a l) del comma 1 è richiesta prima dell’accesso al mercato né come condizione necessaria per l’accesso al mercato.

3. Per quanto riguarda i diritti d’uso dello spettro radio, le informazioni di cui al comma 1 si riferiscono in particolare all’uso effettivo ed efficiente dello spettro radio nonché al rispetto degli eventuali obblighi di copertura e di qualità del servizio connessi a tali diritti e alla loro verifica.

4. Quando il Ministero e l’Autorità richiedono informazioni alle imprese ai sensi del comma 1, gli stessi sono tenuti ad informare queste ultime circa l’uso che intendono farne.

5. Il Ministero, l’Autorità non ripetono le richieste di informazioni già presentate dal BEREC a norma dell’articolo 40 del regolamento (UE) 2018/1971 nei casi in cui il BEREC ha reso disponibili a tali autorità le informazioni ricevute.

Articolo 22

(Mappatura geografica delle installazioni di rete e dell’offerta di servizi di connettività)

(Articolo 22 eecc)

1. Entro il 21 dicembre 2023, il Ministero e l’Autorità realizzano, ciascuno per i propri ambiti di competenza e finalità istituzionali, una mappatura geografica della copertura delle reti di comunicazione elettronica in grado di fornire banda larga e successivamente provvedono ad aggiornare i dati periodicamente e comunque almeno ogni tre anni. Le informazioni raccolte nelle mappature geografiche presentano un livello di dettaglio locale appropriato, comprendono informazioni sufficienti sulla qualità del servizio e sui relativi parametri e sono trattate conformemente all’articolo 20 comma 3.

2. La mappatura dell’Autorità riporta la copertura geografica corrente delle reti a banda larga all’interno del territorio, secondo quanto necessario per lo svolgimento dei propri compiti, ai sensi del presente decreto.

3. Nell’attività di mappatura delle infrastrutture di rete di cui al comma 2 e coerentemente con il suo risultato, l’Autorità pubblica informazioni adeguate, aggiornate e sufficienti, in accordo con i criterio e le finalità definite dall’articolo 98-quindecies comma 2, per consentire agli utenti finali di analizzare lo stato di sviluppo dell’offerta di servizi di connettività al singolo indirizzo, anche al fine di effettuare valutazioni comparative sulle diverse offerte disponibili dei diversi operatori.

L’Autorità adotta con proprio regolamento le disposizioni attuative del presente comma.

4. Il Ministero, anche tenendo conto della mappatura geografica corrente dell’Autorità e delle relative informazioni, realizza una mappatura geografica che include le informazioni di previsione sulla copertura delle reti a banda larga, comprese le reti ad altissima capacità, all’interno del territorio nazionale, relative a un arco temporale predefinito dal Ministero medesimo, ai fini dell’accertamento degli elementi istruttori necessari per la definizione e adozione di interventi di politica industriale di settore, comprese le indagini richieste per l’applicazione delle norme in materia di aiuti di Stato. Tale mappatura di previsione contiene tutte le informazioni pertinenti, comprese le informazioni sulle installazioni pianificate, dalle imprese o dalle autorità pubbliche, di reti ad altissima capacità e di importanti aggiornamenti o estensioni delle reti a una velocità di download di almeno 100 Mbps. L’Autorità decide, in relazione ai compiti specificamente attribuitile ai sensi del presente decreto, la misura in cui è opportuno avvalersi, in tutto o in parte, delle informazioni raccolte nell’ambito di tale previsione.

5. Il Ministero può designare aree con confini territoriali definiti in cui, sulla base delle informazioni raccolte e dell’eventuale previsione acquisita a norma del comma 1, abbia accertato che, per la durata del periodo di riferimento delle previsioni, nessuna impresa o autorità pubblica ha installato o intende installare una rete ad altissima capacità o realizzare sulla sua rete importante aggiornamenti o estensioni che garantiscano prestazioni pari a una velocità di download di almeno 100 Mbps. Il Ministero pubblica le aree designate.

6. Nell’ambito dell’area designata, il Ministero può invitare nuovamente le imprese e le autorità pubbliche a dichiarare l’intenzione di installare reti ad altissima capacità per la durata del periodo di riferimento delle previsioni. Qualora, a seguito di tale invito, un’impresa o un’autorità publica dichiari l’intenzione di agire in questo senso, il Ministero può chiedere ad altre imprese ed autorità pubbliche di dichiarare l’eventuale intenzione di installare reti ad altissima capacità o di realizzare sulla sua rete importanti aggiornamenti o estensioni che garantiscano prestazioni pari a una velocità di download di almeno 100 Mbps nella medesima area. Il Ministero specifica le informazioni da includere in tali comunicazioni, al fine di garantire almeno un livello di dettaglio analogo a quello preso in considerazione in un’eventuale previsione ai sensi del comma 1. Essa, inoltre, fa sapere alle imprese o alle autorità pubbliche che manifestano interesse se l’area designata è coperta o sarà presumibilmente coperta da una rete d’accesso di prossima generazione con velocità di download inferiore a 100 Mbps sulla base delle informazioni raccolte a norma del comma 1. Tali misure sono adottate secondo una procedura efficace, obiettiva, trasparente e non discriminatoria in cui nessuna impresa è esclusa a priori.

7. Se le informazioni pertinenti non sono disponibili sul mercato, il Ministero e l’Autorità, per quanto di rispettiva competenza, provvedono affinché i dati scaturiti dalle mappature geografiche e non soggetti alla riservatezza commerciale siano direttamente accessibili conformemente allá direttiva 2003/98/CE per consentirne il riutilizzo. Qualora tali strumenti non siano disponibili sul mercato, il Ministero e l’Autorità, per quanto di rispettiva competenza, mettono a disposizione anche strumenti di informazione che consentano agli utenti finali di determinare la disponibilità di connettività nelle diverse aree, con un livello di dettaglio utile a giustificare la loro scelta di operatore o fornitore del servizio.

8. Il Ministero e l’Autorità, definiscono, mediante protocollo d’intesa, le modalità di collaborazione ai fini dell’attuazione del presente articolo, con specifico riferimento allo scambio e condivisione di informazioni, le tempistiche e le metodologie di mappatura. In tale protocollo di intesa, il Ministero e l’Autorità concordano un approccio alla mappatura che consenta coerenza, uniformità ed accessibilità dei dati e delle informazioni e che minimizzi l’onere informativo per le imprese.

Articolo 23

(Meccanismo di consultazione e di trasparenza)

(Articolo 23 eecc e Articolo 11 codice del 2003)

1. Fatti salvi i casi che rientrano nell’ambito di applicazione degli articoli 26, 27 o 31, comma 10, il Ministero e l’Autorità, quando intendono adottare misure in applicazione del presente decreto o quando intendono imporre limitazioni conformemente all’articolo 58, commi 4 e 5, che abbiano un impatto significativo sul mercato rilevante, danno alle parti interessate la possibilità di presentare le proprie osservazioni sul progetto di misura entro un termine ragionevole tenendo conto della complessità della questione e, salvo circostanze eccezionali, in ogni caso non inferiore a trenta giorni.

2. Ai fini dell’articolo 35, il Ministero e l’Autorità informano il RSPG al momento della pubblicazione di ogni progetto di misure che rientra nell’ambito della procedura di selezione competitiva o comparativa ai sensi dell’articolo 67 comma 2, e che riguarda l’uso dello spettro radio per cui sono state fissate le condizioni armonizzate mediante misure tecniche di attuazione adottate in conformità della decisione n. 676/2002/CE al fine di consentirne l’utilizzo per reti e servizi di comunicazione elettronica a banda larga senza fili.

3. Il Ministero e l’Autorità, entro e non oltre novanta giorni dalla data di entrata in vigore del presente decreto, nell’osservanza della legge 7 agosto 1990, n. 241, rendono pubbliche sui siti internet istituzionali la procedura che si applica, nell’ambito dei rispettivi ordinamenti, ai fini della consultazione. Se i documenti ricevuti contengono informazioni riservate di carattere personale, commerciale, industriale e finanziario, relative a persone ed imprese, il diritto di accesso è esercitato nei limiti di quanto necessario ad assicurare il contraddittorio. Il Ministero e l’Autorità garantiscono la creazione di un punto informativo unico attraverso il quale si possa accedere a tutte le consultazioni in corso.

4. Il provvedimento di apertura della procedura di consultazione, la proposta di provvedimento e i risultati della procedura di consultazione, ad eccezione delle informazioni riservate ai sensi della normativa nazionale e comunitaria vigente, sono tempestivamente pubblicati sui siti internet istituzionali del Ministero e dell’Autorità.

Articolo 24

(Consultazione dei soggetti interessati)

(ex Articolo 24 eecc e Articolo 83 codice del 2003)

1. Fermo restando quanto disposto dall’articolo 23, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, tengono conto, attraverso meccanismi di consultazione pubblica, del parere degli utenti finali, dei consumatori, delle associazioni dei consumatori e degli utenti inclusi in particolare gli utenti con disabilità, delle aziende manifatturiere e delle imprese che forniscono reti o servizi di comunicazione elettronica nelle questioni attinenti ai diritti degli utenti finali e dei consumatori in materia di servizi di comunicazione elettronica accessibili al pubblico, in particolare quando hanno un impatto significativo sul mercato. In particolare, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, istituiscono un meccanismo di consultazione pubblica che

garantisce che nell’ambito delle proprie decisioni sulle questioni attinenti a tutti i diritti degli utenti finali e dei consumatori in materia di servizi di comunicazione elettronica accessibili al pubblico, si tenga adeguatamente conto degli interessi dei consumatori nelle comunicazioni elettroniche.

2. Le parti interessate, sulla base di indirizzi formulati dal Ministero e dall’Autorità, nell’ambito delle rispettive competenze, possono mettere a punto meccanismi che associano consumatori, gruppi di utenti e fornitori di servizi per migliorare la qualità generale delle prestazioni, elaborando, fra l’altro, codici di condotta, nonché norme di funzionamento e controllandone l’applicazione.

3. Ai fini della promozione degli obiettivi della politica culturale e dei media, quali ad esempio la diversità culturale e linguistica e il pluralismo dei media, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, promuovono la cooperazione fra le imprese fornitrici di reti o servizi di comunicazione elettronica e i settori interessati alla promozione di contenuti legittimi su tali reti e servizi. Tale cooperazione può includere il coordinamento delle informazioni di pubblico interesse da fornire a norma dell’articolo 98-quindecies comma 5.

Articolo 25

(Risoluzione delle controversie tra utenti finali e operatori)

(ex Articolo 25 eecc e Articolo 84 Codice 2003)

1. L’Autorità, ai sensi dell’articolo 1, commi 11, 12 e 13, della legge 31 luglio 1997, n. 249, prevede con propri regolamenti le procedure extragiudiziali trasparenti, non discriminatorie, semplici e poco onerose per l’esame delle controversie tra utenti finali e operatori, inerenti alle disposizioni di cui al presente CAPITOLO e relative all’esecuzione dei contratti e alle condizioni contrattuali. Tali procedure consentono una equa e tempestiva risoluzione delle controversie prevedendo, nei casi giustificati, un sistema di rimborso o di indennizzo, ferma restando la tutela giurisdizionale prevista dalla vigente normativa.

2. L’Autorità, anche per il tramite dei Comitati regionali per le comunicazioni, svolge la funzione di risoluzione delle controversie di cui al comma 1 ed è inserita nell’elenco degli organismi ADR deputati a gestire le controversie nazionali e transfrontaliere nel settore delle comunicazioni elettroniche e postali, di cui all’articolo 141-decies del Codice del consumo, di cui al decreto legislativo 6 settembre 2005, n. 206 (di seguito “Codice del consumo”).

3. In alternativa alla procedura dinanzi all’Autorità le parti hanno la facoltà di rimettere la controversia agli altri organismi ADR iscritti nel medesimo elenco di cui al comma 2.

4. L’Autorità, d’intesa con la Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano, anche ai sensi dell’articolo 1, comma 13, della legge 31 luglio 1997, n. 249, promuove la creazione, con l’attuale dotazione di personale e con i beni strumentali acquisibili con gli ordinari stanziamenti di bilancio e conseguente invarianza di spesa, di servizi on-line e di uffici a un adeguato livello territoriale, al fine di facilitare l’accesso dei consumatori e degli utenti finali alle strutture di composizione delle controversie.

5. L’Autorità stabilisce le modalità con le quali gli utenti possono segnalare le violazioni delle disposizioni normative nelle materie di competenza dell’Autorità e richiederne l’intervento al di fuori delle forme di tutela e delle procedure di cui ai commi 1, 2, 3 e 4.

6. Fatto salvo quanto previsto dal Codice del consumo, se in tali controversie sono coinvolti soggetti di Stati membri diversi, l’Autorità collabora con le Autorità competenti degli altri Stati membri al fine di pervenire a una risoluzione della controversia.

Articolo 26

(Risoluzione delle controversie tra imprese)

(ex Articolo 26 eecc e Articolo 23 Codice 2003)

1. Qualora sorga una controversia avente ad oggetto gli obblighi derivanti dal presente decreto, fra imprese che forniscono reti o servizi di comunicazione elettronica o tra tali imprese e altre imprese che beneficiano dell’imposizione di obblighi in materia di accesso o di interconnessione derivanti dal presente decreto, l’Autorità, a richiesta di una delle parti e fatte salve le disposizioni del comma 2, adotta quanto prima, e comunque, entro un termine di quattro mesi dal ricevimento della richiesta, una decisione vincolante che risolve la controversia. Tutte le parti coinvolte sono tenute a prestare piena cooperazione all’Autorità.

2. L’Autorità dichiara la propria incompetenza a risolvere una controversia con decisione vincolante, qualora entrambe le parti vi abbiano espressamente derogato prevedendo altri mezzi per la soluzione della controversia, conformemente a quanto disposto dall’articolo 3. L’Autorità comunica immediatamente alle parti la propria decisione. Se la controversia non è risolta dalle parti entro quattro mesi da tale comunicazione, e se la parte che si ritiene lesa non ha adito un órgano giurisdizionale, l’Autorità adotta al più presto e comunque non oltre quattro mesi, su richiesta di una delle parti, una decisione vincolante diretta a dirimere la controversia.

3. Nella risoluzione delle controversie l’Autorità adotta decisioni al fine di perseguire gli obiettivi di cui all’articolo 4. Gli obblighi che possono essere imposti ad un’impresa dall’Autorità nel quadro della risoluzione di una controversia sono conformi alle presenti disposizioni.

4. La decisione dell’Autorità deve essere motivata, nonché pubblicata sul sito internet istituzionale dell’Autorità nel rispetto delle norme in materia di riservatezza ed ha efficacia dalla data di notifica alle parti interessate ed è ricorribile in via giurisdizionale.

5. La procedura di cui ai commi 1, 3 e 4 non preclude alle parti la possibilità di adire un órgano giurisdizionale.

Articolo 27

(Risoluzione delle controversie transnazionali)

(ex Articolo 27 eecc e Articolo 24 Codice 2003)

1. Qualora sorga una controversia transnazionale tra parti, di cui almeno una stabilita in un altro Stato membro, relativamente all’applicazione del presente decreto, per la quale risulti competente anche una Autorità di regolamentazione di un altro Stato membro, si applicano le disposizioni di cui ai commi 2, 3 e 4. Tali disposizioni non si applicano alle controversie relative al coordinamento dello spettro radio di cui all’articolo 29.

2. Le parti possono investire della controversia le competenti autorità nazionali di regolamentazione. Se la disputa influenza gli scambi commerciali tra Stati membri, le autorità nazionali di regolamentazione coordinano i loro sforzi e hanno la facoltà di consultare il BEREC in modo da pervenire alla risoluzione coerente della controversia secondo gli obiettivi indicati dall’articolo 4. Qualsiasi obbligo imposto ad un’impresa da parte dell’Autorità al fine di risolvere una controversia è conforme alle presenti disposizioni.

3. L’Autorità può chiedere al BEREC di emettere un parere in merito all’azione da adottare conformemente alle presenti disposizioni, e in questo caso prima di concludere il procedimento è tenuta ad attendere che il BEREC renda il parere richiesto. L’Autorità può in ogni caso adottare provvedimenti provvisori, su richiesta delle parti o di propria iniziativa, ove vi sia l’urgente necessità di agire per salvaguardare la concorrenza o proteggere gli interessi degli utenti finali.

L’Autorità adotta il provvedimento finale entro un mese dal rilascio del parere del BEREC.

4. Ogni obbligo imposto a un’impresa dall’Autorità nella risoluzione di una controversia rispetta le presenti disposizioni e tiene conto del parere emesso dal BEREC.

5. La procedura di cui al comma 2 non preclude alle parti la possibilità di adire un órgano giurisdizionale.

Articolo 28

(Ricorsi avverso provvedimenti del Ministero e dell’Autorità)

(Articolo 31 eecc, ex Articolo 9 Codice 2003)

1. Avverso i provvedimenti dell’Autorità e del Ministero è sempre ammessa la tutela giurisdizionale dei diritti e degli interessi legittimi. La tutela giurisdizionale davanti al giudice amministrativo è disciplinata dal codice del processo amministrativo.

2. Il Ministero e l’Autorità, ciascuno per le materie di propria competenza, raccolgono informazioni sull’argomento generale dei ricorsi, sul numero di richieste di ricorso, sulla durata delle procedure di ricorso e sul numero di decisioni di concedere misure provvisorie. Il Ministero e l’Autorità, nell’ambito delle rispettive materie trattate, comunicano le informazioni previste dal presente comma alla Commissione europea e al BEREC, su richiesta motivata di uno di essi.

Articolo 29

(Coordinamento dello spettro radio tra gli Stati membri)

(ex Articolo 28 eecc, Articolo 13-bis Codice 2003)

1. Il Ministero, sentita l’Autorità per i profili di competenza, assicura che l’uso dello spettro radio sia organizzato sul territorio nazionale in modo che a nessun altro Stato membro sia impedito di autorizzare sul proprio territorio l’uso di spettro radio armonizzato, in conformità del diritto dell’Unione, soprattutto a causa di interferenze transfrontaliere dannose tra Stati membri. Il Ministero e l’Autorità, nell’ambito delle rispettive competenze, adottano tutte le misure necessarie a tal fine, fatti salvi gli obblighi che sono tenuti a rispettare in virtù del diritto internazionale e degli accordi internazionali pertinenti, come il regolamento delle radiocomunicazioni dell’UIT e gli accordi regionali in materia di radiocomunicazioni dell’UIT.

2. Il Ministero e l’Autorità cooperano con le Autorità degli altri Stati membri e, se del caso, nell’ambito del RSPG ai fini del coordinamento transfrontaliero dell’uso dello spettro radio per:

a) garantire l’osservanza del comma 1;

b) risolvere eventuali problemi o controversie in relazione al coordinamento transfrontaliero o alle interferenze dannose transfrontaliere tra Stati membri e con paesi terzi che impediscono agli Stati membri l’uso dello spettro radio armonizzato sul proprio territorio.

3. Al fine di garantire la conformità con il comma 1, il Ministero, sentita l’Autorità per i profili di competenza, può chiedere al RSPG di prestare attività di supporto per affrontare eventuali problema o controversie in relazione al coordinamento transfrontaliero o alle interferenze dannose transfrontaliere.

4. Qualora le azioni di cui ai commi 2 e 3 non abbiano risolto i problemi o le controversie, il Ministero, sentita l’Autorità per i profili di competenza, può chiedere alla Commissione di adottare decisioni rivolte agli Stati membri interessati per risolvere il problema delle interferenze dannose transfrontaliere nel territorio italiano, secondo la procedura di cui all’articolo 118, paragrafo 4, della direttiva 2018/1972/UE.

Titolo III.- Attuazione

Articolo 30

(Sanzioni)

(Articolo 29 eecc e Articolo 98 Codice 2003)

1. Le disposizioni del presente articolo si applicano alle reti e servizi di comunicazione elettronica a uso pubblico.

2. Ai soggetti che nell’ambito della procedura di cui all’articolo 22, comma 6, forniscono, deliberatamente o per negligenza grave, informazioni errate o incomplete, il Ministero o l’Autorità, in base alle rispettive competenze, comminano una sanzione amministrativa pecuniaria da euro 50.000 a euro 1.000.000,00 da stabilirsi in rapporto alla gravità del fatto e alle conseguenze che ne sono derivate.

3. In caso di installazione e fornitura di reti di comunicazione elettronica od offerta di servizi di comunicazione elettronica a uso pubblico senza la relativa autorizzazione generale, il Ministero commina, se il fatto non costituisce reato, una sanzione amministrativa pecuniaria da euro 30.000,00 a euro 2.500.000,00, da stabilirsi in equo rapporto alla gravità del fatto.

4. Se il fatto previsto al comma 3 riguarda l’installazione o l’esercizio di impianti radioelettrici ovvero impianti di radiodiffusione sonora o televisiva, si applica la sanzione amministrativa da euro 50.000 a euro 2.500.000,00.

5. Chiunque realizza trasmissioni, anche simultanee o parallele, contravvenendo ai limiti territorial o temporali previsti dal titolo abilitativo è punito con la sanzione amministrativa da euro 50.000 a euro 2.500.000,00.

6. Oltre alla sanzione amministrativa di cui al comma 3, il trasgressore è tenuto, in ogni caso, al pagamento di una somma pari a venti volte i diritti amministrativi e contributi, di cui rispettivamente agli articoli 16 e 42, commisurati al periodo di esercizio abusivo accertato e comunque per un periodo non inferiore all’anno.

7. Indipendentemente dai provvedimenti assunti dall’Autorità giudiziaria e fermo restando quanto disposto dai commi 3 e 4, il Ministero, ove il trasgressore non provveda, può provvedere direttamente, a spese del possessore, a suggellare, rimuovere o sequestrare l’impianto ritenuto abusivo, avvalendosi anche dalla forza pubblica.

8. Nel caso di reiterazione degli illeciti di cui ai commi 3, 4 e 5 per più di due volte in un quinquennio, il Ministero commina la sanzione amministrativa pecuniaria nella misura massima stabilita dagli stessi commi.

9. In caso di installazione e fornitura di reti di comunicazione elettronica od offerta di servizi di comunicazione elettronica a uso pubblico in difformità a quanto dichiarato ai sensi dell’articolo 11 comma 4, il Ministero commina una sanzione amministrativa pecuniaria da euro 30.000,00 a euro 580.000,00.

10. Fermo restando quanto stabilito dall’articolo 32, ai soggetti che commettono violazioni gravi o reiterate più di due volte nel quinquennio delle condizioni poste dall’autorizzazione generale, il Ministero commina una sanzione amministrativa pecuniaria da euro 30.000,00 a euro 600.000,00; ai soggetti che non provvedono, nei termini e con le modalità prescritti, alla comunicazione dei documenti, dei dati e delle notizie richiesti dal Ministero o dall’Autorità, gli stessi, secondo le rispettive competenze, comminano una sanzione amministrativa pecuniaria da euro 15.000,00 a euro 1.150.000,00.

11. Ai soggetti che nelle comunicazioni richieste dal Ministero e dall’Autorità, nell’ambito delle rispettive competenze, espongono dati contabili o fatti concernenti l’esercizio delle proprie attività non corrispondenti al vero, si applicano le pene previste dall’articolo 2621 del codice civile.

12. Ai soggetti che non ottemperano agli ordini e alle diffide, impartiti ai sensi del presente decreto dal Ministero o dall’Autorità, gli stessi, secondo le rispettive competenze, irrogano una sanzione amministrativa pecuniaria da euro 240.000,00 a euro 5.000.000,00, ordinando altresì all’operatore il rimborso delle eventuali somme ingiustificatamente addebitate agli utenti, indicando il termine entro cui adempiere, in ogni caso non inferiore a trenta giorni. Se l’inottemperanza riguarda provvedimenti adottati dall’Autorità in ordine alla violazione delle disposizioni relative a imprese aventi significativo potere di mercato, si applica a ciascun soggetto interessato una sanzioneamministrativa pecuniaria non inferiore al 2 per cento e non superiore al 5 per cento del fatturato realizzato dallo stesso soggetto nell’ultimo bilancio approvato anteriormente allá notificazione della contestazione, relativo al mercato al quale l’inottemperanza si riferisce.

13. Nei confronti dei soggetti che offrono al pubblico i servizi di comunicazione elettronica in luoghi presidiati mediante apparecchiature terminali, quali telefoni, telefax o apparati per la connessione alla rete, in caso di accertamento delle violazioni previste dai commi 3, 9 e 10 del presente articolo si applica la sanzione amministrativa da euro 300,00 a euro 25.000,00.

14. Nei casi previsti dai commi 8,9,10 e 11, 12, 13 e 15 e nelle ipotesi di mancato pagamento dei diritti amministrativi e dei contributi di cui agli articoli 16 e 42, nei termini previsti dall’allegato n. 12, se la violazione è di particolare gravità, o reiterata per più di due volte in un quinquennio, il Ministero su segnalazione dell’Autorità, e previa contestazione, può disporre la sospensione dell’attività per un periodo non superiore a sei mesi, o la revoca dell’autorizzazione generale e degli eventuali diritti di uso. In caso di mancato, ritardato o incompleto pagamento dei diritti amministrativi di cui all’articolo 16. l’Autorità commina, previa contestazione, una sanzione amministrativa pecuniaria del 10% del contributo dovuto per ogni semestre di ritardato pagamento o, se la violazione è reiterata per più di due volte in un quinquennio, in misura non inferiore al 2 per cento e non superiore al 5 per cento del fatturato realizzato dallo stesso soggetto nell’ultimo bilancio approvato anteriormente alla notificazione della contestazione. Nei predetti casi, il Ministero o l’Autorità, rimangono esonerati da ogni altra responsabilità nei riguardi di terzi e non sono tenuti ad alcun indennizzo nei confronti dell’impresa.

15. In caso di violazione delle disposizioni contenute nel Titolo III della Parte III, nonché dell’articolo 98-octies decies, il Ministero o l’Autorità, secondo le rispettive competenze, comminano una sanzione amministrativa pecuniaria da euro 170.000,00 a euro 2.500.000,00.

16. In caso di violazione degli obblighi gravanti sugli operatori di cui all’articolo 57, comma 6, il Ministero commina una sanzione amministrativa pecuniaria da euro 170.000,00 a euro 2.500.000,00. Se la violazione degli anzidetti obblighi è di particolare gravità o reiterata per più di due volte in un quinquennio, il Ministero può disporre la sospensione dell’attività per un periodo non superiore a due mesi o la revoca dell’autorizzazione generale. In caso di integrale inosservanza della condizione n. 11 della parte A dell’allegato n. 1, il Ministero dispone la revoca dell’autorizzazione generale.

17. In caso di inosservanza delle disposizioni di cui ai commi 1, 5, 6, 8 e 9 dell’articolo 56, indipendentemente dalla sospensione dell’esercizio e salvo l’esercizio dell’azione penale per eventuali reati, il trasgressore è punito con la sanzione amministrativa da euro 3.000,00 a euro 15.000,00.

18. In caso di inosservanza delle disposizioni di cui all’articoli 94 comma 6, il trasgressore è punito con la sanzione amministrativa da euro 500,00 a euro 5.000,00.

19. In caso di inosservanza delle disposizioni di cui agli articoli 98, 98-quindecies, 98-sedecies, 98-septies decies e 98-duodetrices il Ministero o l’Autorità, secondo le rispettive competenze, comminano una sanzione amministrativa pecuniaria da euro 25.000,00 a euro 5.000.000,00 e, nei casi più gravi, fino al 5% del fatturato risultante dall’ultimo bilancio approvato al momento della notifica della contestazione. e ordinano l’immediata cessazione della violazione. L’Autorità ordina inoltre all’operatore il rimborso delle somme ingiustificatamente addebitate agli utenti, indicando il termine entro cui adempiere, in ogni caso non inferiore a trenta giorni. Nel caso di violazione di particolare gravità o reiterazione degli illeciti di cui agli articoli 98, 98-quindecies, 98-sedecies, 98-septies decies e 98-duodetrices per più di due volte in un quinquennio, l’Autorità irroga la anzione amministrativa pecuniaria in misura non inferiore al 2 per cento e non superiore al 5 per cento del fatturato realizzato dallo stesso soggetto nell’ultimo bilancio approvato anteriormente allá notificazione della contestazione

20. In caso di violazione dell’articolo 3, commi 1, 2, 5, 6 e 7, dell’articolo 4, commi 1, 2 e 3, dell’articolo 5, comma 1, dell’articolo 6-bis, dell’articolo 6-ter, comma 1, dell’articolo 6-quater, commi 1 e 2, dell’articolo 6-sexies, commi 1, 3 e 4, dell’articolo 7, commi l, 2 e 3, dell’articolo 9, dell’articolo 11, dell’articolo 12, dell’articolo 14, dell’articolo 15, commi 1, 2, 3, 5 e 6, o dell’articolo 16, comma 4, del regolamento (UE) n. 531/2012 del Parlamento europeo e del Consiglio, del 13 giugno 2012, relativo al roaming sulle reti pubbliche di comunicazioni mobili all’interno dell’Unione europea, come modificato dal regolamento (UE) 2015/2120 e dal regolamento (UE) 2017/920, l’Autorità irroga una sanzione amministrativa pecuniaria da euro 120.000 a euro 2.500.000 e ordina l’immediata cessazione della violazione. L’Autorità ordina inoltre all’operatore il rimborso delle somme ingiustificatamente addebitate agli utenti, indicando il termine entro cui adempiere, in ogni caso non inferiore a trenta giorni. Qualora l’Autorità riscontri, a un sommario esame, la sussistenza di una violazione dell’articolo 3, commi 1, 2, 5 e 6, dell’articolo 4, commi 1, 2 e 3, dell’articolo 5, comma 1, dell’articolo 6-bis, dell’articolo 6-ter, comma 1, dell’articolo 6-quater, comma 1, dell’articolo 6-sexies, commi 1 e 3, dell’articolo 7, comma 1, dell’articolo 9, commi 1 e 4, dell’articolo 11, dell’articolo 12, comma 1, dell’articolo 14 o dell’articolo 15, commi 1, 2, 3, 5 e 6, del citato regolamento (UE) n. 531/2012 e ritenga sussistere motivi di urgenza dovuta al rischio di un danno di notevole gravità per il funzionamento del mercato o per la tutela degli utenti, può adottare, sentiti gli operatori interessati e nelle more dell’adozione del provvedimento definitivo, provvedimenti temporanei per far sospendere la condotta con effetto immediato.

21. In caso di violazione dell’articolo 3, dell’articolo 4, commi 1 e 2, o dell’articolo 5, comma 2, del regolamento (UE) 2015/2120 del Parlamento europeo e del Consiglio, del 25 novembre 2015, che stabilisce misure riguardanti l’accesso a un’internet aperta e che modifica la direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica e il regolamento (UE) n. 531/2012 relativo al roaming sulle reti pubbliche di comunicazioni mobili all’interno dell’Unione, l’Autorità irroga una sanzione amministrativa pecuniaria da euro 120.000 a euro 2.500.000 e ordina l’immediata cessazione della violazione. Qualora l’Autorità riscontri, a un sommario esame, la sussistenza di una violazione dell’articolo 3, commi 1, 2, 3 e 4, del citato regolamento (UE) 2015/2120 e ritenga sussistere motivi di urgenza dovuta al rischio di un danno di notevole gravità per il funzionamento del mercato o per la tutela degli utenti, può adottare, sentiti gli operatori interessati e nelle more dell’adozione del provvedimento definitivo, provvedimenti temporanei per far sospendere la condotta con effetto immediato.

22. L’Autorità può disporre la pubblicazione dei provvedimenti adottati ai sensi dei commi 13, 21, 22 e 23, a spese dell’operatore, sui mezzi di comunicazione ritenuti più idonei, anche con pubblicazione su uno o più quotidiani a diffusione nazionale.

23. Restano ferme, per le materie non disciplinate dal decreto, le sanzioni di cui all’articolo 1, commi 29, 30, 31 e 32 della legge 31 luglio 1997, n. 249.

24. Alle sanzioni amministrative irrogabili dall’Autorità per le garanzie nelle comunicazioni non si applicano le disposizioni sul pagamento in misura ridotta di cui all’articolo 16 della legge 24 novembre 1981, n. 689.

25. Se gli accertamenti delle violazioni delle disposizioni di cui ai commi 3, 4, 5, 7, 8, 9, 10, 13, 17 e 18 del presente articolo sono effettuati dagli Ispettorati del Ministero, gli stessi provvedono direttamente all’applicazione delle relative sanzioni amministrative.

26. Salvo che il fatto non costituisca reato, l’inosservanza delle disposizioni in materia di sicurezza informatica è punita, con una sanzione amministrativa pecuniaria:

a) da euro 250.000 a euro 1.500.000 per l’inosservanza delle misure di sicurezza di cui all’articolo 40, comma 3, lettera a);

b) da euro 300.000 ad euro 1.800.000 per la mancata comunicazione di ogni incidente significativo di cui all’articolo 40, comma 3, lettera b);

c) da euro 200.000 a euro 1.000.000 per la mancata fornitura delle informazioni necessarie per valutare la sicurezza di cui all’articolo 40, comma 3, lettera a).

27. Le sanzioni di cui al presente articolo possono essere ridotte fino ad un terzo, tenuto conto della minima entità della violazione; dell’opera svolta dall’agente per l’eventuale eliminazione o attenuazione delle conseguenze della violazione e delle dimensioni economiche dell’operatore.

Articolo 31

(Danneggiamenti e turbative)

(Articolo 97 Codice 2003)

1. Chiunque svolga attività che rechi, in qualsiasi modo, danno ai servizi di comunicazione elettronica o alle opere e agli oggetti ad essi inerenti è punito, salvo che il fatto non ostituisca reato, con la sanzione amministrativa pecuniaria da euro 1.000,00 a euro 10.000,00.

2. Fermo restando quanto disposto dal comma 1, è vietato arrecare disturbi o causare interferenze ai servizi di elettronica e alle opere a essi inerenti. La violazione del divieto comporta l’applicazione della sanzione amministrativa pecuniaria da euro 500,00 a euro 5.000,00.

3. Gli Ispettorati territoriali del Ministero provvedono direttamente ad applicare le predette sanzioni amministrative nei confronti dei trasgressori.

Articolo 32

(Osservanza delle condizioni cui sono subordinati l’autorizzazione generale e i diritti d’uso dello spettro radio e delle risorse di numerazione e conformità a obblighi specifici)

(Articolo 30 eecc, e Articolo 32 Codice 2003)

1. Il Ministero e l’Autorità, per quanto di rispettiva competenza, vigilano e controllano il rispetto delle condizioni dell’autorizzazione generale o dei diritti d’uso dello spettro radio e delle risorse di numerazione, degli obblighi specifici di cui all’articolo 13 comma 2 e dell’obbligo di utilizzare lo spettro in modo effettivo ed efficiente in conformità a quanto disposto dagli articoli 4, 58, comma 1, e 60. Le imprese che forniscono le reti o i servizi di comunicazione elettronica contemplati dall’autorizzazione generale o che sono titolari dei diritti di uso di frequenze radio o di numeri, devono comunicare, secondo quanto disposto dall’articolo 21, rispettivamente, al Ministero, le informazioni necessarie per verificare l’effettiva osservanza delle condizioni dell’autorizzazione generale o dei diritti di uso, e all’Autorità le informazioni necessarie per l’effettiva osservanza degli obblighi specifici di cui all’articolo 13, comma 2, o all’articolo 60, nonché le informazioni necessarie per verificare il rispetto delle condizioni apposte all’autorizzazione generale di cui allá lettera A), n. 1, e alla lettera C), n. 3, dell’Allegato 1 al presente decreto.

2. L’Autorità accerta l’inosservanza degli obblighi specifici di cui all’articolo 13, comma 2 e delle condizioni apposte all’autorizzazione generale di cui alla lettera A), n. 1, e lettera C), n. 3, dell’Allegato 1 al presente decreto e il Ministero accerta l’inosservanza da parte di un’impresa delle restanti condizioni poste dall’autorizzazione generale o relative ai diritti di uso, ovvero l’Autorità accerta l’inosservanza degli obblighi specifici di cui all’articolo 13, comma 2. La contestazione dell’infrazione accertata è notificata all’impresa, offrendole la possibilità di esprimere osservazioni entro trenta giorni dalla notifica.

3. Se entro il termine di cui al comma 2 l’impresa non pone rimedio all’infrazione accertata, ripristinando la situazione precedente, il Ministero e l’Autorità, nell’ambito delle rispettive competenze di cui allo stesso comma 2, adottano misure adeguate e proporzionate per assicurare l’osservanza delle condizioni di cui al comma 1 entro un termine ragionevole.

4. A tal fine, il Ministero e l’Autorità possono imporre:

a) se del caso, le sanzioni pecuniarie di cui all’articolo 30;

b) ingiunzioni di cessare o ritardare la fornitura di un servizio o di un pacchetto di servizi che, se continuasse, comporterebbe un notevole svantaggio concorrenziale, finché non siano soddisfatti gli obblighi in materia di accesso imposti in seguito a un’analisi di mercato effettuata ai sensi dell’articolo 78.

5. Le misure di cui al comma 3 e le relative motivazioni sono tempestivamente notificate all’impresa interessata e prevedono un termine ragionevole entro il quale l’impresa deve rispettare le misure stesse.

6. In deroga ai commi 2 e 3 del presente articolo, il Ministero autorizza l’Autorità a imporre, se del caso, sanzioni pecuniarie alle imprese che non forniscono le informazioni dovute ai sensi dell’articolo 21, comma 1, lettere a) o b), e dell’articolo 80 entro una scadenza ragionevole fissata dall’autorità competente.

7. In caso di violazione grave o reiterata più di due volte nel quinquennio delle condizioni dell’autorizzazione generale o dei diritti d’uso dello spettro radio e delle risorse di numerazione o degli obblighi specifici di cui all’articolo 13, comma 2, o all’articolo 59, commi 1 o 2, e le misure volte ad assicurare il loro rispetto, di cui al comma 3 del presente articolo, si siano rivelate inefficaci, il Ministero e l’Autorità, nell’ambito delle rispettive competenze di cui al comma 2, possono impedire a un’impresa di continuare a fornire reti o servizi di comunicazione elettronica, sospendendo o revocando i diritti di uso. Dette sanzioni possono essere applicate per coprire la durata di qualsiasi violazione di cui all’articolo 30 o revocando i diritti d’uso.

8. Ferme restando le disposizioni dei commi 2, 3 e 7, qualora il Ministero e l’Autorità, nell’ambito delle rispettive competenze di cui al comma 2, abbiano prova della violazione delle condizioni dell’autorizzazione generale, dei diritti di uso o degli obblighi specifici di cui all’articolo 13, comma 2, tale da comportare un rischio grave e immediato per la sicurezza pubblica, l’incolumità publica o la salute pubblica, o da ostacolare la prevenzione, la ricerca, l’accertamento e il perseguimento di reati o da creare gravi problemi economici od operativi ad altri fornitori o utenti di reti o di servizi di comunicazione elettronica o ad altri utenti dello spettro radio, possono adottare misure provvisorie urgenti per porre rimedio alla situazione prima di adottare una decisione definitiva, dando all’impresa interessata la possibilità di esprimere osservazioni e di proporre le soluzioni opportune. Ove necessario, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, confermano le misure provvisorie, che sono valide per un termine massimo di tre mesi, ma che possono, nei casi in cui le procedure di attuazione non sono state completate, essere prolungate per un periodo di ulteriori tre mesi.

9. Le imprese hanno diritto di ricorrere contro le misure adottate ai sensi del presente articolo, secondo la procedura di cui all’articolo 28.

TITOLO IV.- PROCEDURE RELATIVE AL MERCATO INTERNO

CAPITOLO I.-

Articolo 33

(Consolidamento del mercato interno per le comunicazioni elettroniche)

(Articolo 32 eecc e Articolo 12 Codice 2003)

1. Il Ministero e l’Autorità, nello svolgimento dei compiti relativi al funzionamento del mercato interno indicati nel presente decreto, tengono nella massima considerazione gli obiettivi di cui all’articolo 4.

2. L’Autorità contribuisce allo sviluppo del mercato interno collaborando con le Autorità di regolamentazione degli altri Stati membri, con la Commissione europea e con il BEREC in modo trasparente al fine di assicurare la piena applicazione, in tutti gli Stati membri, delle disposizioni della direttiva (UE) 2018/1972. A tale scopo l’Autorità coopera in particolare con la Commissione e il BEREC per individuare i tipi di strumenti e le soluzioni più adeguate da utilizzare nell’affrontare determinati tipi di situazioni nel contesto del mercato.

3. Salvo che sia diversamente previsto nelle raccomandazioni o nelle linee guida adottate a norma dell’articolo 34 della direttiva (UE) 2018/1972, al termine della consultazione pubblica, se richiesta ai sensi dell’articolo 23, l’Autorità, qualora intenda adottare una misura che rientri nell’ambito di applicazione degli articoli 72, 75, 78, 79 o 93 e influenzi gli scambi tra Stati membri, rende accessibile, fornendone apposita documentazione, il progetto di misura, adeguatamente motivato, contemporaneamente alla Commissione, al BEREC e alle Autorità di regolamentazione di altri Stati membri, nel rispetto dell’articolo 20, comma 3. L’Autorità non può adottare la misura prima che sia decorso il termine di un mese dalla predetta informativa.

4. Il progetto di misura di cui al comma 3 non può essere adottato per ulteriori due mesi:

a) se tale misura mira a identificare un mercato rilevante differente da quelli previsti dalla raccomandazione della Commissione europea di cui all’Articolo 64, paragrafo 1, della direttiva (UE) 2018/1972 oppure a designare un’impresa come detentrice, individualmente o congiuntamente ad altre, di un significativo potere di mercato, ai sensi dell’articolo 78 comma 3 o 4;

b) se influenza gli scambi commerciali tra Stati membri e la Commissione europea ha indicato all’Autorità che il progetto di misura possa creare una barriera al mercato interno o dubita seriamente della sua compatibilità con il diritto dell’Unione e in particolare con gli obiettivi di cui all’articolo 4.

5. Qualora la Commissione adotti una decisione conformemente all’articolo 32, paragrafo 6, comma 1, lettera a) della direttiva (UE) 2018/1972, l’Autorità modifica o ritira il progetto di misura entro sei mesi dalla predetta decisione. Se il progetto di misura è modificato, l’Autorità avvia una consultazione pubblica secondo le procedure di cui all’articolo 23 e notifica il progetto di misura modificato alla Commissione europea conformemente al comma 3 del presente articolo.

6. L’Autorità tiene nella massima considerazione le osservazioni delle Autorità di regolamentazione degli altri Stati membri, della Commissione europea e del BEREC e, salvo nei casi di cui al comma 4 del presente articolo e al paragrafo 6, lettera a), dell’articolo 32 della direttiva (UE) 2018/1972, può adottare il provvedimento risultante; in tal caso lo comunica alla Commissione europea.

7. L’Autorità comunica alla Commissione europea e al BEREC tutte le misure definitive adottate che rientrano nel comma 3 del presente articolo.

8. In circostanze straordinarie l’Autorità, ove ritenga che sussistano motivi di urgenza per salvaguardare la concorrenza e tutelare gli interessi degli utenti, in deroga alla procedura di cui ai commi 3 e 4, può adottare adeguati provvedimenti temporanei cautelari aventi effetto immediato, in coerenza con le disposizioni del decreto. L’Autorità comunica immediatamente tali provvedimenti, esaurientemente motivati, alla Commissione europea, alle Autorità di regolamentazione degli altri Stati membri e al BEREC. La decisione dell’Autorità di estendere il periodo di efficacia dei provvedimenti così adottati o di renderli permanenti è soggetta alla procedura di cui ai commi 3 e 4.

9. L’Autorità può ritirare un progetto di misura in qualsiasi momento.

Articolo 34

(Procedura per la coerente applicazione delle misure correttive)

(Articolo 33 eecc e Articolo 12-bis Codice 2003)

1. Quando la misura prevista dall’articolo 33, comma 3, mira ad imporre, modificare o revocare un obbligo imposto a un’impresa in applicazione dell’articolo 72 o 78 , in combinato disposto con gli articoli da 80 a 87 e l’articolo 93, e la Commissione europea entro il termine di un mese di cui all’articolo 32, paragrafo 3, della direttiva (UE) 2018/1972, notifica all’Autorità i motivi per cui ritiene che il progetto di misura crei un ostacolo al mercato interno o per cui dubita seriamente della sua compatibilità con il diritto dell’Unione, l’adozione del progetto di misura viene ulteriormente sospesa per i tre mesi successivi alla predetta notifica della Commissione medesima. In assenza di una notifica in tal senso, l’Autorità può adottare il progetto di misura, tenendo nella massima considerazione le osservazioni formulate dalla Commissione europea, dal BEREC o da un’altra autorità nazionale di regolamentazione.

2. Nel periodo di tre mesi di cui al comma 1, l’Autorità coopera strettamente con la Commissione europea e con il BEREC allo scopo di individuare la misura più idonea ed efficace alla luce degli obiettivi stabiliti dall’articolo 4, comma 1, tenendo debitamente conto del parere dei soggetti partecipanti al mercato e della necessità di garantire una pratica regolamentare coerente.

3. L’Autorità coopera strettamente con il BEREC allo scopo di individuare la misura più idonea ed efficace se il BEREC nel proprio parere di cui all’articolo 33, paragrafo 3, della direttiva (UE) 2018/1972, condivide i seri dubbi della Commissione europea.

4. Entro il termine di tre mesi di cui al comma 1, l’Autorità può, alternativamente:

a) modificare o ritirare il suo progetto di misura tenendo nella massima considerazione la notifica della Commissione europea di cui al comma 1, nonché il parere del BEREC;

b) mantenere il suo progetto di misura.

5. Entro un mese dalla data di formulazione della raccomandazione della Commissione europea ai sensi dell’articolo 33, paragrafo 5, lettera a), della direttiva (UE) 2018/1972, o di ritiro delle riserve a norma del paragrafo 5, lettera b), del medesimo articolo, l’Autorità comunica alla Commissione europea e al BEREC la misura finale adottata. Tale periodo può essere prorogato per consentiré all’Autorità di avviare una consultazione pubblica ai sensi dell’articolo 23.

6. L’Autorità motiva la decisione di non modificare o ritirare il progetto di misura sulla base della raccomandazione di cui all’articolo 33, paragrafo 5, lettera a), della direttiva (UE) 2018/1972.

7. L’Autorità può ritirare il progetto di misura in qualsiasi fase della procedura.

CAPITOLO II.- Assegnazione coerente dello spettro radio

Articolo 35

(Richiesta di procedura di valutazione tra pari)

(Articolo 35 eecc)

1. Quando intende stabilire una procedura di selezione conformemente all’articolo 67 commi 2 e 3, n relazione allo spettro radio armonizzato per cui sono state definite condizioni armonizzate mediante misure tecniche di attuazione adottate in conformità alla decisione n. 676/2002/CE al fine di consentirne l’uso per le reti e i servizi a banda larga senza fili, l’Autorità e il Ministero, ciascuno per la parte di propria competenza, informano, secondo quanto previsto dall’articolo 23, il RSPG dei progetti di misura che rientrano nell’ambito della procedura di selezione competitiva o comparativa ai sensi dell’articolo 67 commi 2 e 3 e indicano se e quando richiedere a tale gruppo di convocare un forum di valutazione tra pari secondo le modalità stabilite dall’articolo 35, parágrafo 1, comma 2, della direttiva (UE) 2018/1972, al fine di discutere e scambiare opinioni sui progetti di misura trasmessi e di agevolare lo scambio di esperienze e di migliori prassi relativamente a tali progetti di misura.

2. Nel corso del forum di valutazione tra pari, l’Autorità fornisce una spiegazione sulle modalità con cui il progetto di misura:

a) promuove lo sviluppo del mercato interno, la fornitura transfrontaliera di servizi e la concorrenza, massimizza i benefici per i consumatori e consente il conseguimento complessivo degli obiettivi di cui agli articoli 4, 58, 59 e 60 del presente decreto e alle decisioni n. 676/2002/CE e n. 243/2012/UE;

b) garantisce un uso effettivo ed efficiente dello spettro radio;

c) garantisce condizioni di investimento stabili e prevedibili per gli utilizzatori dello spettro radio esistenti e potenziali, quando sono installate reti per la fornitura di servizi di comunicazione elettronica basati sullo spettro radio.

Articolo 36

(Assegnazione armonizzata delle frequenze radio)

(Articolo 36 eecc; Articolo 30 cod. 2003)

1. Qualora l’uso delle frequenze radio sia stato armonizzato, le condizioni e le procedure di acceso siano state concordate e le imprese cui assegnare lo spettro radio siano state selezionate ai sensi degli accordi internazionali e delle disposizioni dell’Unione, il Ministero concede i diritti di uso dello spettro radio secondo le modalità stabilite da tali accordi e disposizioni. A condizione che nel caso di una procedura di selezione comune siano stati soddisfatti tutti i requisiti nazionali relativi al diritto di uso dello spettro radio in questione, non possono essere prescritte altre condizioni, né criteri o procedure supplementari che possano limitare, alterare o ritardare la corretta applicazione dell’assegnazione comune di tale spettro radio.

Articolo 37

(Autorizzazione congiunta per la concessione di diritti d’uso individuali dello spettro radio)

(ex Articolo 37 eecc)

1. Il Ministero e l’Autorità per le attività di competenza possono cooperare con le Autorità competenti di uno o più Stati membri tra di loro e con il RSPG, tenendo conto dell’eventuale interesse espresso dai partecipanti al mercato, stabilendo congiuntamente gli aspetti comuni di un processo di autorizzazione e, se del caso, svolgendo congiuntamente anche il processo di selezione per la concessione dei diritti d’uso individuali dello spettro radio. Nel definire il processo di autorizzazione congiunto, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, possono tener conto dei seguenti criteri:

a) il processo di autorizzazione nazionale è avviato e attuato secondo un calendario concordato con le rispettive autorità competenti degli altri Stati membri interessati;

b) il processo prevede, se del caso, condizioni e procedure comuni per la selezione e la concessione dei diritti individuali d’uso dello spettro radio tra gli Stati membri interessati;

c) il processo prevede, se del caso, condizioni comuni o comparabili da associare ai diritti d’uso individuali dello spettro radio tra gli Stati membri interessati, tra l’altro consentendo agli utilizzatori di ricevere in assegnazione blocchi di spettro radio analoghi;

d) il processo è aperto agli altri Stati membri in qualsiasi momento fino alla sua conclusione.

2. Qualora il Ministero e l’Autorità, per le rispettive competenze, nonostante l’interesse espresso dai partecipanti al mercato, non agiscano congiuntamente con le autorità competenti degli altri Stati membri interessati, informano detti partecipanti al mercato in merito alle ragioni della loro decisione.

CAPITOLO III.- Procedure di armonizzazione

Articolo 38

(Procedure di armonizzazione)

(ex Articolo 38 eecc e Articolo 22 Codice 2003)

1. Il Ministero e l’Autorità, nell’assolvimento dei propri compiti, tengono in massima considerazione le raccomandazioni della Commissione europea di cui all’articolo 38, paragrafo 1, della direttiva (UE) 2018/1972, concernenti l’armonizzazione dell’attuazione delle disposizioni ed il conseguimento degli obiettivi fissati dalla direttiva stessa. Qualora il Ministero o l’Autorità decidano di non conformarsi ad una raccomandazione, ne informano la Commissione europea motivando le proprie decisioni.

Articolo 39

(Normalizzazione)

(ex Articolo 39 eecc e Articolo 20 Codice 2003)

1. Il Ministero e l’Autorità, nell’ambito delle rispettive competenze, vigilano sull’uso delle norme e specifiche tecniche adottate dalla Commissione europea e pubblicate nella Gazzetta Ufficiale dell’Unione europea per la fornitura armonizzata di servizi, di interfacce tecniche o di funzioni di rete, nella misura strettamente necessaria per garantire l’interoperabilità dei servizi, la connettività da punto a punto, la facilitazione del passaggio a un altro fornitore e della portabilità dei numeri e degli identificatori, e per migliorare la libertà di scelta degli utenti.

2. In assenza di pubblicazione delle norme specifiche di cui al comma 1, il Ministero incoraggia l’applicazione delle norme o specifiche adottate dalle organizzazioni europee di normalizzazione e, in mancanza, promuove l’applicazione delle norme o raccomandazioni internazionali adottate dall’unione internazionale delle telecomunicazioni (UIT), dalla conferenza europea delle amministrazioni delle poste e delle telecomunicazioni (CEPT), dall’organizzazione internazionale per la standardizzazione (International Organisation for Standardisation – ISO) e dalla commissione elettrotecnica internazionale (International Electrotechnical Commission – IEC). Qualora già esistano norme internazionali, il Ministero esorta le organizzazioni europee di normalizzazione a usare dette norme o le loro parti pertinenti come fondamento delle norme che elaborano, tranne nei casi in cui tali norme internazionali o parti pertinenti siano inefficaci.

3. Qualsiasi norma o specifica al presente articolo non impedisce l’accesso eventualmente necessario in virtù del presente decreto, ove possibile.

TITOLO V.- SICUREZZA

Articolo 40

(Sicurezza delle reti e dei servizi)

(ex Articolo 40 eecc e Articolo 16-bis Codice 2003)

1. L’Agenzia, sentito il Ministero, per quanto di rispettiva competenza e tenuto conto delle misure tecniche e organizzative che possono essere adottate dalla Commissione europea, ai sensi dell’articolo 40, paragrafo 5, della direttiva (UE) 2018/1972, individua:

a) adeguate e proporzionate misure di natura tecnica e organizzativa per gestire i rischi per la sicurezza delle reti e dei servizi di comunicazione elettronica accessibili al pubblico, assicurando un livello di sicurezza adeguato al rischio esistente, tenuto conto delle attuali conoscenze in materia.

Tali misure, che possono comprendere, se del caso, il ricorso a tecniche di crittografia, sono anche finalizzate a prvenire e limitare le conseguenze per gli utenti, le reti interconnesse e gli altri servizi, degli incidenti che pregiudicano la sicurezza;

b) i casi in cui gli incidenti di sicurezza siano da considerarsi significativi ai fini del corretto funzionamento delle reti o dei servizi.

2. Nella determinazione dei casi di cui al comma 1, lettera b), l’Agenzia considera i seguenti parametri, se disponibili:

a) il numero di utenti interessati dall’incidente di sicurezza;

b) la durata dell’incidente di sicurezza;

c) la diffusione geografica della zona interessata dall’incidente di sicurezza;

d) la misura in cui è colpito il funzionamento della rete o del servizio;

e) la portata dell’incidenza sulle attività economiche e sociali.

3. Le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico:

a) adottano le misure individuate dall’Agenzia di cui al comma 1, lettera a);

b) comunicano all’Agenzia e al Computer Security Incident Response Team (CSIRT), istituito ai sensi dell’articolo 8 del decreto legislativo 18 maggio 2018, n. 65, ogni significativo incidente di sicurezza secondo quanto previsto dal comma 1, lettera b).

4. L’Agenzia può informare il pubblico o imporre all’impresa di farlo, ove accerti che la divulgazione della notizia dell’incidente di sicurezza di cui al comma 1, lettera b), sia nell’interesse pubblico. Se del caso, l’Agenzia informa le Autorità competenti degli altri Stati membri e l’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA).

5. L’Agenzia, anche avvalendosi del CSIRT, provvede direttamente o per il tramite dei fornitori di reti e servizi di comunicazione elettronica ad informare gli utenti potenzialmente interessati da minaccia particolare e significativa di incidenti di sicurezza, riguardo a eventuali misure di protezione o rimedi cui possono ricorrere.

6. L’Agenzia trasmette ogni anno alla Commissione europea e all’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione una relazione sintetica delle notifiche ricevute e delle azioni adottate conformemente al presente articolo.

7. L’Agenzia, nelle tematiche di cybersicurezza, fatta eccezione per gli ambiti in cui la legge attribuisce specifiche competenze ad altre amministrazioni, collabora con le autorità competente degli altri Stati membri e con i competenti organismi internazionali e dell’Unione europea al fine di definire procedure e norme che garantiscano la sicurezza dei servizi.

8. In caso di notifica di incidente di sicurezza che determini anche una violazione di dati personali, l’Agenzia fornisce, senza ritardo, al Garante per la protezione dei dati personali le informazioni utili ai fini di cui all’articolo 33 del Regolamento UE 2016/679.

Articolo 41

(Attuazione e controllo)

(ex Articolo 41 eecc e Articolo 16-ter Codice 2003)

1. Le misure ado tate ai fini dell’attuazione del presente articolo e dell’articolo 40 sono approvate con provvedimento dell’Agenzia.

2. I fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazioni elettroniche accessibili al pubblico adottano le istruzioni vincolanti eventualmente impartite dall’Agenzia, anche con riferimento alle misure necessarie per porre rimedio a un incidente di sicurezza o per evitare che si verifichi nel caso in cui sia stata individuata una minaccia significativa.

3. Ai fini del controllo del rispetto dell’articolo 40 le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico sono tenute a:

a) fornire all’Agenzia le informazioni necessarie per valutare la sicurezza delle loro reti e dei loro servizi, in particolare i documenti relativi alle politiche di sicurezza;

b) sottostare a verifiche di sicurezza effettuate dall’Agenzia o da un organismo qualificato indipendente designato dalla medesima Agenzia. L’impresa si assume l’onere finanziario della verifica.

4. L’Agenzia ha la facoltà di indagare i casi di mancata conformità nonché i loro effetti sulla sicurezza delle reti e dei servizi. I fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazioni elettroniche accessibili al pubblico che indirizzano o raccolgono traffico per servizi offerti sul territorio nazionale sono tenuti a fornire le informazioni e i dati necessari alle indagini.

5. L’Agenzia, se del caso, consulta l’Autorità, le Autorità di contrasto nazionali, il Garante per la protezione dei dati personali, e coopera con esse.

6. Nel caso in cui l’Agenzia riscontri il mancato rispetto del presente articolo e dell’articolo 40 ovvero delle disposizioni attuative previste dai commi 1 e 2 da parte delle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, si applicano le sanzioni di cui all’articolo 30, commi da 2 a 21.

PARTE II.- RETI

TITOLO I.- INGRESSO NEL MERCATO E DIFFUSIONE

CAPITOLO I.- Contributi

Articolo 42

(Contributi per la concessione di diritti di uso dello spettro radio e di diritti di installare strutture)

(Articolo 42 eecc; Articolo 35 Codice 2003)

1. I contributi per la concessione di diritti di uso dello spettro radio nelle bande armonizzate, che garantiscono l’uso ottimale di tali risorse, salvo quanto previsto dal comma 6, sono fissati dal Ministero sulla base dei criteri stabiliti dall’Autorità.

2. Si applicano i contributi nella misura prevista dall’allegato n. 12.

3. Per i contributi relativi alla concessione dei diritti per l’installazione di strutture su proprietà pubbliche o private, al di sopra o al di sotto di esse, usate per fornire reti o servizi di comunicazione elettronica e strutture collegate, che garantiscano l’impiego ottimale di tali risorse, si applicano le disposizioni di cui all’articolo 98-octies decies, comma 2.

4. I contributi di cui al presente articolo sono trasparenti, obiettivamente giustificati, proporzionati allo scopo, non discriminatori e tengono conto degli obiettivi generali di cui al presente decreto.

5. Per quanto concerne i diritti d’uso dello spettro radio, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, mirano a garantire che i contributi applicabili siano fissati a un livello che assicuri un’assegnazione e un uso dello spettro radio efficienti, anche:

a) definendo prezzi di riserva quali contributi minimi per i diritti d’uso dello spettro radio, teniendo conto del valore di tali diritti nei loro possibili usi alternativi;

b) tenendo conto dei costi derivanti da condizioni associate a tali diritti;

c) applicando, al meglio possibile, modalità di pagamento legate all’effettiva disponibilità per l’uso dello spettro radio.

6. I contributi per la concessione di diritti di uso dello spettro radio per le imprese titolari di autorizzazione generale per l’attività di operatore di rete televisiva in tecnologia digitale terrestre sono fissati dal Ministero sulla base dei criteri stabiliti dall’articolo 1, commi da 172 a 176, della legge 28 dicembre 2015, n. 208.

CAPITOLO II.- Accesso al suolo (Disposizioni relative a reti ed impianti)

Articolo 43

(Infrastrutture di comunicazione elettronica e diritti di passaggio)

(ex Articolo 43 eecc e Articolo 86 Codice 2003)

1. Le autorità competenti alla gestione del suolo pubblico adottano senza indugio e, in ogni caso, entro novanta giorni dalla richiesta, salvo per i casi di espropriazione, le occorrenti decisioni e rispettano procedure semplici, efficaci, trasparenti, pubbliche e non discriminatorie, ai sensi degli articoli 44, 49 e 50, nell’esaminare le domande per la concessione del diritto di installare infrastrutture:

a) su proprietà pubbliche o private, compresi i parchi e le riserve nazionali o regionali, nonché i territori di protezione esterna dei parchi, ovvero al di sopra o al di sotto di esse, ad un operatore autorizzato a fornire reti pubbliche di comunicazione elettronica;

b) su proprietà pubbliche ovvero al di sopra o al di sotto di esse, ad un operatore autorizzato a fornire reti di comunicazione elettronica diverse da quelle fornite al pubblico.

2. Le autorità competenti alla gestione del suolo pubblico rispettano i principi di trasparenza e non discriminazione nel prevedere condizioni per l’esercizio di tali diritti. Le procedure possono differire nei casi di cui alle lettere a) e b) in funzione del fatto che il richiedente fornisca reti pubbliche di comunicazione elettronica o meno.

3. Sono, in ogni caso, fatti salvi gli accordi stipulati tra gli Enti locali e gli operatori, per quanto attiene alla localizzazione, coubicazione e condivisione delle infrastrutture di comunicazione elettronica.

4. Le infrastrutture di reti pubbliche di comunicazione, di cui agli articoli 44 e 49, e le opere di infrastrutturazione per la realizzazione delle reti di comunicazione elettronica ad alta velocità in fibra ottica in grado di fornire servizi di accesso a banda ultra larga, effettuate anche all’interno degli edifici sono assimilate ad ogni effetto alle opere di urbanizzazione primaria di cui all’articolo 16, comma 7, del decreto del Presidente della Repubblica 6 giugno 2001, n. 380, pur restando di proprietà dei rispettivi operatori, e ad esse si applica la normativa vigente in materia, fatto salvo quanto previsto dagli articoli 44 e 49 con riferimento alle autorizzazioni per la realizzazione della rete di comunicazioni elettroniche e degli elementi ad essa collegati per le quali si attua il regime di semplificazione ivi previsto. Alla installazione di reti di comunicazione elettronica mediante posa di fibra ottica non si applica la disciplina edilizia e urbanistica. Gli elementi di reti di comunicazione elettronica ad alta velocità e le altre infrastrutture di reti pubbliche di comunicazione, di cui agli articoli 44 e 49, nonché le opere di infrastrutturazione per la realizzazione delle reti di comunicazione elettronica ad alta velocità in fibra ottica in grado di fornire servizi di accesso a banda ultra larga, effettuate anche all’interno di edifici, da chiunque posseduti, non costituiscono unità immobiliari ai sensi dell’articolo 2 del decreto del Ministro delle finanze 2 gennaio 1998, n. 28, e non rilevano ai fini della determinazione della rendita catastale.

5. Restano ferme le disposizioni a tutela dei beni ambientali e culturali contenute nel decreto legislativo 22 gennaio 2004, n. 42, nonché le disposizioni a tutela delle servitù militari di cui al titolo VI, del libro II, del codice dell’ordinamento militare, nel rispetto del procedimiento autorizzatorio semplificato di cui agli articoli 44 e 49.

6. Si applicano, per la posa dei cavi sottomarini di comunicazione elettronica e dei relativi impianti, le disposizioni di cui al decreto-legge 4 marzo 1989, n. 77, convertito, con modificazioni, dalla legge 5 maggio 1989, n. 160, ed al regio decreto 30 marzo 1942, n. 327, recante il codice della navigazione.

7. L’Autorità vigila affinché, laddove le amministrazioni dello Stato, le Regioni, le Province, i Comuni o gli altri Enti locali, ai sensi dell’articolo 9, comma 1, mantengano la proprietà o il controllo di imprese che forniscono reti o servizi di comunicazione elettronica, vi sia un’effettiva separazione strutturale tra la funzione attinente alla concessione dei diritti di cui al comma 1 e le funzioni attinenti alla proprietà od al controllo.

8. Per i limiti di esposizione ai campi elettromagnetici, i valori di attenzione e gli obiettivi di qualità si applicano le disposizioni di attuazione di cui all’articolo 4, comma 2, lettera a), della legge 22 febbraio 2001, n. 36.

9. Gli operatori di reti radiomobili di comunicazione elettronica ad uso pubblico provvedono ad inviare ai Comuni ed ai competenti ispettorati territoriali del Ministero la descrizione di ciascun impianto installato.

10. Il Ministero può delegare un altro Ente la tenuta degli archivi telematici e di tutte le comunicazioni trasmettesse.

Articolo 44

(Nuovi impianti -Procedimenti autorizzatori relativi alle infrastrutture di comunicazione elettronica per impianti radioelettrici)

(ex Articolo 87 Codice 2003)

1. L’installazione di infrastrutture per impianti radioelettrici e la modifica delle caratteristiche di emissione di questi ultimi e, in specie, l’installazione di torri, di tralicci destinati ad ospitare apparati radio-trasmittenti, ripetitori di servizi di comunicazione elettronica, stazioni radio base per reti di comunicazioni elettroniche mobili in qualunque tecnologia, per reti di diffusione, distribuzione e contribuzione dedicate alla televisione digitale terrestre, per reti a radiofrequenza dedicate alle emergenze sanitarie ed alla protezione civile, nonché per reti radio a larga banda punto-multipunto nelle bande di frequenza all’uopo assegnate, anche in coubicazione, viene autorizzata dagli Enti locali, previo accertamento, da parte dell’Organismo competente ad effettuare i controlli, di cui all’articolo 14 della legge 22 febbraio 2001, n. 36, della compatibilità del progetto con i limiti di esposizione, i valori di attenzione e gli obiettivi di qualità, stabiliti uniformemente a livello nazionale in relazione al disposto della citata legge 22 febbraio 2001, n. 36, e relativi provvedimenti di attuazione, ove previsto

2. L’istanza di autorizzazione alla installazione di infrastrutture di cui al comma 1 è presentata all’Ente locale dai titolari di autorizzazione generale rilasciata ai sensi dell’articolo 11. Al momento della presentazione della domanda, l’ufficio abilitato a riceverla indica al richiedente il nome del responsabile del procedimento.

3. L’istanza, redatta al fine della sua acquisizione su supporti informatici, deve essere corredata della documentazione atta a comprovare, il rispetto dei limiti di esposizione, dei valori di attenzione e degli obiettivi di qualità, relativi alle emissioni elettromagnetiche, di cui alla legge 22 febbraio 2001, n. 36, e relativi provvedimenti di attuazione, attraverso l’utilizzo di modelli predittivi conformi alle prescrizioni della CEI. In caso di pluralità di domande, viene data precedenza a quelle presentate congiuntamente da più operatori. Nel caso di installazione di impianti, con potenza in singola antenna uguale od inferiore ai 20 Watt, fermo restando il rispetto dei limiti di esposizione, dei valori di attenzione e degli obiettivi di qualità sopra indicati, è sufficiente la segnalazione certificata di inizio attività.

4. Al fine di accelerare la realizzazione degli investimenti per il completamento della rete di telecomunicazione GSM-R dedicata esclusivamente alla sicurezza ed al controllo del traffico ferroviario, nonché al fine di contenere i costi di realizzazione della rete stessa, all’installazione sul sedime ferroviario ovvero in area immediatamente limitrofa dei relativi impianti ed apparati si procede con le modalità proprie degli impianti di sicurezza e segnalamento ferroviario, nel rispetto dei limiti di esposizione, dei valori di attenzione e degli obiettivi di qualità, stabiliti uniformemente a livello nazionale in relazione al disposto della legge 22 febbraio 2001, n. 36, e relativi provvedimenti di attuazione.

5. Copia dell’istanza ovvero della segnalazione viene inoltrata contestualmente all’Organismo di cui al comma 1, che si pronuncia entro trenta giorni dalla comunicazione. Lo sportello locale competente provvede a pubblicizzare l’istanza, pur senza diffondere i dati caratteristici dell’impianto. L’istanza ha valenza di istanza unica effettuata per tutti i profili connessi agli interventi e per tutte le amministrazioni o enti comunque coinvolti nel procedimento. Il soggetto richiedente dà notizia della presentazione dell’istanza a tutte le amministrazioni o enti coinvolti nel procedimento.

6. Il responsabile del procedimento può richiedere, per una sola volta, entro quindici giorni dalla data di ricezione dell’istanza, il rilascio di dichiarazioni e l’integrazione della documentazione prodotta. Il termine di cui al comma 10 riprende a decorrere dal momento dell’avvenuta integrazione documentale.

7. Quando l’installazione dell’infrastruttura è subordinata all’acquisizione di uno o più provvedimenti, determinazioni, pareri, intese, concerti, nulla osta o altri atti di concessione, autorizzazione o assenso, comunque denominati, ivi comprese le autorizzazioni previste dal decreto legislativo 22 gennaio 2004, n. 42, da adottare a conclusione di distinti procedimenti di competenza di diverse amministrazioni o enti, inclusi i gestori di beni o servizi pubblici, il responsabile del procedimento convoca, entro cinque giorni lavorativi dalla presentazione dell’istanza, una conferenza di servizi, alla quale prendono parte tutte le amministrazioni coinvolte nel procedimento, enti e gestori di beni o servizi pubblici interessati dall’installazione, nonché un rappresentante dei soggetti preposti ai controlli di cui all’articolo 14 della legge 22 febbraio 2001, n. 36. 8. La determinazione positiva della conferenza sostituisce ad ogni effetto tutti i provvedimenti, determinazioni, pareri, intese, concerti, nulla osta o altri atti di concessione, autorizzazione o assenso, comunque denominati, necessari per l’installazione delle infrastrutture di cui al comma 1, di competenza di tutte le amministrazioni. enti e gestori di beni o servizi pubblici interessati, e vale, altresì, come dichiarazione di pubblica utilità, indifferibilità ed urgenza dei lavori.

9. Alla predetta conferenza di servizi si applicano le disposizioni di cui agli articoli 14, 14-bis, 14-ter, 14-quater e 14-quinquies della legge 7 agosto 1990, n. 241, con il dimezzamento dei termini ivi indicati, ad eccezione dei termini di cui al suddetto articolo 14-quinquies, e fermo restando l’obbligo di rispettare il termine perentorio finale di conclusione del presente procedimento indicato al comma 10.

10. Le istanze di autorizzazione si intendono accolte qualora, entro il termine perentorio di novanta giorni dalla presentazione del progetto e della relativa domanda, non sia stato comunicato un provvedimento di diniego o un parere negativo da parte dell’organismo competente ad effettuare i controlli, di cui all’articolo 14 della legge 22 febbraio 2001, n. 36, e non sia stato espresso un dissenso, congruamente motivato, da parte di un’Amministrazione preposta alla tutela ambientale, paesaggistico-territoriale o dei beni culturali. Nei già menzionati casi di dissenso congruamente motivato, ove non sia stata adottata la determinazione decisoria finale nel termine di cui al primo periodo, si applica l’articolo 2, comma 9-ter, della legge 7 agosto 1990 n. 241. Gli Enti local possono prevedere termini più brevi per la conclusione dei relativi procedimenti ovvero ulteriori forme di semplificazione amministrativa, nel rispetto delle disposizioni stabilite dal presente comma. Decorso il suddetto termine, l’amministrazione procedente comunica, entro il termine perentorio di sette giorni, l’attestazione di avvenuta autorizzazione, scaduto il quale è suficiente l’autocertificazione del richiedente. Sono fatti salvi i casi in cui disposizioni del diritto dell’Unione Europea richiedono l’adozione di provvedimenti espressi

11. Le opere debbono essere realizzate, a pena di decadenza, nel termine perentorio di dodici mesi dalla ricezione del provvedimento autorizzatorio espresso, ovvero dalla formazione del silenzioassenso.

Articolo 45

(Procedure semplificate per determinate tipologie di impianti)

(ex Articolo 87-bis Codice 2003)

1. Al fine di accelerare la realizzazione degli investimenti per il completamento della rete di banda larga mobile, nel caso di installazione di apparati con tecnologia 4G, sue evoluzioni o altre tecnologie su infrastrutture per impianti radioelettrici preesistenti o di modifica delle caratteristiche trasmissive, l’interessato trasmette all’Ente locale una segnalazione certificata di inizio attività contenente la descrizione dimensionale dell’impianto, fermo restando il rispetto dei limiti, dei valori e degli obiettivi di cui all’articolo 44 nonché di quanto disposto al comma 4 del medesimo articolo, indipendentemente dai Watt di potenza.

2. Contestualmente, copia della segnalazione viene trasmessa all’organismo di cui all’articolo 14 della legge 22 febbraio 2001, n. 36, per il rilascio del parere di competenza.

3. Qualora entro trenta giorni dalla trasmissione di cui al comma 2, l’organismo competente rilasci un parere negativo, l’ente locale, ai sensi della disciplina e alle tempistiche della SCIA di cui all’Articolo 19 della L. 241/1990,adotta motivati provvedimenti di divieto di prosecuzione dell’attività e di rimozione degli eventuali effetti dannosi.

4. Nel caso in cui gli interventi, oggetto della segnalazione certificata di inizio attività di cui al comma 1, siano rilevanti ai fini sismici, la segnalazione anzidetta è corredata dalla relativa asseverazione della struttura e delle opere inerente il rispetto delle norme tecniche per le costruzioni, redatta da professionista abilitato ed inviata al dipartimento del Genio Civile competente per territorio. Qualora entro trenta giorni dalla presentazione del progetto e della relativa domanda sia stato comunicato un provvedimento di diniego da parte dell’ente, la segnalazione è priva di effetti. Al termine dei lavori, viene inviata al suddetto ufficio competente la comunicazione di fine lavori e collaudo statico a firma del professionista incaricato.

5. Nel caso in cui gli interventi, oggetto della segnalazione certificata di inizio attività di cui al comma 1, siano interventi di minore rilevanza, è sufficiente il solo deposito del progetto redatto da professionista abilitato. Al termine dei lavori, viene inviata al suddetto ufficio competente la comunicazione di fine lavori e collaudo statico a firma del professionista incaricato. Sono escluse dalla presentazione delle suddette asseverazioni e depositi all’Ufficio di Genio Civile, gli interventi privi di rilevanza, quali: microcelle, impianti di copertura indoor e in galleria e le infrastrutture costituite da pali/paline di altezza inferiore o uguali a mt 4 il cui peso non sia superiore a 6,00 KN.

Articolo 46

(Variazioni non sostanziali degli impianti)

(ex Articolo 87-ter Codice 2003)

1. Al fine di accelerare la realizzazione degli investimenti per il completamento delle reti di comunicazione elettronica, nel caso di modifiche delle caratteristiche degli impianti già rovvisti di titolo abilitativo, ivi incluse le modifiche relative al profilo radioelettrico, che comportino aumenti delle altezze non superiori a 1 metro e aumenti della superficie di sagoma non superiori a 1,5 metri quadrati, l’interessato trasmette all’Ente locale una comunicazione descrittiva della variazione dimensionale e del rispetto dei limiti, dei valori e degli obiettivi di cui all’articolo 44, da inviare ai medesimi enti che hanno rilasciato i titoli abilitativi per la verifica della rispondenza dell’impianto a quanto dichiarato.

Articolo 47

(Impianti temporanei di telefonia mobile)

(ex Articolo 87-quater Codice 2003)

1. L’interessato all’installazione e all’attivazione di impianti temporanei di telefonia mobile, necessari per il potenziamento delle comunicazioni mobili in situazioni di emergenza, sicurezza, esigenze stagionali, manifestazioni, spettacoli o altri eventi, destinati ad essere rimossi al cessare delle anzidette necessità e comunque entro e non oltre centoventi giorni dalla loro collocazione, presenta all’Ente locale e, contestualmente, all’organismo competente ad effettuare i controlli di cui all’articolo 14 della legge 22 febbraio 2001, n. 36, una comunicazione a cui è allegata la relativa richiesta di attivazione. L’impianto è attivabile qualora, entro trenta giorni dalla presentazione, l’organismo competente di cui al primo periodo non si pronunci negativamente.

2. L’installazione di impianti di telefonia mobile, la cui permanenza in esercizio non superi i sette giorni, è soggetta a comunicazione, da inviare contestualmente alla realizzazione dell’intervento, all’Ente locale, agli organismi competenti a effettuare i controlli di cui all’articolo 14 della legge 22 febbraio 2001, n. 36, nonché ad ulteriori enti di competenza, fermo restando il rispetto dei vigente limiti di campo elettromagnetico. La disposizione di cui al presente comma opera in deroga ai vincoli previsti dalla normativa vigente.

Articolo 48

(Ulteriori disposizioni in materia di installazione di impianti mobili di comunicazione elettronica)

(ex novo)

1. Per la realizzazione di nuove stazioni radio base e le modifiche delle medesime che non comportino variazioni plano-altimetriche per dimensioni o ingombro su infrastrutture dell’autorità aeronautica competente deve essere esclusivamente inviata una comunicazione all’Ente nazionale per l’aviazione civile, all’Aeronautica militare e alla società ENAV Spa per eventuali accertamenti, e acquisito il preventivo parere dell’aeronautica militare conformemente a quanto disciplinato dagli articoli 44 e 45.

2. Fuori dei casi di cui al comma 1, per le installazioni e le modifiche di stazioni radio base oggetto di valutazione di compatibilità per ostacoli e pericoli alla navigazione aerea, i termini di rilascio del nulla osta da parte dell’autorità aeronautica competente si intendono conformi a quanto disciplinato dagli articoli 44 e 45.

Articolo 49

(Opere civili, scavi ed occupazione di suolo pubblico)

(ex Articolo 88 Codice 2003)

1. Qualora l’installazione di infrastrutture di comunicazione elettronica presupponga la realizzazione di opere civili o, comunque, l’effettuazione di scavi e l’occupazione di suolo pubblico, i soggetti interessati sono tenuti a presentare apposita istanza all’Ente locale ovvero alla figura soggettiva pubblica proprietaria delle aree. L’istanza così presentata ha valenza di istanza unica effettuata per tutti i profili connessi agli interventi di cui al presente articolo. Il richiedente dà notizia della presentazione dell’istanza a tutte le amministrazioni o enti coinvolti nel procedimento.

2. Il responsabile del procedimento può richiedere, per una sola volta, entro dieci giorni dalla data di ricezione dell’istanza, il rilascio di dichiarazioni e la rettifica od integrazione della documentazione prodotta. Il termine di cui al comma 7 inizia nuovamente a decorrere dal momento dell’avvenuta integrazione documentale.

3. Quando l’installazione di infrastrutture di comunicazione elettronica è subordinata all’acquisizione di uno o più provvedimenti, determinazioni, pareri, intese, concerti, nulla osta o altri atti di concessione, autorizzazione o assenso, comunque denominati, ivi incluse le autorizzazioni previste dal decreto legislativo 22 gennaio 2004, n. 42, da adottare a conclusione di distinti procedimenti di competenza di diverse amministrazioni o enti, inclusi i gestori di beni o servizi pubblici, l’amministrazione procedente che ha ricevuto l’istanza convoca, entro cinque giorni lavorativi dalla presentazione dell’istanza, una conferenza di servizi, alla quale prendono parte tutte le amministrazioni coinvolte nel procedimento, enti e gestori di beni o servizi pubblici interessati dall’installazione.

4. La determinazione positiva della conferenza sostituisce ad ogni effetto tutti i provvedimenti, determinazioni, pareri, intese, concerti, nulla osta o altri atti di concessione, autorizzazione o assenso, comunque denominati, necessari per l’installazione dell’infrastruttura, di competenza di tutte le amministrazioni, degli enti e dei gestori di beni o servizi pubblici interessati e vale altresì come dichiarazione di pubblica utilità, indifferibilità ed urgenza dei lavori.

5. Alla già menzionata conferenza di servizi si applicano le disposizioni di cui agli articoli 14, 14-bis, 14-ter, 14-quater e 14-quinquies della legge 7 agosto 1990, n. 241, con il dimezzamento dei termini ivi indicati, ad eccezione dei termini di cui all’articolo 14-quinquies, fermo restando quanto previsto dal comma 7 e l’obbligo di rispettare il termine perentorio finale di conclusione del procedimento indicato dal comma 9.

6. Il rilascio dell’autorizzazione comporta l’autorizzazione alla effettuazione degli scavi e delle eventuali opere civili indicati nel progetto, nonché la concessione del suolo o sottosuolo pubblico necessario all’installazione delle infrastrutture. Il comune può mettere a disposizione, direttamente o per il tramite di una società controllata, infrastrutture a condizioni eque, trasparenti e non discriminatorie.

7. Trascorso il termine di trenta giorni dalla presentazione della domanda, senza che l’amministrazione abbia concluso il procedimento con un provvedimento espresso ovvero abbia indetto un’apposita conferenza di servizi, la medesima si intende in ogni caso accolta. Nel caso di attraversamenti di strade e comunque di lavori di scavo di lunghezza inferiore ai duecento metri, il termine è ridotto a dieci giorni. Nel caso di apertura buche, apertura chiusini per infilaggio cavi o tubi, posa di cavi o tubi aerei o altri elementi di rete su infrastrutture e siti esistenti, allacciamento utenti il termine è ridotto a otto giorni. I predetti termini si applicano anche alle richieste di autorizzazione per l’esecuzione di attraversamenti e parallelismi su porti, interporti, aree del demanio idrico, marittimo, forestale e altri beni immobili appartenenti allo Stato, alle regioni, agli enti locali e agli altri enti pubblici, ivi compreso il sedime ferroviario e autostradale. Decorsi i suddetti termini, l’amministrazione procedente comunica, entro il termine perentorio di sette giorni, l’attestazione di avvenuta autorizzazione, scaduto il quale è sufficiente l’autocertificazione del richiedente.

8. Qualora l’installazione delle infrastrutture di comunicazione elettronica interessi aree di proprietà di più enti, pubblici o privati, l’istanza di autorizzazione è presentata allo sportello unico individuato nel comune di maggiore dimensione demografica. In tal caso, l’istanza è sempre valutata in una conferenza di servizi convocata dal comune di cui al primo periodo.

9. Fermo restando quanto previsto al comma 7, la conferenza di servizi deve concludersi entro il termine perentorio massimo di novanta giorni dalla data di presentazione dell’istanza. Fatti salvi i casi in cui disposizioni del diritto dell’Unione europea richiedono l’adozione di provvedimenti espressi, la mancata comunicazione della determinazione decisoria della conferenza entro il predetto termine perentorio equivale ad accoglimento dell’istanza, salvo che non sia stato espresso un dissenso, congruamente motivato, da parte di un’Amministrazione preposta alla tutela ambientale, paesaggistico-territoriale o dei beni culturali. Nei già menzionati casi di dissenso congruamente motivato, ove non sia stata adottata la determinazione decisoria finale nel termine di cui al primo periodo, si applica l’articolo 2, comma 9-ter, della legge 7 agosto 1990, n. 241.

L’accoglimento dell’istanza sostituisce ad ogni effetto gli atti di assenso, comunque denominati e necessari per l’effettuazione degli scavi e delle eventuali opere civili indicate nel progetto, di competenza delle amministrazioni coinvolte nel procedimento, i soggetti direttamente interessati all’installazione degli enti e dei gestori di beni o servizi pubblici interessati e vale, altresì, come dichiarazione di pubblica utilità, indifferibilità ed urgenza dei lavori, anche ai sensi degli articoli 12 e seguenti del decreto del Presidente della Repubblica 8 giugno 2001, n. 327. Decorso il termine di cui al primo periodo, l’amministrazione procedente comunica, entro il termine perentorio di sette giorni, l’attestazione di avvenuta autorizzazione, scaduto il quale è sufficiente l’autocertificazione del richiedente.

10. Per i progetti già autorizzati ai sensi del presente articolo, sia in presenza di un provvedimento espresso, sia in caso di accoglimento dell’istanza per decorrenza dei termini previsti dal comma 7 e dal comma 9, per i quali siano necessarie varianti in corso d’opera fino al dieci per cento delle infrastrutture e degli elementi accessori previsti nell’istanza unica, l’operatore comunica la variazione all’amministrazione procedente che ha ricevuto l’istanza originaria e a tutte le amministrazioni e gli enti coinvolti, con un reavviso di almeno quindici giorni, allegando una documentazione cartografica dell’opera che dia conto delle modifiche. L’operatore avvia il lavoro se, entro quindici giorni dalla data di comunicazione della variazione, i soggetti e gli enti coinvolti non abbiano comunicato un provvedimento negativo. Gli enti locali possono prevedere termini più brevi per la conclusione dei relativi procedimenti ovvero ulteriori forme di semplificazione amministrativa nel rispetto delle disposizioni stabilite dal presente articolo.

11. Salve le disposizioni di cui all’articolo 54, nessuna altra indennità è dovuta ai soggetti esercenti pubblici servizi o proprietari, ovvero concessionari di aree pubbliche, in conseguenza di scavi ed occupazioni del suolo, pubblico o privato, effettuate al fine di installare le infrastrutture di comunicazione elettronica.

12. Le figure giuridiche soggettive alle quali è affidata la cura di interessi pubblici devono rendere noto, con cadenza semestrale, i programmi relativi a lavori di manutenzione ordinaria e straordinaria, al fine di consentire ai titolari di autorizzazione generale una corretta pianificazione delle rispettive attività strumentali e, in specie, delle attività di installazione delle infrastrutture di comunicazione elettronica. I programmi dei lavori di manutenzione dovranno essere notificati in formato elettronico al Ministero, ovvero ad altro ente all’uopo delegato, con le stesse modalità di cui all’articolo 50, comma 2, per consentirne l’inserimento in un apposito archivio telemático consultabile dai titolari dell’autorizzazione generale.

13. Le figure soggettive esercenti pubblici servizi o titolari di pubbliche funzioni hanno l’obbligo, sulla base di accordi commerciali a condizioni eque e non discriminatorie, di consentire l’accesso alle proprie infrastrutture civili disponibili, a condizione che non venga turbato l’esercizio delle rispettive attività istituzionali.

Articolo 50

(Coubicazione e condivisione di infrastrutture)

(ex Articolo 44 eecc e Articolo 89 Codice 2003)

1. Se un operatore ha esercitato il diritto, in forza del diritto nazionale, di installare strutture su proprietà pubbliche o private ovvero al di sopra o al di sotto di esse, oppure si è avvalso di una procedura per l’espropriazione o per l’uso di una proprietà, le autorità competenti hanno la facoltà di imporre la coubicazione o la condivisione degli elementi della rete e delle risorse correlate installati su tale base, al fine di tutelare l’ambiente, la salute pubblica e la pubblica sicurezza o di conseguire gli obiettivi della pianificazione urbana e rurale. La coubicazione o la condivisione degli elementi della rete e delle strutture installati e la condivisione di proprietà possono essere imposte solo previa consultazione pubblica di durata adeguata, durante la quale tutte le parti interessate abbiano l’opportunità di esprimere i loro punti di vista, e solo nelle aree specifiche in cui detta condivisione sia considerata necessaria ai fini del perseguimento degli obiettivi del presente comma. Le autorità competenti possono imporre la condivisione di tali strutture o proprietà, ivi compresi terreni, edifici, accessi a edifici, cablaggio degli edifici, piloni, antenne, torri e altre strutture di supporto, condotti, guaine, pozzetti, armadi di distribuzione o provvedimenti atti ad agevolare il coordinamento dei lavori pubblici. L’Autorità svolge i seguenti compiti:

a) coordina il processo previsto dal presente articolo anche mediante regolamenti o linee guida;

b) stabilisce norme sulla ripartizione dei costi della condivisione delle strutture o delle proprietà.

2. Qualora l’installazione delle infrastrutture di comunicazione elettronica comporti l’effettuazione di scavi, gli operatori interessati devono provvedere alla comunicazione del progetto in formato elettronico al SINFI, ai sensi di quanto stabilito dagli articoli 4 e 6 del decreto legislativo 15 febbraio 2016, n. 33.

3. Entro il termine perentorio di trenta giorni, a decorrere dalla data di presentazione e pubblicizzazione del progetto di cui al comma 2, gli operatori interessati alla condivisione dello scavo o alla coubicazione dei cavi di comunicazione elettronica, possono concordare, con l’operatore che ha già presentato il progetto, l’elaborazione di un piano comune degli scavi e delle opere, in accordo con quanto prescritto dall’articolo 5 del decreto legislativo n. 33 del 2016. In assenza di accordo tra gli operatori, l’ente pubblico competente rilascia i provvedimenti abilitativi richiesti, in base al criterio della priorità delle domande.

4. Nei casi di cui ai commi 2 e 3, si adottano le disposizioni e le procedure stabilite dall’articolo 49.

5. I provvedimenti adottati dall’Autorità o dal Ministero conformemente al presente articolo sono obiettivi, trasparenti, non discriminatori e proporzionati.

Articolo 51

(Pubblica utilità – Espropriazione e diritto di prelazione legale)

(ex Articolo 90 Codice 2003)

1. Gli impianti di reti di comunicazione elettronica ad uso pubblico, quelli esercitati dallo Stato e le opere accessorie occorrenti per la funzionalità di detti impianti hanno carattere di pubblica utilità, ai sensi degli articoli 12 e seguenti del decreto del Presidente della Repubblica 8 giugno 2001, n. 327.

2. Gli impianti di reti di comunicazioni elettronica e le opere accessorie di uso exclusivamente privato possono essere dichiarati di pubblica utilità con decreto del Ministro dello sviluppo economico, ove concorrano motivi di pubblico interesse.

3. Per l’acquisizione patrimoniale dei beni immobili necessari alla realizzazione degli impianti e delle opere di cui ai commi 1 e 2, può esperirsi la procedura di esproprio prevista dal decreto del Presidente della Repubblica 8 giugno 2001, n. 327. Tale procedura può essere esperita dopo che siano andati falliti, o non sia stato possibile effettuare, i tentativi di bonario componimento con i proprietari dei fondi sul prezzo di vendita offerto, da valutarsi da parte degli uffici tecnici erariali competenti.

4. In caso di locazione o concessione a diverso titolo, reale o personale, dei beni immobili, o di porzione di essi, destinati alla installazione ed all’esercizio degli impianti di reti di comunicazione elettronica ad uso pubblico di cui al comma 1, si applicano gli articoli 38 e 39 della legge 27 luglio 1978, n. 392.

Articolo 52

(Limitazioni legali della proprietà)

(ex Articolo 91 Codice 2003)

1. Negli impianti di reti di comunicazione elettronica di cui all’articolo 51, commi 1 e 2, i fili o cavi senza appoggio possono passare, anche senza il consenso del proprietario, sia al di sopra delle proprietà pubbliche o private sia dinanzi a quei lati di edifici ove non vi siano finestre od altre aperture praticabili a prospetto.

2. Il proprietario od il condominio non può opporsi all’appoggio di antenne, di sostegni, nonché al passaggio di condutture, fili o qualsiasi altro impianto, nell’immobile di sua proprietà occorrente per soddisfare le richieste di utenza degli inquilini o dei condomini.

3. Il proprietario o l’inquilino, in qualità di utente finale di un servizio di comunicazione elettronica, deve consentire all’operatore di comunicazione di effettuare gli interventi di adeguamento tecnologico della rete di accesso, volti al miglioramento della connessione e dell’efficienza energetica. Tale adeguamento non si configura come attività avente carattere commerciale e non costituisce modifica delle condizioni contrattuali per l’utente finale, purché consenta a quest’ultimo di continuare a fruire di servizi funzionalmente equivalenti, alle medesime condizioni economiche già previste dal contratto in essere.

4. I fili, cavi ed ogni altra installazione sono collocati in guisa da non impedire il libero uso della cosa secondo la sua destinazione.

5. Il proprietario è tenuto a consentire il passaggio nell’immobile di sua proprietà del personale dell’operatore di comunicazione elettronica o di ditta da questo incaricata che dimostri la necessità di accedervi per l’installazione, riparazione e manutenzione degli impianti di cui sopra.

6. L’operatore di comunicazione elettronica, durante la fase di realizzazione e sviluppo della rete in fibra ottica può, in ogni caso, accedere a tutte le parti comuni degli edifici al fine di installare, collegare e manutenere gli elementi di rete, cavi, fili, riparti linee o simili apparati privi di emissioni elettromagnetiche a radiofrequenza. Il diritto di accesso è consentito anche nel caso di edifici non abitati e di nuova costruzione. L’operatore di comunicazione elettronica ha l’obbligo, d’intesa con le proprietà condominiali, di ripristinare a proprie spese le parti comuni degli immobili oggetto di intervento nello stato precedente i lavori e si accolla gli oneri per la riparazione di eventuali danni arrecati.

7. L’operatore di comunicazione elettronica, durante la fase di realizzazione e sviluppo della rete in fibra ottica, può installare a proprie spese gli elementi di rete, cavi, fili, riparti linee o simili, nei percorsi aerei di altri servizi di pubblica utilità sia esterni sia interni all’immobile e in appoggio ad essi, a condizione che sia garantito che l’installazione medesima non alteri l’aspetto esteriore dell’immobile, né provochi alcun danno o pregiudizio al medesimo. Si applica, in ogni caso, l’ultimo periodo del comma 6.

8. Nei casi previsti dal presente articolo, al proprietario dell’immobile non è dovuta alcuna indennità.

9. L’operatore incaricato del servizio può agire direttamente in giudizio per far cessare eventuali impedimenti e turbative al passaggio ed alla installazione delle infrastrutture.

Articolo 53

(Servitù)

(ex Articolo 92 Codice 2003)

1. Fuori dei casi previsti dall’articolo 52, le servitù occorrenti al passaggio con appoggio dei fili, cavi ed impianti connessi alle opere considerate dall’articolo 51, sul suolo, nel sottosuolo o sull’area soprastante, sono imposte, in mancanza del consenso del proprietario ed anche se costituite su beni demaniali, ai sensi del decreto del Presidente della Repubblica 8 giugno 2001, n. 327, e della legge 1° agosto 2002, n. 166.

2. Se trattasi di demanio statale, il passaggio deve essere consentito dall’autorità competente ed è subordinato all’osservanza delle norme e delle condizioni da stabilirsi in apposita convenzione.

3. L’occorrente procedura, corredata dal progetto degli impianti e del piano descrittivo dei luoghi, è promossa dall’Autorità espropriante che, ove ne ricorrano le condizioni, impone la servitù richiesta e determina l’indennità dovuta ai sensi dell’articolo 44 del d.P.R. 8 giugno 2001, n. 327.

4. La norma di cui al comma 3 è integrata dall’articolo 3, comma 3, della legge 1° agosto 2002, n. 166.

5. Contro il provvedimento di imposizione della servitù è ammesso ricorso ai sensi dell’articolo 53 del decreto del Presidente della Repubblica n. 327 del 2001.

6. Fermo restando quanto stabilito dal decreto del Presidente della Repubblica n. 327 del 2001, la servitù deve essere costituita in modo da riuscire la più conveniente allo scopo e la meno pregiudizievole al fondo servente, avuto riguardo alle condizioni delle proprietà vicine.

7. Il proprietario ha sempre facoltà di fare sul suo fondo qualunque innovazione, ancorché essa importi la rimozione od il diverso collocamento degli impianti, dei fili e dei cavi, né per questi debe alcuna indennità, salvo che sia diversamente stabilito nella autorizzazione o nel provvedimento amministrativo che costituisce la servitù.

8. Il proprietario che ha ricevuto una indennità per la servitù impostagli, nel momento in cui ottiene di essere liberato dalla medesima, è tenuto al rimborso della somma ricevuta, detratto l’equo compenso per l’onere già subito.

Articolo 54

(Divieto di imporre altri oneri)

(ex Articolo 93 Codice 2003)

1. Le Pubbliche Amministrazioni, le Regioni, le Province ed i Comuni, i consorzi, gli enti pubblici economici, i concessionari di pubblici servizi, di aree e beni pubblici o demaniali, non possono imporre per l’impianto di reti o per l’esercizio dei servizi di comunicazione elettronica, oneri o canoni ulteriori a quelli stabiliti nel presente decreto, fatta salva ’applicazione del canone previsto dall’articolo 1, comma 816, della legge 27 dicembre 2019, n. 160, come modificato dalla legge 30 dicembre 2020 n.178. Resta escluso ogni altro tipo di onere finanziario, reale o contributo, comunque denominato, di qualsiasi natura e per qualsiasi ragione o titolo richiesto, come da Articolo 12 del decreto legislativo 15 febbraio 2016, n. 33, come integrato dall’ Articolo 8 bis, comma 1, lettera c) del decreto-legge14 dicembre 2018, n. 135, coordinato con la legge di conversione 11 febbraio 2019, n. 12.

2. Il soggetto che presenta l’istanza di autorizzazione per l’installazione di nuove infrastrutture per impianti radioelettrici ai sensi dell’articolo 44 è tenuto al versamento di un contributo alle spese relative al rilascio del parere ambientale da parte dell’organismo competente a effettuare i controlli di cui all’articolo 14 della legge 22 febbraio 2001, n. 36, purché questo sia reso nei termini previsti dal citato articolo 44, comma 5.

3. Il soggetto che presenta la segnalazione certi􀂿cata di inizio attività di cui all’articolo 45, comma 1, è tenuto, all’atto del rilascio del motivato parere positivo o negativo da parte dell’organismo competente a effettuare i controlli di cui all’articolo 14 della legge 22 febbraio 2001, n. 36, purché questo sia reso nei termini previsti dall’articolo 45, al versamento di un contributo per le spese.

4. Il contributo previsto dal comma 2 , per le attività che comprendono la stima del fondo ambientale e il contributo previsto al comma 3 sono calcolati in base a un tariffario nazionale di riferimento adottato con decreto del Ministro dell’ambiente e della tutela del territorio e del mare, di concerto con il Ministro dello sviluppo economico, sentita la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, da adottare entro sessanta giorni dalla data di entrata in vigore del presente decreto, anche sulla base del principio del miglioramento dell’efficienza della pubblica amministrazione tramite l’analisi degli altri oneri applicati dalle agenzie ambientali delle regioni e delle province autonome di Trento e di Bolzano. In via transitoria, fede alla data di entrata in vigore del decreto di cui al primo periodo, i contributi previsti ai commi 2 e 3 sono pari a 250 euro.

5. Le disposizioni dei commi 2, 3 e 4 non si applicano ai soggetti di cui all’articolo 14, comma 3, della legge 22 febbraio 2001, n. 36.

6. Gli operatori che forniscono reti di comunicazione elettronica hanno l’obbligo di tenere indenne la pubblica amministrazione, l’ente locale, ovvero l’ente proprietario o gestore, dalle spese necessarie per le opere di sistemazione delle aree pubbliche specificamente coinvolte dagli interventi di installazione e manutenzione e di ripristinare a regola d’arte le aree medesime nei tempi stabiliti dall’ente locale.

Articolo 55

(Occupazione di sedi autostradali da gestire in concessione e di proprietà dei concessionari)

(ex Articolo 94 Codice 2003)

1. Per la realizzazione e la manutenzione di reti di comunicazione elettronica ad uso pubblico può

essere occupata una sede idonea, lungo il percorso delle autostrade, gestite in concessione e di proprietà del concessionario, all’interno delle reti di recinzione.

2. La servitù è imposta con decreto del Ministro dello sviluppo economico, sentito il Ministro delle infrastrutture e della mobilità sostenibili.

3. Prima della emanazione del decreto d’imposizione della servitù, il Ministero trasmette all’ufficio provinciale dell’Agenzia del territorio competente un piano di massima dei lavori da eseguire.

L’ufficio provinciale dell’Agenzia del territorio, sentite le parti, esprime il suo parere in merito e stabilisce la indennità da pagarsi al proprietario in base all’effettiva diminuzione del valore del fondo, all’onere che ad esso si impone ed al contenuto della servitù.

4. Il Ministro dello sviluppo economico emana il decreto d’imposizione della servitù, determinando le modalità di esercizio, dopo essersi accertato del pagamento o del deposito dell’indennità. Il decreto viene notificato alle parti interessate.

5. L’inizio del procedimento per l’imposizione della servitù deve essere preceduto da un tentativo di bonario componimento tra il fornitore del servizio di comunicazione elettronica ad uso pubblico ed il proprietario dell’autostrada, previo, in ogni caso, parere dell’ufficio provinciale dell’Agenzia del territorio competente sull’ammontare dell’indennità da corrispondere per la servitù stessa.

6. Qualora il concessionario proprietario dell’autostrada dovesse provvedere all’allargamento od a modifiche e spostamenti della sede autostradale per esigenze di viabilità, e l’esecuzione di tali lavori venisse ad interessare le infrastrutture di comunicazione elettronica, ne dà tempestiva comunicazione al proprietario di detti cavi e infrastrutture, avendo cura di inviare la descrizione particolareggiata delle opere da eseguire. In tali modifiche e spostamenti sono compresi anche quelli per frane, bonifiche, drenaggi ed altre cause di forza maggiore.

7. Il proprietario delle infrastrutture di comunicazione elettronica provvede a propria cura e spese alla modifica dei propri impianti ed al loro spostamento sulla nuova sede definitiva che il concessionario proprietario dell’autostrada è tenuto a mettere a disposizione.

8. Qualora l’esecuzione dei lavori di cui al comma 6 dovesse interessare le infrastrutture di comunicazione elettronica già realizzate al di fuori del sedime autostradale, le spese del loro spostamento sono a carico del concessionario proprietario dell’autostrada. In tali casi, se lo spostamento delle infrastrutture di comunicazione elettronica comporta una occupazione del sedime autostradale, il concessionario proprietario dell’autostrada riconosce all’Operatore di comunicazione elettronica il relativo diritto di passaggio.

Articolo 56

(Impianti e condutture di energia elettrica, tubazioni metalliche sotterrate – Interferenze)

(ex Articolo 95 Codice 2003)

1. Nessuna conduttura di energia elettrica, anche se subacquea, a qualunque uso destinata, può essere costruita, modificata o spostata senza che sul relativo progetto si sia preventivamente ottenuto il nulla osta del Ministero ai sensi delle norme che regolano la materia della trasmissione e distribuzione della energia elettrica.

2. Il nulla osta di cui al comma 1 è rilasciato dall’Ispettorato del Ministero, competente per territorio, qualunque sia la classe della linea elettrica, secondo le definizioni di classe adottate nel Decreto Ministeriale 21 marzo 1988, n. 449 recante “Approvazione delle norme tecniche per la progettazione, l’esecuzione e l’esercizio delle linee elettriche aeree esterne”.

3. Per le condutture aeree o sotterranee di energia elettrica realizzate in cavi cordati ad elica visibile come da norme tecniche CEI, il nulla osta è sostituito da una attestazione di conformità del gestore trasmessa all’Ispettorato del Ministero, competente per territorio.

4. Per le infrastrutture di ricarica di veicoli elettrici, il nulla osta o l’attestazione di conformità sono sostituiti da una dichiarazione sottoscritta dai soggetti interessati, da comunicare all’Ispettorato del Ministero competente per territorio, da cui risulti l’assenza o la presenza di interferenze con linee di telecomunicazione e il rispetto delle norme che regolano la materia della trasmissione e distribuzione di energia elettrica. In tali casi i soggetti interessati non sono tenuti alla stipula degli atti di sottomissione previsti dalla normativa vigente.

5. Per l’esecuzione di qualsiasi lavoro sulle condutture subacquee di energia elettrica e sui relativi atterraggi, è necessario sempre il preventivo consenso dell’Ispettorato del Ministero, competente per territorio, che si riserva di esercitare la vigilanza e gli opportuni controlli ispettivi sulla esecuzione dei lavori stessi. Le relative spese sono a carico dell’esercente delle condutture.

6. Nessuna tubazione metallica sotterrata, a qualunque uso destinata, può essere costruita, modificata o spostata senza che sul relativo progetto sia stato preventivamente ottenuto il nulla osta dell’Ispettorato del Ministero, competente per territorio.

7. Per le tubazioni metalliche sotterrate prive di protezione catodica attiva, il nulla osta è sostituito da una dichiarazione del gestore trasmessa all’Ispettorato del Ministero, competente per territorio, da cui risulti l’assenza o la presenza di interferenze con linee di telecomunicazione.

8. I soggetti che presentano l’istanza di nulla osta ai sensi del presente articolo sono tenuti a consentire l’accesso ai fini ispettivi, presso i siti di realizzazione del progetto, del personale incaricato dell’Ispettorato del Ministero, competente per territorio, nonché a comunicare, nei termini e con le modalità prescritti, documenti, dati e notizie richiesti dall’Ispettorato del Ministero relativi al medesimo progetto.

9. Nelle interferenze tra cavi di comunicazione elettronica sotterrati e cavi di energia elettrica sotterrati devono essere osservate le norme generali per gli impianti elettrici del comitato elettrotecnico italiano del Consiglio nazionale delle ricerche. Le stesse norme generali, in quanto applicabili, devono essere osservate nelle interferenze tra cavi di comunicazione elettronica sotterrati e tubazioni metalliche sotterrate.

10. Qualora, a causa di impianti di energia elettrica, anche se debitamente approvati dalle autorità competenti, si abbia un turbamento del servizio di comunicazione elettronica, il Ministero promuove, sentite le predette Autorità, lo spostamento degli impianti od altri provvedimenti idonei ad eliminare i disturbi, a norma dell’articolo 127 del testo unico delle disposizioni di legge sulle acque e sugli impianti elettrici, approvato con regio decreto 11 dicembre 1933, n. 1775. Le relative spese sono a carico di chi le rende necessarie.

11. Per le attività di cui al presente articolo sono dovuti al Ministero i compensi per le prestazioni conto terzi stabiliti con decreto del Ministro dello sviluppo economico, di concerto con il Ministro dell’economia e delle finanze.

Articolo 57

(Prestazioni obbligatorie)

(ex Articolo 96 Codice 2003)

1. Sono obbligatorie per i soggetti autorizzati all’impianto ed esercizio di reti e servizi di comunicazione elettronica ad uso pubblico, nonché per gli operatori che erogano i servizi individuati dall’articolo 3 del Decreto Legislativo 30 maggio 2008, n.109, per gli operatori di transito internazionale di traffico, le prestazioni effettuate a fronte di richieste di informazioni da parte delle competenti autorità giudiziarie e delle agenzie preposte alla sicurezza nazionale. I tempi ed i modi sono concordati con le predette Autorità. Fatto salvo quanto disposto dal decreto di cui al comma 6 in ordine alle richieste avanzate dalle autorità giudiziarie.

2. Sono obbligatorie per i soggetti autorizzati all’impianto ed esercizio di reti e servizi di comunicazione elettronica ad uso pubblico le prestazioni a fini di giustizia e di prevenzione di gravi reati effettuate a fronte di richieste di intercettazione da parte delle competenti autorità giudiziarie. I tempi ed i modi sono stabiliti dal decreto di cui al comma 6.

3. Sono sottratti dagli obblighi di cui ai commi 1 e 2 i soggetti autorizzati per comunicazioni da macchina a macchina – IoT (Internet-of-Things) e per servizi di Edge Computing, limitatamente allá fornitura di tali servizi e con esclusione dei casi in cui l’uso di tali servizi possa contribuire a fornire servizi di comunicazione interpersonale.

4. E’ obbligatorio per i soggetti autorizzati all’impianto ed esercizio di reti e servizi di comunicazione elettronica ad uso pubblico, ivi compresi gli operatori di transito internazionale di traffico, predisporre strumenti per il monitoraggio e il contrasto, anche in tempo reale, delle minacce cibernetiche e la pronta collaborazione a fronte di richieste di informazioni ed intervento a tutela della sicurezza nazionale da parte delle competenti autorità dello Stato. I tempi ed i modi sono concordati con le predette autorità.

5. Quando si rilevano eventi che possono incidere sulla sicurezza dei sistemi di informazione, gli operatori delle comunicazioni elettroniche informano immediatamente l’Agenzia per la cybersicurezza nazionale. L’Agenzia, quando sia a conoscenza di una minaccia che potrebbe incidere sulla sicurezza dei sistemi di informazione, al fine di prevenire la minaccia, ordina agli operatori di comunicazioni elettroniche che hanno predisposto gli strumenti previsti dal comma 4, l’attivazione degli strumenti di contrasto utilizzando, se del caso, marcatori tecnici indicati dalla stessa.

6. Il canone annuo forfettario per le prestazioni obbligatorie di cui ai commi da 1 a 4 è individuato con decreto del Ministro della giustizia e del Ministro dello sviluppo economico, di concerto con il Ministro dell’economia e delle finanze. Il decreto:

a) disciplina le tipologie di prestazioni obbligatorie e ne determina le tariffe, tenendo conto dell’evoluzione dei costi e dei servizi, in modo da conseguire un risparmio di spesa di almeno il 50 per cento rispetto alle tariffe praticate. Nella tariffa sono ricompresi i costi per tutti i servizi contemporaneamente attivati o utilizzati da ogni identità di rete;

b) individua i soggetti tenuti alle prestazioni obbligatorie di intercettazione, anche tra i fornitori di servizi, le cui infrastrutture consentono l’accesso alla rete o la distribuzione dei contenuti informativi o comunicativi, e coloro che a qualunque titolo forniscono servizi di comunicazione elettronica o applicazioni, anche se utilizzabili attraverso reti di accesso o trasporto non proprie;

c) definisce gli obblighi dei soggetti tenuti alle prestazioni obbligatorie e le modalità di esecuzione delle stesse, tra cui l’osservanza di procedure informatiche omogenee nella trasmissione e gestione delle comunicazioni di natura amministrativa, anche con riguardo alle fasi preliminari al pagamento delle medesime prestazioni.

7. In caso di inosservanza degli obblighi contenuti nel decreto di cui al comma 6, si aplica l’articolo 32, commi 2, 3, 4, 5 e 6 e l’articolo 30, comma 16.

8. Ai fini dell’erogazione delle prestazioni di cui al comma 6 gli operatori hanno l’obbligo di negoziare tra loro le modalità di interconnessione, allo scopo di garantire la fornitura e l’interoperabilità delle prestazioni stesse. Il Ministero può intervenire se necessario di propria iniziativa ovvero, in mancanza di accordo tra gli operatori, su richiesta di uno di essi.

9. Nelle more dell’adozione del decreto di cui al comma 6 continuano a trovare applicazione le disposizioni vigenti, anche di natura regolamentare.

CAPITOLO III.- Accesso allo spettro radio

Sezione I.- Autorizzazioni

Articolo 58

(Gestione dello spettro radio)

(ex Articolo 45 eecc, Articolo 14 Codice 2003)

1. Tenendo debito conto del fatto che lo spettro radio è un bene pubblico dotato di un importante valore sociale, culturale ed economico, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, provvedono alla sua gestione efficace per le reti e i servizi di comunicazione elettronica nel territorio nazionale ai sensi degli articoli 3 e 4. La predisposizione dei piani di ripartizione, a cura del Ministero, e dei piani di assegnazione dello spettro radio per sistemi di comunicazione elettronica, a cura dell’Autorità, è fondata su criteri obiettivi, trasparenti, proconcorrenziali, non discriminatori e proporzionati. Il rilascio di autorizzazioni generali per l’uso dello spettro radio o di diritti d’uso individuali in materia, a cura del Ministero, è fondato su criterio obiettivi, trasparenti, pro-concorrenziali, non discriminatori e proporzionati. Nell’applicare il presente articolo il Ministero e l’Autorità rispettano gli accordi internazionali pertinenti, fra cui il regolamento delle radiocomunicazioni dell’UIT e altri accordi adottati nel quadro dell’UIT applicabili allo spettro radio, tengono nel massimo conto la pertinente normativa CEPT e possono tener conto di considerazioni di interesse pubblico.

2. Il Ministero e l’Autorità, nell’ambito delle rispettive competenze, promuovono l’armonizzazione dell’uso dello spettro radio per le reti e i servizi di comunicazione elettronica nel territorio dell’Unione europea in modo coerente con l’esigenza di garantirne un utilizzo effettivo ed eficiente e di perseguire benefici per i consumatori, quali concorrenza, economie di scala e interoperabilità delle reti e dei servizi. Nel fare ciò agiscono ai sensi dell’articolo 4 e della decisione n. 676/2002/CE, tra l’altro:

a) perseguendo la copertura della banda larga senza fili sul territorio nazionale e della popolazione ad alta qualità e alta velocità, nonché la copertura delle principali direttrici di trasporto nazionali ed europee, fra cui la rete transeuropea di trasporto, di cui al regolamento (UE) n. 1315/2013 del Parlamento europeo e del Consiglio;

b) agevolando il rapido sviluppo nell’Unione di nuove tecnologie e applicazioni delle comunicazioni senza fili, anche, ove appropriato, mediante un approccio intersettoriale;

c) assicurando la prevedibilità e la coerenza in materia di rilascio, rinnovo, modifica, restrizione e revoca dei diritti d’uso dello spettro radio, al fine di promuovere gli investimenti a lungo termine;

d) assicurando la prevenzione delle interferenze dannose transfrontaliere o nazionali in conformità, rispettivamente, agli articoli 29 e 59 e adottando opportuni provvedimenti preventivi e correttivi a tal fine;

e) promuovendo l’uso condiviso dello spettro radio per impieghi simili o diversi dello spettro radio conformemente al diritto della concorrenza;

f) applicando il sistema di autorizzazione più adeguato e meno oneroso possibile in conformità all’articolo 59, in modo da massimizzare la flessibilità, la condivisione e l’efficienza nell’uso dello spettro radio;

g) applicando norme in materia di rilascio, trasferimento, rinnovo, modifica e revoca dei diritti d’uso dello spettro radio che siano stabilite in modo chiaro e trasparente, onde garantire la certezza, la coerenza e la prevedibilità della regolamentazione;

h) perseguendo la coerenza e la prevedibilità, in tutta l’Unione europea, delle modalità con cui l’uso dello spettro radio è autorizzato relativamente alla tutela della salute pubblica, tenendo conto della raccomandazione 1999/519/CE;

i) tenendo nella massima considerazione la raccomandazione adottata dalla Commissione europea ai sensi dell’articolo 45, paragrafo 2, commi 2 e 3 della direttiva (UE) 2018/1972, anche sulla base del parere eventualmente richiesto al RSPG, al fine di promuovere un approccio coherente nell’Unione relativamente ai regimi di autorizzazione per l’uso della banda.

3. In caso di mancanza di domanda del mercato a livello nazionale o regionale per l’uso di una banda nello spettro armonizzato, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, possono consentire un uso alternativo integrale o parziale di tale banda, compreso l’uso esistente, conformemente ai commi 5, 6, 7 e 8, a condizione che:

a) la constatazione della mancanza di domanda del mercato per l’uso di tale banda si basi su una consultazione pubblica in conformità dell’articolo 23, ivi compresa una valutazione prospettica della domanda del mercato;

b) tale uso alternativo non impedisca od ostacoli la disponibilità o l’uso di tale banda in altri Stati membri;

c) siano tenuti in debito conto la disponibilità o l’uso a lungo termine di tale banda nell’Unione e le economie di scala per le apparecchiature risultanti dall’uso dello spettro radio armonizzato nell’Unione.

4. L’eventuale decisione di consentire l’uso alternativo in via eccezionale è soggetta a un riesame periodico ed è, in ogni caso, esaminata tempestivamente su richiesta debitamente giustificata di un potenziale utente al Ministero per l’uso della banda conformemente alla misura tecnica di attuazione. Il Ministero comunica alla Commissione europea e agli altri Stati membri le decisioni prese, insieme con le relative motivazioni, e i risultati degli eventuali riesami.

5. Fatto salvo quanto previsto dal comma 2, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, assicurano che tutti i tipi di tecnologie usate per la fornitura di reti o servizi di comunicazione elettronica possano essere utilizzati nello spettro radio dichiarato disponibile per i servizi di comunicazione elettronica nel Piano nazionale di ripartizione delle frequenze e nei piani di assegnazione a norma del diritto dell’Unione. E’ fatta salva la possibilità di prevedere limitazioni proporzionate e non discriminatorie dei tipi di rete radio o di tecnologia di accesso senza fili o rete radiofonica utilizzati per servizi di comunicazione elettronica, ove ciò sia necessario al fine di:

a) evitare interferenze dannose;

b) proteggere la salute pubblica dai campi elettromagnetici tenendo nella massima considerazione la raccomandazione 1999/519/CE;

c) assicurare la qualità tecnica del servizio;

d) assicurare la massima condivisione dello spettro radio;

e) salvaguardare l’uso efficiente dello spettro;

f) garantire il conseguimento di un obiettivo di interesse generale conformemente al comma 6.

6. Fatto salvo quanto previsto dal comma 2, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, assicurano che tutti i tipi di servizi di comunicazione elettronica possano essere forniti nello spettro dichiarato disponibile per i servizi di comunicazione elettronica nel piano nazionale di ripartizione delle frequenze e nei piani di assegnazione a norma del diritto dell’Unione. È fatta salva la possibilità di prevedere limitazioni proporzionate e non discriminatorie dei tipi di servizi di comunicazione elettronica che è possibile fornire, anche, se necessario, al fine di soddisfare un requisito dei regolamenti delle radiocomunicazioni dell’UIT.

7. Le misure che impongono la fornitura di un servizio di comunicazione elettronica in una banda specifica disponibile per i servizi di comunicazione elettronica sono giustificate per garantire il conseguimento di un obiettivo di interesse generale conformemente al diritto dell’Unione, incluso, ma a titolo non esaustivo:

a) garantire la sicurezza della vita;

b) promuovere e favorire, nell’imminenza o in caso di gravi emergenze e catastrofi imminenti o in corso, attraverso le tecnologie dell’informazione e della comunicazione, l’adozione di misure di autoprotezione da parte dei cittadini;

c) promuovere la coesione sociale, regionale o territoriale;

d) evitare un uso inefficiente dello spettro radio;

e) promuovere la diversità culturale e linguistica e il pluralismo dei media, ad esempio la fornitura di servizi di diffusione televisiva e radiofonica.

8. Una misura che vieti la fornitura di qualsiasi altro servizio di comunicazione elettronica in una banda specifica può essere prevista esclusivamente ove sia giustificata dalla necessità di proteggere i servizi di sicurezza della vita. In via eccezionale, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, possono anche estendere tale misura al fine di conseguire altri obiettivi di interesse generale quali stabiliti dal Ministero e dall’Autorità, nell’ambito delle rispettive competenze, a norma del diritto dell’Unione europea.

9. Il Ministero e l’Autorità, nell’ambito delle rispettive competenze, riesaminano periodicamente la necessità delle limitazioni di cui ai commi 5 e 6, che devono conformarsi a quanto previsto dall’articolo 45, paragrafo 7, della direttiva (UE) 2018/1972, e rendono pubblici i risultati di tali revisioni.

10. I commi 5, 6, 7 e 8 si applicano allo spettro radio attribuito ai servizi di comunicazione elettronica nonché alle autorizzazioni generali e ai diritti d’uso individuali delle radiofrequenze concessi a decorrere dal termine di cui all’articolo 4, comma 1, secondo periodo, del decreto-legge 31 marzo 2011, n. 34, convertito, con modificazioni, dalla legge 26 maggio 2011, n. 75.

Articolo 59

(ex Articolo 46 eecc e Articolo 27 Codice 2003)

(Autorizzazione all’uso dello spettro)

1. Il Ministero e l’Autorità, nell’ambito delle rispettive competenze, facilitano l’uso dello spettro radio, compreso l’uso condiviso, nel regime delle autorizzazioni generali e limitano la concessione di diritti d’uso individuali dello spettro radio alle situazioni in cui tali diritti sono necessari per massimizzare l’uso efficiente alla luce della domanda e tenendo conto dei criteri di cui al comma 3.

In tutti gli altri casi, il Ministero, sentita l’Autorità per gli eventuali profili di competenza, stabilisce le condizioni associate all’uso dello spettro radio in un’autorizzazione generale. A tal fine, il Ministero e l’Autorità scelgono il regime più adatto per autorizzare l’uso dello spettro radio, tenendo conto:

a) delle caratteristiche specifiche dello spettro radio interessato;

b) dell’esigenza di protezione dalle interferenze dannose;

c) dello sviluppo di condizioni affidabili di condivisione dello spettro radio, ove appropriato;

d) della necessità di assicurare la qualità tecnica delle comunicazioni o del servizio;

e) degli obiettivi di interesse generale stabiliti dal Ministero, conformemente al diritto dell’Unione;

f) della necessità di salvaguardare l’uso efficiente dello spettro radio.

2. Nel valutare se rilasciare autorizzazioni generali o concedere diritti d’uso individuali per lo spettro radio armonizzato, in considerazione delle misure tecniche di attuazione adottate in conformità dell’articolo 4 della decisione n. 676/2002/CE, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, si adoperano per ridurre al minimo i problemi causati dalle interferenze dannose, anche nei casi di uso condiviso dello spettro radio sulla base di una combinazione di autorizzazione generale e diritti d’uso individuali. Se del caso, il Ministero e l’Autorità valutano la possibilità di autorizzare l’uso dello spettro radio sulla base di una combinazione di autorizzazione generale e diritti d’uso individuali, tenendo conto dei probabili effetti sulla concorrenza, sull’innovazione e sull’accesso al mercato di diverse combinazioni di autorizzazioni generali e diritti d’uso individuali e dei trasferimenti graduali da una categoria all’altra. Il Ministero e l’Autorità si adoperano per minimizzare le restrizioni all’uso dello spettro radio, tenendo in debita considerazione le soluzioni tecnologiche di gestione delle interferenze dannose allo scopo di imporre il regime di autorizzazione meno oneroso possibile.

3. Al momento di adottare una decisione a norma del comma 1 al fine di agevolare l’uso condiviso dello spettro radio, il Ministero e l’Autorità assicurano che le condizioni per l’uso condiviso dello spettro radio siano chiaramente definite. Tali condizioni sono poste al fine di agevolare l’uso efficiente dello spettro radio, la concorrenza e l’innovazione.

Articolo 60

(Condizioni associate ai diritti d’uso individuali dello spettro radio)

(ex Articolo 47 eecc, Articolo 28 Codice 2003)

1. Il Ministero e l’Autorità, nell’ambito delle rispettive competenze, stabiliscono condizioni associate ai diritti d’uso individuali dello spettro radio in conformità dell’articolo 13, comma 1, in modo da garantire l’uso ottimale e più efficace ed efficiente possibile dello spettro radio. Prima dell’assegnazione o del rinnovo di tali diritti, stabiliscono chiaramente tali condizioni, compreso il livello di uso obbligatorio e la possibilità di soddisfare tale prescrizione mediante trasferimento o affitto, al fine di garantire l’attuazione di dette condizioni in conformità dell’articolo 32. Le condizioni associate ai rinnovi dei diritti d’uso dello spettro radio non devono offrire vantaggi indebiti a coloro che sono già titolari di tali diritti. Tali condizioni specificano i parametri applicabili, incluso qualsiasi termine per l’esercizio dei diritti d’uso il cui mancato rispetto autorizzi il Ministero, sentita l’Autorità, a revocare i diritti d’uso o a imporre altre misure. Il Ministero e l’Autorità, nell’ambito delle rispettive competenze, consultano e informano le parti interessate tempestivamente e in modo trasparente circa le condizioni associate ai diritti d’uso individuali prima della loro imposizione. Stabiliscono in anticipo i criteri per la valutazione del rispetto di tali condizioni e ne informano le parti interessate in modo trasparente.

2. Nello stabilire le condizioni associate ai diritti d’uso individuali dello spettro radio, l’Autorità, in particolare al fine di garantire un uso effettivo ed efficiente dello spettro radio o di promuovere la copertura, possono prevedere le possibilità seguenti:

a) la condivisione delle infrastrutture passive o attive che utilizzano lo spettro radio o lo spettro radio stesso;

b) accordi commerciali di accesso in roaming o altre modalità tecniche;

c) il dispiegamento congiunto di infrastrutture per la fornitura di reti o servizi che si basano sull’uso dello spettro radio.

3. Il Ministero e l’Autorità non vietano la condivisione dello spettro radio nelle condizioni associate ai diritti d’uso dello spettro radio. L’attuazione, da parte delle imprese, delle condizioni stabilite a norma del presente comma resta soggetta al diritto della concorrenza.

Articolo 61

(Concessione di diritti d’uso individuali dello spettro radio)

(ex Articolo 48 eecc – Articolo 27 Codice 2003)

1. Qualora sia necessario concedere diritti d’uso individuali dello spettro radio, il Ministero li rilascia, a richiesta, a ogni impresa per la fornitura di reti o servizi di comunicazione elettronica in forza di un’autorizzazione generale di cui all’articolo 11, nel rispetto dell’articolo 13, dell’articolo 21, comma 1, lettera c), dell’articolo 67 e di ogni altra disposizione che garantisca l’uso efficiente di tali risorse a norma del presente decreto.

2. Fatti salvi criteri specifici definiti dal Ministero e dall’Autorità, nell’ambito delle rispettive competenze, per concedere i diritti d’uso individuali dello spettro radio ai fornitori di servizi di diffusione di contenuti radiofonici o televisivi per il conseguimento di obiettivi d’interesse generale conformemente al diritto dell’Unione, i diritti d’uso individuali dello spettro radio sono concessi mediante procedure aperte, obiettive, trasparenti, non discriminatorie e proporzionate e conformemente all’articolo 58.

3. Una deroga ai requisiti per le procedure aperte può essere applicata quando la concessione di diritti d’uso individuali dello spettro radio ai fornitori di servizi di diffusione di contenuti radiofonici o televisivi è necessaria per conseguire un obiettivo di interesse generale stabilito dal Ministero, sentita l’Autorità per gli aspetti di competenza, conformemente al diritto dell’Unione europea.

4. Il Ministero esamina le domande di diritti d’uso individuali dello spettro radio nell’ambito di procedure di selezione improntate a criteri di ammissibilità oggettivi, trasparenti, proporzionati e non discriminatori, previamente definiti e conformi alle condizioni da associare a tali diritti. Il Ministero e l’Autorità, nell’ambito delle rispettive competenze, hanno la facoltà di esigere dai richiedenti tutte le informazioni necessarie a valutarne, sulla base di detti criteri, la capacità di soddisfare dette condizioni. Il Ministero, se conclude che il richiedente non possiede le capacità necessarie, emana una decisione debitamente motivata in tal senso.

5. Al momento della concessione dei diritti individuali d’uso per lo spettro radio, il Ministero, sentita l’Autorità per i profili di competenza, specifica se tali diritti possono essere trasferiti o affittati dal titolare dei diritti e a quali condizioni, in applicazione degli articoli 58 e 64.

6. Il Ministero adotta, comunica e rende pubbliche le decisioni in materia di concessione di diritti d’uso individuali dello spettro radio non appena possibile dopo il ricevimento della domanda completa ed entro sei settimane nel caso dello spettro radio dichiarato disponibile per servizi di comunicazione elettronica nel piano nazionale di ripartizione delle frequenze e ove applicabile e non diversamente disposto nei piani di assegnazione delle risorse. Detto termine non pregiudica l’articolo 67, comma 9, e l’eventuale applicabilità di accordi internazionali in materia di uso dello spettro radio o delle posizioni orbitali dei satelliti. Se la domanda risulta incompleta, il Ministero, entro i termini sopra indicati, invita l’impresa interessata ad integrarla. I termini vengono sospesi fino al recepimento delle integrazioni, che debbono pervenire al Ministero entro e non oltre dieci giorni dalla richiesta. Il mancato ricevimento nei termini delle integrazioni richieste costituisce rinuncia alla richiesta di uso delle frequenze radio.

Articolo 62

(Durata dei diritti)

(ex Articolo 49 eecc, Articolo 27, comma 4, cod. 2003)

1. Qualora autorizzino l’uso dello spettro radio mediante diritti d’uso individuali per un periodo limitato, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, provvedono a che il diritto d’uso sia concesso per una durata adeguata tenuto conto degli obiettivi perseguiti in conformità dell’articolo 67 comma 2 e 3, e della necessità di assicurare la concorrenza nonché in particolare l’uso effettivo ed efficiente dello spettro radio e di promuovere l’innovazione e investimenti efficienti, anche prevedendo un periodo adeguato di ammortamento degli investimenti.

2. Qualora concedano per un periodo limitato diritti d’uso individuali dello spettro radio per cui sono state stabilite condizioni armonizzate mediante misure tecniche di attuazione adottate in conformità della decisione n. 676/2002/CE al fine di permetterne l’uso per i servizi di comunicazione elettronica a banda larga senza fili, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, garantiscono per un periodo di almeno venti anni la prevedibilità regolamentare per i titolari dei diritti relativamente alle condizioni di investimento in infrastrutture che utilizzano detto spettro radio, tenendo conto dei requisiti di cui al comma 1. Il presente articolo è soggetto, se del caso, a qualsiasi modifica delle condizioni associate a tali diritti d’uso in conformità dell’articolo 18. A tal fine, il Ministero e l’Autorità garantiscono che detti diritti siano validi per almeno quindici anni e comprendano, qualora necessario per conformarsi al comma 1, un’adeguata proroga di tale durata, alle condizioni stabilite al presente comma. Il Ministero e l’Autorità mettono a disposizione di tutte le parti interessate i criteri generali per la proroga della durata dei diritti d’uso in modo trasparente prima di concedere diritti d’uso, nell’ambito delle condizioni stabilite all’articolo 67 commi 5 e 8. Tali criteri generali si riferiscono:

a) all’esigenza di garantire un uso effettivo ed efficiente dello spettro radio in questione, agli obiettivi perseguiti all’articolo 58 comma 2, lettere a) e b), o all’esigenza di conseguire obiettivi di interesse generale relativi alla tutela della sicurezza della vita, all’ordine pubblico, alla sicurezza pubblica o alla difesa;

b) all’esigenza di assicurare una concorrenza senza distorsioni.

3. Con decreto del Ministro dello sviluppo economico, di concerto con il Ministro ell’economia e delle finanze, le autorizzazioni sono essere prorogate, nel corso della loro durata, per un periodo non superiore a venti anni, previa presentazione di un dettagliato piano tecnico finanziario da parte degli operatori. La congruità del piano viene valutata d’intesa dal Ministero e dall’Autorità per le garanzie nelle comunicazioni, in relazione anche alle vigenti disposizioni comunitarie e all’esigenza di garantire l’omogeneità dei regimi autorizzatori.

4. Al più tardi due anni prima della scadenza della durata iniziale di un diritto d’uso individuale, l’Autorità, d’intesa col Ministero, effettua una valutazione oggettiva e prospettica dei criterio generali stabiliti per la proroga della durata di detto diritto d’uso alla luce dell’articolo 58 comma 2 lettera c). A condizione di non aver avviato una procedura di contestazione per inadempimento delle condizioni associate ai diritti d’uso a norma dell’articolo 32, il Ministero, sentita l’Autorità, concede la proroga della durata del diritto d’uso, a meno che concluda che tale proroga non sarebbe conforme ai criteri generali stabiliti al comma 2, quarto e quinto periodo, lettere a) o b). Sulla base di tale valutazione, il Ministero notifica al titolare del diritto d’uso la possibilità di concedere la proroga della durata del diritto. Nel caso in cui tale proroga non sia concessa, il Ministero aplica l’articolo 61 per la concessione di diritti d’uso per quella specifica banda di spettro radio. Tutte le misure di cui al presente comma devono essere proporzionate, non discriminatorie, trasparenti e motivate. In deroga all’articolo 23, le parti interessate hanno l’opportunità di presentare osservazioni in merito a qualsiasi progetto di misura ai sensi del comma 2, quarto e quinto periodo, lettere a) e b), e del presente comma, primo e secondo periodo, entro tre mesi dalla sua adozione. Il presente comma non pregiudica l’applicazione degli articoli 19 e 30. Nello stabilire i contributi per i diritti d’uso, il Ministero e l’Autorità tengono conto del meccanismo previsto al comma 2 e al presente comma.

5. Ove debitamente giustificato, il Ministero e l’Autorità possono derogare ai commi 2 e 4 nei seguenti casi:

a) in zone geografiche limitate in cui l’accesso alle reti ad alta velocità sia gravemente carente o assente e ciò sia necessario per garantire il raggiungimento degli obiettivi di cui all’articolo 58, comma 2;

b) per specifici progetti a breve termine;

c) per uso sperimentale;

d) per usi dello spettro radio che possano coesistere, in conformità all’articolo 58, commi 5 e 6, con servizi a banda larga senza fili;

e) per un uso alternativo dello spettro radio in conformità all’articolo 58, comma 3 e 4.

6. Il Ministero, sentita l’Autorità, può adeguare la durata dei diritti d’uso stabiliti al presente articolo al fine di garantire la simultaneità della scadenza della durata dei diritti in una o più bande.

Articolo 63

(Rinnovo dei diritti d’uso individuali dello spettro radio armonizzato)

(Articolo 50 eecc)

1. Il Ministero, d’intesa con l’Autorità, decide sul rinnovo dei diritti d’uso individuali dello spettro radio armonizzato tempestivamente prima della scadenza della durata di tali diritti, salvo quando, al momento dell’assegnazione, è stata esplicitamente esclusa la possibilità di rinnovo. A tal fine, il Ministero valuta la necessità di tale rinnovo di propria iniziativa o su richiesta del titolare del diritto, in quest’ultimo caso non più di cinque anni prima della scadenza della durata dei diritti di cui trattasi. Ciò non pregiudica le clausole di rinnovo applicabili a diritti esistenti.

2. Nell’adottare una decisione ai sensi del comma 1, l’Autorità prende in considerazione, tra l’altro:

a) la realizzazione degli obiettivi di cui all’articolo 4, all’articolo 58 comma 2, e all’articolo 61 comma 2, nonché degli obiettivi di politica pubblica previsti dal diritto dell’Unione o nazionale;

b) l’attuazione di una misura tecnica di attuazione adottata a norma dell’articolo 4 della decisione n. 676/2002/CE;

c) l’esame dell’adeguatezza dell’attuazione delle condizioni associate al diritto di cui trattasi;

d) la necessità di promuovere la concorrenza o di evitarne qualsiasi distorsione, in linea con l’articolo 65;

e) la necessità di conseguire maggiore efficienza nell’uso dello spettro radio, alla luce dell’evoluzione tecnologica o del mercato;

f) la necessità di evitare una grave compromissione del servizio.

3. Nel prendere in considerazione l’eventuale rinnovo di diritti d’uso individuali dello spettro radio armonizzato per il quale il numero di diritti d’uso è limitato ai sensi del comma 2 del presente articolo, l’Autorità applica una procedura aperta, trasparente e non discriminatoria e tra l’altro:

a) offre a tutte le parti interessate l’opportunità di esprimere le loro opinioni attraverso una consultazione pubblica a norma dell’articolo 23;

b) indica chiaramente i motivi di tale eventuale rinnovo.

4. L’Autorità prende in considerazione eventuali indicazioni, emerse dalla consultazione a norma del comma 3, lettera a), di domanda del mercato da parte di imprese diverse da quelle titolari di diritti d’uso dello spettro radio per la banda in questione quando decide se rinnovare i diritti d’uso o di organizzare una nuova procedura di selezione volta a concedere i diritti d’uso ai sensi dell’articolo 67.

5. Una decisione di rinnovo di diritti individuali d’uso dello spettro radio armonizzato può essere accompagnata da un riesame dei contributi e degli altri termini e condizioni ad essi associati. Se del caso, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, possono modificare i contributi relativi ai diritti d’uso in conformità dell’articolo 42.

Articolo 64

(Trasferimento o affitto di diritti d’uso individuali dello spettro radio)

(Articolo 51 EEC e art .14-ter Codice 2003)

1. Le imprese titolari di diritti individuali di uso delle radiofrequenze possono trasferire o affittare ad altre imprese i propri diritti d’uso, con le modalità di cui ai commi 2 e 3. Resta fermo il potere del Ministero e dell’Autorità, nell’ambito delle rispettive competenze, di stabilire che la predetta facoltà non si applichi qualora il diritto d’uso in questione sia stato inizialmente concesso a titolo gratuito in termini di contributi per l’uso ottimale dello spettro o assegnato per la radiodiffusione televisiva.

2. Il trasferimento o l’affitto dei diritti di uso delle radiofrequenze è efficace previa autorizzazione rilasciata dal Ministero entro novanta giorni dalla notifica della relativa istanza da parte dell’impresa subentrante.

3. All’esito dell’istruttoria svolta dall’Autorità che, sentita l’Autorità garante della concorrenza e del mercato, accerta che non si verifichino distorsioni della concorrenza, il Ministero, in conformità dell’articolo 65, concede l’autorizzazione al trasferimento o affitto dei diritti d’uso dello spettro radio, o comunica i motivi che ne giustificano il diniego, se sono mantenute le condizioni originarie associate ai predetti diritti, e, fatta salva la predetta verifica:

a) sottopone i trasferimenti e gli affitti alla procedura meno onerosa possibile;

b) non rifiuta l’affitto di diritti d’uso dello spettro radio quando il locatore si impegna a rimanere responsabile per il rispetto delle condizioni originarie associate ai diritti d’uso;

c) non rifiuta il trasferimento di diritti d’uso dello spettro radio, salvo se vi è il rischio evidente che il nuovo titolare non sia in grado di soddisfare le condizioni originarie associate ai diritti d’uso.

4. Il Ministero, può apporre all’autorizzazione, se necessario, le specifiche condizioni proposte dall’Autorità. In caso di spettro radio armonizzato, i trasferimenti rispettano tale uso armonizzato. I diritti amministrativi imposti alle imprese in relazione al trattamento di una domanda di trasferimento o di affitto di diritti d’uso dello spettro radio devono essere conformi all’articolo 16.

Le lettere a), b) e c) del comma 3 lasciano impregiudicata la competenza del Ministero di garantire l’osservanza delle condizioni associate ai diritti d’uso dello spettro radio in qualsiasi momento, riguardo sia al locatore sia al locatario.

5. L’Autorità e il Ministero agevolano il trasferimento o l’affitto di diritti d’uso dello spettro radio prendendo in considerazione tempestivamente le eventuali richieste di adattare le condizioni associate ai diritti e assicurando che tali diritti o il relativo spettro radio possano essere suddivisi o disaggregati nel miglior grado possibile.

6. In vista del trasferimento o affitto di diritti d’uso dello spettro radio, il Ministero rende pubblico, in un formato elettronico standardizzato, i dettagli pertinenti relativi ai diritti individuali trasferibili al momento della creazione dei diritti e conserva tali informazioni fintantoché i diritti esistono.

7. Nel caso di affitto di frequenze ai sensi di una disciplina prevista nel regolamento di gara che ha condotto all’assegnazione dei diritti d’uso delle relative frequenze, e che riguarda un bacino territoriale non superiore a una regione italiana, il Ministero, d’intesa con l’Autorità, può stabilire una procedura semplificata.

8. Il Ministero per i diritti d’uso assegnati tramite una disciplina di gara, può disporre che il trasferimento o l’affitto di rami d’azienda o il trasferimento del controllo della società che detiene i diritti d’uso, valutato ai sensi degli articoli 51 e 52 delle disposizioni di attuazione della direttiva (UE) 2018/1808 del Parlamento Europeo e del Consiglio del 14 novembre 2018, salvi i casi delle società quotate in borsa soggetti alla relativa disciplina, siano considerati equivalenti al trasferimento o affitto dei diritti d’uso. In tali casi, il legale rappresentante della società che acquisisce il ramo d’azienda o il controllo sulla società che detiene i diritti, è tenuto a notificare al Ministero la nuova catena di controllo della società acquirente. Ove esso dichiari che il soggetto o i soggetti che congiuntamente detengono il controllo della società acquirente, o la società acquirente, non detengono, direttamente o indirettamente, altri diritti d’uso di frequenze per servizi di comunicazioni elettroniche in Italia, non è richiesto il parere dell’Autorità di cui al comma 3.

9. Salva la disciplina dei diritti d’uso stabilita nei regolamenti di gara che hanno condotto al rilascio degli stessi, sono assimilati all’affitto dei diritti d’uso di frequenze, e soggetti alla procedura di cui al presente articolo, gli accordi di condivisione di frequenze ove almeno un soggetto parte dell’accordo può utilizzare in maniera attiva frequenze rientranti nei diritti d’uso per servizi di comunicazione elettronica di un altro soggetto per la propria offerta commerciale.

Articolo 65

(Concorrenza)

(ex Articolo 52 eecc)

1. Il Ministero e l’Autorità, nell’ambito delle rispettive competenze, promuovono una concorrenza effettiva ed evitano le distorsioni della concorrenza sul mercato interno al momento di decidere il rilascio, la modifica o il rinnovo dei diritti d’uso dello spettro radio per le reti e i servizi di comunicazione elettronica, conformemente al presente Codice.

2. Il Ministero e l’Autorità, nell’ambito delle rispettive competenze, allorché modificano o rinnovano diritti d’uso dello spettro radio, possono adottare misure appropriate quali:

a) limitare la quantità delle bande di spettro radio per cui concedono diritti d’uso a un’impresa, oppure, in casi giustificati, subordinare detti diritti d’uso a condizioni quali l’offerta di acceso all’ingrosso, di roaming nazionale o regionale, in talune bande o in taluni gruppi di bande aventi caratteristiche simili;

b) riservare, se appropriato e giustificato in considerazione di una situazione specifica sul mercato nazionale, una determinata parte di una banda di spettro radio o di un gruppo di bande per l’assegnazione a nuovi entranti;

c) rifiutare di concedere nuovi diritti d’uso dello spettro radio o di autorizzare nuovi usi dello spettro radio per talune bande o imporre determinate condizioni alla concessione di nuovi diritti d’uso dello spettro radio o all’autorizzazione di nuovi usi dello spettro radio per evitare distorsioni della concorrenza dovute ad assegnazioni, trasferimenti o accumuli dei diritti d’uso;

d) includere condizioni che vietino o imporre condizioni ai trasferimenti di diritti d’uso dello spettro radio, che non siano assoggettati al controllo delle operazioni di concentrazione dell’Unione o nazionali, quando tali trasferimenti possono pregiudicare in modo significativo la concorrenza;

e) modificare i diritti esistenti conformemente al presente decreto quando ciò si renda necessario per porre rimedio ex post a una distorsione della concorrenza dovuta a trasferimenti o accumuli di diritti d’uso dello spettro radio.

3. L’Autorità, tenendo conto delle condizioni di mercato e dei parametri di riferimento disponibili, fonda la propria decisione su una valutazione oggettiva e prospettica delle condizioni della concorrenza nel mercato, della necessità di tali misure per mantenere o conseguire una concorrenza effettiva e dei probabili effetti di tali misure sugli investimenti attuali e futuri da parte dei partecipanti al mercato, in particolare per il dispiegamento della rete. Nel far ciò, l’Autorità tiene conto dell’approccio all’analisi di mercato di cui all’articolo 78 comma 2.

4. Nell’applicare il comma 2 del presente articolo, l’Autorità agisce in conformità delle procedure di cui agli articoli 18, 19, 23 e 35.

Sezione 3.- Procedure

Articolo 66

(Tempistica coordinata delle assegnazioni)

(ex Articolo 53 eecc)

1. Il Ministero e l’Autorità, nell’ambito delle rispettive competenze, cooperano con le competente autorità degli altri Stati membri al fine di coordinare l’uso dello spettro radio armonizzato per le reti e i servizi di comunicazione elettronica nell’Unione tenendo debito conto delle diverse situazioni del mercato a livello nazionale. Ciò può comportare l’individuazione di una o, se del caso, più date comuni entro le quali autorizzare l’uso di uno specifico spettro radio armonizzato.

2. Ove siano state stabilite condizioni armonizzate mediante misure tecniche di attuazione adottate in conformità della decisione n. 676/2002/CE al fine di consentire l’uso dello spettro radio per le reti e i servizi a banda larga senza fili, il Ministero, sentita l’Autorità per i profili di competenza, consente l’uso di tale spettro radio il prima possibile, al più tardi trenta mesi dopo l’adozione di tale misura, o appena possibile dopo la revoca dell’eventuale decisione di consentire l’uso alternativo in via eccezionale a norma dell’articolo 58, comma 3, del presente decreto. Ciò non pregiudica la decisione (UE) 2017/899 e il diritto di iniziativa della Commissione europea di proporre atti legislativi.

3. Il Ministero, sentita l’Autorità per i profili di competenza, può ritardare la scadenza di cui al comma 2 per una banda specifica nelle seguenti circostanze:

a) nella misura in cui ciò sia giustificato da una restrizione all’uso di detta banda sulla base dell’obiettivo di interesse generale di cui all’articolo 58, comma 5 lettera a) oppure d);

b) in caso di questioni irrisolte di coordinamento transfrontaliero che comportino interferenze dannose con paesi terzi, a condizione che lo Stato membro colpito abbia richiesto, se del caso, l’assistenza dell’Unione a norma dell’articolo 28 paragrafo 5 della direttiva (UE) 2018/1972;

c) tutela della sicurezza nazionale e della difesa;

d) forza maggiore.

4. Il Ministero riesamina il ritardo di cui al comma 3 almeno ogni due anni.

5. Il Ministero, sentita l’Autorità per i profili di competenza, può ritardare la scadenza di cui al comma 2 per una banda specifica nella misura in cui ciò sia necessario e fino a un massimo di trenta mesi in caso di:

a) questioni irrisolte di coordinamento transfrontaliero che comportino interferenze dannose tra gli Stati membri, a condizione che lo Stato membro colpito adotti tempestivamente tutte le misure necessarie a norma dell’articolo 29, commi 3 e 4;

b) la necessità e la complessità di assicurare la migrazione tecnica degli utenti esistenti di tale banda.

6. In caso di ritardo ai sensi del comma 3 o 5, il Ministero informa tempestivamente gli altri Stati membri e la Commissione, indicando le ragioni.

Articolo 67

(ex Articolo 55 eecc- Articolo 29 Codice 2003)

(Procedura per limitare il numero dei diritti d’uso da concedere per lo spettro radio)

1. Fatto salvo quanto previsto dall’articolo 66, per le bande di frequenza per le quali il Ministero ha determinato che i relativi diritti d’uso non possono essere soggetti ad autorizzazione generale, l’Autorità, nel valutare se limitare il numero dei diritti d’uso da concedere, tra l’altro:

a) motiva chiaramente le ragioni alla base della limitazione dei diritti d’uso, in particolare ponderando adeguatamente l’esigenza di massimizzare i benefici per gli utenti e di favorire lo sviluppo della concorrenza e, se del caso, riesamina la limitazione periodicamente o a ragionevole richiesta delle imprese interessate;

b) concede a tutte le parti interessate, compresi gli utenti e i consumatori, l’opportunità di esprimere le loro posizioni sulle eventuali limitazioni, mediante una consultazione pubblica conformemente all’articolo 23.

2. Quando l’Autorità determina che il numero di diritti d’uso debba essere limitato, stabilisce e motiva chiaramente gli obiettivi perseguiti mediante una procedura di selezione competitiva o comparativa ai sensi del presente articolo e, ove possibile, li quantifica, ponderando adeguatamente la necessità di raggiungere obiettivi nazionali del mercato interno.

3. In previsione di una procedura di selezione specifica, l’Autorità può fissare, in aggiunta all’obiettivo di promuovere la concorrenza, uno o più dei seguenti obiettivi:

a) promuovere la copertura;

b) assicurare la necessaria qualità del servizio;

c) promuovere l’uso efficiente dello spettro radio, anche tenendo conto delle condizioni associate ai diritti d’uso e del livello dei contributi;

d) promuovere l’innovazione e lo sviluppo dell’attività delle imprese.

4. L’Autorità definisce e motiva chiaramente la scelta della procedura di selezione, compresa l’eventuale fase preliminare di accesso alla procedura stessa. L’Autorità indica, inoltre, chiaramente i risultati della relativa valutazione della situazione concorrenziale, tecnica ed economica del mercato e motiva l’eventuale uso e scelta delle misure a norma dell’articolo 35.

5. Il Ministero e l’Autorità, nell’esercizio delle rispettive competenze, pubblicano qualsiasi decisione relativa alla procedura di selezione scelta e alle regole connesse, indicandone chiaramente le ragioni. Sono, altresì, pubblicate le condizioni che saranno associate ai diritti d’uso.

6. Il Ministero, competente per la realizzazione della procedura di selezione, invita a presentare domanda per i diritti d’uso, dopo la decisione sulla procedura di selezione da seguire.

7. Qualora l’Autorità decida che è possibile rilasciare ulteriori diritti d’uso dello spettro radio o una combinazione di autorizzazione generale e diritti d’uso individuali rende nota la decisione e il Ministero dà inizio al procedimento di concessione di tali diritti.

8. Qualora sia necessario limitare l’assegnazione di diritti d’uso dello spettro radio, il Ministero effettua il rilascio di tali diritti in base a procedure stabilite dall’Autorità, sulla base di criteri di selezione obiettivi, trasparenti, proporzionati e non discriminatori, che devono tenere in adeguata considerazione gli obiettivi e le prescrizioni di cui agli articoli 3, 4, 29 e 58.

9. Qualora sia necessario ricorrere a procedure di selezione competitive o comparative, il Ministero, su richiesta dell’Autorità, può prorogare il periodo massimo di sei settimane di cui all’articolo 61, comma 6, nella misura necessaria per garantire che tali procedure siano eque, ragionevoli, aperte e trasparenti per tutti i soggetti interessati, senza però superare il termine di otto mesi, fatta salva un’eventuale tempistica specifica stabilita a norma dell’articolo 66. I termini suddetti non pregiudicano l’eventuale applicabilità di accordi internazionali in materia di uso dello spettro radio e di coordinamento dei satelliti.

10. Il presente articolo non pregiudica il trasferimento dei diritti d’uso dello spettro radio in conformità dell’articolo 64.

CAPITOLO IV.- Diffusione e uso delle apparecchiature di rete senza fili

Articolo 68

(ex Articolo 56 eecc)

(Accesso alle reti locali in radiofrequenza)

1. 1. La fornitura di accesso a una rete pubblica di comunicazione elettronica attraverso le reti local in radiofrequenza (RLAN) nonché l’uso dello spettro radio armonizzato a tal fine, è assoggettata ad un’autorizzazione generale, ai sensi dell’articolo 11, che consegue alla presentazione della dichiarazione conforme al modello di cui all’allegato 14 al presente decreto, fatte salve le condizioni applicabili dell’autorizzazione generale relative all’uso dello spettro radio di cui all’articolo 59 comma 1. Qualora tale fornitura non sia parte di un’attività economica o sia accessoria a un’attività economica o a un servizio pubblico non subordinati alla trasmissione di segnali su tali reti, un’impresa, un’autorità pubblica o un utente finale che forniscano tale acceso non sono soggetti ad alcuna autorizzazione generale per la fornitura di reti o servizi di comunicazione elettronica a norma dell’articolo 11, né agli obblighi in materia di diritti degli utenti finali a norma della parte III, titolo II, articoli 98-octies decies a 98-vicies ter, né agli obblighi di interconnessione delle rispettive reti a norma dell’articolo 72 comma 1.

2. Alle misure del presente articolo si applica l’articolo 12 della direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell’8 giugno 2000.

3. Il Ministero non impedisce ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico di autorizzare l’accesso del pubblico alle loro reti attraverso le RLAN, che possono essere ubicate nei locali di un utente finale, subordinatamente al rispetto delle condizioni applicabili dell’autorizzazione generale e al previo consenso informato dell’utente finale.

4. Conformemente, in particolare, all’articolo 3, paragrafo 1, del regolamento (UE) 2015/2120 del Parlamento europeo e del Consiglio, del 25 novembre 2015, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, assicurano che i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico non limitino in maniera unilaterale o vietino agli utenti finali la facoltà:

a) di accedere alle RLAN di loro scelta fornite da terzi;

b) di consentire reciprocamente l’accesso o, più in generale, di accedere alle reti di tali fornitori ad altri utenti finali tramite le RLAN, anche sulla base di iniziative di terzi che aggregano e rendono accessibili al pubblico le RLAN di diversi utenti finali.

5. Il Ministero e l’Autorità non limitano o vietano agli utenti finali la facoltà di consentire l’accesso, reciprocamente o in altro modo, alle loro RLAN da parte di altri utenti finali, anche sulla base di iniziative di terzi che aggregano e rendono accessibili al pubblico le RLAN di diversi utenti finali.

6. Il Ministero e l’Autorità non limitano indebitamente la fornitura di accesso pubblico alle RLAN:

a) da parte di organismi pubblici o negli spazi pubblici nei pressi dei locali da essi occupati, quando tale fornitura è accessoria ai servizi pubblici forniti in tali locali;

b) da parte di organizzazioni non governative o organismi pubblici che aggregano e rendono accessibili, reciprocamente o più in generale, le RLAN di diversi utenti finali, comprese, se del caso, le RLAN alle quali l’accesso pubblico è fornito a norma della lettera a).

7. Agli impianti e alla fornitura di accesso a una rete pubblica di comunicazione elettronica attraverso le reti locali in radiofrequenza (RLAN) si applicano le disposizioni sanzionatorie previste dall’articolo 30 per l’installazione e fornitura di reti o di servizi di comunicazione elettronica.

Articolo 69

(ex Articolo 57 eecc + regolamento 2020/1070 small cells)

(Installazione e funzionamento dei punti di accesso senza fili di portata limitata)

1. Le autorità competenti non limitano indebitamente l’installazione dei punti di accesso senza fili di portata limitata. Il Ministero si adopera per garantire che le norme che disciplinano l’installazione dei punti di accesso senza fili di portata limitata siano coerenti a livello nazionale. Tali norme sono pubblicate prima della loro applicazione. In particolare, le autorità competenti non subordinano l’installazione dei punti di accesso senza fili di portata limitata che soddisfano le caratteristiche di cui al comma 2 a permessi urbanistici individuali o ad altri permessi individuali preventivi. In deroga al secondo periodo, le autorità competenti possono richiedere autorizzazioni per l’installazione dei punti di accesso senza fili di portata limitata in edifici o siti di valore architettonico, storico o ambientale protetti a norma del diritto nazionale o se necessario per ragioni di pubblica sicurezza. Al rilascio di tali autorizzazioni si applica l’articolo 7 decreto legislativo 15 febbraio 2016, n. 33.

2. Le caratteristiche fisiche e tecniche, come le dimensioni massime, il peso e, se del caso, la potenza di emissione, dei punti di accesso senza fili di portata limitata sono definite dal regolamento 2020/1070/UE della Commissione europea, del 20 luglio 2020. Il presente articolo non si applica ai punti di accesso senza fili di portata limitata con un sistema di antenna attivo. Ai fini del presente articolo si applicano le seguenti definizioni:

a) «potenza isotropa equivalente irradiata (Equivalent Isotropically Radiated Power, EIRP)»: il prodotto della potenza fornita all’antenna per il suo guadagno in una data direzione rispetto ad un’antenna isotropa (guadagno assoluto o isotropico);

b) «sistema di antenna»: la componente hardware di un punto di accesso senza fili di portata limitata che irradia energia in radiofrequenza per fornire connettività senza fili agli utenti finali;

c) «sistema di antenna attivo» (Active Antenna System, AAS): un sistema di antenna in cui l’ampiezza o la fase tra gli elementi di antenna, o entrambe, sono continuamente modificate, dando luogo a un diagramma di radiazione che varia in risposta a cambiamenti a breve termine nell’ambiente radio. Ciò esclude il modellamento del fascio a lungo termine quale il downtilt elettrico fisso. Nei punti di accesso senza fili di portata limitata dotati di un AAS, quest’ultimo è parte integrante del punto di accesso senza fili di portata limitata;

d) «al chiuso»: qualsiasi spazio, compresi i veicoli di trasporto, dotato di un soffitto, di un tetto o di una struttura o dispositivo fissi o mobili in grado di coprire l’intero spazio, e che, fatta eccezione per le porte, le finestre e i passaggi pedonali, è completamente racchiuso da muri o pareti, in maniera permanente o temporanea, indipendentemente dal tipo di materiale utilizzato per il tetto, i muri o le pareti e dal carattere permanente o temporaneo della struttura;

e) «all’aperto»: qualsiasi spazio che non sia al chiuso.

3. I punti di accesso senza fili di portata limitata sono conformi all’allegato, lettera B, all’articolo 3 del regolamento 2020/1070/EU e, alternativamente:

a) sono integrati completamente e in sicurezza nella loro struttura di sostegno e sono quindi invisibili al pubblico;

b) soddisfano le condizioni di cui all’allegato, lettera A, all’articolo 3 del regolamento 2020/1070/UE.

4. Il comma 3 fa salve le competenze del Ministero e delle altre autorità competenti di determinare i livelli aggregati dei campi elettromagnetici derivanti dalla co-locazione o dall’aggregazione, in una zona locale, di punti di accesso senza fili di portata limitata, e di garantire la conformità ai limiti aggregati di esposizione ai campi elettromagnetici applicabili conformemente al diritto dell’Unione utilizzando mezzi diversi dai permessi individuali relativi all’installazione di punti di accesso senza fili di portata limitate. Gli operatori che hanno installato punti di accesso senza fili di portata limitata di classe E2 o E10 conformi alle condizioni di cui al comma 1 notificano al Ministero, entro due settimane dall’installazione di ciascuno di essi, l’installazione e l’ubicazione di tali punti di accesso, nonché i requisiti che rispettano conformemente a tale paragrafo.

5. Il Ministero, in collaborazione con le altre autorità competenti, con cadenza regolare, effettua attività di monitoraggio e riferisce alla Commissione europea, la prima volta entro il 31 dicembre 2021 e successivamente ogni anno, in merito all’applicazione del regolamento 2020/1070/EU, in particolare l’applicazione dell’articolo 3, paragrafo 1, anche per quanto riguarda le tecnologie utilizzate dai punti di accesso senza fili di portata limitata installati.

6. Il presente articolo non pregiudica i requisiti essenziali previsti dal decreto legislativo 22 giugno 2016, n. 128, e il regime di autorizzazione applicabile per l’uso dello spettro radio pertinente.

7. Il Ministero e le altre autorità competenti, fermo restando quanto previsto dagli articoli 8 e 9 del decreto legislativo n. 33 del 2016, provvedono affinché gli operatori abbiano il diritto di accedere a qualsiasi infrastruttura fisica controllata da autorità pubbliche nazionali, regionali o locali che sia tecnicamente idonea a ospitare punti di accesso senza fili di portata limitata o che sia necessaria per connettere tali punti di accesso a una dorsale di rete. Le autorità pubbliche soddisfano tutte le ragionevoli richieste di accesso secondo modalità e condizioni eque, ragionevoli, trasparenti e non discriminatorie, che sono rese pubbliche presso un punto informativo unico.

8. Fatti salvi eventuali accordi commerciali, l’installazione dei punti di accesso senza fili di portata limitata non è soggetta a contributi o oneri oltre agli oneri amministrativi a norma dell’articolo 16.

TITOLO II.- ACCESSO

CAPITOLO I.- Disposizioni generali, principi di accesso

Articolo 70

(ex Articolo 59 eecc – Articolo 40 Codice 2003)

(Quadro di riferimento generale per l’accesso e l’interconnessione)

1. Gli operatori possono negoziare tra loro accordi sulle disposizioni tecniche e commerciali relative all’accesso e all’interconnessione. L’operatore costituito in un altro Stato membro che richiede l’accesso o l’interconnessione nel territorio nazionale non necessita di un’autorizzazione ad operare in Italia, qualora non vi fornisca servizi o non vi gestisca una rete. L’Autorità anche mediante l’adozione di specifici provvedimenti garantisce che non vi siano restrizioni che impediscano alle imprese accordi di interconnessione e di accesso. Il Ministero e l’Autorità, per quanto di rispettiva competenza, provvedono affinché non vi siano restrizioni che impediscano alle imprese di un medesimo Stato membro o di differenti Stati membri di negoziare tra loro, nel rispetto del diritto dell’Unione, accordi sulle disposizioni tecniche e commerciali relative all’accesso o all’interconnessione.

2. Fatto salvo l’articolo 98-vicies sexies, sono revocati i provvedimenti giuridici o amministrativi che richiedono alle imprese di concedere analoghi servizi d’accesso e di interconnessione a termini e condizioni differenti in funzione delle differenti imprese per servizi equivalenti o i provvedimenti che impongono obblighi che non dipendono dai servizi di accesso e di interconnessione effettivamente prestati, fatte salve le condizioni indicate all’allegato I.

Articolo 71

(ex Articolo 60 eecc – Articolo 41 Codice 2003)

(Diritti ed obblighi degli operatori)

1. Gli operatori di reti pubbliche di comunicazione elettronica hanno il diritto e, se richiesto da altre imprese titolari di un’autorizzazione ai sensi dell’articolo 15, l’obbligo di negoziare tra loro l’interconnessione ai fini della fornitura di servizi di comunicazione elettronica accessibili al pubblico, allo scopo di garantire la fornitura e l’interoperabilità dei servizi in tutta l’Unione. Gli operatori offrono l’accesso e l’interconnessione ad altre imprese nei termini e alle condizioni conformi agli obblighi imposti dall’Autorità ai sensi degli articoli 72, 73 e 79.

2. Fatto salvo l’articolo 21, le imprese che ottengono informazioni da un’altra impresa prima, durante o dopo il negoziato sugli accordi in materia di accesso o di interconnessione utilizzano tali informazioni esclusivamente per i fini per i quali sono state fornite e osservano in qualsiasi circostanza gli obblighi di riservatezza delle informazioni trasmesse o memorizzate. Tali imprese non comunicano le informazioni ricevute ad altre parti, in particolare ad altri servizi, società consociate o partner commerciali, per i quali esse potrebbero rappresentare un vantaggio concorrenziale.

3. I negoziati possono essere condotti mediante intermediari neutri laddove le condizioni di concorrenza lo richiedano.

CAPITOLO II.- Accesso e interconnessione

Articolo 72

(ex Articolo 61 eecc – Articolo 42 Codice 2003)

(Poteri e competenze dell’Autorità per le garanzie nelle comunicazioni in materia di accesso e di interconnessione)

1. Nel perseguire gli obiettivi stabiliti dall’articolo 4, l’Autorità per le garanzie nelle comunicazioni incoraggia e, se del caso, garantisce, in conformità con il presente decreto, un adeguato accesso, un’adeguata interconnessione e l’interoperabilità dei servizi, esercitando le proprie competenze in modo tale da promuovere l’efficienza, una concorrenza sostenibile, lo sviluppo di reti ad altissima capacità, investimenti efficienti e l’innovazione e recare il massimo vantaggio agli utenti finali.

L’Autorità fornisce orientamenti e rende disponibili al pubblico le procedure per ottenere l’accesso e l’interconnessione, garantendo che piccole e medie imprese e operatori aventi una portata geografica limitata possano trarre beneficio dagli obblighi imposti.

2. In particolare, fatte salve le misure che potrebbero essere adottate nei confronti di imprese designate come detentrici di un significativo potere di mercato ai sensi dell’articolo 79, l’Autorità può imporre:

a) nella misura necessaria a garantire la connettività da punto a punto, obblighi alle imprese soggette all’autorizzazione generale che controllano l’accesso agli utenti finali, compreso, in casi giustificati, l’obbligo di interconnessione delle rispettive reti qualora non sia già previsto;

b) in casi giustificati e nella misura necessaria, obblighi per le imprese soggette all’autorizzazione generale che controllano l’accesso agli utenti finali, onde rendere interoperabili i propri servizi;

c) in casi giustificati, se la connettività da punto a punto tra gli utenti finali è compromessa a causa della mancanza di interoperabilità tra i servizi di comunicazione interpersonale e nella misura necessaria a garantire la connettività da punto a punto tra utenti finali, obblighi per i fornitori di servizi di comunicazione interpersonale indipendenti dalla numerazione che abbiano un significativo livello di copertura e di diffusione tra gli utenti, onde rendere interoperabili i propri servizi;

d) nella misura necessaria a garantire l’accessibilità per gli utenti finali ai servizi di diffusione radiotelevisiva in digitale e servizi complementari correlati specificati dall’Autorità, l’obbligo agli operatori di garantire l’accesso alle altre risorse di cui all’allegato n. 2, parte 2, a condizioni eque, ragionevoli e non discriminatorie.

3. Gli obblighi di cui al comma 2, lettera c), sono imposti soltanto:

a) nella misura necessaria a garantire l’interoperabilità dei servizi di comunicazione interpersonale e possono comprendere obblighi proporzionati per i fornitori di tali servizi di pubblicare e autorizzare l’uso, la modifica e la ridistribuzione delle informazioni pertinenti da parte delle autorità e di altri fornitori o di impiegare o attuare le norme o specifiche di cui all’articolo 39 comma 1, o di altre pertinenti norme europee o internazionali;

b) qualora la Commissione europea, dopo aver consultato il BEREC e aver preso nella massima considerazione il suo parere, abbia riscontrato la presenza di una notevole minaccia alla connettività da punto a punto tra utenti finali in tutta l’Unione o in almeno tre Stati membri e abbia adottato misure di attuazione che specificano le caratteristiche e la portata degli obblighi che possono essere imposti. Tali misure di attuazione sono adottate secondo la procedura d’esame di cui all’articolo 118, paragrafo 4, della direttiva (UE) 2018/1972.

4. In particolare, fatti salvi i commi 1 e 2, l’Autorità può imporre, in base a una richiesta ragionevole, gli obblighi di concedere l’accesso al cablaggio e alle risorse correlate all’interno degli edifici o fino al primo punto di concentrazione o di distribuzione determinato dall’Autorità qualora tale punto sia situato al di fuori dell’edificio. Ove giustificato dal fatto che la duplicazione di tali elementi di rete sarebbe economicamente inefficiente o fisicamente impraticabile, tali obblighi possono essere imposti ai fornitori di reti di comunicazione elettronica o ai proprietari del cablaggio e delle risorse correlate se non sono fornitori di reti di comunicazione elettronica. Le condizioni di accesso imposte possono comprendere norme specifiche sull’accesso a tali elementi di rete e alle risorse e ai servizi correlati, su trasparenza e non discriminazione e sulla ripartizione dei costi di accesso, se del caso adattate per tener conto dei fattori di rischio. Qualora l’Autorità concluda relativamente, se applicabile, agli obblighi risultanti da eventuali pertinenti analisi di mercato, che l’obbligo imposto in conformità del comma 2 non è sufficiente a sormontare forti ostacoli fisici o economici non transitori alla duplicazione in base ad una situazione del mercato, esistente o emergente, che limita significativamente i risultati concorrenziali per gli utenti finali, può estendere, a condizioni eque e ragionevoli, l’imposizione di siffatti obblighi di accesso oltre il primo punto di concentrazione o di distribuzione fino a un punto che determina essere il più vicino agli utenti finali, in grado di ospitare un numero di connessioni degli utenti finali sufficiente per essere sostenibile sul piano commerciale per chi richiede accesso efficiente. Nel determinare la portata dell’estensione oltre il primo punto di concentrazione o di distribuzione, l’Autorità tiene nella massima considerazione le pertinenti linee guida del BEREC. L’Autorità può imporre obblighi di accesso attivo o virtuale, se giustificati da motivazioni tecniche o economiche. L’Autorità non impone a fornitori di reti di comunicazione elettronica obblighi a norma del comma 2 qualora stabilisca che:

a) il fornitore possiede le caratteristiche elencate dall’articolo 91 comma 1, e mette a disposizione di qualsiasi impresa, a condizioni eque, non discriminatorie e ragionevoli, un mezzo alternativo, analogo ed economicamente sostenibile per raggiungere gli utenti finali fornendo accesso a una rete ad altissima capacità; l’Autorità può estendere tale esenzione ad altri fornitori che offrono, a condizioni eque, non discriminatorie e ragionevoli, l’accesso a una rete ad altissima capacità;

b) l’imposizione di obblighi comprometterebbe la sostenibilità economica o finanziaria dell’installazione di una nuova rete, in particolare nell’ambito di progetti locali di dimensioni ridotte.

5. In deroga al comma 4, lettera a), l’Autorità può imporre obblighi ai fornitori di reti di comunicazione elettronica che soddisfano i criteri di cui a tale lettera se la rete interessata è finanziata con fondi pubblici.

6. Fatti salvi i commi 1 e 2, l’Autorità ha la facoltà di imporre, alle imprese che forniscono o sono autorizzate a fornire reti di comunicazione elettronica, obblighi in relazione alla condivisione delle infrastrutture passive o l’obbligo di concludere accordi di accesso in roaming localizzato, in entrambi i casi se direttamente necessari per la fornitura locale di servizi che comportano l’uso dello spettro radio, in conformità del diritto dell’Unione e purché non sia messo a disposizione delle imprese un mezzo alternativo di accesso agli utenti finali analogo e economicamente sostenibile, a condizioni eque e ragionevoli. L’Autorità può imporre tali obblighi solo ove tale possibilità sia stata chiaramente prevista in sede di assegnazione dei diritti d’uso dello spettro radio e se ciò è giustificato dal fatto che, nel settore soggetto a tali obblighi, la realizzazione basata sulle dinamiche del mercato delle infrastrutture per la fornitura di reti o servizi che comportano l’uso dello spettro radio incontra ostacoli economici o fisici insormontabili e pertanto l’accesso alle reti o ai servizi da parte degli utenti finali è gravemente carente o assente. Nei casi in cui l’accesso e la condivisione delle infrastrutture passive da soli non sono sufficienti ad affrontare la situazione, l’Autorità può imporre obblighi sulla condivisione delle infrastrutture attive. L’Autorità tiene conto dei seguenti fattori:

a) la necessità di massimizzare la connettività in tutta l’Unione, lungo le principali vie di trasporto e in particolare negli ambiti territoriali, e la possibilità di migliorare notevolmente la scelta e la qualità del servizio per gli utenti finali;

b) l’uso efficiente dello spettro radio;

c) la fattibilità tecnica della condivisione e le relative condizioni;

d) lo stato della concorrenza basata sulle infrastrutture e sui servizi;

e) l’innovazione tecnologica;

f) l’esigenza superiore di sostenere l’incentivo dell’operatore ospitante a dispiegare prima di tutto l’infrastruttura.

7. Nel quadro della risoluzione delle controversie, l’Autorità può tra l’altro imporre al beneficiario dell’obbligo di condivisione o di accesso l’obbligo di condividere lo spettro radio con l’operatore ospitante dell’infrastruttura nell’ambito territoriale interessato.

8. Gli obblighi e le condizioni imposti ai sensi dei commi da 1 a 6 devono essere obiettivi, trasparenti, proporzionati e non discriminatori e sono attuati secondo le procedure di cui agli articoli 23, 33 e 34. L’Autorità che ha imposto detti obblighi e condizioni ne valuta i risultati entro cinque anni dall’adozione della precedente misura adottata in relazione alle stesse imprese e valutano se sia opportuno revocarli o modificarli in funzione dell’evolvere della situazione. L’Autorità comunica l’esito della loro valutazione secondo le procedure di cui agli articoli 23, 33 e 34.

9. Ai fini dei commi 1 e 2, l’Autorità è autorizzata a intervenire di propria iniziativa ove giustificato per garantire il conseguimento degli obiettivi politici previsti dall’articolo 4, ai sensi del presente decreto e, in particolare, secondo le procedure di cui agli articoli 23 e 33.

10. L’Autorità tiene nella massima considerazione le linee guida del BEREC sulla definizione dell’ubicazione dei punti terminali di rete di cui all’articolo 73.

Articolo 73

(ex Articolo 62 eecc – Articolo 43 Codice 2003)

(Sistemi di accesso condizionato ed altre risorse)

1. All’accesso condizionato ai servizi televisivi e radiofonici digitali trasmessi ai telespettatori e agli ascoltatori si applicano, a prescindere dai mezzi di trasmissione, le condizioni di cui all’allegato n.2, parte 1.

2. Qualora, in base a un’analisi di mercato effettuata in conformità dell’articolo 78, comma 1, l’Autorità appuri che una o più imprese non dispongono di un significativo potere di mercato sul mercato pertinente, può modificare o revocare le condizioni per tali imprese conformemente alle procedure previste dagli articoli 23 e 33 solo se:

a) l’accessibilità per gli utenti finali a programmi radiofonici e televisivi e a canali e servizi di diffusione specificati ai sensi dell’articolo 98-vicies sexies non risulti pregiudicata da tale modifica o revoca;

b) le prospettive di un’effettiva concorrenza nei mercati seguenti non risultano pregiudicate da tale modifica o revoca:

i) servizi di diffusione radiotelevisiva digitale al dettaglio;

ii) sistemi di accesso condizionato e altre risorse correlate.

3. Le parti a cui si applica la modifica o la revoca di tali obblighi sono informate entro un lasso di tempo appropriato.

4. Le condizioni applicate in virtù del presente articolo lasciano impregiudicata la facoltà all’Autorità di imporre obblighi relativi alla presentazione delle EPG e di analoghi menu e interfacce di navigazione.

5. In deroga al comma 1, l’Autorità, con cadenza periodica, riesamina le condizioni applicate in virtù del presente articolo attraverso un’analisi di mercato conformemente all’articolo 78 comma 1, per determinare se mantenere, modificare o revocare le condizioni applicate.

CAPITOLO III.- Analisi di mercato e significativo potere di mercato

Articolo 74

(ex Articolo 63 eecc- Articolo 17 Codice 2003)

(Imprese che dispongono di un significativo potere di mercato)

1. L’Autorità nell’accertare, secondo la procedura di cui all’articolo 78, quali imprese dispongono di un significativo potere di mercato, applica le disposizioni di cui al comma 2.

2. Si presume che un’impresa disponga di un significativo potere di mercato se, individualmente o congiuntamente con altri, gode di una posizione equivalente a una posizione dominante, ossia una posizione di forza economica tale da consentirle di comportarsi in misura notevole in modo indipendente dai concorrenti, dai clienti e, in definitiva, dai consumatori.

3. L’Autorità, nel valutare se due o più imprese godono congiuntamente di una posizione dominante sul mercato, procede nel rispetto del diritto dell’Unione europea e tiene in massima considerazione le linee guida della Commissione europea per l’analisi del mercato e la valutazione del significativo potere di mercato, pubblicate ai sensi dell’articolo 64 della direttiva (UE) 2018/1972, di seguito denominate “linee guida SPM”.

4. Se un’impresa dispone di un significativo potere in un mercato specifico, si presume che essa abbia un significativo potere in un mercato diverso e strettamente connesso, qualora le connessioni tra i due mercati consentano di far valere sul mercato strettamente connesso il potere detenuto nel mercato specifico, rafforzando in tal modo il potere di mercato complessivo dell’impresa. Pertanto, a norma degli articoli 80, 81, 82 e 85, possono essere applicate misure correttive volte a prevenire tale influenza sul mercato strettamente connesso.

Articolo 75

(ex Articolo 64 eecc – Articolo 18 Codice 2003)

(Procedura per l’individuazione e la definizione dei mercati)

1. L’Autorità, tenendo nella massima considerazione la raccomandazione relativa ai mercati rilevanti di prodotti e servizi del settore delle comunicazioni elettroniche, e le linee guida SPM, definisce i mercati rilevanti corrispondenti alla situazione nazionale, in particolare i mercati geografici rilevanti nel territorio nazionale, tenendo conto, tra l’altro, del grado di concorrenza a livello delle infrastrutture in tali aree, conformemente ai principi del diritto della concorrenza.

L’Autorità, se del caso, tiene altresì conto dei risultati della mappatura geografica svolta in conformità dell’articolo 22, comma 1. Prima di definire i mercati diversi da quelli individuati nella raccomandazione, applica la procedura di cui agli articoli 23 e 33.

Articolo 76

(ex Articolo 65 eecc, Articolo 19, comma 7 cod 2003)

(Procedura per l’individuazione dei mercati transnazionali)

1. L’Autorità può presentare, unitamente ad almeno un’altra autorità nazionale di regolamentazione, appartenente ad altro Stato membro, una richiesta motivata e circostanziata al BEREC di svolgere un’analisi sulla possibile esistenza di un mercato transnazionale.

2. Qualora la Commissione europea abbia adottato decisioni relative alla individuazione di mercati transnazionali, sulla base dell’analisi svolta dal BEREC e a seguito della consultazione delle parti interessate, a norma dell’articolo 65, paragrafo 1, della direttiva (UE) 2018/1972, l’Autorità effettua l’analisi di mercato congiuntamente alle autorità di regolamentazione degli altri Stati membri interessate, tenendo in massima considerazione le linee guida SMP, e si pronuncia di concerto con queste in merito all’imposizione, al mantenimento, alla modifica o alla revoca di obblighi di regolamentazione di cui all’articolo 78 comma 4. L’Autorità e le altre autorità nazionali interessate comunicano congiuntamente alla Commissione europea i propri progetti di misure relative all’analisi di mercato e a ogni obbligo regolamentare in conformità degli articoli 33 e 34.

3. Anche in assenza di mercati transnazionali, l’Autorità può comunicare, congiuntamente a una o più autorità nazionali di regolamentazione di altri Stati membri, i propri progetti di misure relative all’analisi di mercato e agli obblighi regolamentari, qualora le condizioni di mercato nelle rispettive sfere di competenza siano ritenute sufficientemente omogenee.

Articolo 77

(ex Articolo 66 eecc)

(Procedura per l’individuazione della domanda transnazionale)

1. L’Autorità può presentare, unitamente ad almeno un’altra autorità nazionale di regolamentazione di altro Stato membro, una richiesta motivata e circostanziata al BEREC di svolgere un’analisi della domanda transnazionale, da parte degli utenti finali, di prodotti e servizi forniti all’interno dell’Unione in uno o più mercati elencati nella raccomandazione, ove emerga l’esistenza di un grave problema di domanda che occorre affrontare, secondo la procedura di cui all’articolo 66, paragrafo 1, della direttiva (UE) 2018/1972.

2. Qualora il BEREC, a seguito dell’individuazione di una significativa domanda avente carattere transnazionale, che non sia sufficientemente soddisfatta dall’offerta commerciale o regolamentata, emani linee guida su approcci comuni per le autorità nazionali di regolamentazione, l’Autorità, nell’espletamento dei propri compiti di regolazione nell’ambito della propria sfera di competenza, tiene in massima considerazione dette linee guida.

3. Tali linee guida possono fornire la base per l’interoperabilità dei prodotti di accesso all’ingrosso in tutta l’Unione e possono includere orientamenti per l’armonizzazione delle specifiche tecniche dei prodotti di accesso all’ingrosso in grado di soddisfare tale domanda transnazionale identificata.

Articolo 78

(Procedura per l’analisi del mercato)

(ex Articolo 67 eecc – Articolo 19 Codice 2003)

1. L’Autorità, determina se un mercato rilevante definito in conformità dell’articolo 64, paragrafo 3 della direttiva (UE) 2018/1972, sia tale da giustificare l’imposizione degli obblighi di regolamentazione di cui al presente decreto. Nello svolgere tale analisi l’Autorità tiene nella massima considerazione le linee guida SPM, segue le procedure di cui agli articoli 23 e 33, e acquisisce il parere dell’Autorità garante della concorrenza e del mercato.

2. Un mercato può essere considerato tale da giustificare l’imposizione di obblighi di regolamentazione stabiliti nel presente decreto se sono soddisfatti tutti i criteri seguenti:

a) presenza di forti ostacoli non transitori all’accesso, di carattere strutturale, giuridico o normativo;

b) esistenza di una struttura del mercato che non tende al raggiungimento della concorrenza effettiva entro l’arco di tempo preso in esame, in considerazione della situazione della concorrenza basata sulle infrastrutture e di altro tipo, al di là degli ostacoli all’accesso;

c) insufficienza del solo diritto della concorrenza per far fronte adeguatamente ai fallimenti del mercato individuati.

3. Se svolge un’analisi di un mercato incluso nella raccomandazione, l’Autorità considera soddisfatte le condizioni di cui al secondo comma, lettere a), b) e c), salvo se l’Autorità stessa constata che una o più di esse non è soddisfatta nelle specifiche circostanze nazionali.

4. Quando svolge l’analisi di cui ai commi da1 a 3, l’Autorità esamina gli sviluppi in una prospettiva futura di assenza della regolamentazione imposta a norma del presente articolo nel mercato rilevante e tiene conto di quanto segue:

a) gli sviluppi del mercato che incidono sulla tendenza del mercato rilevante al raggiungimento di una concorrenza effettiva;

b) tutti i pertinenti vincoli concorrenziali, a livello della vendita all’ingrosso e al dettaglio, indipendentemente dal fatto che le cause di tali vincoli siano individuate nelle reti di comunicazione elettronica, nei servizi di comunicazione elettronica o in altri tipi di servizi o applicazioni paragonabili dal punto di vista dell’utente finale, e a prescindere dal fatto che tali restrizioni siano parte del mercato rilevante;

c) altri tipi di regolamentazione o misure imposte che influiscono sul mercato rilevante o su mercati al dettaglio correlati per tutto il periodo in esame, tra cui, a titolo esemplificativo, gli obblighi imposti in conformità degli articoli 50, 71 e 72;

d) regolamentazioni imposte in altri mercati rilevanti sulla base del presente articolo.

5. Se conclude che un mercato rilevante non giustifica l’imposizione di obblighi di regolamentazione in conformità della procedura di cui ai commi da 1 a 4, oppure allorché le condizioni indicate al comma 6 non sono soddisfatte, l’Autorità non impone né mantiene nessun obbligo di regolamentazione specifico in conformità dell’articolo 79. Qualora obblighi di regolamentazione settoriali siano già stati imposti in conformità dell’articolo 79, li revoca per le imprese operanti in tale mercato rilevante. L’Autorità provvede che le parti interessate dalla revoca di tali obblighi ricevano un termine di preavviso appropriato, in modo da assicurare l’equilibrio tra la necessità di garantire una transizione sostenibile per i beneficiari degli obblighi e gli utenti finali, la scelta dell’utente finale e il fatto che la regolamentazione non si estenda oltre il necessario. Nel fissare tale termine di preavviso l’Autorità può stabilire condizioni specifiche e periodi di preavviso in relazione agli accordi di accesso esistenti.

6. Qualora accerti che, in un mercato rilevante è giustificata l’imposizione di obblighi di regolamentazione in conformità dei commi 1 a 4, l’Autorità individua le imprese che individualmente o congiuntamente dispongono di un significativo potere di mercato su tale mercato rilevante conformemente all’articolo 74. L’Autorità impone a tali imprese gli appropriati specifici obblighi di regolamentazione in conformità dell’articolo 79 ovvero mantiene in vigore o modifica tali obblighi laddove già esistano se ritiene che la situazione risultante per gli utenti finali non sarebbe effettivamente concorrenziale in loro assenza.

7. Le misure di cui ai commi 5 e 6 sono adottate secondo le procedure di cui agli articoli 23 e 33.

L’Autorità effettua un’analisi del mercato rilevante e notifica il corrispondente progetto di misura a norma dell’articolo 33:

a) entro cinque anni dall’adozione di una precedente misura se l’Autorità ha definito il mercato rilevante e stabilito quali imprese godono di un significativo potere di mercato; in via eccezionale, tale periodo di cinque anni può essere prorogato fino a un massimo di un anno, se l’Autorità ha notificato alla Commissione europea una proposta motivata di proroga non meno di quattro mesi prima del termine del periodo di cinque anni e la Commissione europea non ha formulato obiezioni entro un mese dalla notifica;

b) entro tre anni dall’adozione di una raccomandazione rivista sui mercati rilevanti per i mercati non notificati in precedenza alla Commissione europea;

c) entro tre anni dalla data di adesione all’Unione europea per gli Stati membri di nuova adesione.

8. Qualora l’Autorità ritenga di non poter completare l’analisi di un mercato rilevante individuato nella raccomandazione entro il termine fissato al comma 7, può chiedere al BEREC assistenza per completare l’analisi del mercato specifico e degli obblighi specifici da imporre. Con tale assistenza l’Autorità notifica, entro sei mesi dal termine stabilito al comma 7, il progetto di misura allá Commissione europea a norma dell’articolo 33.

CAPITOLO IV.- Misure correttive di accesso imposte alle imprese detentrici di un significativo potere di mercato

Articolo 79

(ex Articolo 68 eecc – Articolo 45 Codice 2003)

(Imposizione, modifica o revoca degli obblighi)

1. Qualora, in esito all’analisi del mercato realizzata a norma dell’articolo 78, un’impresa sia designata come detentrice di un significativo potere di mercato in un mercato specifico, l’Autorità impone, ove ritenuto opportuno, qualsiasi obbligo previsto agli articoli da 80 a 85 e gli articoli 87 e 91. Conformemente al principio di proporzionalità, l’Autorità sceglie il modo meno intrusivo di affrontare i problemi individuati nell’analisi del mercato.

2. L’Autorità impone gli obblighi di cui agli articoli da 80 a 85 e gli articoli 87 e 91 solo alle imprese che sono state designate come detentrici di un significativo potere di mercato in conformità del comma 1 del presente articolo, fatti salvi:

a) gli articoli 72 e 73;

b) gli articoli 50 e 17, la condizione 7 di cui alla parte D dell’allegato I quale applicata ai sensi dell’articolo 13, comma 1, gli articoli 98-decies e 98-octies decies e le disposizioni pertinenti della direttiva 2002/58/CE che contemplano obblighi per le imprese diverse da quelle che sono state designate come detentrici di un significativo potere di mercato;

c) l’esigenza di ottemperare a impegni internazionali.

3. In circostanze eccezionali l’Autorità, quando intende imporre alle imprese designate come detentrici di un significativo potere di mercato obblighi in materia di accesso o di interconnessione diversi da quelli di cui agli 80 a 85 e gli articoli 87 e 91, ne fa richiesta alla Commissione europea, la quale adotta, secondo la procedura consultiva di cui all’articolo 118, paragrafo 3, della direttiva (UE) 2018/1972 una decisione che autorizza o vieta l’adozione di tali misure.

4. Gli obblighi imposti ai sensi del presente articolo:

a) dipendono dal tipo di problema evidenziato dalla Autorità nella sua analisi del mercato, ove appropriato tenendo conto dell’individuazione della domanda transnazionale in conformità dell’articolo 77;

b) sono proporzionati, in considerazione, ove possibile, dei costi e dei benefici;

c) sono giustificati alla luce degli obiettivi di cui all’articolo 4;

d) sono imposti previa consultazione ai sensi degli articoli 23 e 33.

5. In relazione all’esigenza di ottemperare a impegni internazionali di cui al comma 4, l’Autorità notifica alla Commissione europea le proprie decisioni di imporre, modificare o revocare gli obblighi nei confronti delle imprese, conformemente alle procedure stabilite dall’articolo 33.

6. L’Autorità prende in considerazione l’impatto dei nuovi sviluppi del mercato, ad esempio in relazione agli accordi commerciali, compresi gli accordi di coinvestimento, che influenzano le dinamiche della concorrenza. Se tali sviluppi non sono sufficientemente importanti da richiedere una nuova analisi di mercato ai sensi dell’articolo 78, l’Autorità valuta senza indugio se sia necessario riesaminare gli obblighi imposti alle imprese designate come detentrici di un significativo potere di mercato e modifica eventuali decisioni precedenti, anche revocando obblighi o imponendone di nuovi, al fine di garantire che detti obblighi continuino a soddisfare le condizioni indicate al comma 4. Tali modifiche sono imposte solo previa consultazione ai sensi degli articoli 23 e 33.

Articolo 80

(Ex Articolo 69 eecc – Articolo 46 Codice 2003)

(Obbligo di trasparenza)

1. L’Autorità può imporre, ai sensi dell’articolo 79, obblighi di trasparenza in relazione all’interconnessione o all’accesso, prescrivendo alle imprese di rendere pubbliche determinate informazioni, quali informazioni di carattere contabile, prezzi, specifiche tecniche, caratteristiche della rete e relativi sviluppi previsti, nonché termini e condizioni per la fornitura e per l’uso, comprese eventuali condizioni conformi al diritto europeo che modifichino l’accesso a ovvero l’uso di servizi e applicazioni, in particolare per quanto concerne la migrazione dalle infrastrutture preesistenti.

2. Quando un’impresa è assoggettata a obblighi di non discriminazione, l’Autorità può esigere che tale impresa pubblichi un’offerta di riferimento sufficientemente disaggregata per garantire che le imprese non debbano pagare per risorse non necessarie ai fini del servizio richiesto. Tale offerta di riferimento contiene una descrizione delle offerte suddivisa per componenti in funzione delle esigenze del mercato, corredata di relativi termini, condizioni e prezzi. L’Autorità, con provvedimento motivato, può imporre modifiche alle offerte di riferimento in attuazione degli obblighi previsti dal presente Capitolo.

3. L’Autorità può precisare quali informazioni pubblicare, il grado di dettaglio richiesto e le modalità di pubblicazione delle medesime.

4. Fermo restando quanto disposto dal comma 3, se un’impresa è soggetta agli obblighi di cui all’articolo 83 e 84 relativi all’accesso all’ingrosso all’infrastruttura della rete, l’Autorità assicura la pubblicazione di un’offerta di riferimento tenendo nella massima considerazione le linee guida del BEREC sui criteri minimi per un’offerta di riferimento di cui all’articolo 69 della direttiva (UE) 2018/1972, assicura, se pertinente, che siano specificati gli indicatori chiave di prestazione nonché i corrispondenti livelli dei servizi e monitorano accuratamente e ne garantiscono la conformità con essi.

Articolo 81

(ex Articolo 70 eecc – Articolo 47 Codice 2003)

(Obblighi di non discriminazione)

1. Ai sensi dell’articolo 79, l’Autorità può imporre obblighi di non discriminazione in relazione all’interconnessione o all’accesso.

2. Gli obblighi di non discriminazione garantiscono, in particolare, che l’impresa applichi condizioni equivalenti in circostanze equivalenti nei confronti di altri fornitori di servizi equivalenti, e inoltre che essa fornisca a terzi servizi e informazioni garantendo condizioni e un livello di qualità identici a quelli che assicura per i propri servizi o per i servizi delle proprie società consociate o dei propri partner commerciali. L’Autorità può imporle l’obbligo di fornire prodotti e servizi di acceso a tutte le imprese, compresa la propria, negli stessi tempi, termini e condizioni, incluse quelle relative ai livelli di prezzi e servizi, e attraverso gli stessi sistemi e processi, al fine di garantire l’equivalenza dell’accesso.

Articolo 82

(ex Articolo 71 eecc- Articolo 48 Codice 2003)

(Obbligo di separazione contabile)

1. Ai sensi dell’articolo 79, l’Autorità può imporre obblighi di separazione contabile in relazione a particolari attività nell’ambito dell’interconnessione o dell’accesso., l’Autorità può obbligare un’impresa verticalmente integrata a rendere trasparenti i propri prezzi all’ingrosso e i prezzi di trasferimento interno, segnatamente per garantire l’osservanza di un obbligo di non discriminazione ai sensi dell’articolo 81 o, se del caso, per evitare sussidi incrociati abusivi. L’Autorità può specificare il formato e la metodologia contabile da usare.

2. Fatto salvo quanto disposto dall’articolo 20, per agevolare la verifica dell’osservanza degli obblighi di trasparenza e di non discriminazione, l’Autorità può richiedere che siano prodotte le scritture contabili, compresi i dati relativi alle entrate provenienti da terzi. L’Autorità può pubblicare informazioni che contribuiscano a un mercato aperto e concorrenziale, in conformità del diritto dell’Unione e nazionale sulla riservatezza commerciale.

Articolo 83

(ex Articolo 72 eecc)

(Accesso alle infrastrutture di ingegneria civile)

1. L’Autorità può imporre alle imprese, conformemente all’articolo 79, l’obbligo di soddisfare le richieste ragionevoli di accesso e di uso di infrastrutture di ingegneria civile, compresi, ma non limitatamente a questi, edifici o accessi a edifici, cablaggio degli edifici, inclusi cavi, antenne, torri e altre strutture di supporto, pali, piloni, cavidotti, tubature, camere di ispezione, pozzetti e armadi di distribuzione, nei casi in cui, considerata l’analisi di mercato, l’Autorità concluda che il rifiuto di concedere l’accesso o l’imposizione di termini e condizioni non ragionevoli d’accesso o di condizioni di effetto equivalente ostacolerebbe l’emergere di una concorrenza sostenibile sul mercato e non sarebbe nell’interesse dell’utente finale.

2. L’Autorità può imporre a un’impresa l’obbligo di fornire l’accesso conformemente al presente articolo, indipendentemente dal fatto che le attività interessate dall’obbligo facciano parte del mercato rilevante conformemente all’analisi di mercato, a condizione che l’obbligo sia necessario e proporzionato a realizzare gli obiettivi di cui all’articolo 4.

Articolo 84

(ex Articolo 73 eecc – Articolo 49 Codice 2003)

(Obblighi in materia di accesso e di uso di determinati elementi di rete e risorse correlate)

1. In conformità dell’articolo 79, l’Autorità può imporre alle imprese l’obbligo di soddisfare richieste ragionevoli di accesso e l’uso di determinati elementi di rete e risorse correlate, in particolare qualora reputi che il rifiuto di concedere l’accesso o termini e condizioni non ragionevoli di effetto equivalente ostacolerebbero l’emergere di una concorrenza sostenibile sul mercato al dettaglio e sarebbero contrarie agli interessi dell’utente finale. L’Autorità può imporre alle imprese:

a) di concedere a terzi l’accesso a specifici elementi fisici di rete e risorse correlate, nonché il relativo uso, secondo i casi, ivi compreso l’accesso disaggregato alla rete e alla sottorete locale;

b) di concedere a terzi l’accesso a specifici elementi e servizi di rete attivi o virtuali;

c) di negoziare in buona fede con le imprese che chiedono un accesso;

d) di non revocare l’accesso alle risorse concesso in precedenza;

e) di fornire specifici servizi all’ingrosso per la rivendita da parte di terzi;

f) di concedere un accesso aperto alle interfacce tecniche, ai protocolli o ad altre tecnologie d’importanza decisiva, indispensabili per l’interoperabilità dei servizi o dei servizi di reti virtuali;

g) di consentire la coubicazione o altre forme di condivisione associata degli impianti;

h) di fornire determinati servizi necessari per garantire agli utenti l’interoperabilità punto a punto dei servizi o servizi di roaming per le reti mobili;

i) di garantire l’accesso ai sistemi di supporto operativo o a sistemi software analoghi necessari per garantire eque condizioni di concorrenza nella fornitura dei servizi;

l) di interconnettere reti o risorse di rete;

m) di fornire l’accesso a servizi correlati come quelli relativi all’identità, alla posizione e allá presenza.

2. L’Autorità può assoggettare tali obblighi a condizioni di equità, ragionevolezza e tempestività.

Nel valutare l’opportunità di imporre qualsiasi fra i possibili obblighi specifici di cui al comma 1, e soprattutto le relative idoneità e modalità di imposizione conformemente al principio di proporzionalità, l’Autorità valuta se altre forme di accesso a input all’ingrosso, nello stesso mercato all’ingrosso o in un mercato all’ingrosso connesso, sarebbero sufficienti a dare soluzione al problema individuato nell’interesse dell’utente finale. Detta valutazione comprende offerte di accesso commerciale, l’accesso regolamentato a norma dell’articolo 72 o l’accesso regolamentato esistente o previsto ad altri input all’ingrosso a norma del presente articolo. L’Autorità tiene conto, in particolare, dei seguenti fattori:

a) fattibilità tecnica ed economica dell’uso o dell’installazione di risorse concorrenti, alla luce del ritmo di evoluzione del mercato, tenuto conto della natura e del tipo di interconnessione o di accesso in questione, fra cui la fattibilità di altri prodotti di accesso upstream quale l’accesso ai condotti;

b) evoluzione tecnologica prevista che incida sulla progettazione e sulla gestione della rete;

c) necessità di garantire la neutralità tecnologica che consenta alle parti di progettare e gestire le proprie reti;

d) fattibilità della fornitura dell’accesso offerto, in relazione alla capacità disponibile;

e) investimenti iniziali del proprietario delle risorse, tenendo conto di qualsiasi investimento pubblico effettuato e dei rischi connessi a tali investimenti, con particolare riguardo agli investimenti nelle reti ad altissima capacità e ai livelli di rischio connessi;

f) necessità di tutelare la concorrenza a lungo termine, con particolare attenzione a una concorrenza infrastrutturale economicamente efficace e a modelli di business innovativi che favoriscono la concorrenza sostenibile, come quelli basati sul coinvestimento nelle reti;

g) se del caso, eventuali diritti di proprietà intellettuale applicabili;

h) fornitura di servizi paneuropei.

3. Qualora l’Autorità prenda in considerazione, conformemente all’articolo 79, di imporre obblighi sulla base dell’articolo 83 o del presente articolo, valuta se l’imposizione di obblighi a norma del solo articolo 83 sarebbe uno strumento proporzionato con cui promuovere la concorrenza e gli interessi degli utenti finali.

4. L’Autorità, nell’imporre a un’impresa l’obbligo di concedere l’accesso ai sensi del presente articolo, può stabilire condizioni tecniche o operative che devono essere soddisfatte dal fornitore di servizi o dai beneficiari di tale accesso, ove necessario per garantire il funzionamento normale della rete. L’obbligo di rispettare determinate norme o specifiche tecniche è conforme alle norme e alle specifiche stabilite conformemente all’articolo 39.

Articolo 85

(Obblighi in materia di controllo dei prezzi e di contabilità dei costi)

(ex Articolo 74 eecc – Articolo 50 Codice 2003

1. Ai sensi dell’articolo 79, per determinati tipi di interconnessione o di accesso, l’Autorità può imporre obblighi in materia di recupero dei costi e controllo dei prezzi, tra cui l’obbligo che i prezzi siano orientati ai costi, nonché l’obbligo di disporre di un sistema di contabilità dei costi, qualora l’analisi del mercato riveli che l’assenza di un’effettiva concorrenza comporta che l’impresa interessata potrebbe mantenere prezzi a un livello eccessivamente elevato o comprimere i prezzi a scapito dell’utenza finale. Nel determinare l’opportunità di imporre obblighi di controllo dei prezzi, l’Autorità prende in considerazione la necessità di promuovere la concorrenza e gli interessi a lungo termine degli utenti finali relativi alla realizzazione e alla diffusione delle reti di prossima generazione, in particolare delle reti ad altissima capacità. In particolare, per incoraggiare gli investimenti effettuati dall’impresa anche nelle reti di prossima generazione, l’Autorità tiene conto degli investimenti effettuati dall’impresa. Se considera opportuni gli obblighi di controllo dei prezzi, l’Autorità consente all’impresa un ragionevole margine di profitto sul capitale investito, di volume congruo, in considerazione di eventuali rischi specifici di un nuovo progetto particolare di investimento nella rete. L’Autorità valuta la possibilità di non imporre né mantenere obblighi a norma del presente articolo se accerta l’esistenza di un vincolo dimostrabile sui prezzi al dettaglio e se constata che gli obblighi imposti in conformità degli articoli da 80 a 84, inclusi, in particolare, i test di replicabilità economica imposti a norma dell’articolo 81, garantiscono un accesso efficace e non discriminatorio. Se ritiene opportuno imporre obblighi di controllo dei prezzi per l’accesso a elementi di rete esistenti, l’Autorità tiene anche conto dei vantaggi derivanti dalla prevedibilità e dalla stabilità dei prezzi all’ingrosso per garantire un ingresso sul mercato efficiente e incentivi sufficienti per tutte le imprese alla realizzazione di reti nuove e migliorate.

2. L’Autorità provvede affinché tutti i meccanismi di recupero dei costi o metodi di determinazione dei prezzi resi obbligatori servano a promuovere la realizzazione di reti nuove e migliorate, l’efficienza e la concorrenza sostenibile e ottimizzino i vantaggi duraturi per gli utenti finali. Al riguardo l’Autorità può anche tener conto dei prezzi applicati in mercati concorrenziali comparabili.

3. Qualora un’impresa abbia l’obbligo di orientare i propri prezzi ai costi, ha l’onere della prova che il prezzo applicato si basa sui costi, maggiorati di un ragionevole margine di profitto sugli investimenti. Per determinare i costi di un’efficiente fornitura di servizi, l’Autorità può approntare una contabilità dei costi indipendente da quella usata dagli operatori. L’Autorità può esigere che un’impresa giustifichi pienamente i propri prezzi e, ove necessario, li adegui.

4. L’Autorità provvede affinché, qualora sia obbligatorio istituire un sistema di contabilità dei costi a sostegno di una misura di controllo dei prezzi, sia pubblicata una descrizione di tale sistema, che illustri quanto meno le categorie principali di costi e le regole di ripartizione degli stessi. Un organismo indipendente qualificato verifica la conformità al sistema di contabilità dei costi e pubblica annualmente una dichiarazione di conformità al sistema.

Articolo 86

(Tariffe di terminazione)

(ex Articolo 75 eecc)

1. L’Autorità monitora e garantisce il rispetto dell’applicazione delle tariffe di terminazione per le chiamate vocali a livello dell’Unione europea da parte dei fornitori di servizi di terminazione per le chiamate vocali, determinate con atto delegato della Commissione europea a norma dell’articolo 75, paragrafo 1, della direttiva (UE) 2018/1972.

2. L’Autorità può richiedere in qualsiasi momento che un fornitore di servizi di terminazione per le chiamate vocali modifichi la tariffa che applica ad altre imprese se non rispetta l’atto delegato di cui al comma 1.

3. Qualora la Commissione europea decida, a seguito della sua revisione dell’atto delegato, di cui al comma 1, di non imporre una tariffa massima di terminazione per le chiamate vocali su reti fisse, su reti mobili o su nessuna di queste, l’Autorità può condurre l’analisi dei mercati della terminazione di chiamate vocali conformemente all’articolo 78 per valutare se sia necessario imporre obblighi di regolamentazione. Qualora, in base all’analisi di mercato, imponga tariffe di terminazione orientate ai costi in un mercato rilevante, l’Autorità rispetta i principi, criteri e parametri indicati all’allegato 3 e il relativo progetto di misura è soggetto alle procedure di cui agli articoli 23, 33 e 34.

4. L’ Autorità riferisce annualmente alla Commissione europea e al BEREC in merito all’applicazione del presente articolo.

Articolo 87

(Trattamento normativo dei nuovi elementi di rete ad altissima capacità)

(ex Articolo 76 eecc)

1. Le imprese che sono state designante come detentrici di un significativo potere di mercato in uno o più mercati rilevanti ai sensi dell’articolo 78, possono offrire impegni in conformità della procedura di cui all’articolo 90 e fatto salvo quanto previsto dal comma 2, per aprire al coinvestimento la realizzazione di una nuova rete ad altissima capacità che consista di elementi in fibra ottica fino ai locali degli utenti finali o alla stazione di base, ad esempio proponendo la contitolarità o la condivisione del rischio a lungo termine attraverso cofinanziamento o accordi di acquisto che comportano diritti specifici di carattere strutturale da parte di altri fornitori di reti o servizi di comunicazione di comunicazione elettronica.

2. Quando valuta tali impegni, l’Autorità determina, acquisendo ove opportuno, il parere dell’Autorità garante della concorrenza e del mercato, se l’offerta di coinvestimento soddisfa tutte le condizioni seguenti:

a) è aperta in qualsiasi momento durante il periodo di vita della rete a qualsiasi fornitore di reti o servizi di comunicazione elettronica;

b) consentirebbe ad altri coinvestitori che sono fornitori di reti o servizi di comunicazione elettronica di competere efficacemente e in modo sostenibile sul lungo termine nei mercati a valle in cui l’impresa designata come detentrice di un significativo potere di mercato è attiva, secondo modalità che comprendono:

1) condizioni eque, ragionevoli e non discriminatorie che consentano l’accesso all’intera capacità della rete nella misura in cui essa sia soggetta al coinvestimento;

2) flessibilità in termini del valore e della tempistica della partecipazione di ciascun coinvestitore;

3) la possibilità di incrementare tale partecipazione in futuro;

4) la concessione di diritti reciproci fra i coinvestitori dopo la realizzazione dell’infrastruttura oggetto del coinvestimento;

c) è resa pubblica dall’impresa in modo tempestivo e, se l’impresa non possiede le caratteristiche elencate all’articolo 91, comma 1, almeno sei mesi prima dell’avvio della realizzazione della nuova rete.

d) i richiedenti l’accesso che non partecipano al coinvestimento possono beneficiare fin dall’inizio della stessa qualità e velocità, delle medesime condizioni e della stessa raggiungibilità degli utenti finali disponibili prima della realizzazione, accompagnate da un meccanismo di adeguamento nel corso del tempo, confermato dall’Autorità, alla luce degli sviluppi sui mercati al dettaglio correlati, che mantenga gli incentivi a partecipare al coinvestimento; tale meccanismo fa si che i richiedenti l’accesso abbiano accesso agli elementi ad altissima capacità della rete contemporaneamente e sulla base di condizioni trasparenti e non discriminatorie in modo da rispecchiare adeguatamente i gradi di rischio sostenuti dai rispettivi coinvestitori nelle diverse fasi della realizzazione e tengano conto della situazione concorrenziale sui mercati al dettaglio;

e) è conforme almeno ai criteri di cui all’allegato 5 ed è presentata secondo i canoni di diligenza, correttezza, completezza e veridicità delle informazioni fornite.

3. L’Autorità, se conclude, prendendo in considerazione i risultati del test del mercato condotto conformemente all’articolo 91, che l’impegno di coinvestimento offerto soddisfa le condizioni indicate al comma 2 del presente articolo, rende l’impegno vincolante ai sensi dell’articolo 90, comma 3, e in conformità con il principio di proporzionalità non impone obblighi supplementari a norma dell’articolo 79 per quanto concerne gli elementi della nuova rete ad altissima capacità oggetto degli impegni, se almeno un potenziale coinvestitore ha stipulato un accordo di coinvestimento con l’impresa designata come detentrice di un significativo potere di mercato.

4. Il comma 3 lascia impregiudicato il trattamento normativo delle circostanze che, tenendo conto dei risultati di eventuali test del mercato condotti conformemente all’articolo 90, comma 2, non soddisfano le condizioni indicate al comma 1 del presente articolo, ma incidono sulla concorrenza e sono prese in considerazione ai fini degli articoli 78 e 79. In deroga al comma 3, l’Autorità può, in casi debitamente giustificati, imporre, mantenere o adeguare misure correttive in conformità degli articoli da 79 a 85 per quanto concerne le nuove reti ad altissima capacità al fine di risolvere notevoli problemi di concorrenza in mercati specifici qualora stabilisce che, viste le caratteristiche specifiche di tali mercati, detti problemi di concorrenza non potrebbero essere risolti altrimenti.

5. L’Autorità monitora costantemente il rispetto delle condizioni di cui al comma 1 e può imporre all’impresa designata come detentrice di un significativo potere di mercato di fornire una propria dichiarazione annuale di conformità. Il presente articolo lascia impregiudicato il potere dell’Autorità di adottare decisioni a norma dell’articolo 26, comma 1, qualora insorga una controversia tra imprese nell’ambito di un accordo di coinvestimento che si ritiene rispetti le condizioni stabilite al comma 1 del presente articolo.

6. L’Autorità tiene conto delle linee guida del BEREC di cui all’articolo 76, paragrafo 4, della direttiva (UE) 2018/1972.

Articolo 88

(Separazione funzionale)

(ex Articolo 77 eecc- Articolo 50-bis Codice 2003)

1. L’Autorità, qualora accerti che gli obblighi appropriati imposti ai sensi degli articoli da 80 a 85 si sono rivelati inefficaci per conseguire un’effettiva concorrenza e che esistono importanti e persistenti problemi di concorrenza o fallimenti del mercato individuati in relazione alla fornitura all’ingrosso di taluni mercati di prodotti di accesso, può, in via eccezionale e conformemente all’articolo 79 comma 2, secondo paragrafo, imporre alle imprese verticalmente integrate l’obbligo di collocare le attività relative alla fornitura all’ingrosso di detti prodotti di accesso in un’entità commerciale operante in modo indipendente. Tale entità commerciale deve fornire prodotti e servizi di accesso a tutte le imprese, incluso alle altre entità commerciali all’interno della società madre, negli stessi tempi, agli stessi termini e condizioni, inclusi quelli relativi ai livelli di prezzi e servizi e attraverso gli stessi sistemi e le stesse procedure.

2. Ove intenda imporre un obbligo di separazione funzionale, l’Autorità presenta una richiesta allá Commissione europea fornendo:

a) le prove degli esiti degli accertamenti effettuati dall’Autorità descritti al comma 1;

b) una valutazione motivata dalla quale si deduca che le prospettive di una concorrenza effettiva e sostenibile basata sulle infrastrutture sono scarse o assenti;

c) un’analisi dell’impatto previsto dall’Autorità, sull’impresa, in particolare sulla forza lavoro dell’impresa separata, sul settore delle comunicazioni elettroniche nel suo insieme e sugli incentivi a investirvi, in particolare per quanto riguarda la necessità di garantire la coesione sociale e territoriale, nonché sugli altri soggetti interessati, compreso in particolare l’impatto previsto sulla concorrenza e ogni potenziale effetto risultante sui consumatori;

d) un’analisi delle ragioni per cui l’obbligo in questione sarebbe lo strumento più efficace per applicare le misure correttive volte a ovviare ai problemi di concorrenza o ai fallimenti del mercato individuati.

3. Il progetto di misura di separazione funzionale comprende i seguenti elementi:

a) la natura e il livello di separazione precisi, specificando, in particolare, lo status giuridico dell’entità commerciale separata;

b) l’individuazione dei beni dell’entità commerciale separata e i prodotti o servizi che tale entità deve fornire;

c) le disposizioni gestionali per assicurare l’indipendenza del personale dell’entità commerciale separata e gli incentivi corrispondenti;

d) le norme per garantire l’osservanza degli obblighi;

e) le norme per assicurare la trasparenza delle procedure operative, in particolare nei confronti delle altre parti interessate;

f) un programma di controllo per assicurare l’osservanza degli obblighi, inclusa la pubblicazione di una relazione annuale.

4. A seguito della decisione della Commissione europea sul progetto di misura adottato conformemente all’articolo 79, comma 3, l’Autorità effettua un’analisi coordinata dei diversi mercati collegati alla rete di accesso secondo la procedura di cui all’articolo 78. Sulla base di detta analisi, l’Autorità impone, mantiene, modifica o revoca gli obblighi conformemente alle procedure indicate gli articoli 23 e 33.

5. Un’impresa alla quale sia stata imposta la separazione funzionale può essere soggetta a uno qualsiasi degli obblighi di cui agli articoli 80 a 85 in ogni mercato specifico nel quale è stato stabilito che l’impresa dispone di un significativo potere di mercato ai sensi dell’articolo 78 oppure a qualsiasi altro obbligo autorizzato dalla Commissione europea conformemente all’articolo 79 comma 2.

Articolo 89

(Separazione volontaria da parte di un’impresa verticalmente integrata)

(ex Articolo 78 eecc – Articolo 50-ter Codice 2003)

1. Le imprese che siano state designate come aventi un significativo potere di mercato in uno o più mercati rilevanti ai sensi dell’articolo 78 informano l’Autorità almeno con un preavviso di novanta giorni prima di qualsiasi trasferimento delle loro attività nelle reti di accesso locale, o una parte significativa di queste, a un soggetto giuridico separato sotto controllo di terzi, o istituzione di un’entità commerciale separata per fornire a tutti i fornitori al dettaglio, comprese le proprie divisioni al dettaglio, prodotti di accesso pienamente equivalenti. Tali imprese informano inoltre l’Autorità in merito a eventuali cambiamenti di tale intenzione, nonché del risultato finale del processo di separazione. Tali imprese possono anche offrire impegni per quanto riguarda le condizioni di accesso che si applicheranno alla loro rete durante un periodo di attuazione dopo che la forma di separazione proposta è stata adottata al fine di assicurare un accesso effettivo e non discriminatorio da parte di terzi. L’offerta di impegni deve essere sufficientemente dettagliata, anche per quanto riguarda i tempi di attuazione e la durata, al fine di consentire all’Autorità di svolgere i propri compiti ai sensi del comma 2 del presente articolo. Tali impegni possono prorogarsi al di là del periodo massimo per le analisi di mercato fissato all’articolo 78, comma 7.

2. L’Autorità valuta l’effetto della transazione prevista, se del caso insieme agli impegni offerti, sugli obblighi normativi esistenti in base al presente decreto. A tal fine, l’Autorità conduce un’analisi dei vari mercati collegati alla rete d’accesso secondo la procedura di cui all’articolo 78.

L’Autorità tiene conto degli impegni offerti dall’impresa, con particolare riguardo agli obiettivi indicati all’articolo 4. A tal fine l’Autorità consulta soggetti terzi conformemente all’articolo 23 e si rivolge, in particolare, ai terzi che sono direttamente interessati dalla transazione prevista. Sulla base della propria analisi, l’Autorità, acquisendo ove opportuno il parere dell’Autorità garante della concorrenza e del mercato, impone, mantiene, modifica o revoca obblighi conformemente alle procedure di cui agli articoli 23 e 33, applicando, se del caso, l’articolo 91. Nella sua decisione l’Autorità può rendere vincolanti gli impegni, totalmente o parzialmente. In deroga all’articolo 78, comma 5, l’Autorità può rendere vincolanti gli impegni, totalmente o parzialmente, per l’intero periodo per cui sono offerti.

3. Fatto salvo l’articolo 91, l’entità commerciale separata dal punto di vista giuridico o operativo che è stata designata come detentrice di un significativo potere di mercato in ogni mercato specifico ai sensi dell’articolo 78 può essere soggetta, se del caso, a uno qualsiasi degli obblighi di cui agli articoli da 80 a 85 oppure a qualsiasi altro obbligo autorizzato dalla Commissione europea conformemente all’articolo 79, comma 2, qualora gli impegni offerti siano insufficienti a conseguire gli obiettivi indicati all’articolo 4.

4. L’Autorità controlla l’attuazione degli impegni offerti dalle imprese che ha reso vincolanti ai sensi di quanto disposto dal comma 2 e valuta se prorogarli quando è scaduto il periodo per il quale sono inizialmente offerti.

Articolo 90

(Procedura relativa agli impegni)

(ex Articolo 79 eecc)

1. Le imprese designate come detentrici di un significativo potere di mercato possono offrire all’Autorità impegni per quanto riguarda le condizioni di accesso o di coinvestimento, o entrambe, applicabili alle loro reti per quanto concerne, tra l’altro:

a) gli accordi di cooperazione rilevanti per la valutazione degli obblighi appropriati e proporzionati a norma dell’articolo 79;

b) il coinvestimento nelle reti ad altissima capacità ai sensi dell’articolo 87;

c) l’accesso effettivo e non discriminatorio da parte di terzi, a norma dell’articolo 67, sia durante un periodo di attuazione della separazione volontaria da parte di un’impresa verticalmente integrata sia dopo l’attuazione della forma di separazione proposta.

2. L’offerta di impegni è sufficientemente dettagliata, anche per quanto riguarda i tempi e l’ambito della loro applicazione, nonché la loro durata, per consentire all’Autorità di svolgere la propria valutazione ai sensi del comma 2 del presente articolo. Tali impegni possono prorogarsi al di là dei periodi di svolgimento delle analisi di mercato di cui all’articolo 78, comma 7.

3. Per valutare gli impegni offerti da un’impresa ai sensi del comma 1 del presente articolo, l’Autorità, salvo ove tali impegni non soddisfino chiaramente una o più condizioni o criterio pertinenti, esegue un test del mercato, in particolare in merito alle condizioni offerte, conducendo una consultazione pubblica delle parti interessate, in particolare i terzi direttamente interessati. I potenziali coinvestitori o richiedenti l’accesso possono fornire pareri in merito alla conformità degli impegni offerti alle condizioni di cui agli articoli 79, 87 o 89, ove applicabili, e proporre cambiamenti.

4. Per quanto concerne gli impegni offerti a norma del presente articolo, nel valutare gli obblighi di cui all’articolo 79, comma 6, l’Autorità tiene conto, in particolare:

a) delle prove riguardanti la natura equa e ragionevole degli impegni offerti;

b) dell’apertura degli impegni a tutti i partecipanti al mercato;

c) della tempestiva disponibilità dell’accesso a condizioni eque, ragionevoli e non discriminatorie, anche alle reti ad altissima capacità, prima del lancio dei relativi servizi al dettaglio;

d) della capacità generale degli impegni offerti di consentire una concorrenza sostenibile nei mercati a valle e di agevolare l’introduzione e la diffusione cooperative di reti ad altissima capacità, nell’interesse degli utenti finali.

5. Tenendo conto di tutti i pareri espressi durante la consultazione, nonchè della misura in cui tali pareri sono rappresentativi delle varie parti interessate, l’Autorità comunica all’impresa designata come detentrice di un significativo potere di mercato le sue conclusioni preliminari atte a determinare se gli impegni offerti siano conformi agli obiettivi, ai criteri e alle procedure di cui al presente articolo e, ove applicabili, all’articolo 79, 87 o 89 a quali condizioni potrebbe prendere in considerazione la possibilità di rendere detti impegni vincolanti. L’impresa può rivedere la sua offerta iniziale al fine di tenere conto delle conclusioni preliminari dell’autorità nazionale e di soddisfare i criteri di cui al presente articolo e, ove applicabili, all’articolo 79, 87 o 89.

6. Fatto salvo l’articolo 87 comma 3, l’Autorità può decidere di rendere gli impegni vincolanti, totalmente o parzialmente. In deroga all’articolo 78 comma 7, l’Autorità può rendere vincolanti alcuni o tutti gli impegni per uno specifico periodo, che può corrispondere all’intero periodo per cui sono offerti e, nel caso degli impegni di coinvestimento resi vincolanti ai sensi dell’articolo 87 comma 3, li rende vincolanti per almeno sette anni. Fatto salvo l’articolo 87, il presente articolo lascia impregiudicata l’applicazione della procedura per l’analisi del mercato ai sensi dell’articolo 78 e l’imposizione di obblighi ai sensi dell’articolo 78. Qualora renda gli impegni vincolanti a norma del presente articolo, l’Autorità valuta, ai sensi dell’articolo 79, le conseguenze di tale decisione per l’evoluzione del mercato e l’appropriatezza di qualsiasi obbligo che abbia imposto o che, in assenza di tali impegni, avrebbe considerato di imporre a norma di detto articolo o degli articoli da 80 a 85. Al momento della notifica del progetto di misura pertinente ai sensi dell’articolo 79 in conformità dell’articolo 33, l’Autorità accompagna il progetto di misura notificato con la decisione sugli impegni.

7. L’Autorità controlla, vigila e garantisce il rispetto degli impegni che essa ha reso vincolanti conformemente al comma 3 del presente articolo nello stesso modo in cui controlla, sorveglia e garantisce il rispetto degli obblighi imposti ai sensi dell’articolo 79 e valuta se prorogarli per il periodo per il quale sono stati resi vincolanti quando è scaduto il periodo di tempo iniziale. Se conclude che un’impresa non ha soddisfatto gli impegni che sono stati resi vincolanti conformemente al comma 3 del presente articolo, l’Autorità può comminare sanzioni in conformità dell’articolo 30. Fatta salva la procedura tesa a garantire l’osservanza di obblighi specifici ai sensi dell’articolo 32 l’Autorità può rivalutare gli obblighi imposti ai sensi dell’articolo 79 comma 6.

Articolo 91

(Imprese attive esclusivamente sul mercato all’ingrosso)

(ex Articolo 80 eecc)

1. Quando l’Autorità designa un’impresa assente dai mercati al dettaglio dei servizi di comunicazione elettronica come avente un significativo potere di mercato in uno o più mercati all’ingrosso conformemente all’articolo 78, acquisendo ove opportuno il parere dell’Autorità garante della concorrenza e del mercato, valuta se l’impresa presenta le seguenti caratteristiche:

a) tutte le società e le unità commerciali all’interno dell’impresa, tutte le società che sono controllate, ma non necessariamente del tutto appartenenti allo stesso proprietario apicale, nonché qualsiasi azionista in grado di esercitare un controllo sull’impresa, svolgono attività, attuali e previste per il futuro, solo nei mercati all’ingrosso dei servizi di comunicazione elettronica e pertanto non svolgono attività in un mercato al dettaglio dei servizi di comunicazione elettronica forniti agli utenti finali;

b) l’impresa non è tenuta a trattare con un’unica impresa separata operante a valle che è attiva in un mercato al dettaglio dei servizi di comunicazione elettronica forniti a utenti finali in virtù di un contratto di esclusiva o un accordo che rappresenta di fatto un contratto di esclusiva.

2. L’Autorità, se ritiene che le condizioni di cui al comma 1 del presente articolo siano soddisfatte, e conformemente al principio di proporzionalità, può imporre a detta impresa designata di cui al comma 1, solo obblighi a norma degli articoli 81 a 84 o inerenti a prezzi equi e ragionevoli, se giustificato in base a un’analisi di mercato che comprenda una valutazione in prospettiva del probabile comportamento dell’impresa designata come detentrice di un significativo potere di mercato.

3. L’Autorità rivede in qualsiasi momento gli obblighi imposti all’impresa a norma del presente articolo se ritiene che le condizioni di cui al comma 1 non siano più rispettate e applica, a seconda dei casi, gli articoli da 78 a 85. Le imprese informano senza indebito ritardo l’Autorità di qualsiasi modifica delle circostanze di cui al comma 1, lettere a) e b), del presente articolo.

4. L’Autorità rivede altresì gli obblighi imposti all’impresa a norma del presente articolo se, sulla base di prove dei termini e delle condizioni offerti dall’impresa ai clienti a valle, conclude che sono sorti o potrebbero sorgere problemi di concorrenza a scapito degli utenti finali che richiedono l’imposizione di uno o più obblighi di cui agli articoli 80, 82, 84 o 85, o la modifica degli obblighi imposti a norma del comma 2 del presente articolo.

5. L’imposizione di obblighi e la loro revisione a norma del presente articolo sono attuate in conformità delle procedure di cui agli articoli 23, 33 e 34.

Articolo 92

(Migrazione dalle infrastrutture preesistenti)

(ex Articolo 81 eecc)

1. Le imprese che sono state designate come aventi un significativo potere di mercato in uno o più mercati rilevanti ai sensi dell’articolo 78 comunicano anticipatamente e tempestivamente all’Autorità l’intenzione di disattivare o sostituire con nuove infrastrutture parti della rete, comprese le infrastrutture preesistenti necessarie per far funzionare una rete in rame, che sono soggette agli obblighi di cui agli articoli da 79 a 91.

2. L’Autorità provvede affinché il processo di disattivazione o sostituzione comprenda un calendario e condizioni trasparenti, compreso un idoneo periodo di preavviso per la transizione, e preveda la disponibilità di prodotti alternativi per l’accesso alle infrastrutture di rete aggiornate, di qualità almeno comparabile a quella degli elementi sostituiti, se necessario, per garantire la concorrenza e i diritti degli utenti finali. Per quanto riguarda le attività proposte per la disattivazione o la sostituzione, l’Autorità può revocare gli obblighi dopo aver accertato che il fornitore di accesso:

a) ha stabilito le condizioni adeguate per la migrazione, compresa la messa a disposizione di un prodotto di accesso alternativo di qualità almeno comparabile al prodotto disponibile nell’ambito delle infrastrutture preesistenti che consenta ai richiedenti l’accesso di raggiungere gli stessi utenti finali;

b) ha rispettato le condizioni e il processo comunicati all’Autorità conformemente al presente articolo.

3. La revoca è attuata secondo le procedure di cui agli articoli 23, 33 e 34.

4. Il presente articolo non pregiudica la disponibilità di prodotti regolamentati imposta dall’Autorità sull’infrastruttura di rete aggiornata, a norma delle procedure di cui agli articoli 78 e 79.

CAPITOLO V.- Controllo normativo sui servizi al dettaglio

Articolo 93

(Controllo normativo sui servizi al dettaglio)

(ex Articolo 83 eecc)

1. L’Autorità può imporre gli obblighi normativi adeguati alle imprese designate come detentrici di un significativo potere di mercato su un dato mercato al dettaglio ai sensi dell’articolo 74, quando:

a) a seguito di un’analisi di mercato realizzata conformemente all’articolo 78, l’Autorità stabilisce che un dato mercato al dettaglio, definito in conformità dell’articolo 75, non è effettivamente competitivo;

b) l’Autorità conclude che gli obblighi imposti conformemente agli articoli da 80 a 85 non permetterebbero il conseguimento degli obiettivi di cui all’articolo 4.

2. Gli obblighi normativi imposti ai sensi del comma 1 sono correlati al tipo di problema individuato e sono proporzionati e giustificati alla luce degli obiettivi di cui all’articolo 4. Tali obblighi possono prevedere che le imprese identificate non applichino prezzi eccessivi, non impediscano l’ingresso sul mercato né limitino la concorrenza fissando prezzi predatori, non privilegino ingiustamente determinati utenti finali e non accorpino in modo indebito i servizi offerti.

L’Autorità può prescrivere a tali imprese di rispettare determinati massimali per quanto riguarda i prezzi al dettaglio, di controllare le singole tariffe o di orientare le proprie tariffe ai costi o ai prezzi su mercati comparabili al fine di tutelare gli interessi degli utenti finali e promuovere nel contempo un’effettiva concorrenza.

3. L’Autorità provvede affinché ogni impresa soggetta a regolamentazione delle tariffe al dettaglio o ad altri pertinenti controlli al dettaglio applichi i necessari e adeguati sistemi di contabilità dei costi. L’Autorità può specificare il formato e la metodologia contabile da usare. La conformità al sistema di contabilità dei costi è verificata da un organismo indipendente qualificato. L’Autorità provvede affinché ogni anno sia pubblicata una dichiarazione di conformità.

4. Fatti salvi gli articoli 95 e 98, l’Autorità non applica i meccanismi di controllo al dettaglio di cui al comma 1 del presente articolo a mercati geografici o a mercati al dettaglio nei quali abbia accertato l’esistenza di una concorrenza effettiva.

PARTE III.- SERVIZI

TITOLO I.- OBBLIGHI DI SERVIZIO UNIVERSALE

Articolo 94

(Servizio universale a prezzi accessibili)

(ex Articolo 84 eecc – Articolo 6 cod. 2003)

1. Su tutto il territorio nazionale i consumatori hanno diritto ad accedere a un prezzo accessibile, tenuto conto delle specifiche circostanze nazionali, a un adeguato servizio di accesso a internet a banda larga e a servizi di comunicazione vocale, che siano disponibili, al livello qualitativo specificato, ivi inclusa la connessione sottostante, in postazione fissa, da parte di almeno un operatore. Il Ministero e l’Autorità, nell’ambito delle rispettive competenze, vigilano sull’applicazione del presente comma.

2. L’Autorità può assicurare l’accessibilità economica dei servizi di cui al comma 1 non forniti in postazione fissa qualora lo ritenga necessario per garantire la piena partecipazione sociale ed economica dei consumatori alla società.

3. L’Autorità definisce, alla luce delle circostanze nazionali e della larghezza minima di banda di cui dispone la maggioranza dei consumatori nel territorio italiano, e tenendo conto della relazione del BEREC sulle migliori prassi, il servizio di accesso adeguato a internet a banda larga ai fini del comma 1 al fine di garantire la larghezza di banda necessaria per la partecipazione sociale ed economica alla società. Il servizio di accesso adeguato a internet a banda larga è in grado di fornire la larghezza di banda necessaria per supportare almeno l’insieme minimo di servizi di cui all’allegato 5.

4. Quando un consumatore lo richiede, la connessione di cui al comma 1 e, se del caso, al comma 2 può limitarsi a supportare i servizi di comunicazione vocale.

5. Il Ministero, sentita l’Autorità, può estendere l’ambito di applicazione del presente articolo agli utenti finali che sono microimprese, piccole e medie imprese e organizzazioni senza scopo di lucro.

6. Il Ministero, attraverso i suoi Ispettorati territoriali, verifica che l’operatore rispetti gli obblighi e le condizioni economiche fissate dall’Autorità. L’operatore è tenuto a consentire l’accesso, presso i propri siti, del personale incaricato dell’Ispettorato, ai fini del controllo ispettivo.

Articolo 95

(Prestazioni di servizio universale a prezzi accessibili)

(ex Articolo 85 eecc – artt. 57 e 58 Codice 2003)

1. L’Autorità vigila sull’evoluzione e sul livello dei prezzi al dettaglio dei servizi di cui all’articolo 94 comma 1, praticati sul mercato, in particolare in relazione ai prezzi nazionali e ai redditi nazionali dei consumatori.

2. Se l’Autorità stabilisce che, alla luce delle circostanze nazionali, i prezzi al dettaglio dei servizi di cui all’articolo 94 comma 1, non sono accessibili in quanto i consumatori a basso reddito o con esigenze sociali particolari non possono accedere a tali servizi, adotta misure per garantire a tali consumatori l’accesso a prezzi accessibili a servizi adeguati di internet a banda larga e a servizi di comunicazione vocale almeno in una postazione fissa. A tale scopo, l’Autorità e il Ministero, nell’ambito delle rispettive competenze, possono assicurare sostegno a tali consumatori a fini di comunicazione o esigere che i fornitori di tali servizi offrano ai suddetti consumatori opzioni o formule tariffarie diverse da quelle proposte alle normali condizioni commerciali, o entrambi. A tal fine l’Autorità può esigere che i fornitori interessati applichino tariffe comuni, comprese le perequazioni tariffarie geografiche, su tutto il territorio. In circostanze eccezionali, in particolare nel caso in cui l’imposizione del su citato obbligo a tutti i fornitori porterebbe a un eccessivo onere amministrativo o finanziario dimostrato per i fornitori, l’Autorità può decidere in via eccezionale di imporre solo alle imprese designate l’obbligo di offrire tali opzioni o formule tariffarie specifiche.

L’articolo 96 si applica, se del caso, a tali designazioni. Ove l’Autorità designi delle imprese, garantisce che tutti i consumatori a basso reddito o con esigenze sociali particolari beneficino di una scelta di imprese che offrono opzioni tariffarie che rispondono alle loro esigenze, a meno che garantire tale scelta sia impossibile o crei un ulteriore ed eccessivo onere organizzativo o finanziario. L’Autorità provvede affinché i consumatori aventi diritto a tali opzioni o formule tariffarie abbiano il diritto di concludere un contratto con un fornitore dei servizi di cui all’articolo 94 comma 1, oppure con un’impresa designata ai sensi del presente comma, e che il loro numero rimanga disponibile per un adeguato periodo e si eviti una cessazione ingiustificata del servizio.

3. L’Autorità provvede affinché le imprese che forniscono opzioni o formule tariffarie a consumatori a basso reddito o con esigenze sociali particolari ai sensi del comma 2 tengano informate quest’ultima sui dettagli di tali offerte. L’Autorità provvede affinché le condizioni alle quali le imprese forniscono le opzioni o formule tariffarie di cui al comma 2 siano pienamente trasparenti e siano pubblicate ed applicate nel rispetto del principio di non discriminazione.

L’Autorità può esigere la modifica o la revoca di tali opzioni o formule tariffarie.

4. In funzione delle circostanze nazionali l’Autorità e il Ministero, nell’ambito delle rispettive competenze, provvedono affinché sia fornito un sostegno adeguato ai consumatori con disabilità e siano adottate misure specifiche, se del caso, al fine di assicurare che le relative apparecchiature terminali e le attrezzature e i servizi specifici che promuovono un accesso equivalente, inclusi, se necessario, servizi di conversazione globale e servizi di ritrasmissione, siano disponibili e abbiano prezzi accessibili.

5. Nell’applicare il presente articolo l’Autorità si adopera per ridurre al minimo le distorsioni di mercato.

6. Il Ministero, sentita l’Autorità, può estendere l’ambito di applicazione del presente articolo agli utenti finali che sono microimprese, piccole e medie imprese e organizzazioni senza scopo di lucro.

Articolo 96

(Disponibilità del servizio universale)

(ex Articolo 86 eecc; artt. 53 – 54, 58 e 65 cod. 2003)

1. Se l’Autorità ha stabilito, tenendo conto dei risultati, ove disponibili, della mappatura geográfica svolta ai sensi dell’articolo 22, comma 1, e se del caso, di eventuali ulteriori prove, che la disponibilità in postazione fissa di un servizio di accesso adeguato a internet a banda larga quale definito ai sensi dell’articolo 94 comma 2, e di servizi di comunicazione vocale non può essere garantita alle normali condizioni commerciali o mediante altri strumenti potenziali delle politiche pubbliche sul territorio nazionale o in diverse sue parti, essa può imporre adeguati obblighi di servizio universale per soddisfare tutte le richieste ragionevoli di accesso a tali servizi da parte degli utenti finali nelle relative parti del suo territorio quanto meno da un operatore designato.

2. L’Autorità determina il metodo più efficace e adeguato per garantire la disponibilità in postazione fissa di un servizio di accesso adeguato a internet a banda larga, quale definito ai sensi dell’articolo 94, comma 3, e di servizi di comunicazione vocale nel rispetto dei principi di obiettività, trasparenza, non discriminazione e proporzionalità. L’Autorità si adopera per limitare al minimo le distorsioni del mercato, in particolare la fornitura di servizi a prezzi o ad altre condizioni che divergano dalle normali condizioni commerciali, tutelando nel contempo l’interesse pubblico.

3. In particolare, se l’Autorità decide di imporre obblighi per garantire agli utenti finali la disponibilità in postazione fissa di un servizio di accesso adeguato a internet a banda larga, quale definito ai sensi dell’articolo 94, comma 2 di servizi di comunicazione vocale, può designare una o più imprese perché garantiscano tale disponibilità di accesso internet in tutto il territorio nazionale.

L’Autorità può designare più imprese o gruppi di imprese per la fornitura di un servizio di acceso adeguato a internet a banda larga e di servizi di comunicazione vocale in postazione fissa o per coprire differenti parti del territorio nazionale.

4. Nel designare le imprese che, in tutto il territorio nazionale o in parte di esso, garantiscano la disponibilità di servizi di accesso a internet in conformità al comma 3 del presente articolo, l’Autorità applica un meccanismo di designazione efficace, obiettivo, trasparente e non discriminatorio, in cui nessuna impresa sia esclusa a priori. Tale sistema di designazione garantisce che servizi di accesso adeguato a internet a banda larga e di comunicazione vocale in postazione fissa siano forniti secondo criteri di economicità e consentano di determinare il costo netto dell’obbligo di servizio universale conformemente all’articolo 98-bis.

5. Qualora intenda cedere tutte le sue attività nelle reti di accesso locale, o una parte significativa di queste, a un’entità giuridica separata appartenente a una proprietà diversa, l’impresa designata ai sensi del comma 3 del presente articolo informa preventivamente e tempestivamente l’Autorità per permetterle di valutare l’effetto della transazione prevista sulla fornitura in postazione fissa di un servizio di accesso adeguato a internet a banda larga, quale definito ai sensi dell’articolo 94, comma 2, e di servizi di comunicazione vocale. L’Autorità può imporre, modificare o revocare gli obblighi specifici conformemente all’articolo 13, comma 2.

Articolo 97

(Situazione dei servizi universali esistenti)

(ex Articolo 87 eecc)

1. L’Autorità e il Ministero, per quanto di rispettiva competenza, continuano a garantire la disponibilità o l’accessibilità economica dei servizi diversi dal servizio di accesso adeguato a internet a banda larga, quale definito ai sensi dell’articolo 94, comma 2, e dei servizi di comunicazione vocale in postazione fissa che erano in vigore il 20 dicembre 2018, ove la necessità di tali servizi sia determinata sulla base delle circostanze nazionali. Quando l’Autorità designa imprese per la fornitura di tali servizi in parte o nella totalità del territorio nazionale, si aplica l’articolo 96. Il finanziamento di tali obblighi è conforme a quanto disposto dall’articolo 98-ter. Il Ministero sottopone a riesame gli obblighi imposti a norma del presente articolo entro il 21 dicembre 2022 e, successivamente, ogni tre anni.

Articolo98

(Controllo delle spese)

(ex Articolo 88 eecc; Articolo 60 cod. 2003)

1. Nel fornire le prestazioni e i servizi aggiuntivi rispetto a quelli di cui all’articolo 94, i fornitori di un servizio di accesso adeguato a internet a banda larga e di servizi di comunicazione vocale in conformità degli articoli da 94 a 97 definiscono le condizioni e modalità in modo tale che l’utente finale non sia costretto a pagare prestazioni o servizi che non sono necessari o che non sono indispensabili per il servizio richiesto.

2. I fornitori di un servizio di accesso adeguato a internet a banda larga e di servizi di comunicazione vocale indicati all’articolo 94 che prestano servizi a norma dell’articolo 96 offrono le prestazioni e i servizi specifici di cui all’allegato 6, parte A, secondo quanto applicabile, di modo che i consumatori possano sorvegliare e controllare le proprie spese. Tali fornitori attuano un sistema per evitare una cessazione ingiustificata dei servizi di comunicazione vocale o di un servizio di accesso adeguato a internet a banda larga per i consumatori di cui all’articolo 95, comprendente un meccanismo adeguato per verificare il perdurare dell’interesse a fruire del servizio. Il presente comma si applica anche agli utenti finali che sono microimprese e organizzazioni senza scopo di lucro di cui al decreto legislativo del 3 luglio 2017 n.17.

3. L’Autorità, se constata che le prestazioni sono ampiamente disponibili, può disapplicare le disposizioni del comma 2 in tutto il territorio nazionale o in parte di esso.

Articolo 98-bis

(Costo degli obblighi di servizio universale)

(ex Articolo 89 eecc; Articolo 62 cod. 2003)

1. Allorché l’Autorità ritenga che la fornitura di un servizio di accesso adeguato a internet a banda larga, quale definito ai sensi dell’articolo 94, comma 3, e di servizi di comunicazione vocale di cui agli articoli 94, 95 e 96 o il mantenimento dei servizi universali esistenti di cui all’articolo 97 possano comportare un onere eccessivo per i fornitori dei suddetti servizi tale da richiedere una compensazione finanziaria, calcola i costi netti di tale fornitura. A tal fine, l’Autorità può alternativamente:

a) procedere al calcolo del costo netto degli obblighi di servizio universale, tenendo conto degli eventuali vantaggi commerciali derivanti a uno o più fornitori che forniscono un servizio di acceso adeguato a internet a banda larga, quali definiti ai sensi dell’articolo 94c, comma 2 nonché servizi di comunicazione vocale di cui agli articoli 95, 96 e 97, o il mantenimento dei servizi universali esistenti di cui all’articolo 97, in base alle modalità stabilite nell’allegato 7;

b) utilizzare i costi netti della fornitura del servizio universale individuati in base a un mecanismo di determinazione conforme all’articolo 96 comma 4.

2. I conti e le altre informazioni su cui si basa il calcolo del costo netto degli obblighi di servicio universale di cui al comma 1, lettera a), sono sottoposti alla verifica dell’Autorità o di un organismo indipendente dalle parti interessate e approvato dall’Autorità. I risultati del calcolo e le conclusioni finali della verifica sono messi a disposizione del pubblico.

Articolo 98-ter

(Finanziamento degli obblighi di servizio universale)

(ex Articolo 90 eecc; Articolo 63 cod. 2003)

1. Qualora, sulla base del calcolo del costo netto di cui all’articolo 98-bis, l’Autorità riscontri che uno o più fornitori siano soggetti a un onere eccessivo, decide, previa richiesta del fornitore interessato, di procedere ripartendo il costo netto degli obblighi di servizio universale tra i fornitori di reti e di servizi di comunicazione elettronica.

2. L’Autorità istituisce un meccanismo di ripartizione dei costi, gestito dal Ministero, che rispetta i principi di trasparenza, minima distorsione del mercato, non discriminazione e proporzionalità, in conformità ai principi enunciati all’allegato 7 articolo 2 parte B. Può essere finanziato unicamente il costo netto degli obblighi di cui agli articoli da 94 a 97, calcolato ai sensi dell’articolo 98-bis.

3. L’Autorità può decidere di non chiedere contributi alle imprese il cui fatturato nazionale non raggiunga un determinato limite. Gli eventuali contributi relativi alla ripartizione del costo degli obblighi di servizio universale sono dissociati e definiti separatamente per ciascuna impresa. Tali contributi non sono imposti o prelevati presso imprese che non forniscono servizi nel territorio italiano.

Articolo 98-quater

(Trasparenza)

(ex Articolo 91 eecc; Articolo 64 cod. 2003)

1. L’Autorità, qualora provveda a calcolare il costo netto degli obblighi di servizio universale ai sensi di quanto disposto dall’articolo 98-bis, pubblica i principi e i particolari del metodo di calcolo del costo netto.

2. Qualora sia istituito un sistema di ripartizione del costo netto degli obblighi di servicio universale, l’Autorità pubblica i principi e il metodo di ripartizione dei costi di cui all’articolo 98-ter e il sistema di compensazione del costo netto.

3. Ferme restando le normative dell’Unione europea e nazionali sulla riservatezza commerciale, l’Autorità pubblica una relazione annuale che presenta i dati del costo degli obblighi di servicio universale che risulta dai calcoli effettuati. In particolare, l’Autorità indica nella relazione i contributi di tutte le imprese interessate, compresi gli eventuali vantaggi commerciali di cui abbiano beneficiato le imprese in conseguenza degli obblighi di servizio universale di cui agli articoli da 94 a 97.

Articolo 98-quinques

(Servizi obbligatori supplementari)

(ex Articolo 92 eecc; Articolo 82 cod. 2003)

1. Il Ministero, sentita l’Autorità, può decidere di rendere accessibile al pubblico servicio supplementari rispetto ai servizi compresi negli obblighi di servizio universale di cui agli articoli da 94 a 97. In tali casi non è prescritto un meccanismo di indennizzo che preveda la partecipazione di specifiche imprese.

Titolo II.- Risorse di numerazione

Articolo 98-sexies

(Risorse di numerazione)

(ex Articolo 93 eecc; Articolo 15 cod. 2003)

1. Il Ministero e l’Autorità sono competenti in materia di numerazione, nomi a domini e indirizzamento, fatte salve le specifiche attività già attribuite ad altri soggetti. Il Ministero gestisce la concessione dei diritti d’uso per tutte le risorse nazionali di numerazione e la pubblicazione delle assegnazioni dei piani nazionali di numerazione dei servizi di comunicazione elettronica, ad eccezione dell’assegnazione delle numerazioni per servizi di emergenza, di pubblica utilità ed armonizzati aventi codice “116” di cui all’articolo 98-novies, assegnati e riportati nei Piani di numerazione dei servizi di comunicazione elettronica dall’Autorità, richiesti dai Ministeri competenti. Il Ministero e l’Autorità assicurano che siano fornite risorse di numerazione adeguate per la prestazione di servizi di comunicazione elettronica accessibili al pubblico, fatte salve le eventuali eccezioni previste dal presente decreto o dalla normativa nazionale, e prevedendo procedure obiettive, trasparenti e non discriminatorie per la concessione dei diritti d’uso delle risorse nazionali di numerazione.

2. L’Autorità può stabilire nei Piani di numerazione dei servizi di comunicazione elettronica la possibilità di concedere a imprese diverse dai fornitori di reti o di servizi di comunicazione elettronica diritti d’uso delle risorse di numerazione dei piani nazionali di numerazione per la fornitura di determinati servizi, a condizione che adeguate risorse di numerazione siano messe a disposizione per soddisfare la domanda attuale e quella prevedibile in futuro, stabilendo criteri che consentano di valutare la capacità di gestione efficiente delle risorse di numerazione e il rischio di esaurimento di tali risorse. Tali imprese dimostrano la loro capacità di gestione delle risorse di numerazione e di rispettare i requisiti pertinenti stabiliti in conformità al presente decreto.

L’Autorità ed Il Ministero, ciascuno per quanto di propria competenza, possono sospendere l’ulteriore concessione di diritti d’uso delle risorse di numerazione a tali imprese se è dimostrato che sussiste un rischio di esaurimento di tali risorse.

3. L’Autorità definisce i piani nazionali di numerazione dei servizi di comunicazione elettronica, incluse le connesse modalità di accesso e svolgimento dei servizi di comunicazione elettronica e le relative procedure di assegnazione della numerazione nazionale nel rispetto dei principi di obiettività, trasparenza e non discriminazione, in modo da assicurare parità di trattamento a tutti i fornitori di servizi di comunicazione elettronica accessibili al pubblico e alle imprese ammissibili a norma del comma 2. L’Autorità vigila sul rispetto dei Piani nazionali di numerazione per i servizi di comunicazioni elettronica e provvede affinché l’impresa cui sia stato concesso il diritto d’uso delle risorse di numerazione non discrimini altri fornitori di servizi di comunicazione elettronica in relazione alle risorse di numerazione utilizzate per dare accesso ai loro servizi.

4. L’Autorità rende disponibile una serie di numeri non geografici che possa essere utilizzata per la fornitura di servizi di comunicazione elettronica diversi dai servizi di comunicazione interpersonale in tutto il territorio dell’Unione europea, fatti salvi il regolamento (UE) n. 531/2012 e l’articolo 98-decies comma 2 del presente decreto. Ove i diritti d’uso delle risorse di numerazione siano stati concessi a imprese diverse dai fornitori di reti o servizi di comunicazione elettronica, il presente comma si applica ai servizi specifici per la cui fornitura sono stati concessi i diritti d’uso. L’Autorità provvede affinché le condizioni elencate nella parte E dell’allegato I del presente decreto che possono essere associate ai diritti d’uso delle risorse di numerazione utilizzate per la fornitura di servizi al di fuori dello Stato membro del codice paese e la relativa esecuzione siano rigorose quanto le condizioni e l’esecuzione applicabili ai servizi forniti nello Stato membro del codice paese, in conformità del presente decreto. L’Autorità provvede inoltre affinché i fornitori che utilizzano risorse di numerazione del loro codice paese in altri Stati membri rispettino le norme sulla tutela dei consumatori e le altre norme nazionali relative all’uso delle risorse di numerazione applicabili negli Stati membri in cui le risorse di numerazione sono utilizzate. L’obbligo lascia impregiudicati i poteri di esecuzione del Ministero e dell’Autorità. L’Autorità provvede inoltre a definire norme affinché le condizioni elencate nella parte E dell’allegato I del presente decreto siano applicate anche a numerazioni assegnate direttamente dall’ITU qualora utilizzate per fornire specifici servizi nel territorio nazionale al fine di garantire parità di condizioni d’uso tra numerazioni e siano evitati vantaggi competitivi nell’uso di specifiche numerazioni o per evitare che non siano rispettate garanzie per gli utenti, anche stabilendo, laddove opportuno, criteri di trattamento equivalenti per dette numerazioni rispetto ad altre numerazioni dei Piani di numerazione nazionale dei servizi di comunicazione elettronica. L’Autorità, con l’eventuale supporto del Ministero, trasmette al BEREC le informazioni relative alle risorse di numerazione nazionali con diritto di uso extraterritoriale all’interno dell’Unione europea al fine dell’introduzione delle stesse nella banca dati istituita dal BEREC.

5. Il prefisso «00» costituisce il prefisso internazionale. L’Autorità può introdurre o mantenere in vigore disposizioni specifiche relative all’uso dei servizi di comunicazione interpersonale basati sul numero tra località contigue situate sui due versanti della frontiera nazionale. L’Autorità e il Ministero possono concordare con altri Stati membri di condividere un piano di numerazione comune per tutte le categorie di numeri o per alcune di esse. L’Autorità assicura che gli utenti finali interessati da tali disposizioni o accordi siano adeguatamente informati.

6. Fatto salvo quanto disposto dall’articolo 98-octies decies, l’Autorità promuove la fornitura via etere delle risorse di numerazione, ove tecnicamente fattibile, per agevolare il cambio di fornitori di reti o di servizi di comunicazione elettronica da parte di utenti finali, in particolare fornitori e utenti finali di servizi da macchina a macchina.

7. L’Autorità pubblica i piani nazionali di numerazione e le loro successive modificazioni e integrazioni, con le sole restrizioni imposte da motivi di sicurezza nazionale.

8. L’Autorità promuove l’armonizzazione di numeri o serie di numeri specifici all’interno dell’Unione europea ove ciò promuova, al tempo stesso, il funzionamento del mercato interno e lo sviluppo di servizi paneuropei.

9. Il Ministero vigila affinché non vi siano utilizzi della numerazione non coerenti con le tipologie di servizi per i quali le numerazioni stesse sono disciplinate dai piani nazionali di numerazione dei servizi di comunicazione elettronica. Il Ministero e l’Autorità nell’ambito della propria competenza, vigilano affinché le procedure e le norme che garantiscono la sicurezza dei servizi e contrastano pratiche fraudolente, siano attuate attraverso l’utilizzo della numerazione.

Vigilano affinché le procedure e le norme che garantiscono la sicurezza dei servizi e contrastano pratiche fraudolente, siano attuate attraverso l’utilizzo della numerazione.

10. Il Ministero e l’Autorità, al fine di assicurare l’interoperabilità completa e globale dei servizi, collaborano e operano, in coordinamento con le organizzazioni internazionali che assumono decisioni in tema di numerazione, l’assegnazione di nomi a dominio e l’indirizzamento delle reti e dei servizi di comunicazione elettronica.

Articolo98-septies

(Procedura di concessione dei diritti d’uso delle risorse di numerazione)

(ex Articolo 94 eecc – Articolo 27 Codice 2003)

1. Qualora sia necessario concedere diritti individuali d’uso delle risorse di numerazione, il Ministero concede tali diritti, a richiesta, a ogni impresa per la fornitura di reti o servizi di comunicazione elettronica titolare o avente le condizioni necessarie per conseguire un’autorizzazione generale di cui all’articolo 11, nel rispetto dell’articolo 13, dell’articolo 21 comma 1 lettera c) e di ogni altra disposizione che garantisca l’uso efficiente di tali risorse di numerazione in conformità del presente decreto e dei Piani di numerazione dei servizi di comunicazione elettronica.

2. I diritti d’uso delle risorse di numerazione sono concessi dal Ministero mediante procedure aperte, obiettive, trasparenti, non discriminatorie e proporzionate. Al momento della concessione dei diritti d’uso delle risorse di numerazione, il Ministero specifica se tali diritti possono essere trasferiti dal titolare e a quali condizioni, qualora non sia già definito nei piani di numerazione dei servizi di comunicazione elettronica. I diritti d’uso delle risorse di numerazione sono concessi dal Ministero per un periodo limitato, la cui la durata è adeguata al tipo di servizio di cui trattasi, tenuto conto dell’obiettivo perseguito e della necessità di prevedere un periodo adeguato di ammortamento degli investimenti e comunque la concessione decade al termine della validità dell’autorizzazione generale, ove presente.

3. Il Ministero adotta le decisioni in materia di concessione di diritti d’uso delle risorse di numerazione assegnate per scopi specifici previsti nell’ambito dei piani di numerazione nazionale dei servizi di comunicazione elettronica entro tre settimane dal ricevimento della domanda completa. Se la domanda risulta incompleta, il Ministero, entro i termini sopra indicati, invita l’impresa interessata ad integrarla. I termini vengono sospesi fino al recepimento delle integrazioni, che debbono pervenire al Ministero entro e non oltre dieci giorni dalla richiesta. Il mancato ricevimento nei termini delle integrazioni richieste costituisce rinuncia alla richiesta di concessione dei diritti d’uso dei numeri. Tali decisioni sono rese pubbliche.

4. Qualora l’Autorità o il Ministero, nell’ambito delle rispettive competenze, abbiano stabilito, previa consultazione delle parti interessate conformemente all’articolo 23, che i diritti d’uso delle risorse di numerazione ai quali potrebbe attribuirsi un valore economico eccezionale debbano essere concessi mediante procedure di selezione competitive o comparative, il Ministero può prorogare di altre tre settimane il periodo di tre settimane di cui al comma 3 del presente articolo.

5. L’Autorità e il Ministero, nell’ambito delle rispettive competenze, possono limitare il numero dei diritti individuali d’uso da concedere, solo quando ciò sia necessario per garantire l’uso eficiente delle risorse di numerazione.

6. Se i diritti d’uso delle risorse di numerazione includono l’uso extraterritoriale all’interno dell’Unione conformemente all’articolo 98-sexies, comma 4, il Ministero e l’Autorità, nell’ambito delle rispettive competenze, associano a tali diritti d’uso condizioni specifiche al fine di garantire il rispetto di tutte le norme nazionali in materia di tutela dei consumatori e le normative nazionali relative all’uso delle risorse di numerazione applicabili negli Stati membri in cui le risorse di numerazione sono utilizzate. Su richiesta dell’Autorità o di un’altra autorità competente di uno Stato membro in cui le risorse di numerazione nazionali sono utilizzate in violazione delle norme in materia di tutela dei consumatori o delle normative nazionali di detto Stato membro in cui sono stati concessi i diritti d’uso delle risorse di numerazione, l’Autorità o il Ministero, nell’ambito delle rispettive competenze, applica le condizioni associate previste al primo comma del presente paragrafo in conformità dell’articolo 32, anche revocando, in casi gravi, i diritti d’uso extraterritoriale delle risorse di numerazione concessi all’impresa in questione.

7. Il presente articolo si applica anche nel caso di concessione di diritti d’uso delle risorse di numerazione a imprese diverse dai fornitori di reti o di servizi di comunicazione elettronica in conformità dell’articolo 98-sexies comma 2.

8. Nel concedere i diritti di uso delle risorse di numerazione il Ministero applica le sole condizioni elencate nell’allegato I parte E del presente decreto, il quale riporta l’elenco esaustivo delle condizioni che possono corredare i diritti d’uso delle risorse di numerazione.

Articolo 98-octies

(Contributi sui diritti d’uso delle risorse di numerazione)

(ex Articolo 95 eecc; Articolo 35 cod. 2003)

1. I contributi per la concessione di diritti di uso delle risorse di numerazione sono fissati dal Ministero sulla base dei criteri stabiliti dall’Autorità, al fine di garantire l’impiego ottimale di tali risorse. I contributi sono dovuti nella misura prevista dall’allegato 11. L’Autorità e il Ministero, nell’ambito delle rispettive competenze, assicurano che i contributi siano trasparenti, obiettivamente giustificati, proporzionati allo scopo perseguito e non discriminatori e tengano conto degli obiettivi indicati all’articolo 4.

Articolo 98-novies

(Numeri armonizzati destinati a servizi armonizzati a valenza sociale, compresi i numeri per assistenza a minori e minori scomparsi)

(ex Articolo 96 eecc; Articolo 77-bis cod. 2003)

1. I Ministeri competenti per materia promuovono i numeri specifici nell’arco di numerazione che inizia con il codice ‘116’ identificati nella decisione 2007/116/CE della Commissione europea, del 15 febbraio 2007, che riserva l’arco di numerazione nazionale che inizia con il 116 a numeri armonizzati destinati a servizi armonizzati a valenza sociale e resi disponibili dall’Autorità. Essi incoraggiano la prestazione dei servizi per cui tali numeri sono riservati. In particolare, i Ministeri competenti per materia provvedono affinché gli utenti finali abbiano accesso gratuitamente a un servizio che operi uno sportello telefonico accessibile al numero «116000» per denunciare casi di minori scomparsi.

2. I Ministeri competenti per materia provvedono affinché gli utenti finali con disabilità possano avere un accesso ai servizi forniti nell’arco della numerazione che inizia con il codice ‘116’. Le misure adottate per facilitare l’accesso degli utenti finali con disabilità a tali servizi mentre viaggiano in altri Stati membri sono fondate sul rispetto delle norme o specifiche in materia stabilite a norma dell’articolo 39.

3. I Ministeri assegnatari di numerazione con codice ‘116’ adottano misure adeguate a garantire la disponibilità delle risorse necessarie per il funzionamento del relativo sportello telefonico e provvedono affinché gli utenti finali siano adeguatamente informati dell’esistenza e dell’utilizzo dei servizi attivi forniti con tali numerazioni.

4. L’Autorità provvede ad includere nei Piani di numerazione dei servizi di comunicazione elettronica e modalità di assegnazione dei numeri armonizzati destinati a servizi armonizzati a valenza sociale con codice ‘116’ e provvede altresì alla relativa assegnazione ai Ministeri competenti.

Articolo 98-decies

(Accesso a numeri e servizi)

(ex Articolo 97 eecc; Articolo 78 Codice 2003)

1. Ove ciò sia economicamente fattibile e salvo il caso in cui un utente finale chiamato abbia scelto, per ragioni commerciali, di limitare l’accesso da parte di chiamanti ubicati in determinate zone geografiche, l’Autorità adotta tutte le misure necessarie per assicurare che gli utenti finali siano in grado di:

a) accedere e utilizzare i servizi utilizzando numeri non geografici appartenenti ai piani di numerazione telefonica nazionali presenti all’interno dell’Unione; e

b) accedere a tutti i numeri forniti nell’Unione, a prescindere dalla tecnologia e dai dispositivi utilizzati dall’operatore, compresi quelli dei piani nazionali di numerazione degli Stati membri e i numeri verdi internazionali universali (Universal International Freephone Numbers — UIFN).

2. L’Autorità può imporre ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico di bloccare l’accesso a numeri o servizi, caso per caso, ove ciò sia giustificato da motivi legati a frodi o abusi e imporre che in simili casi i fornitori di servizi di comunicazione elettronica trattengano i relativi ricavi da interconnessione o da altri servizi. L’Autorità può stabilire norme di applicazione generalizzata per bloccare l’accesso da numeri o da servizi al fine di contrastare frodi o abusi, anche prevedendo misure regolamentari dissuasive.

3. L’Autorità definisce l’ubicazione dei punti terminali di rete nel rispetto dei principi di accessibilità alle numerazioni e considerando che il punto terminale di rete è il punto di accesso allá rete pubblica definito mediante un indirizzo di rete specifico.

TITOLO III.- DIRITTI DEGLI UTENTI FINALI

Articolo 98-undecies

(Deroga per alcune microimprese)

(ex Articolo 98 eecc)

1. A eccezione degli articoli 98-duodecies e 98-ter decies, il presente titolo non si applica alle microimprese che forniscono servizi di comunicazione interpersonale indipendenti dal numero, a meno che queste forniscano altri servizi di comunicazione elettronica.

2. L’Autorità provvede affinché gli utenti finali siano informati dell’esistenza di una deroga concessa ai sensi del primo comma prima di concludere un contratto con una microimpresa che benefici di tale deroga.

Articolo 98-duodecies

(Non discriminazione)

(ex Articolo 99 eecc)

1. I fornitori di reti o servizi di comunicazione elettronica non applicano agli utenti finali requisiti o condizioni generali di accesso o di uso di reti o servizi che risultino differenti per ragioni connesse alla cittadinanza, al luogo di residenza o al luogo di stabilimento dell’utente finale, a meno che tale differenza di trattamento sia oggettivamente giustificata.

Articolo 98-terdecies

(Tutela dei diritti fondamentali)

(ex Articolo 100 eecc)

Le misure nazionali in materia di accesso a servizi e applicazioni o di uso delle stesse attraverso reti di comunicazione elettronica da parte di utenti finali rispettano la Carta dei diritti fondamentali dell’Unione europea («Carta») e i principi generali del diritto dell’Unione.

Qualunque provvedimento riguardante l’accesso a servizi e applicazioni o l’uso degli stessi attraverso reti di comunicazione elettronica, da parte degli utenti finali, che possa limitare l’esercizio dei diritti o delle libertà fondamentali riconosciuti dalla Carta è imposto soltanto se è previsto dalla legge e rispetta detti diritti e libertà, è proporzionato e necessario e responde effettivamente agli obiettivi di interesse generale riconosciuti dal diritto dell’Unione o all’esigenza di proteggere i diritti e le libertà altrui in conformità dell’articolo 65, comma 1, della Carta e dei principi generali del diritto dell’Unione, incluso il diritto a un ricorso effettivo e a un giusto processo. Di conseguenza, tali provvedimenti sono adottati soltanto nel rispetto del principio della presunzione d’innocenza e del diritto alla protezione dei dati personali, secondo quanto previsto dal Regolamento (UE)2016/679, dal decreto legislativo 30 giugno 2003, n. 196 nonché, ove applicabile,dal decreto legislativo 18 maggio 2018, n. 51. È garantita una procedura preliminare equa ed imparziale, compresi il diritto della persona o delle persone interessate di essere ascoltate, fatta salva la necessità di presupposti e regimi procedurali appropriati in casi di urgenza debitamente accertata conformemente alla Carta.

Articolo 98-quater decies

(Obblighi di informazione applicabili ai contratti)

(ex Articolo 102 eecc; Articolo 70 cod. 2003)

1. Prima che il consumatore sia vincolato da un contratto o da un’offerta corrispondente, i fornitori di servizi di comunicazione elettronica accessibili al pubblico diversi dai servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina forniscono le informazioni necessarie di cui agli articoli 48 e 49 del Codice del consumo, nonché, in aggiunta, le informazioni elencate all’allegato 8, nella misura in cui tali informazioni riguardino un servizio da loro offerto. Le informazioni sono fornite in modo chiaro e comprensibile su un supporto durevole quale definito all’articolo 45, comma 1, lett. l), del Codice del consumo o, se non è fattibile fornire le informazioni su supporto durevole, sotto forma di documento facilmente scaricabile messo a disposizione dal fornitore, anche tramite modalità digitali. Il fornitore richiama esplicitamente l’attenzione del consumatore sulla disponibilità di tale documento e sull’importanza di scaricarlo a fini di

documentazione, riferimento futuro e riproduzione identica. Le informazioni sono fornite in un formato accessibile per gli utenti finali con disabilità conformemente al diritto dell’Unione che armonizza i requisiti di accessibilità dei prodotti e dei servizi.

2. Le informazioni di cui ai commi 1, 3 e 5 sono fornite anche agli utenti finali che sono microimprese, piccole imprese o organizzazioni senza scopo di lucro, a meno che esse non abbiano espressamente acconsentito a non applicare la totalità o parti di tali disposizioni.

3. I fornitori di servizi di comunicazione elettronica accessibili al pubblico diversi dai servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina forniscono ai consumatori una sintesi contrattuale concisa e facilmente leggibile. Tale sintesi individua i principali elementi degli obblighi di informazione in conformità del comma 1. Gli elementi principali comprendono almeno:

a) il nome, l’indirizzo e i recapiti del fornitore e, se diversi, i recapiti per eventuali reclami;

b) le principali caratteristiche di ciascun servizio fornito;

c) i rispettivi prezzi per attivare il servizio di comunicazione elettronica e per i costi ricorrenti o legati al consumo, qualora il servizio sia fornito a fronte di un pagamento diretto in denaro;

d) la durata del contratto e le condizioni di rinnovo e risoluzione;

e) la misura in cui i prodotti e i servizi sono progettati per gli utenti finali con disabilità;

f) con riguardo ai servizi di accesso a internet, una sintesi delle informazioni richieste a norma dell’articolo 4, paragrafo 1, lettere d) ed e), del regolamento (UE) 2015/2120.

4. I fornitori soggetti agli obblighi di cui al comma 1 forniscono, mediante il modello sintetico di cui al Regolamento di esecuzione (UE) 2019/2243 della Commissione, del 17 dicembre 2019, la sintesi contrattuale gratuitamente ai consumatori, prima della stipula del contratto, anche nel caso di contratti a distanza. Qualora sia impossibile in quel momento, per ragioni tecniche oggettive, fornire la sintesi contrattuale, essa è fornita in seguito senza indebito ritardo; il contratto diventa effettivo quando il consumatore ha confermato il proprio accordo in seguito alla ricezione della sintesi contrattuale.

5. Le informazioni di cui ai commi 1 e 4 diventano parte integrante del contratto e non sono modificate prima della scadenza del termine di cui all’articolo 98-septies decies comma 1, se non con l’accordo esplicito delle parti contrattuali.

6. Qualora i servizi di accesso a internet o di comunicazione interpersonale accessibili al pubblico siano fatturati sulla base del consumo in termini di tempo o volume, i fornitori offrono ai consumatori il mezzo per monitorare e controllare l’uso di ciascun servizio. Tale mezzo comprende l’accesso a informazioni tempestive sul livello di consumo dei servizi incluso nel piano tariffario. In particolare, i fornitori inviano ai consumatori una notifica prima che siano raggiunti eventuali limiti di consumo stabiliti con proprio provvedimento dall’Autorità, inclusi nel loro piano tariffario nonché quando sia stato pienamente consumato un servizio incluso nel piano tariffario.

7. L’Autorità può imporre ai fornitori di assicurare informazioni aggiuntive in merito al livello di consumo e impedire temporaneamente l’ulteriore utilizzo del servizio corrispondente qualora sia superato il limite finanziario o di volume determinato dall’Autorità.

Articolo 98-quindecies

(Trasparenza, confronto delle offerte e pubblicazione delle informazioni)

(ex Articolo 103 eecc – Articolo 71 Codice 2003)

1. Qualora i fornitori di servizi di accesso a internet o di comunicazione interpersonale accessibili al pubblico assoggettino la fornitura di tali servizi a termini e condizioni, l’Autorità provvede affinché le informazioni di cui all’allegato 9 siano pubblicate da tutti i fornitori in questione o dalla stessa Autorità, in forma chiara, esaustiva, idonea alla lettura automatica e in un formato accessibile per i consumatori con disabilità, conformemente al diritto dell’Unione che armonizza i requisiti di accessibilità dei prodotti e dei servizi. Tali informazioni sono costantemente aggiornate. L’Autorità può precisare ulteriori prescrizioni relative alla forma in cui tali informazioni devono essere pubblicate. Tali informazioni sono comunicate, a richiesta, anche all’Autorità prima della pubblicazione.

2. L’Autorità provvede affinché gli utenti finali abbiano accesso gratuito ad almeno uno strumento indipendente di confronto che consenta loro di comparare e valutare diversi servizi di accesso a internet e servizi di comunicazione interpersonale basati sul numero accessibili al pubblico e, se del caso, di servizi di comunicazione interpersonale indipendenti dal numero accessibili al pubblico, per quanto riguarda:

a) prezzi e tariffe dei servizi forniti a fronte di pagamenti diretti in denaro ricorrenti o basati sul consumo; e

b) la qualità del servizio, laddove sia offerta una qualità minima del servizio o all’impresa sia richiesto di pubblicare tali informazioni ai sensi dell’articolo 98-sedecies.

3. Lo strumento di confronto di cui al comma 2:

a) è funzionalmente indipendente dai fornitori di tali servizi, e assicura pertanto che tali prestatori di servizi ricevano pari trattamento nei risultati di ricerca;

b) indica chiaramente i proprietari e gli operatori dello strumento di confronto;

c) definisce criteri chiari e obiettivi su cui si deve basare il confronto;

d) utilizza un linguaggio chiaro e privo di ambiguità;

e) fornisce informazioni corrette e aggiornate e indica la data dell’ultimo aggiornamento;

f) è aperto a qualsiasi fornitore di servizi di accesso a internet o servizi di comunicazione interpersonale accessibili al pubblico che metta a disposizione le informazioni pertinenti e comprende un’ampia gamma di offerte che copra una parte significativa del mercato e, se le informazioni presentate non forniscono un quadro completo del mercato, una chiara indicazione in tal senso prima di mostrare i risultati;

g) prevede una procedura efficace per segnalare le informazioni errate;

h) comprende la possibilità di comparare prezzi, tariffe e prestazioni in termini di qualità del servizio tra le offerte a disposizione dei consumatori e, qualora l’Autorità lo ritengo opportuno, le offerte standard accessibili pubblicamente agli utenti finali.

4. Gli strumenti di confronto che soddisfano i requisiti di cui alle lettere da a) a h) sono certificati, su richiesta del fornitore dello strumento, dall’Autorità. I terzi hanno il diritto di utilizzare gratuitamente e in formati di dati aperti, allo scopo di rendere disponibili tali strumenti indipendenti di confronto, le informazioni pubblicate dai fornitori dei servizi di accesso a internet o dei servizi di comunicazione interpersonale accessibili al pubblico.

5. L’Autorità può esigere che i fornitori di servizi di accesso a internet o di servizi di comunicazione interpersonale basati sul numero accessibili al pubblico, o entrambi, diffondano gratuitamente, all’occorrenza, informazioni di pubblico interesse agli utenti finali nuovi ed esistenti tramite i canali che utilizzano normalmente per le comunicazioni con gli utenti finali. In tal caso, dette informazioni di pubblico interesse sono fornite dalle competenti autorità pubbliche in forma standardizzata e riguardano fra l’altro:

a) gli utilizzi più comuni dei servizi di accesso a internet e dei servizi di comunicazione interpersonale basati sul numero accessibili al pubblico per attività illegali o per la diffusione di contenuti dannosi, in particolare quelli che possono attentare al rispetto degli altrui diritti e libertà, comprese le violazioni dei diritti di protezione dei dati, del diritto d’autore e dei diritti connessi, e le conseguenze giuridiche di tali atti; e

b) i mezzi di protezione contro i rischi per la sicurezza personale, per la vita privata e per i dati personali, anche ai fini di cui all’articolo 13 del Regolamento (UE) 2016/679 nella fruizione dei servizi di accesso a internet e dei servizi di comunicazione interpersonale basati sul numero accessibili al pubblico.

Articolo 98-sedecies

(Qualità dei servizi relativi all’accesso a internet e dei servizi di comunicazione interpersonale accessibili al pubblico)

(ex Articolo 104 eecc – Articolo 72 Codice 2003)

1. L’Autorità può prescrivere ai fornitori di servizi di accesso a internet e di servizi di comunicazione interpersonale accessibili al pubblico di pubblicare, a uso degli utenti finali, informazioni complete, comparabili, attendibili, di facile consultazione e aggiornate sulla qualità dei servizi offerti, nella misura in cui controllino almeno alcuni elementi della rete direttamente o in virtù di un accordo sul livello dei servizi a tal fine, e sulle misure adottate per assicurare un acceso equivalente per i consumatori con disabilità. L’Autorità può altresì richiedere che i fornitori di servizi di comunicazione interpersonale accessibili al pubblico informino i consumatori qualora la qualità dei servizi offerti dipenda da fattori esterni, quali il controllo della trasmissione dei segnali o la connettività della rete. Tali informazioni sono comunicate, a richiesta, all’Autorità prima della pubblicazione. Le misure intese a garantire la qualità del servizio devono essere conformi al regolamento (UE) 2015/2120.

2. L’Autorità precisa, tenendo nella massima considerazione le linee guida del BEREC, i parametri di qualità del servizio da misurare, i metodi di misura applicabili e il contenuto, la forma e le modalità della pubblicazione, compresi meccanismi di certificazione della qualità. Se del caso, sono utilizzati i parametri, le definizioni e i metodi di misura indicati nell’allegato 10.

Articolo 98-septies decies

(Durata dei contratti e diritto di recesso)

(ex Articolo 105 eecc; Articolo 70 cod. 2003)

1. L’Autorità provvede affinché le condizioni e le procedure di recesso dei contratti non fungano da disincentivo al cambiamento di fornitore di servizi e affinché i contratti stipulati tra consumatori e fornitori di servizi di comunicazione elettronica accessibili al pubblico diversi dai servizi di comunicazione interpersonale indipendenti dal numero e dai servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina non impongano un periodo di impegno superiore a 24 mesi con l’obbligo di prevedere che tra le offerte commerciali almeno una abbia una durata massima iniziale di 12 mesi.

2. Le disposizioni del comma 1 non si applicano alla durata di un contratto a rate se il consumatore ha convenuto in un contratto separato di rateizzare i pagamenti esclusivamente per l’installazione di una connessione fisica, in particolare a reti ad altissima capacità. Un contratto a rate per l’installazione di una connessione fisica non include l’apparecchiatura terminale, a esempio router o modem, e non impedisce ai consumatori di esercitare i loro diritti in virtù del presente articolo.

3. Le disposizioni di cui al comma 1 si applicano anche agli utenti finali che sono microimprese, piccole imprese o organizzazioni senza scopo di lucro, a meno che non abbiano espressamente acconsentito a non applicare tali disposizioni.

4. Se il contratto prevede la proroga automatica di un contratto a durata determinata per servizi di comunicazione elettronica diversi dai servizi di comunicazione interpersonale indipendenti dal numero e dai servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina, dopo la proroga l’utente finale ha il diritto di recedere dal contratto in qualsiasi momento con un preavviso di massimo un mese e senza incorrere in alcuna penale nè costi di disattivazione, eccetto quelli addebitati per la ricezione del servizio durante il periodo di preavviso. Con almeno due mesi di anticipo rispetto alla proroga automatica del contratto, i fornitori informano l’utente finale, in modo chiaro e tempestivo e su un supporto durevole, circa la fine dell’impegno contrattuale e in merito alle modalità di recesso dal contratto e migliori tariffe relative ai loro servizi. I fornitori offrono agli utenti finali tali informazioni in merito alle migliori tariffe almeno una volta all’anno.

5. Gli utenti finali hanno il diritto di recedere dal contratto ovvero di cambiare operatore, senza incorrere in alcuna penale nè costi di disattivazione, al momento dell’avvenuta comunicazione di modifiche delle condizioni contrattuali proposte dal fornitore di servizi di comunicazione elettronica accessibili al pubblico diversi dai servizi di comunicazione interpersonale indipendenti dal numero, tranne nel caso in cui le modifiche proposte siano esclusivamente a vantaggio dell’utente finale, siano di carattere puramente amministrativo e non abbiano alcun effetto negativo sull’utente finale o siano imposte direttamente dal diritto dell’Unione o nazionale. I fornitori informano gli utenti finali, con preavviso non inferiore a trenta giorni, di qualsiasi modifica delle condizioni contrattuali e, al contempo, del loro diritto di recedere dal contratto senza incorrere in alcuna penale né ulteriore costo di disattivazione se non accettano le nuove condizioni. Il diritto di recedere dal contratto può essere esercitato entro sessanta giorni dall’avvenuta comunicazione di modifica delle condizioni contrattuali. L’Autorità provvede affinché la comunicazione sia effettuata in modo chiaro e comprensibile su un supporto durevole.

6. In caso di discrepanza significativa, continuativa o frequentemente ricorrente tra la prestazione effettiva di un servizio di comunicazione elettronica, diverso da un servizio di accesso a internet o da un servizio di comunicazione interpersonale indipendente dal numero, e la prestazione indicata nel contratto il consumatore ha il diritto di risolvere il contratto senza incorrere in alcun costo, fatto salvo il diritto agli indennizzi previsti dal contratto o dalla regolamentazione di settore per i disservizi subiti.

7. Ove un utente finale abbia il diritto di recedere da un contratto per la prestazione di servizi di comunicazione elettronica accessibili al pubblico, diversi da servizi di comunicazione interpersonale indipendenti dal numero, prima della scadenza contrattuale concordata, non è dovuto alcun corrispettivo, a qualsiasi titolo, a eccezione di quanto previsto per le apparecchiature terminali abbinate al contratto al momento della stipulata e fornite dall’operatore che l’utente sceglie di mantenere. In tale ipotesi gli importi eventualmente dovuti non superano il loro valore in proporzione al tempo, concordato al momento della conclusione del contratto o la quota rimanente della tariffa per i servizi prestati fino alla fine del contratto, a seconda di quale sia inferiore.

8. L’Autorità può stabilire altri metodi per il calcolo degli importi eventualmente dovuti a condizione che non comportino un livello eccedente quello calcolato in conformità al comma 7. Il fornitore elimina gratuitamente le eventuali condizioni associate all’utilizzo delle apparecchiature terminali su altre reti in un momento specificato dall’Autorità al più tardi al momento del pagamento di tali importi.

9. Per quanto riguarda i servizi di trasmissione utilizzati per servizi da macchina a macchina, del diritto di recesso di cui ai commi 5 e 7 beneficiano solo gli utenti finali che sono consumatori, microimprese, piccole imprese o organizzazioni senza scopo di lucro.

10. Restano ferme le disposizioni di cui all’Articolo 1 del decreto legge 31 gennaio 2007 n. 7, convertito con modificazioni dalla legge 2 aprile 2007 n. 40

Articolo 98-octies decies

(Passaggio a un altro fornitore e portabilità del numero)

(ex Articolo 106 eecc; Articolo 80 cod. 2003)

1. Nel caso di passaggio da un fornitore di servizi di accesso a internet a un altro, i fornitori interessati offrono all’utente finale informazioni adeguate prima e durante la procedura di passaggio e garantiscono la continuità del servizio di accesso a internet, salvo laddove non sia técnicamente fattibile. Il fornitore ricevente assicura che l’attivazione dei servizi di accesso a internet abbia luogo nel più breve tempo possibile alla data e comunque entro la data e nei termini espressamente concordati con l’utente finale. Il fornitore cedente continua a prestare il servizio di accesso a internet alle stesse condizioni finché il fornitore ricevente non attiva il suo servizio di accesso a internet. L’interruzione del servizio durante la procedura di passaggio non può superare un giorno lavorativo. L’Autorità garantisce l’efficienza e la semplicità della procedura di passaggio per l’utente finale.

2. L’Autorità e il Ministero nell’ambito delle rispettive competenze, provvedono affinché tutti gli utenti finali con numeri appartenenti al piano di numerazione nazionale abbiano il diritto di conservare i propri numeri, su richiesta, indipendentemente dall’impresa fornitrice del servizio, a norma dell’allegato 6, parte C.

3. Qualora un utente finale risolva un contratto l’Autorità e il Ministero nell’ambito delle rispettive competenze, provvedono affinché possa mantenere il diritto di trasferire un numero dal piano di numerazione nazionale verso un altro fornitore per almeno un mese dalla data della risoluzione, a meno che non rinunci a tale diritto.

4. L’Autorità provvede affinché la tariffazione tra fornitori in relazione alla portabilità del numero, qualora prevista, sia orientata ai costi e non siano applicati oneri diretti agli utenti finali.

5. Il trasferimento dei numeri e la loro successiva attivazione sono effettuati nel più breve tempo possibile alla data e nei termini esplicitamente concordati con l’utente finale. In ogni caso, gli utenti finali che abbiano concluso un accordo per il trasferimento del proprio numero a un nuovo fornitore ottengono l’attivazione del numero in questione entro un giorno lavorativo dalla data concordata con l’utente finale. In caso di mancato successo delle operazioni di trasferimento, il fornitore cedente riattiva il numero e i servizi correlati dell’utente finale fino al completamento della portabilità. Il fornitore cedente continua a prestare i servizi agli stessi termini e condizioni fino all’attivazione dei servizi del fornitore ricevente. In ogni caso, l’interruzione del servizio durante le operazioni di passaggio di fornitore e trasferimento dei numeri non può superare un giorno lavorativo. Gli operatori le cui reti o le risorse di accesso sono utilizzate dal fornitore cedente o dal fornitore ricevente, o da entrambi, provvedono affinché non vi siano interruzioni del servizio che ritarderebbero le operazioni di passaggio di fornitore e di portabilità del numero.

6. Il fornitore ricevente conduce le operazioni di passaggio di fornitore e di portabilità del numero di cui ai commi 1 e 5 ed entrambi i fornitori, ricevente e cedente, cooperano in buona fede. Non causano abusi o ritardi nelle operazioni di passaggio di fornitore e di portabilità del numero né effettuano il trasferimento di numeri o il passaggio di utenti finali senza il consenso esplicito di questi ultimi. I contratti degli utenti finali con il fornitore cedente sono risolti automaticamente al termine delle operazioni di trasferimento. L’Autorità può stabilire i dettagli delle operazioni di cambiamento del fornitore e di portabilità del numero, tenendo conto delle disposizioni nazionali in materia di contratti, della fattibilità tecnica e della necessità di assicurare agli utenti finali la continuità del servizio. Ciò comprende, ove tecnicamente fattibile, un requisito che preveda che la portabilità sia ultimata via etere, salvo diversa richiesta dell’utente finale. L’Autorità adotta inoltre misure tali da assicurare l’adeguata informazione e tutela degli utenti finali durante tutte le operazioni di trasferimento e di portabilità, evitando altresì il trasferimento ad altro operatore contro la loro volontà. I fornitori cedenti rimborsano su richiesta l’eventuale credito residuo ai consumatori che utilizzano servizi prepagati. Il rimborso può essere soggetto a una trattenuta solo se indicato nel contratto. L’eventuale trattenuta è proporzionata e commisurata ai costi effettivi sostenuti dal fornitore cedente nell’erogazione del rimborso.

7. L’Autorità stabilisce norme relative ai rimborsi e indennizzi in favore degli utenti finali e alle sanzioni in caso di mancato rispetto degli obblighi previsti dal presente articolo da parte del fornitore, compresi i ritardi o abusi relativi alle operazioni di passaggio tra fornitori en el trasferimento del numero e alla mancata presentazione ad appuntamenti di servizio e di installazione.

8. Oltre alle informazioni richieste ai sensi dell’allegato 8, l’Autorità provvede affinché gli utenti finali siano adeguatamente informati in merito all’esistenza del diritto al rimborso e indennizzo di cui al comma 7.

9. L’Autorità definisce con proprio regolamento le norme per l’attuazione delle disposizioni del presente articolo e ne verifica il rispetto nell’esercizio delle funzioni di vigilanza e sanzionatorie stabilite dalla legge.

Articolo98-novies decies

(Offerte di pacchetti)

(ex Articolo 107 eecc)

1. Se un pacchetto di servizi o un pacchetto di servizi e apparecchiature terminali offerto a un consumatore comprende almeno un servizio di accesso a internet o un servizio di comunicazione interpersonale basato sul numero accessibile al pubblico, si applicano l’articolo 98-quater decies comma 4, 98-quindecies comma 1, 98-septies decies e 98-octies decies a tutti gli elementi del pacchetto, compresi, se del caso quelli non altrimenti contemplati da tali disposizioni.

2. Se il consumatore ha il diritto di risolvere qualsiasi elemento del pacchetto di cui al comma 1 prima della scadenza contrattuale concordata per ragioni di mancata conformità al contratto o di mancata fornitura, ha il diritto di risolvere il contratto in relazione a tutti gli elementi del pacchetto.

3. La sottoscrizione di servizi o apparecchiature terminali supplementari forniti o distribuiti dal medesimo fornitore di servizi di accesso a internet o di servizi di comunicazione interpersonale basati sul numero accessibili al pubblico non prolunga la durata originaria del contratto a cui tali servizi o apparecchiature terminali sono aggiunti, salvo qualora il consumatore convenga diversamente, in maniera espressa, al momento della sottoscrizione relativa a servizi o apparecchiature terminali supplementari.

4. I commi 1 e 3 si applicano anche agli utenti finali che sono microimprese, piccole imprese o organizzazioni senza scopo di lucro, a meno che non abbiano espressamente acconsentito a non applicare la totalità o parti di tali disposizioni.

5. L’Autorità può altresì applicare gli l’articoli 98-quater decies comma 4, 98-quindecies comma 1, 98-septies decies e 98-octies decies richiamati al comma 1 per quanto concerne altre disposizioni di cui al presente titolo.

Articolo 98-vicies

(Disponibilità di servizi)

(ex Articolo 108 eecc; Articolo 73 cod. 2003)

• Il Ministero stabilisce le misure necessarie per garantire la più ampia disponibilità possibile dei servizi di comunicazione vocale e dei servizi di accesso a internet forniti attraverso le reti pubbliche di comunicazione elettronica, in caso di incidenti gravi di rete o nei casi di forza maggiore.

• Il Ministero provvede affinché i fornitori di servizi di comunicazione vocale adottino tutte le misure necessarie a garantire l’accesso ininterrotto ai servizi di emergenza e la trasmissione ininterrotta degli allarmi pubblici.

Articolo 98-vicies semel

(Disposizioni per favorire l’attuazione del numero di emergenza unico europeo)

(ex Articolo 75-bis Codice 2003)

1. Al Ministero dell’interno, di concerto con il Ministero, sono attribuiti poteri di indirizzo e coordinamento per l’individuazione e l’attuazione delle iniziative volte all’istituzione su tutto il territorio nazionale del numero unico di emergenza europeo «112» attraverso l’istituzione di PSAP di primo livello da realizzare in ambito regionale, denominati Centrali Uniche di Risposta-CUR, secondo le modalità definite con appositi protocolli d’intesa tra il Ministero dell’interno e le regioni, ai sensi di quanto disposto dalla legge 7 agosto 2015, n.124 e dal decreto legislativo 19 agosto 2016, n.177.

2. Per l’esercizio dei poteri di cui al comma 1, il Ministero dell’interno si avvale di una commissione consultiva costituita presso il medesimo Ministero e composta dai rappresentanti del Ministero dell’interno, della Presidenza del Consiglio dei ministri – Dipartimento per le politiche europee, dei Ministeri dell’economia e delle finanze, dello sviluppo economico, della salute e della difesa nonché dai rappresentanti designati dalla Conferenza Stato-Regioni. Ai componenti della commissione non spetta alcun compenso e rimborso spese.

3. Ai fini dell’attuazione delle iniziative individuate ai sensi del presente articolo il Ministero d’intesa con il Ministero dell’interno che a tale fine si avvale della commissione consultiva di cui al comma 2, esercita le relative attribuzioni nei confronti degli operatori di comunicazioni elettroniche.

4. Il dispiegamento del servizio di cui al comma1 si completa sull’intero territorio nazionale entro il termine di due anni dall’entrata in vigore del presente decreto.

Articolo 98-vicies bis

(Comunicazioni di emergenza e numero unico di emergenza europeo)

(ex Articolo 109)

1. Il Ministero, d’intesa con il Ministero dell’interno che a tale fine si avvale della commissione consultiva di cui al comma 2 dell’articolo 98-vicies semel, provvede affinché tutti gli utenti finali dei servizi di cui al comma 2, compresi gli utenti di telefoni pubblici a pagamento, possano avere accesso, gratuitamente e senza dover utilizzare alcun mezzo di pagamento, ai servizi di soccorso tramite le comunicazioni di emergenza digitando il numero unico di emergenza europeo «112» e qualunque numero di emergenza nazionale. Il Ministero promuove l’accesso ai servizi di soccorso tramite il numero unico di emergenza europeo «112» da reti di comunicazione elettronica che non sono accessibili al pubblico ma consentono le chiamate verso le reti pubbliche, in particolare quando l’impresa responsabile di tale rete non fornisce un accesso alternativo e agevole a un servizio di soccorso. I numeri di emergenza nazionali sono richiesti dai Ministeri competenti, sentito il Ministero e l’Autorità, che provvede all’assegnazione e al recepimento nei piani nazionali di numerazione dei servizi di comunicazione elettronica.

2. Il Ministero, d’intesa con il Ministero dell’interno che a tale fine si avvale della commissione consultiva di cui al comma 2 dell’articolo 98-vicies semel, previa consultazione dell’Autorità, delle Amministrazioni esercenti servizi di emergenza e dei fornitori di servizi di comunicazione elettronica, provvede affinché sia garantito un accesso ai servizi di emergenza da parte dei fornitori di servizi di comunicazione interpersonale basati sul numero accessibili al pubblico, nei casi in cui tali servizi consentono agli utenti finali di effettuare chiamate verso un numero che figura in un piano di numerazione nazionale o internazionale, tramite comunicazioni di emergenza allo PSAP più idoneo.

3. Il Ministero dell’interno provvede affinché tutte le comunicazioni di emergenza al numero único di emergenza europeo «112» ricevano adeguata risposta e siano trattate nel modo più consono allá struttura nazionale dei servizi di soccorso. Tali comunicazioni di emergenza ricevono risposte e un trattamento con la stessa rapidità ed efficacia riservate alle comunicazioni di emergenza dirette al numero o ai numeri di emergenza nazionali, se questi continuano ad essere utilizzati. Il Ministero esercita le relative attribuzioni nei confronti degli operatori di comunicazioni elettroniche secondo quanto indicato al comma 3 dell’articolo 98-vicies semel.

4. Il Ministero dell’interno provvede affinché l’accesso per gli utenti finali con disabilità ai servizi di emergenza sia disponibile tramite le comunicazioni di emergenza ed equivalente a quello degli altri utenti finali conformemente al diritto dell’Unione europea che armonizza i requisiti di accessibilità dei prodotti e dei servizi. Il Ministero esercita le relative attribuzioni nei confronti degli operatori di comunicazioni elettroniche secondo quanto indicato al comma 3 dell’articolo 98-vicies semel. L’Autorità e il Ministero, d’intesa con il Ministero dell’interno che a tale fine si avvale della commissione consultiva di cui al comma 2 dell’articolo 98-vicies semel, collaborano con la Commissione europea e le altre autorità nazionali di regolamentazione o le altre autorità competente al fine dell’adozione di misure adeguate per assicurare che, mentre viaggiano in un altro Stato membro, gli utenti finali con disabilità possano accedere ai servizi di emergenza su un piano di parità con altri utenti finali senza alcuna preregistrazione. Tali misure mirano a garantire l’interoperabilità tra gli Stati membri e si basano quanto più possibile sulle norme o specifiche europee stabilite conformemente all’articolo 39 del presente decreto. Tali misure non impediscono al Ministero, d’intesa con il Ministero dell’interno, che a tale fine si avvale della commissione consultiva di cui al comma 2 dell’articolo 98-vicies semel, di adottare ulteriori prescrizioni al fine di perseguire gli obiettivi di cui al presente articolo.

5. Il Ministero dell’interno provvede affinché le informazioni sulla localizzazione del chiamante siano messe a disposizione dei PSAP senza indugio dopo che è stata stabilita la connessione della comunicazione di emergenza. Esse comprendono le informazioni sulla localizzazione basata sulla rete e, ove disponibili, le informazioni sulla localizzazione del chiamante derivanti dai dispositivi mobili, che sono conservate per il solo tempo strettamente necessario Il Ministero esercita le relative attribuzioni nei confronti degli operatori di comunicazioni elettroniche secondo quanto indicato al comma 3. Il Ministero dell’interno provvede affinché sia realizzata la generazione e la trasmissione delle informazioni sulla localizzazione del chiamante, le quali sono gratuite per l’utente finale e per i PSAP con riguardo a tutte le comunicazioni di emergenza al numero unico di emergenza europeo «112». Il Ministero dell’interno, sentiti il Ministero e l’Autorità, può estendere tale obbligo alle comunicazioni di emergenza agli ulteriori numeri di emergenza nazionali fino al completamento del dispiegamento nazionale del modello CUR, secondo quanto indicato al comma 1 dell’articolo 98-vicies semel. Il Ministero dell’interno, sentiti il Ministero e l’Autorità, anche ai fini dell’eventuale consultazione del BEREC, definisce i criteri per l’esattezza e l’affidabilità delle informazioni fornite sulla localizzazione del chiamante.

6. Il Ministero dell’interno provvede affinché gli utenti finali siano adeguatamente informati in merito all’esistenza e all’uso del numero unico di emergenza europeo «112», nonché alle sue funzioni di accessibilità, anche attraverso iniziative rivolte specificamente alle persone che viaggiano da uno Stato membro all’altro e agli utenti finali con disabilità. Tali informazioni sono fornite in un formato accessibile e concepito per diversi tipi di disabilità. Il Ministero esercita le relative attribuzioni nei confronti degli operatori di comunicazioni elettroniche secondo quanto indicato al comma 3 dell’articolo 98-vicies semel.

7. L’Autorità collabora con il BEREC al fine della costituzione e mantenimento della banca dati dei numeri E.164 dei servizi di emergenza degli Stati membri per garantire che questi siano in grado di contattarsi da uno Stato membro all’altro anche qualora tale banca dati sia mantenuta da un’altra organizzazione.

Articolo 98-vicies ter

(Sistema di allarme pubblico)

(ex Articolo 110 eecc)

1. Nei casi di gravi emergenze e catastrofi imminenti o in corso, anche di carattere sanitario, i fornitori dei servizi mobili di comunicazione interpersonale basati sul numero trasmettono allarmi pubblici agli utenti finali interessati. La trasmissione degli allarmi pubblici ai sensi del presente comma avviene attraverso la trasmissione di messaggi denominati “Messaggi IT-Alert”.

2. I Messaggi IT-Alert sono trasmessi dal sistema IT-Alert, di cui all’articolo 2, comma 1, lettera ooo), avvalendosi del servizio di rete Cell Broadcast Service di cui all’articolo 2, comma 1, lettera bbb).

3. Le modalità operative ed organizzative relative all’utilizzo ed alle finalità del sistema IT-Alert sono definite con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dello sviluppo economico, sentiti il Garante per la protezione dei dati personali e l’Autorità per le garanzie nelle comunicazioni.

4. Gli allarmi pubblici possono essere trasmessi tramite servizi di comunicazione elettronica accessibili al pubblico diversi da quelli di cui al precedente comma 2 e dai servizi di diffusione radiotelevisiva, o tramite un’applicazione mobile basata su un servizio di accesso a internet, a condizione che l’efficacia del sistema di allarme pubblico sia equivalente in termini di copertura e capacità di raggiungere gli utenti finali, compresi quelli presenti solo temporaneamente nella zona interessata.

5. L’Autorità, tenuto conto delle linee guida del BEREC sulla modalità per valutare se l’efficacia dei sistemi di allarme pubblico, a norma del presente comma, sia equivalente all’efficacia dei sistemi di allarme di cui al comma 1, supporta il Ministero nella valutazione dell’efficacia degli eventuali sistemi di allarme pubblico che utilizzano sistemi di trasmissione diversi da quelli di cui al comma 2.

Articolo 98-vicies quater

(Accesso e scelta equivalenti per i consumatori con disabilità)

(ex Articolo 111 eecc)

1. L’Autorità specifica le prescrizioni che i fornitori di servizi di comunicazione elettronica accessibili al pubblico devono rispettare affinché i consumatori con disabilità:

a) abbiano un accesso ai servizi di comunicazione elettronica, incluse le relative informazioni contrattuali fornite a norma dell’articolo 98-quarter decies, equivalente a quello di tutti i consumatori;

b) beneficino della gamma di imprese e servizi a disposizione della maggior parte dei consumatori.

2. Nell’adottare le misure di cui al comma 1, l’Autorità favorisce la conformità con le pertinente norme o specifiche stabilite in conformità dell’articolo 39.

Articolo 98-vicies quinquies

(Servizi di consultazione degli elenchi)

(ex Articolo 112 eecc; Articolo 75 cod. 2003)

1. L’Autorità provvede affinché tutti i fornitori di servizi di comunicazione interpersonale basati sul numero che assegnano numeri da un piano di numerazione soddisfino qualsiasi richiesta ragionevole di rendere disponibili le informazioni necessarie, ai fini della fornitura di elenchi e di servizi di consultazione accessibili al pubblico, in una forma concordata e a condizioni eque, oggettive, orientate ai costi e non discriminatorie. L’Autorità provvede affinché sia rispettato il diritto degli utenti di servizi telefonici accessibili al pubblico ad essere inseriti o esclusi dagli elenchi.

2. L’Autorità può imporre obblighi e condizioni alle imprese che controllano l’accesso degli utenti finali alla fornitura di servizi di consultazione elenchi in conformità dell’articolo 72. Tali obblighi e condizioni sono obiettivi, equi, trasparenti, non discriminatori e favoriscano modalità digitali di erogazione e fruizione del servizio.

3. L’Autorità non mantiene in essere alcuna limitazione normativa che impedisca agli utenti finali di uno Stato membro di accedere direttamente ai servizi di consultazione elenchi di un altro Stato membro tramite chiamata vocale o SMS e adottano le misure per garantire tale accesso a norma dell’articolo 98-decies.

4. Il presente articolo si applica fatte salve le prescrizioni del diritto dell’Unione in materia di protezione dei dati personali e della vita privata e, in particolare, fatto salvo quanto previsto dall’articolo 129 del decreto legislativo 30 giugno 2003, n. 196.

Articolo 98-vicies sexies

(Interoperabilità dei ricevitori autoradio e dei ricevitori radio di consumo e delle apparecchiature di televisione digitale di consumo)

(ex Articolo 113 e all. XI eecc e Articolo 74 Codice 2003)

1. Tutti i ricevitori autoradio e le apparecchiature di televisione digitale di consumo devono essere interoperabili in conformità ai commi 3 e 4.

2. Ogni altro ricevitore di radiodiffusione di consumo, non rientrante nei commi 3 e 4, integra almeno un’interfaccia che consenta all’utente di ricevere i servizi della radio digitale. Sono esclusi i ricevitori di radiodiffusione di valore modesto, i prodotti nei quali il ricevitore radio ha una funzione puramente accessoria, quali gli apparati di telefonia mobile smartphone e le apparecchiature utilizzate del servizio radioamatoriale.

3. I ricevitori autoradio di consumo messi a disposizione del mercato singolarmente, o integrati in un veicolo nuovo della categoria M ed N messo a disposizione sul mercato in vendita o in locazione, comprendono un ricevitore in grado di ricevere e riprodurre almeno i servizi radio forniti attraverso radiodiffusione digitale terrestre. I ricevitori che sono conformi alle norme armonizzate i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell’Unione europea, o a parti di esse, soddisfano il requisito sopra richiamato contemplato, coperto da tali norme o parti di esse.

4. Gli apparecchi televisivi digitali di consumo a schermo integrale con diagonale visibile superiore a 30 cm messi in vendita o in locazione dispongono di almeno una presa d’interfaccia aperta (normalizzata da un organismo di normalizzazione europeo riconosciuto o conforme a norma da esso adottata, ovvero conforme a una specifica dell’industria) che consenta un agevole collegamento di periferiche e sia in grado di trasmettere tutti i componenti pertinenti di un segnale televisivo digitale, incluse le informazioni sui servizi di accesso condizionato e interattivo. Tutte le apparecchiature dei consumatori destinate alla ricezione dei segnali di televisione digitale (vale a dire trasmissione terrestre, via cavo o via satellite), messe in vendita, in locazione o messe a disposizione in altro modo nell’Unione europea, in grado di ricomporre i segnali di televisione digitale, consentono:

• di ricomporre i segnali conformemente a un algoritmo di scomposizione comune europeo, gestito da un organismo di normalizzazione europeo riconosciuto (attualmente l’ETSI);

• di visualizzare i segnali trasmessi in chiaro a condizione che, in caso di locazione dell’apparecchiatura, il locatario si conformi alle disposizioni del contratto di locazione.

5.Le apparecchiature di ricezione televisiva , vendute nel territorio nazionale, integrano un sintonizzatore digitale per la ricezione di programmi in tecnologia DVBT2 con tutte le codifiche approvate nell’ambito dell’ITU. In caso di evoluzioni delle codifiche, l’Autorità sentiti gli operatori di mercato interessati indica le nuove codifiche approvate dall’ITU successivamente allá codifica HEVC Main 10, di cui alla Raccomandazione ITU-T H.265 (V4), da integrare ai ricevitori, ritenute necessarie per favorire l’innovazione tecnologica indicando altresì i relativi tempi congrui di adeguamento.

6. L’Autorità vigila sull’interoperabilità delle apparecchiature di televisione digitale di consumo, di cui al comma 4, e se del caso, sentito il Ministero, definisce le misure necessarie per garantirla.

7. I fornitori di servizi di televisione digitale garantiscono, se del caso, che le apparecchiature di televisione digitale che forniscono ai loro utenti finali siano interoperabili in modo che, ove tecnicamente fattibile, siano riutilizzabili con altri fornitori di servizi di televisione digitale. Fatto salvo l’articolo 12 del decreto legislativo 14 marzo 2014, n. 49, al termine del loro contratto, gli utenti finali hanno la possibilità di restituire le apparecchiature di televisione digitale in modo semplice e gratuito, a meno che il fornitore dimostri che sono pienamente interoperabili con i servizi di televisione digitale di altri fornitori, compresi quelli a cui è passato l’utente finale. Le apparecchiature di televisione digitale che sono conformi alle norme armonizzate i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell’Unione europea, o a parti di esse, sono considérate conformi alle prescrizioni di interoperabilità di cui sopra contemplate da tali norme o parti di esse.

Con regolamento dell’Autorità sono indicate le codifiche che devono considerarsi tecnológicamente superate, in ordine alle quali non sussistono gli obblighi previsti dal presente comma.

Articolo 98-vicies septies

(Obblighi di trasmissione)

(ex Articolo 114 eecc; Articolo 81 cod 2003)

1. Il Ministero e l’Autorità, ciascuno per le proprie competenze possono imporre obblighi di trasmissione ragionevoli, per specifici canali radiofonici e televisivi e servizi complementari, specialmente servizi di accessibilità destinati a consentire un accesso adeguato agli utenti finali con disabilità, alle imprese soggette alla loro giurisdizione che forniscono reti di comunicazione elettronica destinate alla distribuzione di servizi di diffusione televisiva o radiofonica al pubblico, se un numero significativo di utenti finali di tali reti le utilizza come mezzo principale di ricezione di tali servizi televisivi o radiofonici. Tali obblighi sono imposti solo se necessari a soddisfare precisi obiettivi di interesse generale, definiti in modo chiaro dal Ministero e se sono proporzionati e trasparenti.

2. Gli obblighi di cui al comma 1 sono sottoposti al riesame ogni cinque anni tranne nei casi in cui tale riesame sia stato effettuato nel corso dei quattro anni precedenti.

Articolo 98- duodetricies

(Fornitura di prestazioni supplementari)

(ex Articolo 115 eecc; Articolo 79 cod. 2003)

1. Fatto salvo l’articolo 98 l’Autorità può imporre a tutti i fornitori di servizi di accesso a internet o di servizi di comunicazione interpersonale basati sul numero accessibili al pubblico di mettere a disposizione gratuitamente tutte o parte delle prestazioni supplementari elencate nell’allegato 6 parte B, se ciò è fattibile sul piano tecnico, come pure tutte o parte delle prestazioni supplementari elencate nell’allegato 6 parte A.

2. Nell’applicare il comma 1, l’Autorità può andare oltre l’elenco delle prestazioni supplementari di cui all’allegato 6 parti A e B, al fine di assicurare un livello di protezione dei consumatori più elevato.

3. L’Autorità può decidere di non applicare il comma 1 nella totalità o in parte del proprio territorio se ritiene, tenuto conto del parere delle parti interessate, che l’accesso a tali prestazioni sia sufficiente.

Articolo 98-undetricies

(Identificazione degli utenti)

1. Ogni impresa è tenuta a rendere disponibili, anche per via telematica, al centro di elaborazione dati del Ministero dell’interno gli elenchi di tutti i propri abbonati e di tutti gli acquirenti del traffico prepagato della telefonia mobile, che sono identificati prima dell’attivazione del servizio, al momento della consegna o messa a disposizione della occorrente scheda elettronica (S.I.M.). Le predette imprese, anche per il caso di nuova attivazione e di migrazione di S.I.M. card già attivate, adottano tutte le necessarie misure affinché venga garantita l’acquisizione dei dati anagrafici riportati su un documento di identità, nonché’ del tipo, del numero e della riproduzione del documento presentato dall’acquirente ed assicurano il corretto trattamento dei dati acquisiti, anche da remoto o in via indiretta purché vengano garantiti la corretta acquisizione dei dati necessari al riconoscimento dell’utente ed il rispetto delle norme a tutela della riservatezza dei dati personali.

L’Autorità giudiziaria ha facoltà di accedere per fini di giustizia ai predetti elenchi in possesso del centro di elaborazione dati del Ministero dell’interno.

2. L’obbligo di identificazione di cui al comma 1 non si applica alle schede elettroniche (S.I.M.) utilizzate per la fornitura di servizi di tipo ‘internet delle cose’, installate senza possibilità di essere estratte all’interno degli oggetti connessi e che, anche se disinstallate, non possono essere utilizzate per effettuare traffico vocale, inviare SMS o fruire del servizio di connessione a internet.

Sezione IV.- DISPOSIZIONI FINALI

Articolo 98- tricies

(Notifica e monitoraggio)

(ex Articolo 121 eecc Articolo 52 Codice 2003)

1. L’Autorità notifica alla Commissione europea entro un mese dall’entrata in vigore e immediatamente in caso di eventuale cambiamento successivo, i nomi delle imprese designate quali titolari di obblighi di servizio universale di cui all’articolo 95 comma 2, articolo 96 o articolo 97.

2. L’Autorità notifica alla Commissione i nomi delle imprese designate come detentrici di un significativo potere di mercato nonché gli obblighi imposti nei loro confronti. Qualsiasi modifica degli obblighi imposti nei confronti delle imprese e qualsiasi modifica delle imprese designate è notificata senza indugio alla Commissione europea.

Articolo 2

Ulteriori modifiche al decreto legislativo 1 agosto 2003, n. 259 a) la rubrica del Titolo III è sostituita dalla seguente: “Parte IV – Titolo III – Reti e servizi di comunicazione elettronica ad uso privato”;

b) la rubrica del Titolo III è sostituita dalla seguente: prima dell’Articolo 146, in luogo di “Titolo IV” è inserita la dicitura “Parte V”;

c) la rubrica del Titolo III è sostituita dalla seguente: prima dell’Articolo 158, in luogo di “Titolo V” è inserita la dicitura “Parte VI”;

d) all’Articolo 220, il comma 2 è sostituito dal seguente: “2. Le disposizioni degli allegati, nel rispetto delle attribuzioni del Ministero e dell’Autorità, delle disposizioni di cui al Codice, di quelle assunte in sede comunitaria e dell’articolo 36 della legge 21 dicembre 2012, n. 234, sono modificate, all’occorrenza, con decreto del Ministero dello sviluppo economico.”

e) l’allegato n. 1 al decreto legislativo n. 259 del 2003 è sostituito dall’allegato n.1 al presente decreto e riproduce l’allegato I della direttiva (UE) 2018/1972;

f) l’allegato n. 2 al decreto legislativo n. 259 del 2003 è sostituito dall’allegato n. 2 al presente decreto e riproduce l’allegato II della direttiva (UE) 2018/1972;

g) l’allegato n. 3 al presente decreto è aggiunto e riproduce l’allegato III della direttiva (UE) 2018/1972;

h) l’allegato n. 4 al presente decreto è aggiunto e riproduce l’allegato IV della direttiva (UE) 2018/1972;

i) l’allegato n. 5 al presente decreto è aggiunto e riproduce l’allegato V della direttiva (UE) 2018/1972;

l) l’allegato n. 4 al decreto legislativo n. 259 del 2003 è sostituito dall’allegato n. 6 al presente decreto e riproduce l’allegato VI della direttiva (UE) 2018/1972;

m) parte dell’allegato n. 5 al decreto legislativo n. 259 del 2003 è sostituito dall’allegato n. 8 al presente decreto e riproduce l’allegato VIII della direttiva (UE) 2018/1972;

n) parte dell’allegato n. 5 al decreto legislativo n. 259 del 2003 è sostituito dall’allegato n. 9 al presente decreto e riproduce l’allegato IX della direttiva (UE) 2018/1972;

o) l’allegato n. 6 al decreto legislativo n. 259 del 2003 è sostituito dall’allegato n. 10 al presente decreto e riproduce l’allegato X della direttiva (UE) 2018/1972;

p) l’allegato n. 7 al decreto legislativo n. 259 del 2003 è sostituito dall’allegato n. 11 al presente decreto e riproduce l’allegato XI della direttiva (UE) 2018/1972;

q) l’allegato n. 10 al decreto legislativo n. 259 del 2003 è sostituito dall’allegato n. 12 al presente decreto;

r) l’allegato n. 11 al decreto legislativo n. 259 del 2003 è sostituito dall’allegato n. 7 al presente decreto e riproduce l’allegato VII della direttiva (UE) 2018/1972;

s) l’allegato n. 12 al decreto legislativo n. 259 del 2003 è sostituito dall’allegato n. 13 al presente decreto;

t) l’allegato n. 13 al decreto legislativo n. 259 del 2003 è sostituito dall’allegato n. 14 al presente decreto.

Articolo 3

(Procedura di nomina del Presidente e dei Commissari dell’Autorità per le garanzie nelle

comunicazioni)

1. All’articolo 1, comma 3, della legge 31 luglio 1997, n. 249, sono apportate le seguenti modificazioni:

a) le parole “Ministro delle comunicazioni” sono sostituite dalle seguenti: “Ministro dello sviluppo economico”;

b) dopo il nono periodo sono aggiunti i seguenti:

“I commissari ed il presidente sono scelti sulla base del merito, delle competenze e dalla conoscenza del settore, tra persone di riconosciuta levatura ed esperienza professionale, che abbiano manifestato e motivato il proprio interesse a ricoprire tali ruoli ed inviato il proprio curriculum professionale. Prima della elezione dei commissari e la designazione del presidente, i curricula ricevuti dal Senato della Repubblica, dalla Camera dei deputati e dalla Presidenza del Consiglio dei ministri, entro i termini e secondo le modalità da questi fissati, sono pubblicati sui rispettivi siti istituzionali”.

Articolo 4

(Norme per l’infrastrutturazione digitale degli edifici)

1. Al decreto del Presidente della Repubblica 6 giugno 2001, n. 380, sono apportate le seguenti modificazioni:

a) all’articolo 24, comma 1, dopo le parole “negli stessi installati,” sono inserite le seguenti: “e, ove previsto, di rispetto degli obblighi di infrastrutturazione digitale”;

b) all’articolo 24, comma 5, dopo la lettera e), è aggiunta la seguente: “e-bis) attestazione di ‘edificio predisposto alla banda ultra larga’, rilasciata da un tecnico abilitato per gli impianti di cui all’articolo 1, comma 2, lettera b), del decreto del Ministro dello sviluppo economico 22 gennaio 2008, n. 37, e secondo quanto previsto dalle Guide CEI 306-2, CEI 306-22 e 64-100/1, 2 e 3.”;

c) all’articolo 135-bis, dopo il comma 2, è inserito il seguente “2-bis. Per i nuovi edifici nonché in caso di nuove opere che richiedono il rilascio di permesso di costruire ai sensi dei commi 1 e 2, per i quali la domanda di autorizzazione edilizia sia stata presentata dopo la data del 1° gennaio 2022, l’adempimento dei prescritti obblighi di equipaggiamento digitale degli edifici è attestato dall’etichetta necessaria di “edificio predisposto alla banda ultra larga”, rilasciata da un tecnico abilitato per gli impianti di cui all’articolo 1, comma 2, lettera b), del decreto del Ministro dello sviluppo economico 22 gennaio 2008, n. 37, e secondo quanto previsto dalle Guide CEI 306-2, CEI 306-22 e 64-100/1, 2 e 3, su istanza del soggetto che ha richiesto il rilascio del permesso di costruire o di altro soggetto interessato. Tale attestazione è necessaria ai fini della segnalazione certificata di cui all’articolo 4. Il Comune entro 90 giorni dalla ricezione della segnalazione è tenuto a comunicare i dati relativi agli edifici infrastrutturali al Sistema Informativo Nazionale Federato delle Infrastrutture (SINFI) ai sensi del decreto-legge 12 settembre 2014, n.133 convertito con modificazioni dalla legge n. 164 del 2014.”;

d) l’articolo 135-bis, comma 3, è sostituito dal seguente: “3. Gli edifici equipaggiati in conformità al presente articolo, per i quali la domanda di autorizzazione edilizia sia stata presentata prima del 1° gennaio 2022, possono beneficiare ai fini della cessione, dell’affitto o della vendita dell’immobile, dell’etichetta volontaria e non vincolante di ‘edificio predisposto alla banda ultra larga’, rilasciata da un tecnico abilitato come previsto dal comma 2-bis-”.

2. Entro tre mesi dalla data di entrata in vigore del presente decreto, il Ministro dello sviluppo economico provvede ad adeguare il proprio decreto 22 gennaio 2008, n. 37 ai fini della definizione delle modalità attuative degli obblighi di infrastrutturazione digitale all’interno degli edifici, con impianti di comunicazione ad alta velocità in fibra ottica a banda ultra larga di cui all’articolo 135-bis del decreto del Presidente della Repubblica 6 giugno 2001, n. 380.

Articolo 5

(Norme transitorie e di coordinamento)

1. Fino al 31 dicembre 2026, per gli interventi di cui agli articoli 45 e 46 del decreto legislativo n. 259 del 2003, introdotti dall’articolo 1 del presente decreto, sono fatte salve le disposizioni di cui all’articolo 40, comma 5, del decreto-legge 31 maggio 2021, n. 77, convertito, con modificazioni, dalla legge 29 luglio 2021, n. 108, anche in deroga alle disposizioni del presente decreto.

2. Le disposizioni previste dagli articoli 30 e 31 del decreto legislativo n. 259 del 2003, introdotte dall’articolo 1 del presente decreto, si applicano anche alle violazioni commesse anteriormente all’entrata in vigore delle disposizioni che le hanno depenalizzate, se a tale data il relativo procedimento penale non sia stato definito. In questo caso il giudice trasmette gli atti all’Autorità o al Ministero competenti per l’irrogazione delle sanzioni amministrative.

3. Le disposizioni previste dall’articolo 30 del decreto legislativo n. 259 del 2003, introdotta dall’articolo 1 del presente decreto, si applicano per gli illeciti commessi successivamente alla sua entrata in vigore e, laddove contengano disposizioni di maggior favore, anche ai procedimenti in corso.

4. l’allegato 13 del decreto legislativo n. 259 del 2003, rimane applicabile fino alla data in cui saranno pubblicati i modelli per la presentazione dell’istanza unica di cui agli articoli 45 e 49 del presente decreto.

5. I pagamenti dei diritti amministrativi per gli operatori di rete radiofonici nazionali e local verranno definiti dal Ministero sulla base dei criteri che saranno stabiliti dall’Autorità, anche con riferimento al fatturato degli operatori di rete, da adottarsi entro un anno dall’entrata in vigore del presente decreto.

6. Resta fermo quanto previsto dall’articolo 9 del decreto-legge 31 maggio 2021, n. 77, convertito, con modificazioni, dalla legge 29 luglio 2021, n. 108.

7. Le funzioni attribuite dal presente Codice all’Agenzia per la cybersicurezza nazionale sono esercitate, in via transitoria, dal Ministero dello sviluppo economico fino al trasferimento delle funzioni di cui all’articolo 7, commi 1, lettera f), e 4, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, disposto ai sensi dell’articolo 17, comma 5, dello stesso decreto-legge n. 82 del 2021.

8. Le disposizioni previste dagli articoli 16 e 42 e dall’allegato 12 del decreto legislativo n. 259 del 2003, introdotte dall’articolo 1 del presente decreto, si applicano dalla data del 1° gennaio 2022.

Fino al 31 dicembre 2021 continuano ad applicarsi gli articoli 34 e 35 e allegato 10 del decreto legislativo n. 259 del 2003.

Articolo 6

(Clausola di invarianza finanziaria)

1. Dall’attuazione del presente decreto non devono derivare nuovi o maggiori oneri a carico del bilancio dello Stato. Le amministrazioni interessate provvedono ai relativi adempimenti nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. È fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.

Dato a Roma, addì 8 novembre 2021

MATTARELLA

DRAGHI, Presidente del Consiglio dei ministri

GIORGETTI, Ministro dello sviluppo economico

DI MAIO, Ministro degli affari esteri e della cooperazione internazionale

CARTABIA, Ministro della giustizia

FRANCO, Ministro dell’economia e delle finanze

GUERINI, Ministro della difesa

SPERANZA, Ministro della salute

GIOVANNINI, Ministro delle infrastrutture e della mobilità sostenibili

CINGOLANI, Ministro della transizione ecologica

COLAO, Ministro per l’innovazione tecnologica e la transizione digitale

GELMINI, Ministro per gli affari regionali e le autonomie

Visto, il Guardasigilli: CARTABIA

(Articolo 11)

ALLEGATO 1 (ex Allegato I eecc, All. 1 Codice 2003)

ELENCO DELLE CONDIZIONI CHE POSSONO CORREDARE LE AUTORIZZAZIONI GENERALI, I DIRITTI D’USO DELLO SPETTRO RADIO E I DIRITTI D’USO DELLE RISORSE DI NUMERAZIONE

Il presente allegato riporta l’elenco esaustivo delle condizioni che possono corredare le autorizzazioni generali per le reti e i servizi di comunicazione elettronica, eccetto i servizi di comunicazione interpersonale indipendenti dai numeri (parte A), le reti di comunicazione elettronica (parte B), i servizi di comunicazione elettronica, eccetto i servizi di comunicazione interpersonale indipendenti dai numeri (parte C), i diritti d’uso dello spettro radio (parte D) e i diritti d’uso delle risorse di numerazione (parte E).

A. Condizioni generali che possono corredare l’autorizzazione generale

1. Oneri amministrativi ai sensi dell’articolo 16.

2. Protezione dei dati personali e tutela della vita privata specifiche al settore delle comunicazioni elettroniche conformemente alla direttiva 2002/58/CE.

3. Informazioni da presentare in osservanza di una procedura di notifica ai sensi dell’articolo 11 e per altri scopi contemplati dall’articolo 21.

4. Possibilità per le autorità nazionali competenti di effettuare legalmente intercettazioni delle comunicazioni in conformità del decreto legislativo 18 maggio 2016, n. 80 e del Codice in materia dei dati personali.

5. Condizioni d’uso per le comunicazioni delle autorità pubbliche per avvisare il pubblico di minacce imminenti e per attenuare le conseguenze di gravi calamità.

6. Condizioni d’uso in caso di catastrofi o di emergenze nazionali per garantire le comunicazioni tra i servizi di emergenza e le autorità.

7. Obblighi di accesso diversi da quelli di cui all’articolo 13, applicabili alle imprese che forniscono reti o servizi di comunicazione elettronica.

8. Misure volte ad assicurare il rispetto delle norme o specifiche di cui all’articolo 39.

9. Obblighi di trasparenza per i fornitori di reti di comunicazione elettronica pubbliche che forniscono servizi di comunicazione elettronica accessibili al pubblico al fine di garantire la connessione da punto a punto, conformemente agli obiettivi e dei principi di cui agli articoli 3 e 4, nonché, ove necessario e proporzionato, l’accesso da parte delle autorità competenti alle informazioni necessarie per verificare l’accuratezza della divulgazione.

10. Misure volte a garantire, per tutte le tecnologie operative, l’attivazione e la continuità del servizio CBS come definito ai sensi dell’articolo 2 del presente decreto.

11. Assicurare le prestazioni ai fini di giustizia, di cui all’articolo 57 del presente decreto, sin dall’inizio dell’attività.

B. Condizioni specifiche che possono corredare le autorizzazioni generali per la fornitura di reti di comunicazione elettronica

1. Interconnessione delle reti conformemente al presente Codice.

2. Obblighi di trasmissione conformemente al presente Codice.

3. Provvedimenti concernenti la protezione della salute pubblica dai campi magnetici prodotti dalle reti di comunicazione elettronica in conformità del diritto dell’Unione, tenendo nella massima considerazione la raccomandazione 1999/519/CE.

4. Mantenimento dell’integrità delle reti pubbliche di comunicazione elettronica conformemente al presente Codice, anche mediante le condizioni per prevenire interferenze elettromagnetiche tra reti o servizi di comunicazione elettronica ai sensi del Decreto legislativo 22 giugno 2016 n. 128.

5. Sicurezza delle reti pubbliche contro l’accesso non autorizzato conformemente alla direttiva 2002/58/CE.

6. Condizioni per l’uso dello spettro radio conformemente all’articolo 7, paragrafo 2, della direttiva 2014/53/UE, qualora l’uso non sia soggetto alla concessione di diritti d’uso individuali in conformità dell’articolo 59 comma 1, e dell’articolo 61 del presente decreto.

C. Condizioni specifiche che possono corredare le autorizzazioni generali per la fornitura di servizi di comunicazione elettronica, tranne i servizi di comunicazione interpersonali indipendenti dai numeri

1. Interoperabilità dei servizi conformemente al presente decreto.

2. Accessibilità da parte degli utenti finali dei numeri del piano nazionale di numerazione, degli UIFN e, se tecnicamente ed economicamente fattibile, dei piani di numerazione di altri Stati membri, comprese le condizioni di cui al presente decreto.

3. Norme sulla tutela dei consumatori specifiche del settore delle comunicazioni elettroniche.

4. Restrizioni relative alle trasmissioni di contenuti illegali, in conformità del Decreto legislativo 9 aprile 2003 n.70, e restrizioni relative alle trasmissioni di contenuti nocivi ai sensi del Decreto legislativo 15 marzo 2010, n.44.

D. Condizioni che possono corredare la concessione di diritti d’uso dello spettro radio

1. Obbligo di fornire un servizio o di utilizzare un tipo di tecnologia entro i limiti di cui all’articolo 58, compresi, se del caso, i requisiti di copertura e di qualità del servizio.

2. Uso effettivo ed efficiente dello spettro radio a norma del presente decreto.

3. Condizioni tecniche e operative necessarie per evitare interferenze dannose e per la protezione della salute pubblica dai campi elettromagnetici, tenendo nella massima considerazione la raccomandazione 1999/519/CE, qualora siano diverse da quelle previste dall’autorizzazione generale.

4. Durata massima in conformità dell’articolo 62, fatte salve eventuali modifiche del Piano di ripartizione delle frequenze nazionali.

5. Trasferimento o affitto dei diritti su iniziativa del titolare dei diritti e relative condizioni in conformità del presente decreto.

6. Contributi per l’uso in conformità dell’articolo 42.

7. Ogni impegno che l’impresa cui sono stati attribuiti i diritti d’uso abbia assunto nel quadro della procedura di autorizzazione o di rinnovo dell’autorizzazione prima della concessione dell’autorizzazione o, se del caso, dell’invito a presentare domanda per i diritti d’uso o se del caso, nell’ambito di una procedura di gara o di selezione comparativa;

8. Obblighi di aggregare o di condividere lo spettro radio o di consentire l’accesso allo spettro radio ad altri utenti in regioni specifiche o a livello nazionale.

9. Obblighi derivanti dagli accordi internazionali relativi all’uso delle bande di spettro radio.

10. Obblighi specifici di un uso sperimentale delle bande di spettro radio.

E. Condizioni che possono corredare la concessione di diritti d’uso delle risorse di numerazione

1. Designazione del servizio per il quale è utilizzato il numero, ivi compresa qualsiasi condizione connessa alla fornitura di tale servizio e, per evitare dubbi, principi tariffari e prezzi massimi che si possono applicare alla serie di numeri specifici al fine di garantire la tutela del consumatore conformemente all’articolo 4 comma 1 lettera d).

2. Uso effettivo ed efficiente delle risorse di numerazione in conformità del presente codice.

3. Requisiti in materia di portabilità del numero in conformità del presente codice.

4. Obbligo di rendere disponibili le informazioni relative agli utenti per la fornitura di elenchi e di servizi di consultazione accessibili per gli scopi di cui all’articolo 98-vicies quinquies.

5. Durata massima in conformità dell’articolo 98-septies, fatte salve eventuali modifiche nei piani di numerazione nazionale dei servizi di comunicazione elettronica.

6. Trasferimento dei diritti su iniziativa del titolare dei diritti e relative condizioni in conformità del presente codice, compresa l’eventuale condizione che il diritto d’uso di un numero sia vincolante per tutte le imprese a cui sono trasferiti i diritti.

7. Contributi per i diritti di uso in conformità dell’articolo 98-octies.

8. Ogni impegno che l’impresa cui sono stati concessi i diritti d’uso abbia assunto nell’ambito di una procedura di gara o di selezione comparativa.

9. Obblighi derivanti dagli accordi internazionali relativi all’uso dei numeri.

10. Obblighi relativi all’uso extraterritoriale dei numeri nell’Unione per assicurare la conformità alle norme sulla tutela dei consumatori e ad altre norme sui numeri degli Stati membri diverse da quelle sul prefisso internazionale.

(Articolo 73)

ALLEGATO 2 (ex allegato II eecc – All. 2 Codice 2003)

CONDIZIONI DI ACCESSO ALLA DIFFUSIONE DI SERVIZI RADIOTELEVISIVI DIGITALI PER I TELESPETTATORI E AGLI ASCOLTATORI NELL’UNIONE

Parte I.- Condizioni associate ai sistemi di accesso condizionato applicabili a norma dell’articolo 73

Per quanto riguarda l’accesso condizionato alla diffusione di servizi radiotelevisivi digitali per i telespettatori e agli ascoltatori dell’Unione, a prescindere dal mezzo trasmissivo gli Stati membri garantiscono, conformemente all’articolo 73, che siano applicate le seguenti condizioni:

a) i sistemi di accesso condizionato utilizzati sul mercato devono essere dotati della capacità técnica necessaria per effettuare un trasferimento del controllo (transcontrol) efficiente rispetto ai costi, che consenta agli operatori di rete di effettuare un controllo totale, a livello locale o regionale, dei servizi che impiegano tali sistemi di accesso condizionato;

b) tutte le imprese che forniscono servizi di accesso condizionato, a prescindere dal mezzo trasmissivo, che prestano servizi di accesso ai servizi radiotelevisivi digitali e dai cui servizi di accesso dipendono le emittenti radiotelevisive per raggiungere qualsiasi gruppo di telespettatori o ascoltatori potenziali devono:

— proporre a tutti le emittenti radiotelevisive, a condizioni eque, ragionevoli e non discriminatorie compatibili con il diritto della concorrenza dell’Unione, servizi tecnici atti a consentire la ricezione dei rispettivi servizi radiotelevisivi trasmessi in digitale da parte dei telespettatori o ascoltatori autorizzati mediante decodificatori gestiti dagli operatori dei servizi, conformandosi al diritto della concorrenza dell’Unione,

— tenere una contabilità finanziaria distinta per quanto riguarda la loro attività di prestazione di servizi di accesso condizionato;

c) quando concedono licenze ai fabbricanti di apparecchiature di consumo, i titolari di diritti di proprietà industriale relativi ai sistemi e ai prodotti di accesso condizionato lo fanno a condizioni eque, ragionevoli e non discriminatorie. La concessione delle licenze, che tiene conto dei fattori tecnici e commerciali, non può essere subordinata dai titolari di diritti a condizioni che vietino, dissuadano o scoraggino l’inclusione nel medesimo prodotto:

— di un’interfaccia comune che consenta la connessione con più sistemi di accesso iversi, oppure

— di mezzi propri di un altro sistema di accesso, purché il beneficiario della licenza rispetti condizioni ragionevoli e appropriate che garantiscano, per quanto lo riguarda, la sicurezza delle transazioni degli operatori del servizio di accesso condizionato.

Parte II. Altre risorse cui possono applicarsi condizioni a norma dell’articolo 72 comma 2 lettera d)

a) Accesso alle interfacce per programmi applicativi (API);

b) Accesso alle guide elettroniche ai programmi (EPG).

(Articolo 86)

ALLEGATO 3 (ex allegato III eecc)

CRITERI DI DETERMINAZIONE DELLE TARIFFE ALL’INGROSSO DI TERMINAZIONE DELLE CHIAMATE VOCALI

Principi, criteri e parametri di determinazione delle tariffe all’ingrosso di terminazione delle chiamate vocali sui mercati della telefonia fissa e mobile, di cui all’articolo 86 comma 1:

a) le tariffe si basano sul recupero dei costi sostenuti da un operatore efficiente; la valutazione dei costi efficienti si basa sui valori correnti dei costi; la metodologia dei costi per calcolare i costi efficienti utilizza un approccio di modellazione dal basso verso l’alto basato sui costi a lungo termine incrementali di traffico della fornitura a terzi del servizio all’ingrosso di terminazione delle chiamate vocali;

b) i pertinenti costi incrementali del servizio all’ingrosso di terminazione delle chiamate vocali sono determinati dalla differenza tra i costi totali a lungo termine dell’operatore per la fornitura dell’intera gamma di servizi e i costi totali a lungo termine dello stesso operatore senza la fornitura a terzi del servizio all’ingrosso di terminazione delle chiamate vocali;

c) tra i costi relativi al traffico, sono assegnati al pertinente incremento della terminazione delle chiamate vocali solo quelli che sarebbero evitati in assenza della prestazione del servicio all’ingrosso di terminazione delle chiamate vocali;

d) i costi relativi alla capacità aggiuntiva di rete sono inclusi solo nella misura in cui sono dovuti alla necessità di aumentare la capacità ai fini del trasporto del traffico all’ingrosso aggiuntivo di terminazione delle chiamate vocali;

e) i diritti d’uso per lo spettro radio sono esclusi dall’incremento della terminazione delle chiamate vocali mobili;

f) sono inclusi solo i costi commerciali all’ingrosso direttamente connessi alla fornitura a terzi del servizio all’ingrosso di terminazione delle chiamate vocali;

g) si considera che tutti gli operatori della rete fissa forniscano servizi di terminazione delle chiamate vocali agli stessi costi unitari di un operatore efficiente, a prescindere dalle loro dimensioni;

h) per gli operatori della rete mobile, la scala minima di efficienza è fissata a una quota di mercato non inferiore al 20 %;

i) il metodo pertinente per l’ammortamento delle attività è l’ammortamento economico; e

l) la scelta della tecnologica per le reti modellate è orientata al futuro, basata su una rete centrale IP e tiene conto delle varie tecnologie che saranno verosimilmente utilizzate nel periodo di validità della tariffa massima. Per quanto riguarda le reti fisse, si ritiene che le chiamate siano esclusivamente a commutazione di pacchetto.

(Articolo 87)

ALLEGATO 4 (ex allegato IV eecc)

CRITERI PER LA VALUTAZIONE DELLE OFFERTE DI COINVESTIMENTO

Nel valutare l’offerta di coinvestimento a norma dell’articolo 87 comma 1, l’autorità nazionale di regolamentazione verifica che siano stati rispettati almeno i seguenti criteri. Le autorità nazionali di regolamentazione possono prendere in esame criteri aggiuntivi nella misura in cui sono necessari a garantire l’accessibilità dei potenziali investitori al coinvestimento, alla luce delle specifiche condizioni locali e della struttura del mercato:

a) l’offerta di coinvestimento è aperta a ogni impresa su base non discriminatoria per la durata di vita della rete costruita nel quadro dell’offerta di coinvestimento. L’impresa designata come detentrice di un significativo potere di mercato può includere nell’offerta condizioni ragionevoli per quanto riguarda la capacità finanziaria delle imprese tali per cui, ad esempio, i potenziali coinvestitori sono tenuti a dimostrare la capacità di effettuare pagamenti scaglionati sulla base dei quali sarà programmata l’installazione, l’accettazione di un piano strategico sulla base del quale saranno elaborati i piani di installazione a medio termine, e così via;

b) l’offerta di coinvestimento è trasparente:

– l’offerta è disponibile e facilmente reperibile sul sito web dell’impresa designata come detentrice di un significativo potere di mercato;

– tutte le condizioni, dettagliate e complete, sono rese disponibili senza indebito ritardo a tutti i potenziali offerenti che abbiano manifestato interesse, compresa la forma giuridica dell’accordo di coinvestimento e, se del caso, gli accordi preliminari sulla governance del veicolo di coinvestimento; e

– il processo, al pari della tabella di marcia, per l’elaborazione e lo sviluppo del progetto di coinvestimento è fissato in anticipo e chiaramente spiegato per iscritto a tutti i potenziali coinvestitori; tutte le principali tappe devono essere chiaramente comunicate a tutte le imprese senza discriminazioni;

c) l’offerta di coinvestimento include condizioni per i potenziali coinvestitori che favoriscono una concorrenza sostenibile a lungo termine, in particolare:

– a tutte le imprese sono offerte condizioni di partecipazione all’accordo di coinvestimento eque, ragionevoli e non discriminatorie, in funzione del momento dell’adesione, tra l’altro in termini di corrispettivo finanziario richiesto per l’acquisizione di diritti specifici, in termini di protezione che detti diritti assicurano ai coinvestitori, sia nella fase di costruzione che nella fase operativa, ad esempio mediante la concessione di diritti irrevocabili d’uso (indefeasible rights of use — IRU) per il periodo di vita atteso della rete realizzata in coinvestimento, e in termini di condizioni per l’adesione all’accordo di coinvestimento e per l’eventuale risoluzione. In questo contesto, condizioni non discriminatorie non implicano che a tutti i potenziali coinvestitori siano offerte esattamente le stesse condizioni, comprese le condizioni finanziarie, ma che tutte le modifiche delle condizioni offerte siano giustificate sulla base degli stessi criteri obiettivi, trasparenti, non discriminatori e prevedibili, ad esempio il numero di linee di utente finale per le quali è stato espresso un impegno;

– l’offerta deve permettere una certa flessibilità in termini di valore e tempistica dell’impegno sottoscritto da ciascun coinvestitore, ad esempio in forma di percentuale concordata e potenzialmente crescente del totale delle linee di utente finale in una determinata area, in rapporto alla quale i coinvestitori hanno la possibilità di impegnarsi in modo graduale ed è fissata a un livello unitario che consenta ai coinvestitori più piccoli dotati di risorse limitate di prendere parte al coinvestimento da una soglia ragionevolmente minima e di aumentare gradualmente la loro partecipazione rassicurando allo stesso tempo livelli adeguati di impegno iniziale; il corrispettivo finanziario che ogni coinvestitore deve fornire deve essere determinato in modo da rispecchiare il fatto che i primi investitori accettano rischi maggiori e impegnano i loro capitali prima degli altri;

– un premio crescente nel tempo è considerato giustificato per impegni assunti in fasi successive e per i nuovi coinvestitori che aderiscono all’accordo di coinvestimento dopo l’avvio del progetto, in modo da riflettere la diminuzione dei rischi e contrastare qualsiasi incentivo a non impegnare i capitali nelle prime fasi;

– l’accordo di coinvestimento deve consentire la cessione dei diritti acquisiti ad altri coinvestitori o a terzi intenzionati ad aderire all’accordo di coinvestimento, subordinatamente all’obbligo a carico del cessionario di adempiere tutti gli obblighi originariamente a carico del cedente ai sensi dell’accordo di coinvestimento;

– i coinvestitori si concedono reciprocamente, a condizioni e termini equi e ragionevoli, i diritti di accesso all’infrastruttura realizzata in coinvestimento ai fini della prestazione di servizi a valle, anche agli utenti finali, secondo condizioni trasparenti, che devono essere indicate in maniera trasparente nell’offerta di coinvestimento e nel successivo accordo, in particolare se i coinvestitori sono responsabili individualmente e separatamente dell’installazione di parti specifiche della rete.

Se viene creato, il veicolo di coinvestimento fornisce l’accesso, diretto o indiretto, alla rete a tutti i coinvestitori a condizioni di equivalenza e secondo condizioni e termini equi e ragionevoli, comprese condizioni finanziarie che riflettano il diverso livello di rischio accettato dai singoli coinvestitori.

d) l’offerta di coinvestimento assicura un investimento duraturo in grado di soddisfare esigenze future mediante l’installazione di nuovi elementi di rete che contribuiscano in misura significativa alla realizzazione di reti ad altissima capacità.

(Articolo 94)

ALLEGATO 5 (ex allegato V eecc)

INSIEME MINIMO DI SERVIZI CHE IL SERVIZIO DI ACCESSO ADEGUATO A INTERNET A BANDA LARGA È IN GRADO DI SUPPORTARE AI SENSI DELL’ARTICOLO 94 comma 3

1) e-mail;

2) motori di ricerca che consentano la ricerca e il reperimento di ogni tipo di informazioni;

3) strumenti basilari online di istruzione e formazione;

4) stampa o notizie online;

5) ordini o acquisti online di beni o servizi;

6) ricerca di lavoro e strumenti per la ricerca di lavoro;

7) reti professionali;

8) servizi bancari online;

9) utilizzo dei servizi dell’amministrazione digitale;

10) media sociali e messaggeria istantanea;

11) chiamate e videochiamate (qualità standard).

(Articolo 98, 98- duodetricies e 98-octies decies)

ALLEGATO 6 (ex allegato VI eecc – All. 4 Codice 2003)

DESCRIZIONE DELLE PRESTAZIONI E DEI SERVIZI CITATI ALL’ARTICOLO 98

ALL’ARTICOLO 98- DUODETRICIES E ALL’ARTICOLO 98-OCTIES DECIES

Parte A.- Prestazioni e servizi citati agli articoli 98 e 98-duodetricies

Se applicata sulla base dell’articolo 98, la parte A si applica ai consumatori e ad altre categorie di utenti finali qualora il Ministero, sentita l’Autorità, abbia aumentato i beneficiari dell’articolo 98 comma 2. Se applicata sulla base dell’articolo 98-duodetricies, la parte A si applica alle categorie di utenti finali stabilite dal Ministero sentita l’Autorità, a eccezione delle lettere c), d), e g) della presente parte, che si applicano ai soli consumatori.

a) Fatturazione dettagliata

Fatti salvi gli obblighi previsti dalla normativa relativa alla tutela dei dati personali e della vita privata, l’Autorità può fissare il livello minimo di dettaglio delle fatture che i fornitori devono offrire gratuitamente agli utenti finali per consentire a questi:

1) di verificare e controllare le spese generate dall’uso dei servizi di accesso a internet o di comunicazione vocale, o dei servizi di comunicazione interpersonale basati sul numero ai fini dell’articolo 98-duodetricies;

2) di sorvegliare in modo adeguato il proprio uso della rete e dei servizi e le spese che ne derivano, in modo da esercitare un ragionevole livello di controllo sulle proprie fatture. Ove opportuno, gli utenti finali possono ottenere, a tariffe ragionevoli o gratuitamente, un maggior livello di dettaglio delle fatture.

Tali fatture dettagliate includono un riferimento esplicito all’identità del fornitore e allá durata dei servizi a tariffazione maggiorata, a meno che l’utente finale abbia richiesto che tali informazioni non siano menzionate. Non è necessario che le chiamate gratuite per l’utente finale, comprese le chiamate ai numeri di emergenza, siano indicate nella fattura dettagliata dell’utente finale. L’Autorità può imporre agli operatori di fornire gratuitamente l’identificazione della linea chiamante.

b) Sbarramento selettivo delle chiamate in uscita o di MMS o SMS premium o, ove ciò sia tecnicamente fattibile, altri tipi di applicazioni analoghe (servizio gratuito)

Prestazione gratuita grazie alla quale l’utente finale, previa richiesta ai fornitori di servizi di comunicazione vocale o servizi di comunicazione interpersonale basati sul numero ai fini dell’articolo 98-duodetricies, può impedire che vengano effettuate chiamate in uscita di tipo definito o verso determinati tipi di numeri oppure l’invio di MMS o SMS premium o altri tipi di applicazioni analoghe verso queste destinazioni.

c) Sistemi di pagamento anticipato

L’Autorità può imporre ai fornitori di proporre ai consumatori modalità di pagamento anticipato per l’accesso alla rete pubblica di comunicazione elettronica e per l’uso dei servizi di comunicazione vocale, o dei servizi di accesso a internet, o dei servizi di comunicazione interpersonale basati sul numero ai fini all’articolo 98-duodetricies.

d) Pagamento rateale del contributo di allacciamento L’Autorità può imporre ai fornitori l’obbligo di autorizzare i consumatori a scaglionare nel tempo il pagamento del contributo di allacciamento alla rete pubblica di comunicazione elettronica.

e) Mancato pagamento delle fatture

Per la riscossione delle fatture non pagate emesse dai fornitori, l’Autorità autoriza l’applicazione di misure specifiche che siano rese pubbliche e ispirate ai principi di proporzionalità e non discriminazione. Tali misure garantiscono che l’utente finale sia informato con debito preavviso dell’interruzione del servizio o della cessazione del collegamento conseguente al mancato pagamento. Salvi i casi di frode, di ripetuti ritardi di pagamento o di ripetuti mancati pagamenti e per quanto tecnicamente fattibile, tali misure garantiscono che sia interrotto solo il servizio interessato. La cessazione del collegamento per mancato pagamento delle fatture avviene solo dopo averne debitamente avvertito l’utente finale. Prima della totale cessazione del collegamento l’Autorità può autorizzare un periodo di servizio ridotto durante il quale sono permessi esclusivamente chiamate che non comportano un addebito per l’utente finale (ad esempio chiamate al numero «112») e un livello minimo di servizio di accesso ai servizi internet, definito dagli Stati membri alla luce delle condizioni nazionali.

f) Consigli tariffari

La procedura in base alla quale gli utenti finali possono chiedere al fornitore di offrire informazioni su tariffe alternative più economiche, se disponibili.

g) Controllo dei costi

La procedura in base alla quale i fornitori offrono strategie diverse, se ritenute idonee dall’Autorità per tenere sotto controllo i costi dei servizi di comunicazione vocale o di accesso a internet, o dei servizi di comunicazione interpersonale basati sul numero ai fini dell’articolo 98-duodetricies, tra cui sistemi gratuiti di segnalazione ai consumatori di consumi anomali o eccessivi.

h) Procedura volta a disattivare la fatturazione di terzi

La procedura in base alla quale gli utenti finali inibiscono la facoltà di fatturazione dei fornitori di servizi terzi che usano le fatture di fornitori di servizi di accesso a internet o di servizi di comunicazione interpersonale accessibili al pubblico per addebitare i loro prodotti o servizi.

Parte B.- Prestazioni di cui all’articolo 98-duodetricies

a) Identificazione della linea chiamante

Prima di instaurare la comunicazione la parte chiamata può visualizzare il numero della parte chiamante.

Questa opzione è fornita nel rispetto della normativa relativa alla tutela dei dati personali e della vita privata e in particolare della direttiva 2002/58/CE.

Nella misura in cui sia tecnicamente fattibile, gli operatori forniscono dati e segnali per facilitare l’offerta delle prestazioni di identificazione della linea chiamante e di composizione mediante tastiera attraverso i confini degli Stati membri.

b) Inoltro di posta elettronica o accesso ai messaggi di posta elettronica dopo la risoluzione del contratto con un fornitore di servizio di accesso a internet

Questa procedura consente, su richiesta e gratuitamente, agli utenti finali che risolvono il contratto con un fornitore di servizio di accesso a internet di accedere ai messaggi di posta elettronica ricevuti all’indirizzo o agli indirizzi di posta elettronica basati sul nome commerciale o sul marchio dell’ex fornitore, durante il periodo considerato necessario e proporzionato dall’Autorità, o trasferire i messaggi di posta elettronica inviati a tale o tali indirizzi durante il suddetto periodo a un nuevo indirizzo di posta elettronica specificato dagli utenti finali.

Parte C.- Attuazione delle disposizioni relative alla portabilità del numero di cui all’articolo 98-octies decies

La prescrizione in base alla quale tutti gli utenti finali con numeri telefonici appartenenti al piano di numerazione nazionale che ne facciano richiesta devono poter conservare i propri numeri indipendentemente dall’impresa fornitrice del servizio si applica:

a) nel caso di numeri geografici, in un luogo specifico; e

b) nel caso di numeri non geografici, in qualsiasi luogo.

La presente parte non si applica alla portabilità del numero tra reti che forniscono servizi in postazione fissa e reti mobili.

(Articolo 98-bis e 98-ter)

ALLEGATO 7 (ex Allegato VII eecc – All. 11 Codice 2003)

CALCOLO DELL’EVENTUALE COSTO NETTO DEGLI OBBLIGHI DI SERVIZIO UNIVERSALE E ISTITUZIONE DI UN EVENTUALE MECCANISMO DI INDENNIZZO O DI CONDIVISIONE SECONDO QUANTO PREVISTO DAGLI ARTICOLI 98-bis e 98-ter

Articolo 1.- Definizioni

1. Oltre alle definizioni di cui all’articolo 2 del Codice, ai fini di cui al presente allegato, si applicano anche le seguenti:

a) «area potenzialmente non remunerativa», l’area, se del caso corrispondente a uno o più indirizzi civici, servita da un apparato di concentrazione che non sarebbe servita dal soggetto designato in assenza di obblighi di servizio universale;

b) «area non remunerativa», l’area di cui sopra effettivamente in perdita tra quelle risultate potenzialmente non remunerative;

c) «costi evitabili», i costi che l’impresa designata non sosterrebbe in assenza di obblighi di servicio universale;

d) «ricavi mancati», i ricavi che l’impresa designata non conseguirebbe in assenza di obblighi di servizio universale;

e) «costo netto», la differenza fra il costo netto derivante dalla situazione in cui un organismo è incaricato di assolvere agli obblighi del servizio universale rispetto a quella in cui non sia tenuto ad assolvere a tali obblighi;

f) «costi comuni», i costi operativi o di capitale sostenuti per fornire due o più servizi, tra cui in particolare servizi offerti in regime di servizio universale e altri servizi;

g) «capitale impiegato», valore residuo contabile dei cespiti impiegati per fornire il servicio universale;

h) «tasso di rendimento del capitale impiegato», la media pesata del costo del capitale proprio e di terzi;

i) «ragionevole tasso di rendimento del capitale impiegato», il tasso di rendimento del capitale applicabile alle attività di servizio universale.

Articolo 2.- Parte A

Calcolo del costo netto

Per obblighi di servizio universale si intendono gli obblighi imposti dall’Autorità nei confronti di un’impresa perché questa fornisca un servizio universale come stabilito dagli articoli da 94 a 97.

L’Autorità considera tutti i mezzi adeguati per incentivare le imprese (designate o non) ad assolvere gli obblighi di servizio universale in modo efficiente rispetto ai costi. Ai fini del calcolo, il costo netto degli obblighi di servizio universale consiste nella differenza tra il costo netto delle operazioni di un’impresa quando è soggetta a obblighi di servizio universale e il costo netto delle operazioni in assenza di tali obblighi. Particolare attenzione va riservata alla corretta valutazione dei costi che le imprese avrebbero scelto di evitare se non fossero state soggette a tali obblighi.

Il calcolo si basa sui costi imputabili ai seguenti fattori:

•

i) elementi del servizio che possono essere forniti solo in perdita o a costi diversi dalle normali condizioni commerciali.

In tale categoria rientrano elementi del servizio quali l’accesso ai servizi telefonici di emergenza, la fornitura di taluni servizi o apparecchiature per utenti finali con disabilità ecc.;

•

ii) specifici utenti finali o specifiche categorie di utenti finali che, considerati il costo della fornitura di una rete o di un servizio determinato, il gettito generato ed eventuali perequazioni tariffarie geografiche imposte dall’Autorità, possono essere serviti solo in perdita o a costi diversi dalle normali condizioni commerciali.

In tale categoria rientrano utenti finali o categorie di utenti finali che non fruirebbero dei servizi di un fornitore se questo non fosse soggetto a obblighi di servizio universale.

Il calcolo del costo netto di alcuni aspetti specifici degli obblighi di servizio universale deve essere realizzato separatamente e al fine di evitare una doppia computazione dei vantaggi e dei costi diretti ed indiretti. Il costo netto complessivo degli obblighi di servizio universale di un’impresa equivale alla somma del costo netto dei vari elementi degli obblighi di servizio universale, tenendo conto dei vantaggi immateriali. La verifica del costo netto è di competenza dell’Autorità.

Parte B.- Indennizzo dei costi netti derivanti dagli obblighi di servizio universale

L’indennizzo o il finanziamento del costo netto degli obblighi di servizio universale può implicare che le imprese soggette a obblighi di servizio universale siano indennizzate per i servizi che forniscono a condizioni non commerciali. Poiché l’indennizzo comporta trasferimenti finanziari, l’Autorità provvede affinché tali trasferimenti siano effettuati in modo obiettivo, trasparente, non discriminatorio e proporzionato. Ciò significa che i trasferimenti comportano distorsioni minime della concorrenza e della domanda degli utenti. Conformemente all’articolo 98-ter comma 2, un dispositivo di condivisione basato su un fondo usa mezzi trasparenti e neutrali per il prelievo dei contributi che evitino il rischio di una doppia imposizione sulle entrate e le uscite delle imprese. Il Ministero dello sviluppo economico che gestisce il fondo deve essere responsabile del prelievo dei contributi dalle imprese tenute a contribuire al costo netto degli obblighi di servizio universale nel territorio nazionale e della supervisione del trasferimento delle somme dovute o dei pagamenti amministrativi alle imprese autorizzate a ricevere pagamenti provenienti dal fondo.

Articolo 3.- Finanziamento

1. Viene utilizzato il fondo per il finanziamento del costo netto degli obblighi del servicio universale, istituito presso il Ministero dello sviluppo economico, e, ove previsto, dei costi di cui al successivo articolo 4 del presente allegato.

2. È previsto un meccanismo di ripartizione dei costi, basato sui princìpi di non discriminazione, trasparenza e proporzionalità, a carico delle imprese che gestiscono reti pubbliche di comunicazioni, che forniscono servizi telefonici accessibili al pubblico, in proporzione all’utilizzazione da parte di tali soggetti delle reti pubbliche di comunicazioni, o che prestano servizi di comunicazione mobili e personali in ambito nazionale.

3. Le imprese sono tenute a contribuire al fondo di cui al comma 1 sulla base dei ricavi relativi ai servizi indicati al comma 2, ivi compresi quelli relativi ai servizi telefonici accessibili al pubblico offerti a clienti remunerativi o in aree remunerative, nel rispetto delle modalità di cui alle presenti disposizioni.

4. Il finanziamento del servizio universale da parte delle imprese di cui ai commi 2 e 3 avviene esclusivamente attraverso la contribuzione al fondo di cui al comma 1. Le predette imprese non possono applicare prezzi tesi a recuperare la quota che esse versano al fondo del servizio universale nei confronti di altre imprese ugualmente tenute a contribuire allo stesso fondo.

5. Fermo restando quanto previsto all’articolo 90-ter, comma 2, del presente decreto, non sono tenuti a contribuire al fondo di cui al comma 1:

a) le imprese che gestiscono reti private di comunicazioni;

b) i fornitori di servizi telefonici per gruppi chiusi di utenti;

6. Il meccanismo di cui al comma 2 non è applicabile quando:

a) la fornitura delle obbligazioni di servizio universale non determina un costo netto;

b) il costo netto degli obblighi di fornitura del servizio universale non rappresenti un onere iniquo;

c) l’ammontare del costo netto da ripartire non giustifichi il costo amministrativo di gestione del metodo di ripartizione e finanziamento dell’onere di fornitura degli obblighi di servizio universale.

Articolo 4.- Costi da ripartire

1. I costi da ripartire, oltre a quello netto relativo agli obblighi del servizio universale calcolato secondo i fattori di cui alla parte alla Parte III del Titolo II del presente decreto ed al successivo articolo 5 del presente Allegato, possono comprendere gli oneri relativi al controllo effettuato sul calcolo del costo netto da parte dell’organismo indipendente dotato di specifiche competenze incaricato dall’Autorità, al fine di garantire l’effettiva implementazione dello schema nazionale di finanziamento delle obbligazioni di fornitura del servizio universale.

Articolo 5.- Metodologia di calcolo del costo netto del servizio universale

1. Il costo netto del servizio universale è calcolato come la differenza fra il costo netto derivante dalla situazione in cui un organismo è incaricato di assolvere agli obblighi del servizio universale rispetto a quella in cui non sia tenuto ad assolvere a tali obblighi.

2. Il costo netto è calcolato sulla base dei costi evitabili e ricavi mancati relativi alle aree non remunerative, alla telefonia pubblica e alle categorie di consumatori a basso reddito o con esigenze sociali particolari.

3. Non sono computati nel costo netto i costi non recuperabili.

4. Non sono computati nel costo netto, i costi comuni ai servizi offerti in adempimento agli obblighi di servizio universale e ai servizi offerti ad altro titolo.

5. Sono computati nel costo netto delle aree potenzialmente non remunerative, della telefonía pubblica e delle categorie agevolate i costi operativi e di capitale afferenti agli apparati di telefonía pubblica e alla rete di accesso. Ad eccezione della telefonia pubblica sono computati nel costo netto anche i costi operativi e di capitale afferenti ai portanti trasmissivi tra apparati di concentrazione e/o centrali locali e nodi di instradamento di livello 1, a cui gli stessi sono attestati.

6. Sono computate nel costo netto delle aree non remunerative, della telefonia pubblica e delle categorie agevolate di clienti, tutte le voci di ricavi effettivi e potenziali, derivanti dall’offerta di servizi al dettaglio e all’ingrosso.

7. Non sono inclusi nel calcolo del costo netto del servizio universale i seguenti fattori:

a) il costo di fatturazione dettagliata e delle altre prestazioni supplementari allorché tali prestazioni siano imposte quali obbligazioni ad altre imprese autorizzate a prestare il servizio telefónico accessibile al pubblico;

b) i costi delle prestazioni che sono fuori dalla portata del servizio universale, tra i quali: la fornitura a scuole, ospedali o biblioteche di particolari servizi di comunicazione elettronica stabiliti con decreto ministeriale; la compensazione ed il rimborso di pagamenti, o di costi amministrativi e di altri costi associati a tali pagamenti, effettuati a vantaggio di utenti qualora, fornendo loro il servizio, non siano stati rispettati i livelli di qualità specificati; il costo della sostituzione e della modernizzazione di apparecchiature di comunicazione elettronica nel corso del normale adeguamento delle reti;

c) i costi per collegamenti e servizi concernenti la cura di interessi pubblici nazionali, con specifico riguardo ai servizi di pubblica sicurezza, di soccorso pubblico, di difesa nazionale, di giustizia, di istruzione e di governo; i relativi oneri sono posti a carico del richiedente, fatte salve le eccezioni previste dalla legge.

8. I cespiti della rete di accesso sono valorizzati a costi storici.

9. I cespiti della rete di trasporto sono valorizzati a costi correnti secondo le disposizioni regolamentari vigenti.

10. Ai fini della valorizzazione dei cespiti a costi correnti è utilizzato il cosiddetto metodo del Financial Capital Maintenance.

11. Il costo netto è calcolato sulla base dei costi, operativi e di capitale, necessari ad una eficiente fornitura dei servizi che l’operatore designato avrebbe evitato di sostenere in assenza di obblighi di servizio universale.

12. Le vite utili e le quote di ammortamento dei cespiti derivano dal bilancio civilistico.

13. Il capitale impiegato è dato dal valore residuo contabile di ciascun cespite, calcolato come differenza tra valore lordo contabile e ammortamento cumulato.

14. È escluso dal capitale impiegato il saldo tra attività e passività correnti.

15. Il tasso di remunerazione del capitale relativo alle attività di servizio universale è pari a quello regolamentato nel periodo di riferimento.

16. Il tasso di remunerazione del capitale di cui al comma 15 è aggiornato a seguito di eventuali revisioni del tasso di remunerazione del capitale applicabile alle attività regolamentate derivanti dalle analisi dei mercati.

17. Il calcolo del costo netto include esclusivamente le attività ricorrenti. Sono pertanto escluse dal calcolo del costo netto le minusvalenze e le sopravvenienze.

Articolo 6.- Modalità di finanziamento

1. Le imprese incaricate della fornitura del servizio universale sono tenute a presentare all’Autorità, entro 60 giorni dalla chiusura del proprio bilancio civilistico di ogni anno, il calcolo del costo netto degli obblighi del servizio universale riferito all’anno precedente, secondo quanto previsto dalla Parte III del Titolo II del presente decreto e dall’articolo 5 del presente allegato.

2. L’Autorità, fermo restando quanto previsto dalla legge 31 luglio 1997, n. 249, e dal presente Allegato:

a) stabilisce se il meccanismo di ripartizione è applicabile;

b) qualora il meccanismo di ripartizione sia applicabile, incarica un organismo indipendente dalle parti interessate, avente specifiche competenze, per la verifica del calcolo del costo netto di cui al comma 1. I risultati di detta verifica devono essere contenuti in un’articolata relazione di conformità ai criteri, ai princìpi ed alle modalità di determinazione del predetto costo di cui alla Parte III del Titolo II del presente decreto ed alle disposizioni del presente allegato. Tale verifica tiene anche conto degli eventuali vantaggi di mercato derivati all’impresa stessa quale soggetto incaricato della fornitura del servizio universale. Tali vantaggi, alla cui quantificazione provvede il predetto organismo anche su proposta delle imprese, possono riguardare:

1) il riconoscimento della denominazione commerciale rispetto ai concorrenti;

2) la possibilità di sostenere costi comparativamente più bassi dei concorrenti nel caso di estensione della rete a nuovi clienti, tenuto conto dell’elevato livello di copertura del territorio già raggiunto;

3) la possibilità di usufruire, nel tempo, dell’evoluzione del valore di determinati clienti o gruppi di clienti inizialmente non remunerativi;

4) la disponibilità di informazioni sui clienti e sui loro consumi telefonici;

5) la probabilità che un potenziale cliente scelga l’impresa incaricata della fornitura del servicio universale in relazione alla presenza diffusa dell’impresa stessa sul territorio ed alla possibilità di mancata conoscenza dell’esistenza di nuove imprese;

c) stabilisce, ai sensi del cui alla Parte III del Titolo II del presente decreto, se il meccanismo di ripartizione è giustificato sulla base della relazione articolata presentata dall’organismo di cui allá lettera b), indicante, tra l’altro, l’ammontare del costo netto da finanziare;

d) al fine di quanto previsto alla lettera f), tiene conto del costo del controllo effettuato dall’organismo appositamente incaricato;

e) determina, ai fini della sua ripartizione, l’onere complessivo relativo agli obblighi di fornitura del servizio universale ed agli elementi di costo di cui all’articolo 4 del presente allegato;

f) individua le imprese debitrici sulla base della Parte III del Titolo II del presente decreto e dell’articolo 3 del presente allegato;

g) richiede alle imprese debitrici di cui alla lettera g) i dati previsti al successivo comma 4 relativi all’esercizio al quale si riferiscono gli oneri da ripartire, necessari ai fini della determinazione della quota a carico di ciascuno di essi;

h) fissa la quota di contribuzione di ciascuna impresa, ivi comprese le imprese incaricate della fornitura del servizio universale limitatamente a quanto previsto all’articolo 3 del presente allegato, secondo le modalità di cui al successivo comma 4;

i) determina l’importo della somma dovuta alle imprese incaricate della fornitura del servicio universale dopo aver compensato, per tali imprese, le quote di contribuzione di cui alla lettera i);

l) avvia una consultazione pubblica nazionale ai sensi dell’articolo 23 in relazione alla verifica del Costo Netto pubblicando i dati del calcolo, fatto salvo l’obbligo di riservatezza derivante da disposizioni vigenti ovvero da esplicite richieste motivate che siano state formulate dalle imprese;

m) adotta il provvedimento finale di verifica e accertamento del Costo Netto tenuto conto degli esiti della consultazione di cui al punto precedente;

n) comunica al Ministero, entro 15 giorni dalla pubblicazione sul sito dell’Autorità del proprio provvedimento finale concernente il costo netto del servizio universale di ogni anno, l’ammontare della contribuzione a carico delle sole imprese che risultano debitrici.

3. Il Ministero provvede a:

a) comunicare alle imprese debitrici l’importo dei contributi da versare all’entrata del bilancio dello Stato, entro 15 giorni dalla ricezione della comunicazione dell’Autorità, di cui al precedente comma 2, lettera l). Le imprese debitrici versano tali contributi entro 30 giorni dalla ricezione della comunicazione di versamento da parte del Ministero, con le seguenti modalità:

1) versamento in conto corrente postale intestato alla tesoreria dello Stato;

2) versamento con vaglia postale ordinario nazionale o internazionale intestato alla tesoreria dello Stato;

3) accreditamento bancario a favore dell’ufficio italiano cambi per il successivo versamento all’entrata del bilancio dello Stato;

b) segnalare all’Autorità eventuali inadempimenti da parte delle imprese debitrici;

c) corrispondere alle imprese incaricate di fornire il servizio universale le somme versate dalle imprese debitrici, in adempimento a quanto previsto dalla lettera a), entro 30 giorni dall’ultimo versamento effettuato;

d) inviare all’Autorità un rapporto annuale sulla gestione del fondo del servizio universale, entro 45 giorni dalla corresponsione di cui alla lettera c).

4. La base di calcolo per la contribuzione, a cui sono tenute le imprese di cui all’articolo 3 del presente allegato è determinata con la seguente formula:

———————-

quota percentuale per l’operatore i-esimo.

LEGENDA:

RL = Ricavi lordi di competenza economica dell’esercizio, relativi alla fornitura dei

1) servizi di telefonia vocale su rete fissa e mobile e di uso della rete telefonica pubblica,

2) servizi di selezione o preselezione del vettore,

3) servizi di collegamento a Internet su rete fissa e mobile,

4) servizi di linee affittate al dettaglio,

5) servizi di rivendita di capacità trasmissiva,

6) servizi di interconnessione,

7) servizi di affitto circuiti all’ingrosso,

8) servizi di roaming nazionale ed internazionale;

RSU = Ricavi lordi, di competenza economica dell’esercizio, percepiti dalle imprese incaricate del servizio universale per la fornitura dello stesso a clienti o gruppi di clienti non remunerativi overo in aree non remunerative;

SI = Costi, di competenza economica dell’esercizio, sostenuti nei confronti di altre imprese, tra quelle di cui all’articolo 3 del presente allegato, per servizi di interconnessione;

AC = Costi, di competenza economica dell’esercizio, sostenuti nei confronti di altre imprese, tra quelle di cui all’articolo 3 del presente allegato, per servizi di affitto circuiti;

CT = Costi, di competenza economica dell’esercizio, sostenuti nei confronti di altre imprese, tra quelle di cui all’articolo 3 del presente allegato, per acquisto di capacità trasmissiva;

RN = Costi, di competenza economica dell’esercizio, sostenuti nei confronti di altre imprese, tra quelle di cui all’articolo 3 del presente allegato, per servizi di roaming nazionale;

TV = Costi di competenza economica dell’esercizio, sostenuti nei confronti di altre imprese, tra quelle di cui all’articolo 3 del presente allegato, per servizi di telefonia vocale;

CI = Costi di competenza economica dell’esercizio, sostenuti nei confronti di altre imprese, tra quelle di cui all’articolo 3 del presente allegato, per servizi di collegamento a Internet.

(Articolo 98-quater decies)

ALLEGATO 8 (ex allegato VIII eecc – parte dell’All. 5 Codice 2003)

OBBLIGHI DI INFORMAZIONE DA FORNIRE CONFORMEMENTE ALL’ARTICOLO

98-quater decies

A. Obblighi di informazione per i fornitori di servizi di comunicazione elettronica accessibili al pubblico diversi dai servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina

I fornitori di servizi di comunicazione elettronica accessibili al pubblico diversi dai servizi di trasmissione utilizzati per la fornitura di servizi da macchina a macchina forniscono le seguenti informazioni:

1) nell’ambito delle principali caratteristiche di ogni servizio fornito i livelli minimi di qualità del servizio nella misura in cui sono offerti e, per i servizi diversi dai servizi di accesso a internet, gli specifici parametri di qualità garantiti.

Laddove non sia offerto alcun livello minimo di qualità del servizio, ciò deve essere comunicato;

2) nell’ambito delle informazioni sul prezzo, ove e nella misura applicabile, gli importi dovuti rispettivamente per l’attivazione del servizio di comunicazione elettronica e per i costi ricorrenti o legati al consumo;

3) nell’ambito delle informazioni concernenti la durata del contratto e le condizioni di rinnovo e di risoluzione, compresi eventuali oneri di risoluzione, nella misura in cui si applicano tali condizioni:

a) ogni utilizzo minimo o durata minima richiesti per beneficiare di condizioni promozionali;

b) costi legati al passaggio e agli accordi di indennizzo e rimborso in caso di ritardi o abusi nel passaggio, nonché informazioni circa le rispettive procedure;

c) informazioni sul diritto, di cui beneficiano i consumatori che utilizzano servizi prepagati, al rimborso, su richiesta, dei crediti residui in caso di passaggio, come stabilito all’articolo 98-octies decies comma 6;

d) oneri per risoluzione anticipata dal contratto, comprese le informazioni sullo sblocco dell’apparecchiatura terminale e sul recupero dei costi in relazione alla stessa;

4) le disposizioni relative all’indennizzo e al rimborso, ivi compreso, se del caso, un riferimento esplicito ai diritti dei consumatori, applicabili qualora non sia raggiunto il livello di qualità del servizio previsto dal contratto o qualora la risposta del fornitore a incidenti di sicurezza, minacce o vulnerabilità non sia adeguata;

5) i tipi di azioni che il fornitore può adottare in risposta a incidenti di sicurezza, o minacce e vulnerabilità.

B. Obblighi di informazione per i fornitori di servizi di accesso a internet e di servizi di comunicazione interpersonale accessibili al pubblico

I. Oltre agli obblighi di cui alla parte A, i fornitori di servizi di accesso a internet e di servizi di comunicazione interpersonale accessibili al pubblico forniscono le seguenti informazioni:

1) nell’ambito delle principali caratteristiche di ciascun servizio fornito:

a) i livelli minimi di qualità del servizio nella misura in cui sono offerti e tenendo nella massima considerazione le linee guida del BEREC adottate a norma dell’articolo 98-sedecies, comma 2, per quanto concerne:

— per i servizi di accesso a internet: almeno latenza, jitter, perdita di pacchetti;

— per i servizi di comunicazione interpersonale accessibili al pubblico, ove esercitino un controllo su almeno alcuni elementi della rete o hanno a tal fine un accordo sul livello dei servizi con le aziende che forniscono l’accesso alla rete: almeno i tempi di allacciamento iniziale, la probabilità di fallimento della chiamata, i ritardi di segnalazione della chiamata a norma dell’allegato 10;

b) fermo restando il diritto degli utenti finali di utilizzare apparecchiature terminali di loro scelta, a norma dell’articolo 3, paragrafo 1, del regolamento (UE) 2015/2120, le condizioni, compresi i contributi, imposte dal fornitore all’utilizzo delle apparecchiature terminali fornite;

a) i dettagli del piano o dei piani tariffari specifici previsti dal contratto e, per ciascun piano tariffario, i tipi di servizi offerti, compresi, se del caso, i volumi delle comunicazioni (quali MB, minuti, messaggi) inclusi in ciascun periodo di fatturazione e il prezzo per unità supplementare di comunicazione;

b) in caso di piano o di piani tariffari con un volume di comunicazioni prestabilito, la possibilità per i consumatori di differire il volume non utilizzato dal periodo di fatturazione precedente a quello successivo, laddove il contratto preveda tale opzione;

c) strumenti per salvaguardare la trasparenza delle fatture e monitorare il livello dei consumi;

d) informazioni sulle tariffe in vigore riguardo a numeri o servizi soggetti a particolari condizioni tariffarie; per singole categorie di servizi le autorità competenti in coordinamento, se del caso, con le autorità nazionali di regolamentazione possono esigere anche che tali informazioni siano fornite immediatamente prima della connessione della chiamata o della connessione al fornitore del servizio;

e) per i pacchetti di servizi e i pacchetti che comprendono servizi e apparecchiature terminali, il prezzo dei singoli elementi del pacchetto, nella misura in cui sono commercializzati anche separatamente;

f) dettagli e condizioni, compresi i contributi, su servizio postvendita, manutenzione e assistenza ai clienti; e

g) mezzi per ottenere informazioni aggiornate su tutte le tariffe vigenti e sui costi di manutenzione;

3) nell’ambito delle informazioni concernenti la durata del contratto per i pacchetti di servizi e le condizioni di rinnovo e di risoluzione del contratto, ove applicabile, le condizioni di cessazione del pacchetto o dei suoi elementi;

4) fatto salvo l’articolo 13 del regolamento (UE) 2016/679, le informazioni relative ai dati personali che sono forniti prima della prestazione del servizio o raccolti contestualmente alla fornitura del servizio;

5) informazioni dettagliate su prodotti e servizi destinati a utenti finali con disabilità e su come possono essere ottenuti gli aggiornamenti di tali informazioni;

6) i mezzi con cui possono essere avviati i procedimenti di risoluzione delle controversie, incluse le controversie nazionali e transfrontaliere, in conformità dell’articolo 25.

II. Oltre agli obblighi di cui alla parte A e al punto I, i fornitori di servizi di comunicazione

interpersonale basati sul numero accessibili al pubblico forniscono anche le seguenti informazioni:

1) restrizioni all’accesso ai servizi di emergenza o alle informazioni sulla localizzazione del chiamante a causa di impossibilità tecnica, purché il servizio consenta agli utenti finali di effettuare chiamate verso un numero nell’ambito di un piano di numerazione nazionale o internazionale;

2) il diritto dell’utente finale di decidere se far inserire i propri dati personali in un elenco e le tipologie di dati di cui trattasi in conformità dell’articolo 12 della direttiva 2002/58/CE.

III. Oltre agli obblighi di cui alla parte A e al punto I, i fornitori di servizi di accesso a internet forniscono anche le informazioni richieste a norma dell’articolo 4, paragrafo 1, del regolamento (UE) 2015/2120.

(Articolo 98-quindecies)

ALLEGATO 9 (ex Articolo IX eecc – all. 5 Codice 2003)

INFORMAZIONI DA PUBBLICARE A NORMA DELL’ARTICOLO 98-QUINDECIES

L’Autorità deve garantire la pubblicazione delle informazioni elencate nel presente allegato, conformemente all’articolo 98-quindecies. L’Autorità decide quali informazioni siano pertinenti per la pubblicazione da parte dei fornitori di servizi di accesso a internet o di servizi di comunicazione interpersonale accessibili al pubblico e quali debbano invece essere pubblicate dall’Autorità, al fine di assicurare che tutti gli utenti finali possano compiere scelte informate. Qualora lo giudichi opportuno, l’Autorità può, prima di imporre un obbligo, promuovere misure di autoregolamentazione e coregolamentazione.

1. Recapiti dell’impresa

2. Descrizione dei servizi offerti

2.1. Portata dei servizi offerti e principali caratteristiche di ogni servizio fornito, inclusi i livelli minimi di qualità, se offerti, e le restrizioni imposte dal fornitore all’uso delle apparecchiature terminali messe a disposizione.

2.2. Le tariffe del servizio offerto, incluse informazioni sui volumi delle comunicazioni (quali le restrizioni all’uso dei dati, il numero dei minuti di chiamata, il numero di messaggi) di piani tariffari specifici e sulle tariffe applicabili per le unità aggiuntive di comunicazione, sui numeri o i servizi soggetti a particolari condizioni tariffarie, sul costo dell’accesso e della manutenzione, sui costi di utenza, le formule tariffarie speciali e destinate a categorie di utenti specifiche ed eventuali costi supplementari, nonché sui costi relativi alle apparecchiature terminali.

2.3. Servizi offerti di assistenza postvendita, di manutenzione e di assistenza ai clienti e relativi recapiti.

2.4. Condizioni contrattuali generali, comprese quelle relative alla durata del contratto, alle commissioni per la cessazione anticipata del contratto, a diritti relativi alla cessazione delle offerte a pacchetto o ai relativi elementi e alle procedure e costi diretti legati alla portabilità dei numeri e di altri identificatori, se pertinenti.

2.5. Se l’impresa fornisce servizi di comunicazione interpersonale basati sul numero, informazioni sull’accesso ai servizi di emergenza e sulla localizzazione del chiamante o limitazioni di quest’ultima. Se l’impresa fornisce servizi di comunicazione interpersonale indipendenti dal numero, informazioni circa la misura in cui può essere garantito l’accesso ai servizi di emergenza.

2.6. Le informazioni dettagliate su prodotti e servizi, incluse le funzioni, prassi, strategie e procedure nonché le modifiche nel funzionamento del servizio, destinati specificamente agli utenti finali con disabilità in conformità del diritto dell’Unione che armonizza i requisiti di accessibilità dei prodotti e dei servizi.

3. Meccanismi di risoluzione delle controversie, compresi quelli elaborati dalle imprese medesime.

(Articolo 98-sedecies)

ALLEGATO 10 (ex allegato X eecc – All. 6 Codice 2003)

PARAMETRI DI QUALITÀ DEL SERVIZIO

Parametri relativi alla qualità del servizio, definizioni e metodi di misura previsti all’articolo 98-sedecies

Per i fornitori di accesso a una rete pubblica di comunicazione elettronica

PARAMETRO DEFINIZIONE METODO DE MISURA

—- —- —-

Per i fornitori di servizi di communicazione interprersonale che esercitano un controllo su almeno alcuni elementi della rete o che hanno a tal fine unaccordo sul livello de servizi con le aziende che fornisco l´accesso allá rete.

—- —- —-

I parametri permettono di analizarse le prestazioni a livello regionale (vale a dire a un livello noninveriore al livello 2 della nomenclatura delle unitá teritorialistatistiche (nomenclatura of Territorial Units for Statistics- NUTS) istituida da Eurostat)

Gli Stati membri possono decidere di non esigere l’aggiornamento delle informazioni riguardanti le prestazioni relative a questi due parametri se è dimostrato che le prestazioni in questi due settori sono soddisfacenti.

(Articolo 98-vicies sexies)

ALLEGATO 11 (ex allegato XI eecc – All. 7 Codice 2003)

INTEROPERABILITÀ DEI RICEVITORILLE APPARECCHIATURE AUTORADIO E DI

TELEVISIONE DIGITALE DI CONSUMO DI CUI ALL’ARTICOLO 98-vicies sexies

1. Algoritmo comune di scomposizione e ricezione in chiaro

Tutte le apparecchiature dei consumatori destinate alla ricezione dei segnali di televisione digitale (vale a dire trasmissione terrestre, via cavo o via satellite), messe in vendita, in locazione o messe a disposizione in altro modo nell’Unione, in grado di ricomporre i segnali di televisione digitale, consentono:

a) di ricomporre i segnali conformemente a un algoritmo di scomposizione comune europeo, gestito da un organismo di normalizzazione europeo riconosciuto (attualmente l’ETSI);

b) di visualizzare i segnali trasmessi in chiaro a condizione che, in caso di locazione dell’apparecchiatura, il locatario si conformi alle disposizioni del contratto di locazione.

2. Interoperabilità degli apparecchi televisivi digitali

Gli apparecchi televisivi digitali a schermo integrale con diagonale visibile superiore a 30 cm Messi in vendita o in locazione nell’Unione devono disporre di almeno una presa d’interfaccia aperta (normalizzata da un organismo di normalizzazione europeo riconosciuto o conforme a norma da esso adottata, ovvero conforme a una specifica dell’industria) che consenta un agevole collegamento di periferiche e sia in grado di trasmettere tutti i componenti pertinenti di un segnale televisivo digitale, incluse le informazioni sui servizi di accesso condizionato e interattivo.

3. Interoperabilità dei ricevitori autoradio I ricevitori autoradio integrati in un veicolo nuovo della categoria M e N messi a disposizione sul mercato dell’Unione in vendita o in locazione a decorrere dal 21 dicembre 2020 comprendono un ricevitore in grado di ricevere e riprodurre almeno i servizi radio forniti attraverso radiodiffusione digitale terrestre. Si presume che i ricevitori che sono conformi alle norme armonizzate i cui riferimenti sono stati pubblicati nella Gazzetta ufficiale dell’Unione europea, o a parti di esse, soddisfino il requisito contemplato da tali norme o parti di esse.

(Articolo 16 e 42)

ALLEGATO 12 (ex allegato 10 Codice 2003)

Determinazione dei diritti amministrativi e dei contributi di cui, rispettivamente, agli articoli 16 e 42

Articolo 1.- Diritti amministrativi

1. Al fine di assicurare la copertura degli oneri di cui al comma 1 dell’articolo 16 del Codice, le imprese titolari di autorizzazione generale per l’installazione e la fornitura di reti pubbliche di comunicazioni, comprese quelle basate sull’impiego di radiofrequenze, e le imprese titolari di autorizzazione generale per l’offerta del servizio telefonico accessibile al pubblico, con esclusione di quello offerto in luoghi presidiati mediante apparecchiature terminali o attraverso l’emissione di carte telefoniche, sono tenute al pagamento di un contributo annuo, compreso l’anno dal quale decorre l’autorizzazione generale. Tale contributo, che per gli anni successivi a quello del conseguimento dell’autorizzazione deve essere versato entro il 31 gennaio di ciascun anno, anche nel caso di rinuncia qualora inviata in data successiva al 31 dicembre dell’anno precedente, e’ determinato nei seguenti importi:

a) nel caso di fornitura di reti pubbliche di comunicazioni:

1) sull’intero territorio nazionale: 127.000 euro;

2) su un territorio avente più di 1 milione e fino a 10 milioni di abitanti: 64.000 euro;

3) su un territorio avente più di 200.000 e fino a 1 milione di abitanti: 32.000 euro;

4) su un territorio avente fino a 200.000 abitanti: 17.000 euro;

5) per le imprese che erogano il servizio prevalentemente a utenti finali in numero pari o inferiore a 50.000: 500 euro ogni mille utenti. Il numero degli utenti è calcolato sul quantitativo delle linee attivate a ciascun utente finale e per servizio prevalente debe intendersi che il fatturato derivante dall’attività di offerta di linee all’utente finale (retail) debe essere superiore a quello derivante da eventuale attività di vendita all’ingrosso (wholesale) di connettività, instradamento e trasporto di traffico telefonico ad altri soggetti autorizzati.

b) nel caso di fornitura di servizio telefonico accessibile al pubblico:

1) sull’intero territorio nazionale: 75.500 euro;

2) su un territorio avente più di 1 milione e fino a 10 milioni di abitanti: 32.000 euro;

3) su un territorio avente più di 200.000 e fino a 1 milione di abitanti: 12.500 euro;

4) su un territorio avente fino a 200.000 abitanti: 6.400 euro;

5) per le imprese che erogano il servizio prevalentemente a utenti finali in numero pari o inferiore a 50.000: 300 euro ogni mille utenti. Il numero degli utenti è calcolato sul quantitativo delle risorse di numerazione attivate a ciascun utente finale e per servicio prevalente deve intendersi che il fatturato dell’attività fornita all’utente finale (retail) attraverso risorse di numerazione per servizi non a sovraprezzo deve essere superiore al fatturato derivante da eventuale attività di vendita all’ingrosso (wholesale) consistente nella messa a disposizione di risorse di numerazione ad altri soggetti autorizzati. Il regime contributivo di cui al presente punto non è applicabile alle imprese che erogano servizi a sovraprezzo.

c) nel caso di fornitura del servizio di comunicazioni mobili e personali, salvo il caso in cui il contributo sia stato determinato in una procedura di selezione competitiva o comparativa:

1) per le imprese che erogano prevalentemente il servizio a un numero di utenti finali pari o inferiore a 50.000: 1.500 euro ogni mille utenti e per servizio prevalente deve intendersi che il fatturato dell’attività fornita all’utente finale (retail) attraverso risorse di numerazione per servizi non a sovraprezzo deve essere superiore al fatturato derivante da eventuale attività di vendita all’ingrosso (wholesale) consistente nella messa a disposizione di risorse di numerazione ad altri soggetti autorizzati.

2) per le imprese che erogano il servizio ad un numero di utenti superiore a 50.000: 75.500 euro;

d) nel caso di fornitura, anche congiuntamente, di servizi di rete o di comunicazione elettronica via satellite: 1) fino a 10 stazioni: 2.220 euro;

2) fino a 100 stazioni: 5.550 euro;

3) oltre 100 stazioni: 11.100 euro.

e) nel caso di fornitura di servizi di comunicazione elettronica via satellite per terminali d’utente S-PCS o DSL, indipendentemente dal numero di terminali, 3.330,00 euro;

f) nel caso di fornitura di servizi di rete e/o comunicazione via satellite a bordo di imbarcazioni e a bordo di aerei, si applicano i contributi di cui alla lett. d).

g) nel caso di fornitura di servizi di comunicazione via satellite SNG temporanei in banda 14,00 – 14,25 GHz oppure in banda 29,50 – 30,00 GHz per evento avente durata massima di 30 giorni, 200,00 euro; nel caso di servizi di comunicazione elettronica, anche non satellitari, assimilabili a questa tipologia è dovuto un pagamento di 200,00 euro per il singolo evento e nel caso di autorizzazione generale si rimanda ai contributi di cui alla lett. d).

h) nel caso di fornitura di servizi di comunicazione via satellite, diversi dal servizio SNG, si applica un contributo di 600,00 euro, indipendentemente dal numero delle stazioni utilizzate. Per tutti gli altri servizi di rete e/o comunicazione elettronica via satellite, anche nel caso in cui si utilizzino stazioni solo riceventi o che non impieghino proprie stazioni o terminali, si applicano i contributi di cui al comma 2.

2. Le imprese titolari di un’autorizzazione generale per l’offerta al pubblico di servizi di comunicazione elettronica non ricompresi tra quelli indicati al comma 1, sono tenute al pagamento annuo, compreso l’anno in cui l’autorizzazione generale decorre, di un contributo di 600,00 euro per ciascuna sede in cui sono installate apparecchiature di commutazione proprie di ciascun servicio offerto. Al fine di assicurare la copertura degli oneri di cui al comma 1 dell’articolo 16 del Codice l’importo per una sede è dovuto anche nel caso in cui non sia impiegata alcuna apparecchiatura propria.

3. A fini della determinazione del numero delle stazioni componenti una rete VSAT non si considerano le stazioni trasportabili destinate a sostituire le stazioni fisse in situazioni di emergenza.

4. Al fine di consentire l’effettuazione dei controlli amministrativi e le verifiche tecniche, i titolari di autorizzazioni generali sono tenuti, sulla base di un ragionevole preavviso, a consentire l’accesso al personale incaricato di svolgere tali compiti alle sedi ed ai siti oggetto del controllo.

5. Nel caso di sperimentazioni di reti e/o servizi di comunicazione elettronica si applica il contributo di cui al comma 2.

Articolo 1-bis (Diritti amministrativi in materia di tecnologia digitale terrestre).

Al fine di assicurare la copertura degli oneri di cui all’articolo 16, comma 1, le imprese titolari di autorizzazione generale per l’attività di operatore di rete televisiva in tecnologia digitale terrestre sono tenute al pagamento annuo, compreso l’anno a partire dal quale decorre l’autorizzazione generale, di un contributo che è determinato sulla base della popolazione potencialmente destinataria dell’offerta. Tale contributo, che per gli anni successivi a quello del conseguimento dell’autorizzazione deve essere versato entro il 31 gennaio di ciascun anno, anche nel caso di rinuncia qualora inviata in data successiva al 31 dicembre dell’anno precedente, e’ determinato nei seguenti importi nel caso di fornitura di reti televisive digitali terrestri: a) sull’intero territorio nazionale: 111.000 euro; b) su un territorio avente piu’ di 30 milioni e fino a 50 milioni di abitanti:

25.000 euro; c) su un territorio avente piu’ di 15 milioni e fino a 30 milioni di abitanti: 18.000 euro; d) su un territorio avente piu’ di 5 milioni e fino a 15 milioni di abitanti: 9.000 euro; e) su un territorio avente piu’ di 1 milione e fino a 5 milioni di abitanti: 3.000 euro; f) su un territorio avente piu’ di 500.000 e fino a 1 milione di abitanti: 600 euro; g) su un territorio avente fino a 500.000 abitanti: 300 euro)).

Articolo 2.- Contributi per la concessione dei diritti di uso delle frequenze radio

1. Oltre ai contributi previsti all’articolo 1 del presente allegato le imprese che installano e forniscono reti pubbliche di comunicazioni e/o prestano servizi di comunicazione elettronica mediante l’utilizzo di frequenze radioelettriche sono tenute al pagamento di un contributo annuo, di cui all’articolo 42, secondo la tabella di cui all’articolo 5 del presente allegato, ove non diversamente non disposto dalle procedure di gara per il rilascio dei relativi diritti d’uso. Il contributo è dovuto per ogni frequenza del collegamento punto-punto autorizzata, e per le relative stazioni ripetitrici.

Nel caso in cui i medesimi collegamenti autorizzati siano utilizzati in polarizzazione lineare, gli stessi sono soggetti ad un contributo maggiorato del 30 per cento trattandosi di una risorsa scarsa utilizzata in maniera inefficiente. Nel caso di collegamenti utilizzati per l’espletamento di una sperimentazione di servizi o reti di comunicazione elettronica l’ammontare del contributo è calcolato proporzionalmente alla durata della stessa e deve essere corrisposto nuovamente in caso di rinnovo.

2. Nel caso di collegamenti fissi unidirezionali e quelli operanti con tecnologia TDD, l’ammontare del contributo di cui all’articolo 5 del presente allegato è dimezzato.

3. I titolari di diritti d’uso di frequenze radioelettriche per l’espletamento dei servizi di rete via satellite, per ciascuna delle tipologie sottoelencate, sono tenuti al pagamento dei contributi annui di seguito indicati, riferiti alla larghezza di banda di frequenza impegnata in trasmissione e in ricezione, nel caso in cui le stazioni vengano coordinate.

Tipologia di servizio:

• erogato attraverso terminali di tipo HEST

• diffusivo televisivo o radiofonico;

• contribuzione televisiva o radiofonica punto-punto o punto-multipunto;

• operazioni spaziali (quali telemetrie);

• S-PCS riferito alla gateway;

• S-PCS riferito ai terminali d’utente;

• Trasmissione dati quale internet via satellite diffusivo, punto-punto o punto-multipunto;

• Tutti gli altri servizi via satellite non riconducibili a quelli summenzionati;

• per larghezze di banda fino a 100 KHz esclusi 1.110,00 euro;

da 100 KHz inclusi a 1 MHz escluso 5.550,00 euro;

da 1 MHz incluso a 10 MHz esclusi 11.100,00 euro;

da 10 MHz inclusi a 40 MHz inclusi 22.200,00 euro;

per ogni singolo MHz aggiuntivo e/o frazione dello stesso 20,00 euro

4. I titolari di diritti d’uso di frequenze radioelettriche per l’espletamento di servizi di comunicazione SNG sono tenuti al pagamento dei seguenti contributi:

a) per la ripresa di un singolo evento della durata massima di trenta giorni rinnovabili:

750,00 euro, per ogni stazione terrena trasportabile impiegata;

300,00 euro per ogni satellite geostazionario impegnato, oltre al primo, dalla medesima stazione.

b) per un numero indeterminato di eventi, purché compresi nell’arco temporale di un anno:

5.550,00 euro per ogni stazione terrena trasportabile impiegata.

Articolo 2-bis (Contributi annui per i collegamenti in ponte radio).

1. Le imprese titolari di autorizzazione generale per l’attività di operatore di rete televisiva in tecnologia digitale terrestre per l’utilizzo di frequenze radioelettriche per i collegamenti in ponte radio sono tenute al pagamento dei contributi di seguito indicati per ogni collegamento monodirezionale:

a) euro 2 per ogni MHz nella gamma di frequenza superiore a 14 GHz;

b) euro 4 per ogni MHz nella gamma di frequenza tra un valore pari o inferiore a 14 GHz e un valore pari o superiore a 10 GHz;

c) euro 8 per ogni MHz nella gamma di frequenza tra un valore inferiore a 10 GHz e un valore pari o superiore a 6 GHz;

d) euro 16 per ogni MHz nella gamma di frequenza inferiore a 6 GHz)).

Articolo 3.- Contributi per la concessione dei diritti di uso dei numeri

• Oltre ai contributi previsti all’articolo 1 del presente allegato, l’attribuzione da parte del Ministero di risorse di numerazione, ove necessarie, da impiegare per la fornitura al pubblico di reti o servizi di comunicazione elettronica da parte dei titolari di diritti di uso di numeri, e’ soggetta al pagamento di un contributo annuo, di cui all’articolo 42, compreso l’anno di attribuzione.

• Il contributo dovuto per l’attribuzione di un blocco da 10.000 numeri in decade 0 per servizi geografici è pari a 111,00 euro

• Il contributo dovuto per l’attribuzione di un blocco da 100 numeri sui codici fittizi 0843 e 0844 per chiamate telefoniche rispettivamente finalizzate ad attività statistiche e quelle finalizzate al compimento di ricerche di mercato e ad attività di pubblicità, vendita e comunicazione commerciale è pari a 1,11 euro

• Il contributo per l’attribuzione di un codice di carrier selection a 4 o 5 cifre è pari, rispettivamente, a 111.000,00 euro e 55.500,00 euro

• Il contributo per l’attribuzione di un codice per servizi di assistenza clienti customer care a 3, 4, o 6 cifre è pari, rispettivamente, a 55.500,00 euro, 27.750,00 euro e 11.100,00 euro.

• Il contributo per l’attribuzione di un codice di accesso a rete privata virtuale a 4, 5 o 6 cifre è pari, rispettivamente, 111.000,00 euro, 55.500,00 euro e 27.750,00 euro.

• Il contributo per l’attribuzione di un singolo numero sul codice 12 per il servizio di informazione abbonati è pari a 55.500,00 euro.

• Il contributo dovuto per l’attribuzione di un blocco da 1.000 numeri sul codice 178 per servizi di numero unico o personale è pari ad 50,00 euro.

• Il contributo dovuto per l’attribuzione di un blocco da 100 numeri sul codice 199 per servizi di numero unico o personale è pari a 50,00 euro.

• Il contributo dovuto per l’attribuzione di un singolo numero a 3 cifre sul codice 3XY per il servizio di accesso diretto e di trasferimento della chiamata alla segreteria telefonia o per l’instradamento delle chiamate (Routing Number) il contributo annuo è pari a 111.000,00 euro.

• Il contributo dovuto per l’attribuzione di un blocco da un milione di numeri sul codice 3XYZ per servizi di comunicazioni mobili e personali è pari a 11.100,00 euro.

• Il contributo dovuto per l’attribuzione di un blocco da 100.000 numeri sul codice 31X per servizi di comunicazioni mobili e personali è pari a 1.110,00 euro.

• Il contributo dovuto per l’attribuzione di un singolo numero a 5 cifre sul codice 4 per servizi a sovrapprezzo SMS/MMS e trasmissione dati è pari a 55.500,00 euro

• Il contributo dovuto per l’attribuzione di un singolo numero a 7 cifre sul codice 4 per servizi a sovrapprezzo SMS/MMS e trasmissione dati è pari a 2.775,00 euro.

• Il contributo dovuto per l’attribuzione di un singolo numero a 5 cifre sul codice 43 per servizi non a sovrapprezzo e riservata esclusivamente ai servizi svolti attraverso SMS/MMS ed altre tipologie di trasmissione dati è pari a 1.110,00 euro.

• Il contributo dovuto per l’attribuzione di un singolo numero a 7 cifre sul codice 43 per servizi non a sovrapprezzo e riservata esclusivamente ai servizi svolti attraverso SMS/MMS ed altre tipologie di trasmissione dati è pari a 11,10 euro.

• Il contributo dovuto per l’attribuzione di un blocco da 1000 numeri sul codice 43 per servizi non a sovrapprezzo e riservata esclusivamente ai servizi svolti attraverso SMS/MMS ed altre tipologie di trasmissione dati è pari a 11,10 euro.

• Il contributo dovuto per l’attribuzione di un blocco da 1000 numeri sul codice 55 per il servicio di comunicazione vocale nomadico è pari a 11,10 euro.

• Il contributo dovuto per l’attribuzione di un singolo numero a 3 cifre sul codice 7XY per l’instradamento delle chiamate (Routing Number) il contributo annuo è pari a 66.600,00 euro.

• Il contributo dovuto per l’attribuzione di un blocco da 100 numeri sul codice 70X per servizi Internet è pari a 10,00 euro.

• Il contributo dovuto per l’attribuzione di un blocco da 100 numeri sul codice 800 per servizi di addebito al chiamato è pari a 50,00 euro.

• Il contributo dovuto per l’attribuzione di un singolo numero a 6 cifre sul codice 803 per servizi di addebito al chiamato è pari a 27.750,00 euro.

• Il contributo dovuto per l’attribuzione di un blocco da 100 numeri sul codice 840 o 848 per servizi di addebito ripartito è pari a 50,00 euro:

• Il contributo dovuto per l’attribuzione di un singolo numero a 6 cifre sul codice 841 o 847 per servizi di addebito ripartito è pari a 27.750,00 euro.

• Il contributo dovuto per un blocco da 10 numeri contigui sul codice 89111 per servizi a sovraprezzo per collegamenti relativi ai POS è pari a 11,10 euro.

• Il contributo dovuto per l’attribuzione di un singolo numero a 6 cifre sui codici 892, 894 e 895 per servizi a sovrapprezzo è pari a 27.750,00 euro.

• Il contributo dovuto per un blocco da 10 numeri contigui sui codici 893YUUU e 895YUUU per servizi a sovraprezzo è pari a 27.750,00 euro.

• Il contributo dovuto per l’attribuzione di un blocco da 100 numeri sui codici 893YUUUU, 894YUUUU e 895YUUUU per servizi a sovrapprezzo è pari a 500,00 euro.

• Il contributo dovuto per l’attribuzione di un blocco da 100 numeri sui codici 893YUUUUUU e 895YUUUUUU per servizi a sovrapprezzo è pari a 25,00 euro.

• Il contributo dovuto per l’attribuzione di un blocco da 100 numeri sul codice 899UUUUUU per servizi a sovrapprezzo è pari a 50,00 euro.

• Il contributo per l’attribuzione di un codice identificativo dei punti di segnalazione nazionale o internazionale è pari a 10,00 euro.

• Il contributo per l’attribuzione di un codice operatore del tipo OP_ID o MNC è pari a 500,00 euro.

• Il contributo dovuto nel caso di prenotazione di numerazione o di richiesta di numerazione per l’espletamento di una sperimentazione è pari al 50 per cento degli importi previsti nei commi precedenti e deve essere corrisposto anche in caso di rinnovo.

• Nel caso in cui il Ministero, al fine di prevenire indisponibilità di risorse di numerazione, eserciti la facoltà di attribuire diritti d’uso per blocchi di grandezza inferiore è corrisposto un contributo proporzionale.

Articolo 4.- Modalità di pagamento

1.Il pagamento delle somme dovute ai sensi degli articoli 1, 2 e 3 del presente allegato può essere effettuato unicamente, fatta salva la procedura di pagamento elettronico verso la publica amministrazione una volta resa disponibile per tali contributi, con le seguenti modalità:

a) Per tutti i contributi dovuti per servizi di rete e comunicazione elettronica diversi da quelli satellitari:

1) versamento sul conto corrente postale nr. 70313515intestato alla sezione di Viterbo della tesoreria provinciale dello Stato;

2) accreditamento bancario sul Codice IBAN del conto corrente sopracitato IT 57 F 07601 14500 000070313515 – codice BIC o SWIFT: BPPIITRR

In entrambi i casi deve essere indicata nella causale del versamento la seguente indicazione: acquisizione al CAPITOLO 18, Capitolo 2569 articolo 8 del Bilancio dello Stato.

b) Per tutti i servizi di rete e comunicazione elettronica satellitari:

1) versamento sul conto corrente postale nr. 70314141 intestato alla sezione di Viterbo della tesoreria provinciale dello Stato;

1) accreditamento bancario sul Codice IBAN del conto corrente sopracitato IT 57 F 07601 14500 000070314141 – codice BIC o SWIFT : BPPIITRR

In entrambi i casi deve essere indicata nella causale del versamento la seguente indicazione: acquisizione al CAPITOLO 18, Capitolo 2569 articolo 10 del Bilancio dello Stato

2. In caso di mancato o ritardato pagamento entro i termini stabiliti, si applica, a far data dalla data di scadenza del termine di pagamento, una maggiorazione pari allo 0,5 per cento della somma dovuta per ogni mese o frazione di ritardo.

Articolo 5.- Contributo annuo per l’uso di risorse scarse (Valori in euro)

———

(Articolo 12)

Allegato n. 13 (ex allegato 12 Codice 2003)

Dichiarazione per la sperimentazione di servizi o di reti di comunicazione elettronica ai sensi dell’articolo 12

La dichiarazione deve precisare:

1. Le informazioni riguardanti l’impresa richiedente:

a) denominazione, identità giuridica e sede legale;

b) capitale sociale deliberato, sottoscritto e versato;

c) composizione dell’azionariato.

2. L’oggetto:

a) descrizione della sperimentazione, con l’indicazione della estensione o meno ai servizi di emergenza, nonché’ degli obiettivi della sperimentazione;

b) zona di copertura geografica e di ampiezza dell’utenza campione prevista che, in ogni caso, non può eccedere le tremila unità;

c) schema di contratto stipulato con gli utenti coinvolti nella sperimentazione per regolare le reciproche obbligazioni;

d) descrizione delle fasi di attuazione ed indicazione dei tempi di attuazione a partire da una determinata data di inizio;

e) frequenze radio e numerazioni necessarie per l’espletamento della sperimentazione.

3. L’impegno ad osservare gli obblighi previsti all’articolo 13, pertinenti al servizio oggetto della sperimentazione.

(Articolo 11)

Allegato n. 14 (ex allegato 9 Codice 2003)

Dichiarazione per l’offerta al pubblico di reti e servizi di comunicazione elettronica di cui all’articolo 11

La presente dichiarazione dovrà essere presentata esclusivamente attraverso il relativo portale presente sul sito del Ministero. Al fine di consentire al BEREC la tenuta di una banca dati dell’Unione d elle notifiche trasmesse, il Ministero inoltra al BEREC, per via elettronica, ciascuna notifica ricevuta.

Il sottoscritto:

• Cognome

• Nome

• Luogo e data di nascita

• Residenza e domicilio

• Cittadinanza

• Società/Ditta

• Nazionalità

• Sede legale

• Eventuali sedi presenti nel territorio nell’unione o in altro stato extraeuropeo

• Codice Fiscale e partita IVA (Nel caso di società estera numero del registro pubblico analogo nell’Unione europea o nel paese extraeuropeo)

• Indirizzo del sito Web

• Composizione dell’azionariato – (tale informazione viene richiesta al fine della compilazione del questionario annuale sui servizi di TLC approntato dalla Commissione europea)

Dati del rappresentante legale:

• Cognome

• Nome

• Luogo e data di nascita

• Residenza e domicilio

• Codice Fiscale

Dichiara

di voler offrire il seguente servizio di rete e/o comunicazione elettronica: ….

Descrizione tipologia di rete, che comprenda la sua costituzione/configurazione, il relativo programma di installazione, le interconnessioni previste con altre reti, la competenza tecnica di cui si avvale per la realizzazione etc…

Descrizione tipologia dei servizi che possono essere offerti e l’area di copertura geográfica interessata alla loro fornitura ………………

Descrizione dei sistemi/apparati di rete utilizzati con relative norme tecniche e relativa ubicazione

………………..

Nel caso di utilizzo di frequenze ad uso collettivo devono essere indicate altresì le seguenti informazioni:

• ubicazione delle stazioni radioelettriche unitamente al MAC Address, al Service Set Identifier (SSID) e alla frequenza utilizzata;

Data presunta di inizio attività.

Inoltre, per ogni eventuale richiesta di chiarimenti sulla presente dichiarazione e per il riscontro alle future richieste di informazioni previste dal presente decreto, si indica nella persona di

……………………

il referente per gli affari istituzionali contattabile ai seguenti recapiti:

n. telefonico

n. fax

indirizzo mail

indirizzo di PEC

A tal fine si impegna a garantire il rispetto delle condizioni indicate nella parte A dell’allegato n. 1 del presente decreto, nonché ove applicabili e giustificate rispetto alla rete e/o servizio di comunicazione elettronica in questione, delle altre condizioni di cui al predetto allegato n. 1 ed a comunicare tempestivamente al Ministero qualsiasi variazione riguardante le informazioni rese con la presente dichiarazione.

Il dichiarante, per quanto non espressamente menzionato, garantisce l’osservanza delle disposizioni di cui alla Parte III del Titolo II del presente decreto delle comunicazioni elettroniche, nonché il rispetto delle condizioni che possono essere imposte alle imprese in virtù di altre normative non di settore.

Si allegano alla presente dichiarazione:

1. autocertificazione redatta ai sensi del Decreto del Presidente della Repubblica 28 dicembre 2000 n. 445, da cui risulti che l’impresa è iscritta alla Camera di commercio, industria, artigianato ed agricoltura comprensiva della dicitura relativa al nullaosta antimafia, ai sensi del decreto legislativo 8 agosto 1994, n. 490 e del decreto del Presidente della Repubblica 3 giugno 1998, n. 252; oppure certificato equipollente per soggetti dichiaranti con sede in uno dei Paesi dell’Unione europea o in Paesi non appartenente all’Unione europea con i quali vi siano accordi di piena reciprocità;

2. certificato o autocertificazione redatta ai sensi del Decreto del Presidente della Repubblica 28 dicembre 2000 n. 445, da cui risulti che gli amministratori che rappresentano legalmente la società o il titolare dell’impresa non sono stati condannati a pena detentiva per delitto non colposo superiore ai sei mesi e non sono sottoposti a misure di sicurezza e di prevenzione; oppure certificato equipollente per soggetti dichiaranti con sede in uno dei Paesi dell’Unione europea o in Paesi non appartenenti all’Unione europea con i quali vi siano accordi di piena reciprocità.

DATA FIRMA

29Sep/24

LEGGE 28 giugno 2024 , n. 90 .

29 septiembre, 2024Italia, LeyCrittografia, Cybersicurezza, Derecho Informático, Legislación Informático, Legislación ItalianaJosé Cuervo

LEGGE 28 giugno 2024 , n. 90 . Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici.

La Camera dei deputati ed il Senato della Repubblica hanno approvato;

IL PRESIDENTE DELLA REPUBBLICA

PROMULGA

la seguente legge:

Capítulo I.- DISPOSIZIONI IN MATERIA DI RAFFORZAMENTO DELLA CYBERSICUREZZA NAZIONALE, DI RESILIENZA DELLE PUBBLICHE AMMINISTRAZIONI E DEL SETTORE FINANZIARIO, DI PERSONALE E FUNZIONAMENTO DELL’AGENZIA PER LA CYBERSICUREZZA NAZIONALE E DEGLI ORGANISMI DI INFORMAZIONE PER LA SICUREZZA NONCHÉ DI CONTRATTI PUBBLICI DI BENI E SERVIZI INFORMATICI IMPIEGATI IN UN CONTESTO CONNESSO ALLA TUTELA DEGLI INTERESSI NAZIONALI STRATEGICI

Artículo 1.- Obblighi di notifica di incidenti

1. Le pubbliche amministrazioni centrali individuate ai sensi dell’articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, le regioni e le province autonome di Trento e di Bolzano, le città metropolitane, i comuni con popolazione superiore a 100.000 abitanti e, comunque, i comuni Capítuloluoghi di regione, nonché le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane e le aziende sanitarie locali segnalano e notificano, con le modalità e nei termini di cui al comma 2 del presente articolo, gli incidenti indicati nella tassonomia di cui all’articolo 1, comma 3 -bis , del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, come modificato dall’articolo 3 della presente legge, aventi impatto su reti, sistemi informativi e servizi informatici. Tra i soggetti di cui al presente comma sono altresì comprese le rispettive società in house che forniscono servizi informatici, i servizi di trasporto di cui al primo periodo del presente comma ovvero servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, come definite ai sensi dell’articolo 2, punti 1), 2) e 3), della direttiva 91/271/CEE del Consiglio, del 21 maggio 1991, o di gestione dei rifiuti, come definita ai sensi dell’articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008.

2. I soggetti di cui al comma 1 segnalano, senza ritardo e comunque entro il termine massimo di ventiquattro ore dal momento in cui ne sono venuti a conoscenza a seguito delle evidenze comunque ottenute, qualunque incidente riconducibile a una delle tipologie individuate nella tassonomia di cui al comma 1 ed effettuano, entro settantadue ore a decorrere dal medesimo momento, la notifica completa di tutti gli elementi informativi disponibili. La segnalazione e la successiva notifica sono effettuate tramite le apposite procedure disponibili nel sito internet istituzionale dell’Agenzia per la cybersicurezza nazionale.

3. Per i comuni con popolazione superiore a 100.000 abitanti e i comuni Capítuloluoghi di regione, per le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, per le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane, per le aziende sanitarie locali e per le società in house che forniscono servizi informatici, i servizi di trasporto di cui al presente comma ovvero servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, come definite ai sensi dell’articolo 2, punti 1), 2) e 3), della direttiva 91/271/CEE del Consiglio, del 21 maggio 1991, o di gestione dei rifiuti, come definita ai sensi dell’articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008, gli obblighi di cui ai commi 1 e 2 del presente articolo si applicano a decorrere dal centottantesimo giorno successivo alla data di entrata in vigore della presente legge.

4. Qualora i soggetti di cui al comma 1 effettuino notifiche volontarie di incidenti al di fuori dei casi indicati nella tassonomia di cui al medesimo comma 1, si applicano le disposizioni dell’articolo 18, commi 3, 4 e 5, del decreto legislativo 18 maggio 2018, n. 65.

5. Nel caso di inosservanza dell’obbligo di notifica di cui ai commi 1 e 2, l’Agenzia per la cybersicurezza nazionale comunica all’interessato che la reiterazione dell’inosservanza, nell’arco di cinque anni, comporterà l’applicazione delle disposizioni di cui al comma 6 e può disporre, nei dodici mesi successivi all’accertamento del ritardo o dell’omissione, l’invio di ispezioni, anche al fine di verificare l’attuazione, da parte dei soggetti interessati dall’incidente, di interventi di rafforzamento della resilienza agli stessi, direttamente indicati dall’Agenzia per la cybersicurezza nazionale ovvero previsti da apposite linee guida adottate dalla medesima Agenzia. Le modalità di tali ispezioni sono disciplinate con determinazione del direttore generale dell’Agenzia per la cybersicurezza nazionale, pubblicata nella Gazzetta Ufficiale .

6. Nei casi di reiterata inosservanza, nell’arco di cinque anni, dell’obbligo di notifica di cui ai commi 1 e 2, l’Agenzia per la cybersicurezza nazionale applica altresì, nel rispetto delle disposizioni dell’articolo 17, comma 4 -quater , del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, introdotto dall’articolo 11 della presente legge, una sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000 a carico dei soggetti di cui al comma 1 del presente articolo. La violazione delle disposizioni del comma 1 del presente articolo può costituire causa di responsabilità disciplinare e amministrativo-contabile per i funzionari e i dirigenti responsabili.

7. Fermi restando gli obblighi e le sanzioni, anche penali, previsti da altre norme di legge, le disposizioni del presente articolo non si applicano:

a) ai soggetti di cui all’articolo 3, comma 1, lettere g) e i), del decreto legislativo 18 maggio 2018, n. 65, e a quelli di cui all’articolo 1, comma 2 -bis , del decretolegge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133;

b) agli organi dello Stato preposti alla prevenzione, all’accertamento e alla repressione dei reati, alla tutela dell’ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato e agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124.

Artículo 2.- Mancato o ritardato adeguamento a segnalazioni dell’Agenzia per la cybersicurezza nazionale

1. I soggetti di cui all’articolo 1, comma 1, della presente legge e quelli di cui all’articolo 1, comma 2 -bis , del decretolegge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, all’articolo 3, comma 1, lettere g) e i) , del decreto legislativo 18 maggio 2018, n. 65, e all’articolo 40, comma 3, alinea, del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1° agosto 2003, n. 259, in caso di segnalazioni puntuali dell’Agenzia per la cybersicurezza nazionale circa specifiche vulnerabilità cui essi risultino potenzialmente esposti, provvedono, senza ritardo e comunque non oltre quindici giorni dalla comunicazione, all’adozione degli interventi risolutivi indicati dalla stessa Agenzia.

2. La mancata o ritardata adozione degli interventi risolutivi di cui al comma 1 del presente articolo comporta l’applicazione delle sanzioni di cui all’articolo 1, comma 6, salvo il caso in cui motivate esigenze di natura tecnico-organizzativa, tempestivamente comunícate all’Agenzia per la cybersicurezza nazionale, ne impediscano l’adozione o ne comportino il differimento oltre il termine indicato al medesimo comma 1 del presente articolo.

Artículo 3.- Norme di raccordo con le disposizioni del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133

1. All’articolo 1, comma 3 -bis , del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, sono apportate le seguenti modificazioni:

a) il secondo periodo è sostituito dal seguente: «I medesimi soggetti provvedono a effettuare la segnalazione degli incidenti di cui al presente comma senza ritardo, comunque entro il termine massimo di ventiquattro ore, e ad effettuare la relativa notifica entro settantadue ore»;

b) dopo il quarto periodo è inserito il seguente: «Nei casi di reiterata inosservanza degli obblighi di notifica di cui al presente comma, si applica la sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000».

Artículo 4.- Disposizioni in materia di dati relativi a incidenti informatici

1. All’articolo 7, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo la lettera n -bis ) è inserita la seguente:

«n -ter ) provvede alla raccolta, all’elaborazione e alla classificazione dei dati relativi alle notifiche di incidente ricevute dai soggetti che a ciò siano tenuti in osservanza delle disposizioni vigenti. Tali dati sono resi pubblici nell’ambito della relazione prevista dall’articolo 14, comma 1, quali dati ufficiali di riferimento degli attacchi informatici portati ai soggetti che operano nei settori rilevanti per gli interessi nazionali nel campo della cybersicurezza. Agli adempimenti previsti dalla presente lettera si provvede con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente».

Artículo 5.- Disposizioni in materia di Nucleo per la cybersicurezza

1. All’articolo 8 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 4 è inserito il seguente:

«4.1. In relazione a specifiche questioni di particolare rilevanza concernenti i compiti di cui all’articolo 9, comma 1, lettera a) , il Nucleo può essere convocato nella composizione di cui al comma 4 del presente articolo, di volta in volta estesa alla partecipazione di un rappresentante della Direzione nazionale antimafia e antiterrorismo, della Banca d’Italia o di uno o più operatori di cui all’articolo 1, comma 2 -bis , del decreto-legge perimetro, nonché di eventuali altri soggetti, interessati alle stesse questioni. Le amministrazioni e i soggetti convocati partecipano alle suddette riunioni a livello di vertice».

Artículo 6.- Disposizioni in materia di coordinamento operativo tra i servizi di informazione per la sicurezza e l’Agenzia per la cybersicurezza nazionale

1. Qualora le Agenzie di cui agli articoli 6 e 7 della legge 3 agosto 2007, n. 124, avuta notizia di un evento o un incidente informatici, ritengano strettamente necessario, per il perseguimento delle finalità istituzionali del Sistema di informazione per la sicurezza della Repubblica, il differimento di una o più delle attività di resilienza di cui all’articolo 7, comma 1, lettere n) e n -bis ), del decretolegge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, le predette Agenzie, per il tramite del Dipartimento delle informazioni per la sicurezza (DIS), ne informano il Presidente del Consiglio dei ministri o l’Autorità delegata di cui all’articolo 3 della citata legge n. 124 del 2007, ove istituita.

2. Nei casi di cui al comma 1, il Presidente del Consiglio dei ministri, sentiti il direttore generale del Dipartimento delle informazioni per la sicurezza e il direttore generale dell’Agenzia per la cybersicurezza nazionale, può disporre il differimento degli obblighi informativi cui è in ogni caso tenuta l’Agenzia ai sensi delle disposizioni vigenti, ivi compresi quelli previsti ai sensi dell’articolo 17, commi 4 e 4 -bis , del decreto-legge n. 82 del 2021, nonché il differimento di una o più delle attività di resilienza di cui all’articolo 7, comma 1, lettere n) e n -bis ), del medesimo decreto-legge.

Artículo 7.- Composizione del Comitato interministeriale per la sicurezza della Repubblica

1. All’articolo 5, comma 3, della legge 3 agosto 2007, n. 124, sono apportate le seguenti modificazioni:

a) dopo le parole: «Ministro degli affari esteri» sono inserite le seguenti: «e della cooperazione internazionale»;

b) le parole: «dello sviluppo economico e dal Ministro della transizione ecologica» sono sostituite dalle seguenti: «delle imprese e del made in Italy, dal Ministro dell’ambiente e della sicurezza energetica, dal Ministro dell’agricoltura, della sovranità alimentare e delle foreste, dal Ministro delle infrastrutture e dei trasporti e dal Ministro dell’università e della ricerca».

Artículo 8.- Rafforzamento della resilienza delle pubbliche amministrazioni e referente per la cybersicurezza

1. I soggetti di cui all’articolo 1, comma 1, individuano, ove non sia già presente, una struttura, anche tra quelle esistenti, nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente, che provvede:

a) allo sviluppo delle politiche e delle procedure di sicurezza delle informazioni;

b) alla produzione e all’aggiornamento di sistemi di analisi preventiva di rilevamento e di un piano per la gestione del rischio informatico;

c) alla produzione e all’aggiornamento di un documento che definisca i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione;

d) alla produzione e all’aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture dell’amministrazione;

e) alla pianificazione e all’attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, in coerenza con i piani di cui alle lettere b) e d) ;

f) alla pianificazione e all’attuazione dell’adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall’Agenzia per la cybersicurezza nazionale;

g) al monitoraggio e alla valutazione continua delle minacce alla sicurezza e delle vulnerabilità dei sistema per il loro pronto aggiornamento di sicurezza.

2. Presso le strutture di cui al comma 1 opera il referente per la cybersicurezza, individuato in ragione di specifiche e comprovate professionalità e competenze in materia di cybersicurezza. Qualora i soggetti di cui all’articolo 1, comma 1, non dispongano di personale dipendente fornito di tali requisiti, possono conferire l’incarico di referente per la cybersicurezza a un dipendente di una pubblica amministrazione, previa autorizzazione di quest’ultima ai sensi dell’articolo 53 del decreto legislativo 30 marzo 2001, n. 165, nell’ambito delle risorse disponibili a legislazione vigente. Il referente per la cybersicurezza svolge anche la funzione di punto di contatto unico dell’amministrazione con l’Agenzia per la cybersicurezza nazionale in relazione a quanto previsto dalla presente legge e dalle normative settoriali in materia di cybersicurezza cui è soggetta la medesima amministrazione. A tale fine, il nominativo del referente per la cybersicurezza è comunicato all’Agenzia per la cybersicurezza nazionale.

3. La struttura e il referente di cui ai commi 1 e 2 possono essere individuati, rispettivamente, nell’ufficio en el responsabile per la transizione al digitale previsti dall’articolo 17 del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82.

4. I compiti di cui ai commi 1 e 2 possono essere esercitati in forma associata secondo quanto previsto dall’articolo 17, commi 1 -sexies e 1 -septies , del codice di cui al decreto legislativo 7 marzo 2005, n. 82.

5. L’Agenzia per la cybersicurezza nazionale può individuare modalità e processi di coordinamento e di collaborazione tra le amministrazioni di cui all’articolo 1, comma 1, e tra i referenti per la cybersicurezza di cui al comma 2 del presente articolo, al fine di facilitare la resilienza delle amministrazioni pubbliche.

6. Le disposizioni del presente articolo non si applicano:

a) ai soggetti di cui all’articolo 1, comma 2 -bis , del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, ai quali continuano ad applicarsi gli obblighi previsti dalle disposizioni di cui alla richiamata disciplina;

Artículo 9.- Rafforzamento delle misure di sicurezza dei dati attraverso la crittografia

1. Le strutture di cui all’articolo 8 della presente legge nonché quelle che svolgono analoghe funzioni per i soggetti di cui all’articolo 1, comma 2 -bis , del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e al decreto legislativo 18 maggio 2018, n. 65, verificano che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che utilizzano soluzioni crittografiche, rispettino le linee guida sulla crittografia nonché quelle sulla conservazione delle password adottate dall’Agenzia per la cybersicurezza nazionale e dal Garante per la protezione dei dati personali e non comportino vulnerabilità note, atte a rendere disponibili e intellegibili a terzi i dati cifrati.

Artículo 10.- Funzioni dell’Agenzia per la cybersicurezza nazionale in materia di crittografia

1. All’articolo 7, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, la lettera m -bis ) è sostituita dalla seguente:

«m -bis ) provvede, anche attraverso un’apposita sezione nell’ambito della strategia di cui alla lettera b) , allo sviluppo e alla diffusione di standard , linee guida e raccomandazioni al fine di rafforzare la cybersicurezza dei sistemi informatici, alla valutazione della sicurezza dei sistemi crittografici nonché all’organizzazione e allá gestione di attività di divulgazione finalizzate a promuovere l’utilizzo della crittografia, anche a vantaggio della tecnologia blockchain , come strumento di cybersicurezza.

L’Agenzia, anche per il rafforzamento dell’autonomia industriale e tecnologica dell’Italia, promuove altresì la collaborazione con centri universitari e di ricerca per la valorizzazione dello sviluppo di nuovi algoritmi proprietari, la ricerca e il conseguimento di nuove capacità crittografiche nazionali nonché la collaborazione internazionale con gli organismi esteri che svolgono analoghe funzioni. A tale fine, è istituito presso l’Agenzia, nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, il Centro nazionale di crittografia, il cui funzionamento è disciplinato con provvedimento del direttore generale dell’Agenzia stessa.

Il Centro nazionale di crittografia svolge le funzioni di centro di competenza nazionale per tutti gli aspetti della crittografia in ambito non classificato, ferme restando le competenze dell’Ufficio centrale per la segretezza, di cui all’articolo 9 della legge 3 agosto 2007, n. 124, con riferimento alle informazioni e alle attività previste dal regolamento adottato ai sensi dell’articolo 4, comma 3, lettera l) , della citata legge n. 124 del 2007, nonché le competenze degli organismi di cui agli articoli 4, 6 e 7 della medesima legge».

Artículo 11.- Procedimento amministrativo sanzionatorio per l’accertamento e la contestazione delle violazioni in materia di cybersicurezza di competenza dell’Agenzia per la cybersicurezza nazionale

1. All’articolo 17 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 4 -ter è inserito il seguente:

«4 -quater . La disciplina del procedimento sanzionatorio amministrativo dell’Agenzia è definita con regolamento che stabilisce, in particolare, termini e modalità per l’accertamento, la contestazione e la notificazione delle violazioni della normativa in materia di cybersicurezza e l’irrogazione delle relative sanzioni di competenza dell’Agenzia ai sensi del presente decreto e delle altre disposizioni che assegnano poteri accertativi e sanzionatori all’Agenzia. Il regolamento di cui al primo periodo è adottato, entro novanta giorni dalla data di entrata in vigore della presente disposizione, con decreto del Presidente del Consiglio dei ministri, anche in deroga all’articolo 17 della legge 23 agosto 1988, n. 400, sentito il Comitato interministeriale per la cybersicurezza e acquisito il parere delle competenti Commissioni parlamentari.

Fino alla data di entrata in vigore del regolamento di cui al presente comma, ai procedimenti sanzionatori si applicano, per ciascuna fase procedimentale di cui al primo periodo, le disposizioni contenute nelle sezioni I e II del Capítulo I della legge 24 novembre 1981, n. 689».

Artícolo 12..- Disposizioni in materia di personale dell’Agenzia per la cybersicurezza nazionale

1. All’articolo 12 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 8 -bis è aggiunto il seguente:

«8 -ter . I dipendenti appartenenti al ruolo del personale dell’Agenzia di cui al comma 2, lettera a) , che abbiano partecipato, nell’interesse e a spese dell’Agenzia, a specifici percorsi formativi di specializzazione, per la durata di due anni a decorrere dalla data di completamento dell’ultimo dei predetti percorsi formativi non possono essere assunti né assumere incarichi presso soggetti privati al fine di svolgere mansioni in materia di cybersicurezza.

I contratti stipulati in violazione di quanto disposto dal presente comma sono nulli. Le disposizioni del presente comma non si applicano al personale cessato dal servizio presso l’Agenzia secondo quanto previsto dalle disposizioni del regolamento adottato ai sensi del presente articolo relative al collocamento a riposo d’ufficio, al raggiungimento del requisito anagrafico previsto dalla legge per la pensione di vecchiaia, alla cessazione a domanda per inabilità o alla dispensa dal servizio per motivi di salute. I percorsi formativi di specializzazione di cui al presente comma sono individuati con determinazione del direttore generale dell’Agenzia, tenendo conto della particolare qualità dell’offerta formativa, dei costi, della durata e del livello di specializzazione che consegue allá frequenza dei suddetti percorsi».

2. Fino al 31 dicembre 2026, per il personale dell’Agenzia per la cybersicurezza nazionale il requisito di permanenza minima nell’Area operativa ai fini del passaggio all’Area manageriale e alte professionalità è fissato in tre anni.

Artículo 13.- Disposizioni in materia di personale degli organismo di informazione per la sicurezza

1. Coloro che hanno ricoperto la carica di direttore generale e di vice direttore generale del DIS e di direttore e di vice direttore dell’Agenzia informazioni e sicurezza esterna (AISE) o dell’Agenzia informazioni e sicurezza interna (AISI) ovvero hanno svolto incarichi dirigenziali di prima fascia di preposizione a strutture organizzative di livello dirigenziale generale non possono, salva autorizzazione del Presidente del Consiglio dei ministri o dell’Autorità delegata, ove istituita, nei tre anni successivi alla cessazione dall’incarico, svolgere attività lavorativa, professionale o di consulenza né ricoprire cariche presso soggetti esteri, pubblici o privati, ovvero presso soggetti privati italiani a cui si applica il decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56. L’autorizzazione è concessa teniendo conto delle esigenze di protezione e di tutela del patrimonio informativo acquisito durante l’espletamento dell’incarico e della necessità di evitare comunque pregiudizi per la sicurezza nazionale.

2. Il personale appartenente al ruolo unico previsto dall’articolo 21 della legge 3 agosto 2007, n. 124, non può, nei tre anni successivi alla cessazione dal servicio presso il DIS, l’AISE e l’AISI, svolgere attività lavorativa, professionale o di consulenza né ricoprire cariche presso enti o privati titolari di licenza ai sensi dell’articolo 134 del testo unico delle leggi di pubblica sicurezza, di cui al regio decreto 18 giugno 1931, n. 773, o comunque presso soggetti che a qualunque titolo svolgano attività di investigazione, ricerca o raccolta informativa.

3. Il personale appartenente al ruolo unico previsto dall’articolo 21 della legge 3 agosto 2007, n. 124, che abbia partecipato, nell’interesse e a spese del DIS, dell’AISE o dell’AISI, a specifici percorsi formativi di specializzazione, per la durata di tre anni a decorrere dalla data di completamento dell’ultimo dei predetti percorsi formativi non può essere assunto né assumere incarichi presso soggetti privati per svolgere le medesime mansioni per le quali ha beneficiato delle suddette attività formative.

4. I contratti stipulati e gli incarichi conferiti in violazione dei divieti di cui al presente articolo sono nulli.

5. Con regolamento adottato ai sensi dell’articolo 43 della legge 3 agosto 2007, n. 124, sono definiti le procedure di autorizzazione per i casi di cui al comma 1, gli obblighi di dichiarazione e di comunicazione a carico dei dipendenti, i casi in cui non si applicano i divieti di cui ai commi 2 e 3 e le modalità di individuazione dei percorsi formativi che determinano il divieto di cui al comma 3.

Artículo 14..- Disciplina dei contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e disposizioni di raccordo con il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133

1. Con decreto del Presidente del Consiglio dei ministri, da adottare entro centoventi giorni dalla data di entrata in vigore della presente legge, su proposta dell’Agenzia per la cybersicurezza nazionale, previo parere del Comitato interministeriale per la sicurezza della Repubblica, di cui all’articolo 5 della legge 3 agosto 2007, n. 124, nella composizione di cui all’articolo 10, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, sono individuati, per specifiche categorie tecnologiche di beni e servizi informatici, gli elementi essenziali di cybersicurezza che i soggetti di cui all’articolo 2, comma 2, del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, tengono in considerazione nelle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici nonché i casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti all’Alleanza atlantica (NATO) o di Paesi terzi individuati con il decreto di cui al presente comma tra quelli che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione. Ai fini del presente articolo, si intende per «elementi essenziali di cybersicurezza» l’insieme di criterio e regole tecniche la conformità ai quali, da parte di beni e servizi informatici da acquisire, garantisce la confidenzialità, l’integrità e la disponibilità dei dati da trattare in misura corrispondente alle esigenze di tutela di cui al primo periodo.

2. Nei casi individuati ai sensi del comma 1, le stazioni appaltanti, comprese le centrali di committenza:

a) possono esercitare la facoltà di cui agli articoli 107, comma 2, e 108, comma 10, del codice dei contratti pubblici, di cui al decreto legislativo 31 marzo 2023, n. 36, se accertano che l’offerta non tiene in considerazione gli elementi essenziali di cybersicurezza individuati con il decreto di cui al comma 1;

b) tengono sempre in considerazione gli elementi essenziali di cybersicurezza di cui al comma 1 nella valutazione dell’elemento qualitativo, ai fini dell’individuazione del miglior rapporto qualità/prezzo per l’aggiudicazione;

c) nel caso in cui sia utilizzato il criterio del minor prezzo, ai sensi dell’articolo 108, comma 3, del codice di cui al decreto legislativo n. 36 del 2023, inseriscono gli elementi di cybersicurezza di cui al comma 1 del presente articolo tra i requisiti minimi dell’offerta;

d) nel caso in cui sia utilizzato il criterio dell’offerta economicamente più vantaggiosa, ai sensi dell’articolo 108, comma 4, del codice di cui al decreto legislativo n. 36 del 2023, nella valutazione dell’elemento qualitativo ai fini dell’individuazione del migliore rapporto qualità/prezzo, stabiliscono un tetto massimo per il punteggio economico entro il limite del 10 per cento;

e) prevedono criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti alla NATO o di Paesi terzi individuati con il decreto di cui al comma 1 tra quelli che sono parte di accordi di collaborazione con l’Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione, al fine di tutelare la sicurezza nazionale e di conseguire l’autonomia tecnologica e strategica nell’ambito della cybersicurezza.

3. Le disposizioni di cui al comma 1 si applicano anche ai soggetti privati non compresi tra quelli di cui all’articolo 2, comma 2, del codice di cui al decreto legislativo 7 marzo 2005, n. 82, e inseriti nell’elencazione di cui all’articolo 1, comma 2 -bis , del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.

4. Resta fermo quanto stabilito dall’articolo 1 del citato decreto-legge n. 105 del 2019 per i casi ivi previsti di approvvigionamento di beni, sistemi e servizi di information and communication technology destinati ad essere impiegati nelle reti e nei sistemi informativi nonché per l’espletamento dei servizi informatici di cui alla lettera b) del comma 2 del medesimo articolo 1.

Artículo 15.- Modifica all’articolo 16 della legge 21 febbraio 2024, n. 15

1. All’articolo 16, comma 2, della legge 21 febbraio 2024, n. 15, dopo la lettera c) è inserita la seguente:

« c- bis) apportare alla disciplina applicabile agli intermediari finanziari iscritti nell’albo previsto dall’articolo 106 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, nonché alla società Poste italiane Spa per l’attività del Patrimonio Bancoposta, di cui al regolamento di cui al decreto del Presidente della Repubblica 14 marzo 2001, n. 144, le occorrenti modifiche e integrazioni, anche mediante la normativa secondaria di cui alla lettera d) del presente comma, per conseguire un livello elevato di resilienza operativa digitale e assicurare la stabilità del settore finanziario nel suo complesso, in particolare:

1) definendo presìdi in materia di resilienza operativa digitale equivalenti a quelli stabiliti nel regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022;

2) tenendo conto, nella definizione dei presìdi di cui al numero 1), del principio di proporzionalità e delle attività svolte dagli intermediari finanziari e dal Patrimonio Bancoposta;

3) attribuendo alla Banca d’Italia l’esercizio dei poteri di vigilanza, di indagine e sanzionatori di cui alla lettera b) nei confronti dei soggetti di cui alla presente lettera».

Capítulo II.- DISPOSIZIONI PER LA PREVENZIONE E IL CONTRASTO DEI REATI INFORMATICI NONCHÉ IN MATERIA DI COORDINAMENTO DEGLI INTERVENTI IN CASO DI ATTACCHI A SISTEMI INFORMATICI O TELEMATICI E DI SICUREZZA DELLE BANCHE DI DATI IN USO PRESSO GLI UFFICI GIUDIZIARI

Artículo 16..- Modifiche al codice penale

1. Al codice penale sono apportate le seguenti modificazioni:

a) all’articolo 240, secondo comma, numero 1 -bis , dopo la parola: «635 -quinquies ,» sono inserite le seguenti:

«640, secondo comma, numero 2 -ter ),»;

b) all’articolo 615 -ter : 1) al secondo comma:

1.1) all’alinea, le parole: «da uno a cinque anni» sono sostituite dalle seguenti: «da due a dieci anni»;

1.2) al numero 2), dopo la parola: «usa» sono inserite le seguenti: «minaccia o»;

1.3) al numero 3), dopo le parole: «ovvero la distruzione o il danneggiamento» sono inserite le seguenti: «ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l’inaccessibilità al titolare»;

2) al terzo comma, le parole: «da uno a cinque anni e da tre a otto anni» sono sostituite dalle seguenti: «da tre a dieci anni e da quattro a dodici anni»;

c) all’articolo 615 -quater :

1) al primo comma, la parola: «profitto» è sostituita dalla seguente: «vantaggio»;

2) il secondo comma è sostituito dal seguente: «La pena è della reclusione da due anni a sei anni quando ricorre taluna delle circostanze di cui all’articolo 615 -ter , secondo comma, numero 1)»;

3) dopo il secondo comma è aggiunto il seguente: «La pena è della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all’articolo 615 -ter , terzo comma»;

d) l’articolo 615 -quinquies è abrogato;

e) all’articolo 617 -bis :

1) dopo il primo comma è inserito il seguente: «La pena è della reclusione da due a sei anni quando ricorre taluna delle circostanze di cui all’articolo 615 -ter , secondo comma, numero 1)»;

2) al secondo comma, le parole da: «ovvero da un pubblico ufficiale» fino alla fine del comma sono soppresse;

f) all’articolo 617 -quater , quarto comma:

1) all’alinea, le parole: «da tre a otto anni» sono sostituite dalle seguenti: «da quattro a dieci anni»;

2) il numero 1) è sostituito dal seguente: «1) in danno di taluno dei sistemi informatici o telematici indicati nell’articolo 615 -ter , terzo comma»;

3) al numero 2), le parole: «da un pubblico ufficiale » sono sostituite dalle seguenti: «in danno di un pubblico ufficiale nell’esercizio o a causa delle sue funzioni o da un pubblico ufficiale» e la parola: «ovvero» è sostituita dalle seguenti: «o da chi esercita, anche abusivamente, la professione di investigatore privato, o»;

4) il numero 3) è abrogato;

g) all’articolo 617 -quinquies :

1) il secondo comma è sostituito dal seguente: «Quando ricorre taluna delle circostanze di cui all’articolo 617 -quater , quarto comma, numero 2), la pena è della reclusione da due a sei anni»;

2) dopo il secondo comma è aggiunto il seguente: «Quando ricorre taluna delle circostanze di cui all’articolo 617 -quater , quarto comma, numero 1), la pena è della reclusione da tre a otto anni»;

h) all’articolo 617 -sexies , secondo comma, le parole: «da uno a cinque anni» sono sostituite dalle seguenti: «da tre a otto anni»;

i) alla rubrica del Capítulo III -bis del titolo dodicesimo del libro secondo, le parole: «sulla procedibilità» sono soppresse;

l) nel Capítulo III -bis del titolo dodicesimo del libro secondo, dopo l’articolo 623 -ter è aggiunto il seguente:

«Artículo 623 -quater (Circostanze attenuanti). — Le pene comminate per i delitti di cui agli articoli 615 -ter , 615 -quater , 617 -quater , 617 -quinquies e 617 -sexies sono diminuite quando, per la natura, la specie, i mezzi, le modalità o le circostanze dell’azione ovvero per la particolare tenuità del danno o del pericolo, il fatto risulti di lieve entità.

Le pene comminate per i delitti di cui al primo comma sono diminuite dalla metà a due terzi per chi si adopera per evitare che l’attività delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l’autorità di polizia o l’autorità giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi.

Non si applica il divieto di cui all’articolo 69, quarto comma»;

m) all’articolo 629:

1) al secondo comma, le parole: «nell’ultimo Capítuloverso dell’articolo precedente» sono sostituite dalle seguenti: «nel terzo comma dell’articolo 628»;

2) dopo il secondo comma è aggiunto il seguente:

«Chiunque, mediante le condotte di cui agli articoli 615 -ter , 617 -quater , 617 -sexies , 635 -bis , 635 -quater e 635 -quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nel terzo comma dell’articolo 628 nonché nel caso in cui il fatto sia commesso nei confronti di persona incapace per età o per infermità»;

n) all’articolo 635 -bis :

1) al primo comma, le parole: «da sei mesi a tre anni» sono sostituite dalle seguenti: «da due a sei anni»;

2) il secondo comma è sostituito dal seguente:

«La pena è della reclusione da tre a otto anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato»;

o) all’articolo 635 -ter :

1) al primo comma, le parole: «utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a Quattro anni» sono sostituite dalle seguenti: «di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, è punito con la reclusione da due a sei anni»;

2) il secondo e il terzo comma sono sostituiti dai seguenti:

«La pena è della reclusione da tre a otto anni:

2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l’inaccessibilità al legittimo titolare dei dati o dei programmi informatici.

La pena è della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3)»;

3) nella rubrica, le parole: «utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità » sono sostituite dalle seguenti: «pubblici o di interesse pubblico»;

p) all’articolo 635 -quater :

1) al primo comma, le parole: «da uno a cinque anni» sono sostituite dalle seguenti: «da due a sei anni»;

2) il secondo comma è sostituito dal seguente: «La pena è della reclusione da tre a otto anni:

2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato»;

q) dopo l’articolo 635 -quater è inserito il seguente:

«Artículo 635 -quater .1 (Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico). — Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico ovvero le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, abusivamente si procura, detiene, produce, riproduce, importa, diffonde, comunica, consigna o, comunque, mette in altro modo a disposizione di altri o installa apparecchiature, dispositivi o programmi informatici è punito con la reclusione fino a due anni e con la multa fino a euro 10.329.

La pena è della reclusione da due a sei anni quando ricorre taluna delle circostanze di cui all’articolo 615 -ter , secondo comma, numero 1).

La pena è della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all’articolo 615 -ter , terzo comma»;

r) l’articolo 635 -quinquies è sostituito dal seguente:

«Artículo 635 -quinquies (Danneggiamento di sistema informatici o telematici di pubblico interesse).

— Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all’articolo 635 -bis ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, compie atti diretti a distruggere, danneggiare o rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblico interesse ovvero ad ostacolarne gravemente il funzionamento è punito con la pena della reclusione da due a sei anni.

La pena è della reclusione da tre a otto anni:

2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici.

La pena è della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3)»;

s) nel Capítulo I del titolo tredicesimo del libro secondo, dopo l’articolo 639 -bis è aggiunto il seguente:

«Artículo 639 -ter (Circostanze attenuanti).

Le pene comminate per i delitti di cui agli articoli 629, terzo comma, 635 -ter , 635 -quater .1 e 635 -quinquies sono diminuite quando, per la natura, la specie, i mezzi, le modalità o le circostanze dell’azione ovvero per la particolare tenuità del danno o del pericolo, il fatto risulti di lieve entità.

Non si applica il divieto di cui all’articolo 69, quarto comma»;

t) all’articolo 640:

1) al secondo comma è aggiunto, in fine, il seguente numero:

«2 -ter ) se il fatto è commesso a distanza attraverso strumenti informatici o telematici idonei a ostacolare la propria o altrui identificazione»;

2) al terzo comma, le parole: «Capítuloverso precedente » sono sostituite dalle seguenti: «secondo comma, a eccezione di quella di cui al numero 2 -ter )»;

u) all’articolo 640 -quater , le parole: «numero 1» sono sostituite dalle seguenti: «numeri 1 e 2 -ter )».

Artículo 17.- Modifiche al codice di procedura penale

1. Al codice di procedura penale sono apportate le seguenti modificazioni:

a) all’articolo 51, comma 3 -quinquies :

1) la parola: «615 -quinquies ,» è soppressa;

2) dopo la parola: «635 -quater ,» sono inserite le seguenti: «635 -quater .1, 635 -quinquies,»;

3) dopo le parole: «del codice penale,» sono inserite le seguenti: «o per il delitto di cui all’articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133,»;

b) all’articolo 406, comma 5 -bis , le parole: «numeri 4 e 7 -bis » sono sostituite dalle seguenti: «numeri 4), 7 -bis ) e 7 -ter )»;

c) all’articolo 407, comma 2, lettera a) , dopo il numero 7 -bis ) è aggiunto il seguente:

«7 -ter ) delitti previsti dagli articoli 615 -ter , 615 -quater , 617 -ter , 617 -quater , 617 -quinquies , 617 -sexies , 635 -bis , 635 -ter , 635 -quater , 635 -quater .1 e 635 -quinquies del codice penale, quando il fatto è commesso in danno di sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico».

Artículo 18.- Modifiche al decreto-legge 15 gennaio 1991, n. 8, convertito, con modificazioni, dalla legge 15 marzo 1991, n. 82

1. Al decreto-legge 15 gennaio 1991, n. 8, convertito, con modificazioni, dalla legge 15 marzo 1991, n. 82, sono apportate le seguenti modificazioni:

a) all’articolo 9, comma 2, dopo le parole: «51, comma 3 -bis ,» sono inserite le seguenti: «o all’articolo 371 – bis , comma 4 -bis ,»;

b) all’articolo 11, comma 2, dopo le parole: «51, commi 3 -bis e 3 -quater ,» sono inserite le seguenti: «o all’articolo 371 -bis , comma 4 -bis ,»;

c) all’articolo 16 -nonies , comma 1, dopo le parole: «51, comma 3 -bis ,» sono inserite le seguenti: «o all’articolo 371 -bis , comma 4 -bis ,».

Artículo 19.- Modifica al decreto-legge 13 maggio 1991, n. 152, convertito, con modificazioni, dalla legge 12 luglio 1991, n. 203

1. All’articolo 13 del decreto-legge 13 maggio 1991, n. 152, convertito, con modificazioni, dalla legge 12 luglio 1991, n. 203, dopo il comma 3 è aggiunto il seguente:

«3 -bis . Le disposizioni dei commi 1, 2 e 3 si applicano anche quando si procede in relazione a taluno dei delitti, consumati o tentati, previsti dall’articolo 371 -bis , comma 4 -bis , del codice di procedura penale».

Artículo 20.- Modifiche al decreto legislativo 8 giugno 2001, n. 231

1. All’articolo 24 -bis del decreto legislativo 8 giugno 2001, n. 231, sono apportate le seguenti modificazioni:

a) al comma 1, le parole: «da cento a cinquecento quote» sono sostituite dalle seguenti: «da duecento a settecento quote»;

b) dopo il comma 1 è inserito il seguente: «1 -bis . In relazione alla commissione del delitto di cui all’articolo 629, terzo comma, del codice penale, si applica all’ente la sanzione pecuniaria da trecento a ottocento quote»;

c) al comma 2, la parola: «615 -quinquies » è sostituita dalla seguente: «635 -quater .1» e le parole: «sino a trecento quote» sono sostituite dalle seguenti: «sino a quattrocento quote»;

d) al comma 4, dopo il primo periodo è inserito il seguente: «Nei casi di condanna per il delitto indicato nel comma 1 -bis si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, per una durata non inferiore a due anni».

Artículo 21.. Modifica alla legge 11 gennaio 2018, n. 6

1. All’articolo 11, comma 2, della legge 11 gennaio 2018, n. 6, dopo le parole: «51, commi 3 -bis , 3 -ter e 3 -quater ,» sono inserite le seguenti: «o all’articolo 371 -bis , comma 4 -bis “.

Artículo 22.- Modifiche al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109

1. All’articolo 17 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, sono apportate le seguenti modificazioni:

a) il comma 4 è sostituito dal seguente:

«4. Il personale dell’Agenzia addetto al CSIRT Italia, nello svolgimento delle proprie funzioni, riveste la qualifica di pubblico ufficiale. La trasmissione inmediata delle notifiche di incidente ricevute dal CSIRT Italia all’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all’articolo 7 -bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, costituisce adempimento dell’obbligo di cui all’articolo 331 del codice di procedura penale»;

b) dopo il comma 4 -bis sono inseriti i seguenti:

«4 -bis .1. Nei casi in cui l’Agenzia ha notizia di un attacco ai danni di uno dei sistemi informatici o telematici di cui all’articolo 371 -bis , comma 4 -bis , del codice di procedura penale e in ogni caso quando risulti interessato taluno dei soggetti di cui all’articolo 1, comma 2 -bis , del decreto-legge perimetro, all’articolo 3, comma 1, lettere g) e i) , del decreto legislativo NIS ovvero all’articolo

40, comma 3, alinea, del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1° agosto 2003, n. 259, fermo restando quanto previsto dal comma 4 del presente articolo, procede alle attività di cui all’articolo 7, comma 1, lettere n) e n -bis ), e ne informa senza ritardo il procuratore nazionale antimafia e antiterrorismo, ai sensi del comma 4 -bis del presente articolo.

4 -bis .2. Fuori dei casi di cui al comma 4 -bis .1, quando acquisisce la notizia dei delitti di cui all’articolo 371 -bis , comma 4 -bis , del codice di procedura penale, il pubblico ministero ne dà tempestiva informazione all’Agenzia e assicura, altresì, il raccordo informativo con l’organo del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione ai fini di cui all’articolo 7 -bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

4 -bis .3. In ogni caso, il pubblico ministero impartisce le disposizioni necessarie ad assicurare che gli accertamenti urgenti siano compiuti tenendo conto delle attività svolte dall’Agenzia, a fini di resilienza, di cui all’articolo 7, comma 1, lettere n) e n -bis ), e può disporre il differimento di una o più delle predette attività, con provvedimento motivato adottato senza ritardo, per evitare un grave pregiudizio per il corso delle indagini.

4 -bis .4. Il pubblico ministero, quando procede ad accertamenti tecnici irripetibili in relazione ai delitti di cui all’articolo 371 -bis , comma 4 -bis , del codice di procedura penale, informa senza ritardo l’Agenzia, che mediante propri rappresentanti può assistere al conferimento dell’incarico e partecipare agli accertamenti. Le disposizioni del primo periodo si applicano anche quando agli accertamenti si procede nelle forme dell’incidente probatorio».

Artículo 23.- Modifiche all’articolo 7 della legge 12 agosto 1962, n. 1311

1. All’articolo 7 della legge 12 agosto 1962, n. 1311, sono apportate le seguenti modificazioni:

a) al primo comma è aggiunto, in fine, il seguente periodo: «Nelle ispezioni è verificato altresì il rispetto delle prescrizioni di sicurezza negli accessi alle banche di dati in uso presso gli uffici giudiziari»;

b) al terzo comma, le parole: «degli stessi nonché» sono sostituite dalle seguenti: «degli stessi,» e sono aggiunte, in fine, le seguenti parole: «nonché il rispetto delle prescrizioni di sicurezza negli accessi alle banche di dati in uso presso gli uffici giudiziari».

Articolo 24.- Disposizioni finanziarie

1. Dall’attuazione della presente legge non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni pubbliche competenti provvedono all’adempimento dei compiti derivanti dalla presente legge con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

2. I proventi delle sanzioni di cui all’articolo 1, comma 6, della presente legge confluiscono nelle entrate dell’Agenzia per la cybersicurezza nazionale di cui all’articolo 11, comma 2, lettera f) , del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109.

La presente legge, munita del sigillo dello Stato, sarà inserita nella Raccolta ufficiale degli atti normativi della Repubblica italiana. È fatto obbligo a chiunque spetti di osservarla e di farla osservare come legge dello Stato.

Data a Roma, addì 28 giugno 2024

MATTARELLA

MELONI, Presidente del Consiglio dei ministri

NORDIO, Ministro della giustizia

Visto, il Guardasigilli: NORDIO

LAVORI PREPARATORI

Camera dei deputati (atto n. 1717):

Presentato dal Presidente del Consiglio dei ministri Giorgia MELONI e dal Ministro della giustizia Carlo NORDIO (Governo MELONI -I), il 16 febbraio 2024.

Assegnato alle Commissioni riunite I (Affari costituzionali, della Presidenza del Consiglio e interni) e II (Giustizia), in sede referente, il 29 febbraio 2024, con i pareri delle Commissioni IV (Difesa), V (Bilancio, tesoro e programmazione),VI (Finanze), VIII (Ambiente, territorio e lavori pubblici), IX (Trasporti, Poste e Telecomunicazioni), X (Attività produttive, commercio e turismo), XI (Lavoro pubblico e privato), XII (Affari sociali), XIV (Politiche dell’Unione europea) e per le Questioni regionali.

Esaminato dalle Commissioni riunite I (Affari costituzionali, della Presidenza del Consiglio e interni) e II (Giustizia), in sede referente, il 13 e il 19 marzo 2024; il 9, il 23 e il 24 aprile 2024; il 7 e l’8 maggio 2024.

Esaminato in Aula il 13 e 14 maggio 2024 e approvato il 15 maggio 2024.

Senato della Repubblica (atto n. 1143):

Assegnato alle Commissioni riunite 1ª (Affari costituzionali, affari della Presidenza del Consiglio e dell’Interno, ordinamento generale dello Stato e della pubblica amministrazione, editoria, digitalizzazione) e 2ª (Giustizia), in sede referente, il 20 maggio 2024, con i pareri delle Commissioni 3ª (Affari esteri e difesa), 4ª Commissione (Politiche dell’Unione europea), 5ª (Programmazione economica, bilancio), 6ª (Finanze e tesoro), 7ª (Cultura e patrimonio culturale, istruzione pubblica, ricerca scientifica, spettacolo e sport), 8ª (Ambiente, transizione ecologica, energia, lavori pubblici, comunicazioni, innovazione tecnologica), 9ª (Industria, commercio, turismo, agricoltura e produzione agroalimentare), 10ª (Affari sociali, sanità, lavoro pubblico e privato, previdenza sociale) e per le Questioni regionali.

Esaminato dalle Commissioni riunite 1ª (Affari costituzionali, affari della Presidenza del Consiglio e dell’Interno, ordinamento generale dello Stato e della pubblica amministrazione, editoria, digitalizzazione) e 2ª (Giustizia), in sede referente, il 23 e il 29 maggio 2024; il 12 giugno 2024.

Esaminato in Aula e approvato definitivamente il 19 giugno 2024.

N O T E AVVERTENZA: Il testo delle note qui pubblicato è stato redatto dall’amministrazione competente per materia, ai sensi dell’Articolo10, commi 2 e 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull’emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con d.p.r. 28 dicembre 1985, n.1092, al solo fine di facilitare la lettura delle disposizioni di legge modificate o alle quali è operato il rinvio. Restano invariati il valore e l’efficacia degli atti legislativi qui trascritti.

Per le direttive CEE vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale delle comunità europee (GUUE).

Note all’Articolo 1:

— Si riporta l’articolo 1 della legge 31 dicembre 2009, n. 196 (Legge di contabilità e finanza pubblica):

«Articolo 1 (Princìpi di coordinamento e ambito di riferimento) .

1. Le amministrazioni pubbliche concorrono al perseguimento degli obiettivi di finanza pubblica definiti in ambito nazionale in coerenza con le procedure e i criteri stabiliti dall’Unione europea e ne condividono le conseguenti responsabilità. Il concorso al perseguimento di tali obiettivi si realizza secondo i principi fondamentali dell’armonizzazione dei bilanci pubblici e del coordinamento della finanza pubblica.

2. Ai fini della applicazione delle disposizioni in materia di finanza pubblica, per amministrazioni pubbliche si intendono, per l’anno 2011, gli enti e i soggetti indicati a fini statistici nell’elenco oggetto del comunicato dell’Istituto nazionale di statistica (ISTAT) in data 24 luglio 2010, pubblicato in pari data nella Gazzetta Ufficiale della Repubblica italiana n. 171, nonché a decorrere dall’anno 2012 gli enti e i soggetti indicati a fini statistici dal predetto Istituto nell’elenco oggetto del comunicato del medesimo Istituto in data 30 settembre 2011, pubblicato in pari data nella Gazzetta Ufficiale della Repubblica italiana n. 228, e successivi aggiornamenti ai sensi del comma 3 del presente articolo, effettuati sulla base delle definizioni di cui agli specifici regolamenti dell’Unione europea, le Autorità indipendenti e, comunque, le amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, e successive modificazioni.

3. La ricognizione delle amministrazioni pubbliche di cui al comma 2 è operata annualmente dall’ISTAT con proprio provvedimento e pubblicata nella Gazzetta Ufficiale entro il 30 settembre.

4. Le disposizioni recate dalla presente legge e dai relativi decreti legislativi costituiscono princìpi fondamentali del coordinamento della finanza pubblica ai sensi dell’articolo 117 della Costituzione e sono finalizzate alla tutela dell’unità economica della Repubblica italiana, ai sensi dell’articolo 120, secondo comma, della Costituzione.

5. Le disposizioni della presente legge si applicano alle regioni a statuto speciale e alle province autonome di Trento e di Bolzano nel rispetto di quanto previsto dai relativi statuti.».

— Si riporta l’articolo 1 del decreto-legge 21 settembre 2019, n. 105 (Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica e di disciplina dei poteri speciali nei settori di rilevanza strategica), convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, come modificato dalla presente legge:

«Articolo 1 (Perimetro di sicurezza nazionale cibernetica) .

1. Alfine di assicurare un livello elevato di sicurezza delle reti, dei sistema informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimiento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale, è istituito il perimetro di sicurezza nazionale cibernetica.

2. Entro quattro mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, adottato su proposta del Comitato interministeriale per la cybersicurezza (CIC):

a) sono definiti modalità e criteri procedurali di individuazione di amministrazioni pubbliche, enti e operatori pubblici e privati di cui al comma 1 aventi una sede nel territorio nazionale, inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi previsti dal presente articolo; ai fini dell’individuazione, fermo restando che per gli Organismi di informazione per la sicurezza si applicano le norme previste dalla legge 3 agosto 2007, n. 124, si procede sulla base dei seguenti criteri:

1) il soggetto esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato;

2) l’esercizio di tale funzione o la prestazione di tale servicio dipende da reti, sistemi informativi e servizi informatici;

2 -bis ) l’individuazione avviene sulla base di un criterio di gradualità, tenendo conto dell’entità del pregiudizio per la sicurezza nazionale che, in relazione alle specificità dei diversi settori di attività, può derivare dal malfunzionamento, dall’interruzione, anche parziali, ovvero dall’utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici predetti;

b) sono definiti, sulla base di un’analisi del rischio e di uncriterio di gradualità che tenga conto delle specificità dei diversi settori di attività, i criteri con i quali i soggetti di cui al comma 2 -bis predispongono e aggiornano con cadenza almeno annuale un elenco delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 1, di rispettiva pertinenza, comprensivo della relativa architettura e componentistica, fermo restando che, per le reti, i sistema informativi e i servizi informatici attinenti alla gestione delle informazioni classificate, si applica quanto previsto dal regolamento adottato ai sensi dell’articolo 4, comma 3, lettera l) , della legge 3 agosto 2007, n. 124; all’elaborazione di tali criteri provvede, adottando opportuni moduli organizzativi, il Tavolo interministeriale di cui all’articolo 6 del regolamento di cui al decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131; entro sei mesi dalla data della comunicazione, prevista dal comma 2 -bis , a ciascuno dei soggetti iscritti nell’elenco di cui al medesimo comma, i soggetti pubblici e quelli di cui all’articolo 29 del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, nonché quelli privati, di cui al citato comma 2 -bis , trasmettono tali elenchi all’Agenzia per la cybersicurezza nazionale, anche per le attività di prevenzione, preparazione e gestione di crisi cibernetiche affidate al Nucleo per la cybersicurezza; il Dipartimento delle informazioni per la sicurezza, l’Agenzia informazioni e sicurezza esterna (AISE) e l’Agenzia informazioni e sicurezza interna (AISI) ai fini dell’esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3 -bis , 4, 6 e 7 della legge n. 124 del 2007, nonché l’organo del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all’articolo 7 -bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, accedono a tali elenchi per il tramite della piattaforma digitale di cui all’articolo 9, comma 1, del regolamento di cui al decreto del Presidente del Consiglio dei ministri n. 131 del 2020, costituita presso l’Agenzia per la cybersicurezza nazionale.

2 -bis . L’elencazione dei soggetti individuati ai sensi del comma 2, lettera a) , è contenuta in un atto amministrativo, adottato dal Presidente del Consiglio dei ministri, su proposta del CIC, entro trenta giorni dalla data di entrata in vigore del decreto del Presidente del Consiglio dei ministri di cui al comma 2. Il predetto atto amministrativo, per il quale è escluso il diritto di accesso, non è soggetto a pubblicazione, fermo restando che a ciascun soggetto è data, separatamente, comunicazione senza ritardo dell’avvenuta iscrizione nell’elenco. L’aggiornamento del predetto atto amministrativo è effettuato con le medesime modalità di cui al presente comma.

2 -ter . Gli elenchi dei soggetti di cui alla lettera a) del comma 2 del presente articolo sono trasmessi al Dipartimento delle informazioni per la sicurezza, che provvede anche a favore dell’AISE e dell’AISI ai fini dell’esercizio delle funzioni istituzionali previste dagli articoli 1, comma 3 -bis , 4, 6 e 7 della legge 3 agosto 2007, n. 124.

3. Entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, che disciplina altresì i relativi termini e modalità attuative, adottato su proposta del CIC:

a) sono definite le procedure secondo cui i soggetti di cui al comma 2 -bis notificano gli incidenti aventi impatto su reti, sistema informativi e servizi informatici di cui al comma 2, lettera b) , al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) Italia, che inoltra tali notifiche, tempestivamente, al Dipartimento delle informazioni per la sicurezza anche per le attività demandate al Nucleo per la sicurezza cibernetica; il Dipartimento delle informazioni per la sicurezza assicura la trasmissione delle notifiche così ricevute all’organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione di cui all’articolo 7 -bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, nonché alla Presidenza del Consiglio dei ministri, se provenienti da un soggetto pubblico o da un soggetto di cui all’articolo 29 del decreto legislativo 7 marzo 2005, n. 82, ovvero al Ministero dello sviluppo economico, se effettuate da un soggetto privato;

b) sono stabilite misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di cui al comma 2, lettera b) , tenendo conto degli standard definiti a livello internazionale e dell’Unione europea relative:

1) alla struttura organizzativa preposta alla gestione della sicurezza;

1 -bis ) alle politiche di sicurezza e alla gestione del rischio;

2) alla mitigazione e gestione degli incidenti e alla loro prevenzione, anche attraverso interventi su apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza;

3) alla protezione fisica e logica e dei dati;

4) all’integrità delle reti e dei sistemi informativi;

5) alla gestione operativa, ivi compresa la continuità del servizio;

6) al monitoraggio, test e controllo;

7) alla formazione e consapevolezza;

8) all’affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale, di standard e di eventuali limiti.

3 -bis . Al di fuori dei casi di cui al comma 3, i soggetti di cui al comma 2 -bis notificano gli incidenti di cui all’articolo 1, comma 1, lettera h) , del regolamento di cui al decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81, aventi impatto su reti, sistema informativi e servizi informatici di propria pertinenza diversi da quelli di cui al comma 2, lettera b) , del presente articolo, fatta eccezione per quelli aventi impatto sulle reti, sui sistemi informativi e sui servizi informatici del Ministero della difesa, per i quali si applicano i princìpi e le modalità di cui all’articolo 528, comma 1, lettera d) , del codice di cui al decreto legislativo 15 marzo 2010, n. 66. I medesimi soggetti provvedono a effettuare la segnalazione degli incidenti di cui al presente comma senza ritardo, comunque entro il termine massimo di ventiquattro ore, e ad effettuare la relativa notifica entro settantadue ore . Si applicano, altresì, le disposizioni di cui all’articolo 4, commi 2 e 4, del medesimo regolamento. Con determinazioni tecniche del direttore generale, sentito il vice direttore generale, dell’Agenzia per la cybersicurezza nazionale, è indicata la tassonomia degli incidente che debbono essere oggetto di notifica ai sensi del presente comma e possono essere dettate specifiche modalità di notifica. Nei casi di reiterata inosservanza degli obblighi di notifica di cui al presente comma, si applica la sanzione amministrativa pecuniaria da euro 25.000 a euro125.000.

4. All’elaborazione delle misure di cui al comma 3, lettera b), provvedono, secondo gli ambiti di competenza delineati dal presente decreto, il Ministero dello sviluppo economico e la Presidenza del Consiglio dei ministri, d’intesa con il Ministero della difesa, il Ministero dell’interno, il Ministero dell’economia e delle finanze e il Dipartimento delle informazioni per la sicurezza.

4 -bis . Gli schemi dei decreti di cui ai commi 2 e 3 sono trasmessi alla Camera dei deputati e al Senato della Repubblica per l’espressione del parere delle Commissioni parlamentari competenti per materia, che si pronunciano nel termine di trenta giorni, decorso il quale il decreto può essere comunque adottato. I medesimi schemi sono altresì trasmessi al Comitato parlamentare per la sicurezza della Repubblica.

4 -ter . L’atto amministrativo di cui al comma 2 -bis e i suoi aggiornamenti sono trasmessi, entro dieci giorni dall’adozione, al Comitato parlamentare per la sicurezza della Repubblica.

5. Per l’aggiornamento di quanto previsto dai decreti di cui ai commi 2 e 3 si procede secondo le medesime modalità di cui ai commi 2, 3, 4 e 4 -bis con cadenza almeno biennale.

6. Con regolamento, adottato ai sensi dell’articolo 17, comma 1, della legge 23 agosto 1988, n. 400, entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, sono disciplinati le procedure, le modalità e i termini con cui:

a) i soggetti di cui al comma 2 -bis , che intendano procedere, anche per il tramite delle centrali di committenza alle quali essi sono tenuti a fare ricorso ai sensi dell’articolo 1, comma 512, della legge 28 dicembre 2015, n. 208, all’affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici di cui al comma 2, lettera b) , appartenenti a categorie individuate, sulla base di criteri di natura tecnica, con decreto del Presidente del Consiglio dei ministri, da adottare entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, ne danno comunicazione al Centro di valutazione e certificazione nazionale (CVCN), istituito presso il Ministero dello sviluppo economico; la comunicazione comprende anche la valutazione del rischio associato all’oggetto della fornitura, anche in relazione all’ambito di impiego.

L’obbligo di comunicazione di cui alla presente lettera è efficace a decorrere dal trentesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del decreto del Presidente del Consiglio dei ministri che, sentita l’Agenzia per la cybersicurezza nazionale, attesta l’operatività del CVCN e comunque dal 30 giugno 2022. Entro quarantacinque giorni dalla ricezione della comunicazione, prorogabili di quindici giorni, una sola volta, in caso di particolare complessità, il CVCN può effettuare verifiche preliminar ed imporre condizioni e test di hardware e software da compiere anche in collaborazione con i soggetti di cui al comma 2 -bis , secondo un approccio gradualmente crescente nelle verifiche di sicurezza.

Decorso il termine di cui al precedente periodo senza che il CVCN si sia pronunciato, i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento. In caso di imposizione di condizioni e test di hardware e software, i relativi bandi di gara e contratti sono integrati con clausole che condizionano, sospensivamente ovvero risolutivamente, il contratto al rispetto delle condizioni e all’esito favorevole dei test disposti dal CVCN. I test devono essere conclusi nel termine di sessanta giorni. Decorso il termine di cui al precedente periodo, i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento.

In relazione alla specificità delle forniture di beni, sistemi e servizi ICT da impiegare su reti, sistemi informativi e servizi informatici del Ministero dell’interno e del Ministero della difesa, individuati ai sensi del comma 2, lettera b) , i predetti Ministeri, nell’ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, in coerenza con quanto previsto dal presente decreto, possono procedere, con le medesime modalità e i medesimi termini previsti dai periodi precedenti, attraverso la comunicazione ai propri Centri di valutazione accreditati per le attività di cui al presente decreto, ai sensi del comma 7, lettera b) , che impiegano le metodologie di verifica e di test definite dal CVCN. Per tali casi i predetti Centri informano il CVCN con le modalità stabilite con il decreto del Presidente del Consiglio dei ministri, di cui al comma 7, lettera b) . Non sono oggetto di comunicazione gli affidamenti delle forniture di beni, sistemi e servizi ICT destinate alle reti, ai sistemi informativi e ai servizi informatici per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati e i casi di deroga stabiliti dal medesimo regolamento con riguardo alle forniture di beni, sistemi e servizi ICT per le quali sia indispensabile procedere in sede estera, fermo restando, in entrambi i casi, l’utilizzo di beni, sistemi e servizi ICT conformi ai livelli di sicurezza di cui al comma 3, lettera b) , salvo motivate esigenze connesse agli specifici impieghi cui essi sono destinati;

b) i soggetti individuati quali fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici di cui al comma 2, lettera b) , assicurano al CVCN e, limitatamente agli ambiti di specifica competenza, ai Centri di valutazione operanti presso i Ministeri dell’interno e della difesa, di cui alla lettera a) del presente comma, la propria collaborazione per l’effettuazione delle attività di test di cui alla lettera a) del presente comma, sostenendone gli oneri; il CVCN segnala la mancata collaborazione al Ministero dello sviluppo economico, in caso di fornitura destinata a soggetti privati, o alla Presidenza del Consiglio dei ministri, in caso di fornitura destinata a soggetti pubblici ovvero a quelli di cui all’articolo 29 del codice di cui al decreto legislativo 7 marzo 2005, n. 82; sono inoltrate altresì alla Presidenza del Consiglio dei ministri le analoghe segnalazioni dei Centri di valutazione dei Ministeri dell’interno e della difesa, di cui alla lettera a) ;

c) la Presidenza del Consiglio dei ministri, per i profili di pertinenza dei soggetti pubblici e di quelli di cui all’articolo 29 del codice dell’Amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, di cui al comma 2 -bis , e il Ministero dello sviluppo economico, per i soggetti privati di cui al medesimo comma, svolgono attività di ispezione e verifica in relazione a quanto previsto dal comma 2, lettera b) , dal comma 3, dal presente comma e dal comma 7, lettera b) , impartendo, se necessario, specifiche prescrizioni; nello svolgimento delle predette attività di ispezione e verifica l’accesso, se necessario, a dati o metadati personali e amministrativi è effettuato in conformità a quanto previsto dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, e dal codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196; per le reti, i sistemi informativi e i servizi informatici di cui al comma 2, lettera b) , connessi alla funzione di prevenzione e repressione dei reati, alla tutela dell’ordine e della sicurezza pubblica, alla difesa civile e allá difesa e sicurezza militare dello Stato, le attività di ispezione e verifica sono svolte, nell’ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, dalle strutture specializzate in tema di protezione di reti e sistemi, nonché, nei casi in cui siano espressamente previste dalla legge, in tema di prevenzione e di contrasto del crimine informatico, delle amministrazioni da cui dipendono le Forze di polizia e le Forze armate, che ne comunicano gli esiti alla Presidenza del Consiglio dei ministri per i profili di competenza.

7. Nell’ambito dell’approvvigionamento di prodotti, processi, servizi ICT e associate infrastrutture destinati alle reti, ai sistemi informativi e per l’espletamento dei servizi informatici di cui al comma 2, lettera b) , il CVCN assume i seguenti compiti:

a) contribuisce all’elaborazione delle misure di sicurezza di cui al comma 3, lettera b) , per ciò che concerne l’affidamento di forniture di beni, sistemi e servizi ICT;

b) ai fini della verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità note, anche in relazione all’ambito di impiego, definisce le metodologie di verifica e di test e svolge le attività di cui al comma 6, lettera a) , dettando, se del caso, anche prescrizioni di utilizzo al committente; a tali fini il CVCN si avvale anche di laboratori dallo stesso accreditati secondo criteri stabiliti da un decreto del Presidente del Consiglio dei ministri, adottato entro dieci mesi dalla data di entrata in vigore della legge di conversione del presente decreto, su proposta del CIC, impiegando, per le esigenze delle amministrazioni centrali dello Stato, quelli eventualmente istituiti, senza nuovi o maggiori oneri a carico della finanza pubblica, presso le medesime amministrazioni. Con lo stesso decreto sono altresì stabiliti i raccordi, ivi compresi i contenuti, le modalità e i termini delle comunicazioni, tra il CVCN e i predetti laboratori, nonché tra il medesimo CVCN e i Centri di valutazione del Ministero dell’interno e del Ministero della difesa, di cui al comma 6, lettera a) , anche la fine di assicurare il coordinamento delle rispettive attività e perseguire la convergenza e la non duplicazione delle valutazioni in presenza di medesimi condizioni e livelli di rischio;

c) elabora e adotta, previo conforme avviso del Tavolo interministeriale di cui all’articolo 6 del decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131, schemi di certificazione cibernetica, tenendo conto degli standard definiti a livello internazionale e dell’Unione europea, laddove, per ragioni di sicurezza nazionale, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica.

8. I soggetti di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e quelli di cui all’articolo 16 -ter , comma 2, del codice delle comunicazioni elettroniche di cui al decreto legislativo 1° agosto 2003, n. 259, inclusi nel perimetro di sicurezza nazionale cibernetica:

a) osservano le misure di sicurezza previste, rispettivamente, dai predetti decreti legislativi, ove di livello almeno equivalente a quelle adottate ai sensi del comma 3, lettera b) , del presente articolo; le eventuali misure aggiuntive necessarie al fine di assicurare i livelli di sicurezza previsti dal presente decreto sono definite dall’Agenzia per la cybersicurezza nazionale, di cui al comma 2 -bis , e dal Ministero dello sviluppo economico per i soggetti privati di cui al medesimo comma, avvalendosi anche del CVCN; il Ministero dello sviluppo economico e la Presidenza del Consiglio dei ministri si raccordano, ove necessario, con le autorità competenti di cui all’articolo 7 del decreto legislativo 18 maggio 2018, n. 65;

b) assolvono l’obbligo di notifica di cui al comma 3, lettera a) che costituisce anche adempimento, rispettivamente, dell’obbligo di notifica di cui agli articoli 12 e 14 del decreto legislativo 18 maggio 2018, n. 65, e dell’analogo obbligo previsto ai sensi dell’articolo 16 -ter del codice di cui al decreto legislativo 1° agosto 2003, n. 259, e delle correlate disposizioni attuative; a tal fine, oltre a quanto previsto dal comma 3, lettera a) , anche in relazione alle disposizioni di cui all’articolo 16 -ter del codice di cui al decreto legislativo 1° agosto 2003, n. 259, il CSIRT Italia inoltra le notifiche ricevute ai sensi del predetto comma 3, lettera a) , autorità nazionale competente NIS di cui all’articolo 7 del decreto legislativo 18 maggio 2018, n. 65.

9. Salvo che il fatto costituisca reato:

a) il mancato adempimento degli obblighi di predisposizione, di aggiornamento e di trasmissione dell’elenco delle reti, dei sistema informativi e dei servizi informatici di cui al comma 2, lettera b) , è punito con la sanzione amministrativa pecuniaria da euro 200.000 a euro 1.200.000;

b) il mancato adempimento dell’obbligo di notifica di cui al comma 3, lettera a) , nei termini prescritti, è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;

c) l’inosservanza delle misure di sicurezza di cui al comma 3, lettera b) , è punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;

d) la mancata comunicazione di cui al comma 6, lettera a) , nei termini prescritti, è punita con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000;

e) l’impiego di prodotti e servizi sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici di cui al comma 2, lettera b) , in violazione delle condizioni o in assenza del superamento dei test imposti dal CVCN ovvero dai Centri di valutazione di cui al comma 6, lettera a) , è punito con la sanzione amministrativa pecuniaria da euro 300.000 a euro 1.800.000;

f) la mancata collaborazione per l’effettuazione delle attività di test di cui al comma 6, lettera a) , da parte dei soggetti di cui al medesimo comma 6, lettera b) , è punita con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;

g) il mancato adempimento delle prescrizioni indicate dal Ministero dello sviluppo economico o dalla Presidenza del Consiglio dei ministri in esito alle attività di ispezione e verifica svolte ai sensi del comma 6, lettera c) , è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000;

h) il mancato rispetto delle prescrizioni di cui al comma 7, lettera b) , è punito con la sanzione amministrativa pecuniaria da euro 250.000 a euro 1.500.000.

10. L’impiego di prodotti e di servizi sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici di cui al comma 2, lettera b) , in assenza della comunicazione o del superamento dei test o in violazione delle condizioni di cui al comma 6, lettera a) , comporta, oltre alle sanzioni di cui al comma 9, lettere d) ed e) , l’applicazione della sanzione amministrativa accessoria della incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione.

11. Chiunque, allo scopo di ostacolare o condizionare l’espletamento dei procedimenti di cui al comma 2, lettera b) , o al comma 6, lettera a) , o delle attività ispettive e di vigilanza previste dal comma 6, lettera c) , fornisce informazioni, dati o elementi di fatto non rispondenti al vero, rilevanti per la predisposizione o l’aggiornamento degli elenchi di cui al comma 2, lettera b) , o ai fini delle comunicazioni di cui al comma 6, lettera a) , o per lo svolgimento delle attività ispettive e di vigilanza di cui al comma 6), lettera c) od omette di comunicare entro i termini prescritti i predetti dati, informazioni o elementi di fatto, è punito con la reclusione da uno a tre anni.

11 -bis . All’articolo 24 -bis , comma 3, del decreto legislativo 8 giugno 2001, n. 231, dopo le parole: «di altro ente pubblico,» sono inserite le seguenti: «e dei delitti di cui all’articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105,».

12. Le autorità competenti per l’accertamento delle violazioni e per l’irrogazione delle sanzioni amministrative sono la Presidenza del Consiglio dei ministri, per i soggetti pubblici e per i soggetti di cui all’articolo 29 del codice di cui al decreto legislativo 7 marzo 2005, n. 82, di cui al comma 2 -bis , e il Ministero dello sviluppo economico, per i soggetti privati di cui al medesimo comma.

13. Ai fini dell’accertamento e dell’irrogazione delle sanzioni amministrative di cui al comma 9, si osservano le disposizioni contenute nel Capítulo I, sezioni I e II, della legge 24 novembre 1981, n. 689.

14. Per i dipendenti dei soggetti pubblici di cui al comma 2 -bis , la violazione delle disposizioni di cui al presente articolo può costituire causa di responsabilità disciplinare e amministrativo-contabile.

15. Le autorità titolari delle attribuzioni di cui al presente decreto assicurano gli opportuni raccordi con il Dipartimento delle informazioni per la sicurezza e con l’organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione, quale autorità di contrasto nell’esercizio delle attività di cui all’articolo 7 -bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

16. La Presidenza del Consiglio dei ministri, per lo svolgimento delle funzioni di cui al presente decreto può avvalersi dell’Agenzia per l’Italia Digitale (AgID) sulla base di apposite convenzioni, nell’ambito delle risorse finanziarie e umane disponibili a legislazione vigente, senza nuovi o maggiori oneri per la finanza pubblica.

17. Al decreto legislativo 18 maggio 2018, n. 65, sono apportate le seguenti modificazioni:

a) all’articolo 4, comma 5, dopo il primo periodo è aggiunto il seguente:

«Il Ministero dello sviluppo economico inoltra tale elenco al punto di contatto unico e all’organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione, di cui all’articolo 7 -bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.»;

b) all’articolo 9, comma 3, le parole

«e il punto di contatto unico» sono sostituite dalle seguenti: «, il punto di contatto unico e l’organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione, di cui all’articolo 7 -bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155,».

18. Gli eventuali adeguamenti alle prescrizioni di sicurezza definite ai sensi del presente articolo, delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici di cui al comma 2 -bis , sono effettuati con le risorse finanziarie disponibili a legislazione vigente.

19. Per la realizzazione, l’allestimento e il funzionamento del CVCN di cui ai commi 6 e 7 è autorizzata la spesa di euro 3.200.000 per l’anno 2019 e di euro 2.850.000 per ciascuno degli anni dal 2020 al 2023 e di euro 750.000 annui a decorrere dall’anno 2024. Per la realizzazione, l’allestimento e il funzionamento del Centro di valutazione del Ministero dell’interno, di cui ai commi 6 e 7, è autorizzata la spesa di euro 200.000 per l’anno 2019 e di euro 1.500.000 per ciascuno degli anni 2020 e 2021.

19 -bis . Il Presidente del Consiglio dei ministri coordina la coherente attuazione delle disposizioni del presente decreto che disciplinano il perimetro di sicurezza nazionale cibernetica, anche avvalendosi del Dipartimento delle informazioni per la sicurezza, che assicura gli opportuni raccordi con le autorità titolari delle attribuzioni di cui al presente decreto e con i soggetti di cui al comma 1 del presente articolo. Entro sessanta giorni dalla data di entrata in vigore del regolamento di cui al comma 6, il Presidente del Consiglio dei ministri trasmette alle Camere una relazione sulle attività svolte.

19 -ter . Nei casi in cui sui decreti del Presidente del Consiglio dei ministri previsti dal presente articolo è acquisito, ai fini della loro adozione, il parere del Consiglio di Stato, i termini ordinatori stabiliti dal presente articolo sono sospesi per un periodo di quarantacinque giorni..

— La Direttiva 91/271/CEE del Consiglio, del 21 maggio 1991, concernente il trattamento delle acque reflue urbane, è pubblicata nella G.U.C.E. 30 maggio 1991, n. L 135.

— La Direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008 relativa ai rifiuti e che abroga alcune direttive è pubblicata nella G.U.U.E. 22 novembre 2008, n. L 312.

— Si riportano gli articoli 3, comma 1, lettere g) e i) , e 18 del decreto legislativo 18 maggio 2018, n. 65 (Attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione):

«Articolo 3 (Definizioni). — 1. Ai fini del presente decreto si intende

per:

a) – f) ( omissis );

g) operatore di servizi essenziali, soggetto pubblico o privato, della tipologia di cui all’allegato II, che soddisfa i criteri di cui all’articolo 4, comma 2;

h) ( omissis );

i) fornitore di servizio digitale, qualsiasi persona giuridica che fornisce un servizio digitale;

l)- aa) ( Omissis ).».

«Articolo 18 (Notifica volontaria) . — 1. I soggetti che non sono stati identificati come operatori di servizi essenziali e non sono fornitori di servizi digitali possono notificare, su base volontaria, gli incidenti aventi un impatto rilevante sulla continuità dei servizi da loro prestati.

2. Nel trattamento delle notifiche, il CSIRT Italia applica la procedura di cui all’articolo 12.

3. Le notifiche obbligatorie sono trattate prioritariamente rispetto alle notifiche volontarie.

4. Le notifiche volontarie sono trattate soltanto qualora tale trattamento non costituisca un onere sproporzionato o eccessivo.

5. La notifica volontaria non può avere l’effetto di imporre al soggetto notificante alcun obbligo a cui non sarebbe stato sottoposto se non avesse effettuato tale notifica.».

— Si riporta l’articolo 17 del decreto-legge 14 giugno 2021, n. 82 (Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale), convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, come modificato dalla presente legge:

«Articolo 17 (Disposizioni transitorie e finali) .

1. Per lo svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, di cui all’articolo 7, l’Agenzia può provvedere, oltre che con proprio personale, con l’ausilio dell’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all’articolo 7 -bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

2. Per lo svolgimento delle funzioni relative all’attuazione e al controllo dell’esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell’articolo 5 del decreto-legge perimetro, l’Agenzia provvede con l’ausilio dell’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all’articolo 7 -bis del decretolegge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

3. Il personale dell’Agenzia, nello svolgimento delle funzioni ispettive, di accertamento delle violazioni e di irrogazione delle sanzioni, di cui all’articolo 7, nonché delle funzioni relative all’attuazione e al controllo dell’esecuzione dei provvedimenti assunti da parte del Presidente del Consiglio dei ministri ai sensi dell’articolo 5 del decreto-legge perimetro, riveste la qualifica di pubblico ufficiale.

4. Il personale dell’Agenzia addetto al CSIRT Italia, nello svolgimento delle proprie funzioni, riveste la qualifica di pubblico ufficiale.

La trasmissione immediata delle notifiche di incidente ricevute dal CSIRT Italia all’organo centrale del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all’articolo 7 -bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, costituisce adempimento dell’obbligo di cui all’articolo 331 del codice di procedura penale .

4 -bis . Fermo restando quanto previsto dal comma 4, l’Agenzia trasmette al procuratore nazionale antimafia e antiterrorismo i dati, le notizie e le informazioni rilevanti per l’esercizio delle funzioni di cui all’articolo 371 -bis del codice di procedura penale.

4 -bis .1. Nei casi in cui l’Agenzia ha notizia di un attacco ai danni di uno dei sistemi informatici o telematici di cui all’articolo 371 -bis , comma 4 -bis , del codice di procedura penale e in ogni caso quando risulti interessato taluno dei soggetti di cui all’articolo 1, comma 2 -bis , del decreto-legge perimetro, all’articolo 3, comma 1, lettere g) e i) , del decreto legislativo NIS ovvero all’articolo 40, comma 3, alinea, del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1° agosto 2003, n. 259, fermo restando quanto previsto dal comma 4 del presente articolo, procede alle attività di cui all’articolo 7, comma 1, lettere n) e n -bis ), e ne informa senza ritardo il procuratore nazionale antimafia e antiterrorismo, ai sensi del comma 4 -bis del presente articolo.

4 -ter . Al fine di consentire la piena operatività dell’Agenzia, le disposizioni di cui all’articolo 15, commi 1 e 2, del decreto-legge 24 aprile 2014, n. 66, convertito, con modificazioni, dalla legge 23 giugno 2014, n. 89, non si applicano alle autovetture utilizzate dall’Agenzia per i servizi istituzionali di tutela della sicurezza nazionale e dell’interesse nazionale nello spazio cibernetico.

4 -quater . La disciplina del procedimento sanzionatorio amministrativo dell’Agenzia è definita con regolamento che stabilisce, in particolare, termini e modalità per l’accertamento, la contestazione e la notificazione delle violazioni della normativa in materia di cybersicurezza e l’irrogazione delle relative sanzioni di competenza dell’Agenzia ai sensi del presente decreto e delle altre disposizioni che assegnano poteri accertativi e sanzionatori all’Agenzia. Il regolamento di cui al primo periodo è adottato, entro novanta giorni dalla data di entrata in vigore della presente disposizione, con decreto del Presidente del Consiglio dei ministri, anche in deroga all’articolo 17 della legge 23 agosto 1988, n. 400, sentito il Comitato interministeriale per la cybersicurezza e acquisito il parere delle competenti Commissioni parlamentari. Fino alla data di entrata in vigore del regolamento di cui al presente comma, ai procedimenti sanzionatori si applicano, per ciascuna fase procedimentale di cui al primo periodo, le disposizioni contenute nelle sezioni I e II del Capítulo I della legge 24 novembre 1981, n. 689.

5. Con uno o più decreti del Presidente del Consiglio dei ministri, di concerto con il Ministro dell’economia e delle finanze, da adottare entro centottanta giorni dalla data di entrata in vigore della legge di conversione del presente decreto, sono definiti i termini e le modalità:

a) per assicurare la prima operatività dell’Agenzia, mediante l’individuazione di appositi spazi, in via transitoria e per un massimo di ventiquattro mesi, secondo opportune intese con le amministrazioni interessate, per l’attuazione delle disposizioni del presente decreto;

b) mediante opportune intese con le amministrazioni interessate, nel rispetto delle specifiche norme riguardanti l’organizzazione e il funzionamento, per il trasferimento delle funzioni di cui all’articolo 7, nonché per il trasferimento dei beni strumentali e della documentazione, anche di natura classificata, per l’attuazione delle disposizioni del presente decreto e la corrispondente riduzione di risorse finanziarie ed umane da parte delle amministrazioni cedenti.

5 -bis . Fino alla scadenza dei termini indicati nel decreto o nei decreti di cui al comma 5, lettera b) , la gestione delle risorse finanziarie relative alle funzioni trasferite, compresa la gestione dei residui passivi e perenti, è esercitata dalle amministrazioni cedenti.

A decorrere dalla medesima data sono trasferiti in Capítulo all’Agenzia i rapporti giuridici attivi e passivi relativi alle funzioni trasferite.

6. In relazione al trasferimento delle funzioni di cui all’articolo 7, comma 1, lettera m) , dall’AgID all’Agenzia, i decreti di cui al comma 5 definiscono, altresì, i raccordi tra le due amministrazioni, per le funzioni che restano di competenza dell’AgID. Nelle more dell’adozione dei decreti di cui al comma 5, il regolamento di cui all’articolo 33 -septies , comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, è adottato dall’AgID, d’intesa con la competente struttura della Presidenza del Consiglio dei ministri.

7. Al fine di assicurare la prima operatività dell’Agenzia, il direttore generale dell’Agenzia, fino all’adozione dei regolamenti di cui all’articolo 11, commi 3 e 4, identifica, assume e liquida gli impegni di spesa che saranno pagati a cura del DIS, nell’ambito delle risorse destinate all’Agenzia. A tale fine è istituito un apposito capitolo nel bilancio del DIS. Entro 90 giorni dall’approvazione dei regolamenti di cui all’articolo 11, commi 3 e 4, il Presidente del Consiglio dei ministri dà informazione al COPASIR delle spese effettuate ai sensi del presente comma.

8. Al fine di assicurare la prima operatività dell’Agenzia, dalla data della nomina del direttore generale dell’Agenzia e nel limite del 30 per cento della dotazione organica complessiva iniziale di cui all’articolo 12, comma 4:

a) il DIS mette a disposizione il personale impiegato nell’ambito delle attività relative allo svolgimento delle funzioni oggetto di trasferimento, con modalità da definire mediante intese con lo stesso Dipartimento;

b) l’Agenzia si avvale, altresì, di unità di personale appartenenti al Ministero dello sviluppo economico, all’Agenzia per l’Italia digitale, ad altre pubbliche amministrazioni e ad autorità indipendenti, per un periodo massimo di sei mesi, prorogabile una sola volta per un massimo di ulteriori sei mesi, messo a disposizione dell’Agenzia stessa su specifica richiesta e secondo modalità individuate mediante intese con le rispettive amministrazioni di appartenenza.

8.1. Ai fini di cui al comma 8, l’Agenzia si avvale altresì, sino al 31 dicembre 2023, di un contingente di personale, nel limite di cinquanta unità, appartenente alle pubbliche amministrazioni, alle autorità indipendenti e alle società a controllo pubblico, messo a disposizione dell’Agenzia stessa su specifica richiesta e secondo modalità individuate d’intesa con i soggetti pubblici e privati di appartenenza.

I relativi oneri sono a carico dell’Agenzia e ai fini del trattamento retributivo si applicano le disposizioni del regolamento di cui all’articolo 12, comma 1. Il personale di cui al primo periodo, fatta eccezione per il personale proveniente dalle società a controllo pubblico, può essere inquadrato, con provvedimento dell’Agenzia adottato ai sensi dell’articolo 5, comma 3, del regolamento di cui al decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223, nel ruolo del personale di cui all’articolo 12, comma 2, lettera a) , non oltre il termine indicato al medesimo primo periodo del presente comma. Al relativo inquadramento si provvede, mediante apposite selezioni, con le modalità e le procedure definite con provvedimento dell’Agenzia, adottato ai sensi del medesimo articolo 5, comma 3, del regolamento di cui al decreto del Presidente del Consiglio dei ministri n. 223 del 2021, sulla base di criteri di valorizzazione delle pregresse esperienze e anzianità di servizio, delle competenze acquisite, dei requisiti di professionalità posseduti e dell’impiego nell’Agenzia. Al personale inquadrato ai sensi dei periodi terzo e quarto del presente comma si applicano le disposizioni del regolamento di cui all’articolo 12, comma 1, anche in materia di opzione per il trattamento previdenziale. Il personale di cui al comma 8, lettera b) , già inserito nel ruolo del personale dell’Agenzia, può essere reinquadrato secondo i medesimi criteri di cui al quarto periodo del presente comma con provvedimento dell’Agenzia adottato, ai sensi del citato articolo 5, comma 3, del regolamento di cui al decreto del Presidente del Consiglio dei ministri n. 223 del 2021, entro il 31 dicembre 2023, senza effetti retroattivi. Il personale di cui al terzo periodo del presente comma è computato nel numero dei posti previsti per la prima operatività dell’Agenzia, di cui all’articolo 12, comma 4.

8 -bis . Gli oneri derivanti dall’attuazione del comma 8 restano a carico dell’amministrazione di appartenenza.

9. Il regolamento di cui all’articolo 12, comma 1, prevede apposite modalità selettive per l’inquadramento, nella misura massima del 50 per cento della dotazione organica complessiva, del personale di cui al comma 8 del presente articolo e del personale di cui all’articolo 12, comma 2, lettera b) , ove già appartenente alla publica amministrazione, nel contingente di personale addetto all’Agenzia di cui al medesimo articolo 12, che tengano conto delle mansioni svolte e degli incarichi ricoperti durante il periodo di servizio presso l’Agenzia, nonché delle competenze possedute e dei requisiti di professionalità ed esperienza richiesti per le specifiche posizioni. Il personale di cui al comma 8, lettera a) , è inquadrato, a decorrere dal 1° gennaio 2022, nel ruolo di cui all’articolo 12, comma 2, lettera a) , secondo le modalità definite dal regolamento di cui all’articolo 12, comma 1. Gli inquadramenti conseguenti alle procedure selettive di cui al presente comma, relative al personale di cui al comma 8, lettera b) , decorrono allo scadere dei sei mesi o della relativa proroga e, comunque, non oltre il 30 giugno 2022.

10. L’Agenzia si avvale del patrocinio dell’Avvocatura dello Stato, ai sensi dell’articolo 1 del testo unico approvato con regio decreto 30 ottobre 1933, n. 1611.

10 -bis . In sede di prima applicazione del presente decreto:

a) la prima relazione di cui all’articolo 14, comma 1, è trasmessa entro il 30 novembre 2022;

b) entro il 31 ottobre 2022, il Presidente del Consiglio dei ministri trasmette alle Camere una relazione che dà conto dello stato di attuazione, al 30 settembre 2022, delle disposizioni di cui al presente decreto, anche al fine di formulare eventuali proposte in materia.

10 -ter . I pareri delle Commissioni parlamentari competente per materia e per i profili finanziari e del COPASIR previsti dal presente decreto sono resi entro il termine di trenta giorni dalla trasmissione dei relativi schemi di decreto, decorso il quale il Presidente del Consiglio dei ministri può comunque procedere all’adozione dei relativi provvedimenti.».

— Si riportano gli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124 (Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto):

«Articolo 4 (Dipartimento delle informazioni per la sicurezza) .

1. Per lo svolgimento dei compiti di cui al comma 3 è istituito, presso la Presidenza del Consiglio dei ministri, il Dipartimento delle informazioni per la sicurezza (DIS).

2. Il Presidente del Consiglio dei ministri e l’Autorità delegata, ove istituita, si avvalgono del DIS per l’esercizio delle loro competenze, al fine di assicurare piena unitarietà nella programmazione della ricerca informativa del Sistema di informazione per la sicurezza, nonché nelle analisi e nelle attività operative dei servizi di informazione per la sicurezza.

3. Il DIS svolge i seguenti compiti:

a) coordina l’intera attività di informazione per la sicurezza, verificando altresì i risultati delle attività svolte dall’AISE e dall’AISI, ferma restando la competenza dei predetti servizi relativamente alle attività di ricerca informativa e di collaborazione con i servizi di sicurezza degli Stati esteri;

b) è costantemente informato delle operazioni di competenza dei servizi di informazione per la sicurezza e trasmette al Presidente del Consiglio dei ministri le informative e le analisi prodotte dal Sistema di informazione per la sicurezza;

c) raccoglie le informazioni, le analisi e i rapporti proveniente dai servizi di informazione per la sicurezza, dalle Forze ármate e di polizia, dalle amministrazioni dello Stato e da enti di ricerca anche privati; ferma l’esclusiva competenza dell’AISE e dell’AISI per l’elaborazione dei rispettivi piani di ricerca operativa, elabora análisis strategiche o relative a particolari situazioni; formula valutazioni e previsioni, sulla scorta dei contributi analitici settoriali dell’AISE e dell’AISI;

d) elabora, anche sulla base delle informazioni e dei rapporti di cui alla lettera c) , analisi globali da sottoporre al CISR, nonché progetti di ricerca informativa, sui quali decide il Presidente del Consiglio dei ministri, dopo avere acquisito il parere del CISR;

d -bis ) sulla base delle direttive di cui all’articolo 1, comma 3 -bis , nonché delle informazioni e dei rapporti di cui alla lettera c) del presente comma, coordina le attività di ricerca informativa finalizzate a rafforzare la protezione cibernetica e la sicurezza informática nazionali;

e) promuove e garantisce, anche attraverso riunioni periodiche, lo scambio informativo tra l’AISE, l’AISI e le Forze di polizia; comunica al Presidente del Consiglio dei ministri le acquisizioni provenienti dallo scambio informativo e i risultati delle riunioni periodiche;

f) trasmette, su disposizione del Presidente del Consiglio dei ministri, sentito il CISR, informazioni e analisi ad amministrazioni pubbliche o enti, anche ad ordinamento autonomo, interessati all’acquisizione di informazioni per la sicurezza;

g) elabora, d’intesa con l’AISE e l’AISI, il piano di acquisizione delle risorse umane e materiali e di ogni altra risorsa comunque strumentale all’attività dei servizi di informazione per la sicurezza, da sottoporre all’approvazione del Presidente del Consiglio dei ministri;

h) sentite l’AISE e l’AISI, elabora e sottopone all’approvazione del Presidente del Consiglio dei ministri lo schema del regolamento di cui all’articolo 21, comma 1;

i) esercita il controllo sull’AISE e sull’AISI, verificando la conformità delle attività di informazione per la sicurezza alle leggi e ai regolamenti, nonché alle direttive e alle disposizioni del Presidente del Consiglio dei ministri. Per tale finalità, presso il DIS è istituito un ufficio ispettivo le cui modalità di organizzazione e di funzionamento sono definite con il regolamento di cui al comma 7. Con le modalità previste da tale regolamento è approvato annualmente, previo parere del Comitato parlamentare di cui all’articolo 30, il piano annuale delle attività dell’ufficio ispettivo. L’ufficio ispettivo, nell’ambito delle competenze definite con il predetto regolamento, può svolgere, anche a richiesta del direttore generale del DIS, autorizzato dal Presidente del Consiglio dei ministri, inchieste interne su specifici episodi e comportamenti verificatisi nell’ambito dei servizi di informazione per la sicurezza;

l) assicura l’attuazione delle disposizioni impartite dal Presidente del Consiglio dei Ministri con apposito regolamento adottato ai sensi dell’articolo 1, comma 2, ai fini della tutela amministrativa del segreto di Stato e delle classifiche di segretezza, vigilando altresì sulla loro corretta applicazione;

m) cura le attività di promozione e diffusione della cultura della sicurezza e la comunicazione istituzionale;

n) impartisce gli indirizzi per la gestione unitaria del personale di cui all’articolo 21, secondo le modalità definite dal regolamento di cui al comma 1 del medesimo articolo;

n -bis ) gestisce unitariamente, ferme restando le competenze operative dell’AISE e dell’AISI, gli approvvigionamenti e i servizi logistici comuni.

4. Fermo restando quanto previsto dall’articolo 118 -bis del codice di procedura penale, introdotto dall’articolo 14 della presente legge, qualora le informazioni richieste alle Forze di polizia, ai sensi delle lettere c) ed e) del comma 3 del presente articolo, siano relative a indagini di polizia giudiziaria, le stesse, se coperte dal segreto di cui all’articolo 329 del codice di procedura penale, possono essere acquisite solo previo nulla osta della autorità giudiziaria competente.

L’autorità giudiziaria può trasmettere gli atti e le informazioni anche di propria iniziativa.

5. La direzione generale del DIS è affidata ad un dirigente di prima fascia o equiparato dell’amministrazione dello Stato, la cui nomina e revoca spettano in via esclusiva al Presidente del Consiglio dei ministri, sentito il CISR. L’incarico ha la durata massima di otto anni ed è conferibile, senza soluzione di continuità, anche con provvedimenti successivi, ciascuno dei quali di durata non superiore al quadriennio. Per quanto previsto dalla presente legge, il direttore del DIS è il diretto referente del Presidente del Consiglio dei ministri e dell’Autorità delegata, ove istituita, salvo quanto previsto dall’articolo 6, comma 5, e dall’articolo 7, comma 5, ed è gerarchicamente e funzionalmente sovraordinato al personale del DIS e degli uffici istituiti nell’ambito del medesimo Dipartimento.

6. Il Presidente del Consiglio dei ministri, sentito il direttore generale del DIS, nomina uno o più vice direttori generali; il direttore generale affida gli altri incarichi nell’ambito del Dipartimento, ad eccezione degli incarichi il cui conferimento spetta al Presidente del Consiglio dei ministri.

7. L’ordinamento e l’organizzazione del DIS e degli uffici istituiti nell’ambito del medesimo Dipartimento sono disciplinati con apposito regolamento.

8. Il regolamento previsto dal comma 7 definisce le modalità di organizzazione e di funzionamento dell’ufficio ispettivo di cui al comma 3, lettera i) , secondo i seguenti criteri:

a) agli ispettori è garantita piena autonomia e indipendenza di giudizio nell’esercizio delle funzioni di controllo;

b) salva specifica autorizzazione del Presidente del Consiglio dei ministri o dell’Autorità delegata, ove istituita, i controlli non devono interferire con le operazioni in corso;

c) sono previste per gli ispettori specifiche prove selettive e un’adeguata formazione;

d) non è consentito il passaggio di personale dall’ufficio ispettivo ai servizi di informazione per la sicurezza;

e) gli ispettori, previa autorizzazione del Presidente del Consiglio dei ministri o dell’Autorità delegata, ove istituita, possono accedere a tutti gli atti conservati presso i servizi di informazione per la sicurezza e presso il DIS; possono altresì acquisire, tramite il direttore generale del DIS, altre informazioni da enti pubblici e privati.».

«Articolo 6 (Agenzia informazioni e sicurezza esterna) .

1. È istituita l’Agenzia informazioni e sicurezza esterna (AISE), allá quale è affidato il compito di ricercare ed elaborare nei settori di competenza tutte le informazioni utili alla difesa dell’indipendenza, dell’integrità e della sicurezza della Repubblica, anche in attuazione di accordi internazionali, dalle minacce provenienti dall’estero.

2. Spettano all’AISE inoltre le attività in materia di controproliferazione concernenti i materiali strategici, nonché le attività di informazione per la sicurezza, che si svolgono al di fuori del territorio nazionale, a protezione degli interessi politici, militari, economici, scientifici e industriali dell’Italia.

3. È, altresì, compito dell’AISE individuare e contrastare al di fuori del territorio nazionale le attività di spionaggio dirette contro l’Italia e le attività volte a danneggiare gli interessi nazionali.

4. L’AISE può svolgere operazioni sul territorio nazionale soltanto in collaborazione con l’AISI, quando tali operazioni siano strettamente connesse ad attività che la stessa AISE svolge all’estero.

A tal fine il direttore generale del DIS provvede ad assicurare le necessarie forme di coordinamento e di raccordo informativo, anche al fine di evitare sovrapposizioni funzionali o territoriali.

5. L’AISE risponde al Presidente del Consiglio dei ministri.

6. L’AISE informa tempestivamente e con continuità il Ministro della difesa, il Ministro degli affari esteri e il Ministro dell’interno per i profili di rispettiva competenza.

7. Il Presidente del Consiglio dei ministri, con proprio decreto, nomina e revoca il direttore dell’AISE, scelto tra dirigenti di prima fascia o equiparati dell’amministrazione dello Stato, sentito il CISR. L’incarico ha la durata massima di otto anni ed è conferibile, senza soluzione di continuità, anche con provvedimenti successivi, ciascuno dei quali di durata non superiore al quadriennio.

8. Il direttore dell’AISE riferisce costantemente sull’attività svolta al Presidente del Consiglio dei ministri o all’Autorità delegata, ove istituita, per il tramite del direttore generale del DIS.

Riferisce direttamente al Presidente del Consiglio dei ministri in caso di urgenza o quando altre particolari circostanze lo richiedano, informandone senza ritardo il direttore generale del DIS; presenta al CISR, per il tramite del direttore generale del DIS, un rapporto annuale sul funzionamento e sull’organizzazione dell’Agenzia.

9. Il Presidente del Consiglio dei ministri nomina e revoca, sentito il direttore dell’AISE, uno o più vice direttori. Il direttore dell’AISE affida gli altri incarichi nell’ambito dell’Agenzia.

10. L’organizzazione e il funzionamento dell’AISE sono disciplinati con apposito regolamento.».

«Articolo 7 (Agenzia informazioni e sicurezza interna) .

1. È istituita l’Agenzia informazioni e sicurezza interna (AISI), alla quale è affidato il compito di ricercare ed elaborare nei settori di competenza tutte le informazioni utili a difendere, anche in attuazione di accordi internazionali, la sicurezza interna della Repubblica e le istituzioni democratiche poste dalla Costituzione a suo fondamento da ogni minaccia, da ogni attività eversiva e da ogni forma di aggressione criminale o terroristica.

2. Spettano all’AISI le attività di informazione per la sicurezza, che si svolgono all’interno del territorio nazionale, a protezione degli interessi politici, militari, economici, scientifici e industriali dell’Italia.

3. È, altresì, compito dell’AISI individuare e contrastare all’interno del territorio nazionale le attività di spionaggio dirette contro l’Italia e le attività volte a danneggiare gli interessi nazionali.

4. L’AISI può svolgere operazioni all’estero soltanto in collaborazione con l’AISE, quando tali operazioni siano strettamente connesse ad attività che la stessa AISI svolge all’interno del territorio nazionale. A tal fine il direttore generale del DIS provvede ad assicurare le necessarie forme di coordinamento e di raccordo informativo, anche al fine di evitare sovrapposizioni funzionali o territoriali.

5. L’AISI risponde al Presidente del Consiglio dei ministri.

6. L’AISI informa tempestivamente e con continuità il Ministro dell’interno, il Ministro degli affari esteri e il Ministro della difesa per i profili di rispettiva competenza.

7. Il Presidente del Consiglio dei ministri nomina e revoca, con proprio decreto, il direttore dell’AISI, scelto tra i dirigenti di prima fascia o equiparati dell’amministrazione dello Stato, sentito il CISR. L’incarico ha la durata massima di otto anni ed è conferibile, senza soluzione di continuità, anche con provvedimenti successivi, ciascuno dei quali di durata non superiore al quadriennio.

8. Il direttore dell’AISI riferisce costantemente sull’attività svolta al Presidente del Consiglio dei ministri o all’Autorità delegata, ove istituita, per il tramite del direttore generale del DIS. Riferisce direttamente al Presidente del Consiglio dei ministri in caso di urgenza o quando altre particolari circostanze lo richiedano, informandone senza ritardo il direttore generale del DIS; presenta al CISR, per il tramite del direttore generale del DIS, un rapporto annuale sul funzionamento e sull’organizzazione dell’Agenzia.

9. Il Presidente del Consiglio dei ministri nomina e revoca, sentito il direttore dell’AISI, uno o più vice direttori. Il direttore dell’AISI affida gli altri incarichi nell’ambito dell’Agenzia.

10. L’organizzazione e il funzionamento dell’AISI sono disciplinati con apposito regolamento.».

Note all’Articolo 2:

— Per l’articolo 1, comma 2 -bis , del citato decreto-legge 21settembre 2019, n.105, si veda nelle note all’articolo 1.

— Per l’articolo 3, comma 1, lettere g) e i) , del citato decreto legislativo 18 maggio 2018, n. 65, si veda nelle note all’articolo 1.

— Si riporta l’articolo 40, comma 3, del decreto legislativo 1°agosto 2003, n. 259 (Codice delle comunicazioni elettroniche):

«Articolo 40 (Sicurezza delle reti e dei servizi) .

1. – 2. ( omissis ).

3. Le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico:

a) adottano le misure individuate dall’Agenzia di cui al comma 1, lettera a) ;

4. – 8. ( omissis ).».

Note all’Articolo 3:

— Per l’articolo 1, comma 3 -bis , del citato decreto-legge 21settembre 2019, n.105, si veda nelle note all’articolo 1.

Note all’Articolo 4:

— Si riporta l’articolo 7 del citato decreto-legge 14 giugno 2021, n. 82, come modificato dalla presente legge:

«Articolo 7 (Funzioni dell’Agenzia per la cybersicurezza nazionale)

1. L’Agenzia:

a) è Autorità nazionale per la cybersicurezza e, in relazione a tale ruolo, assicura, nel rispetto delle competenze attribuite dalla normativa vigente ad altre amministrazioni, ferme restando le attribuzioni del Ministro dell’interno in qualità di autorità nazionale di publica sicurezza, ai sensi della legge 1° aprile 1981, n. 121, il coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e promuove la realizzazione di azioni comuni dirette ad assicurare la sicurezza e la resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonché per il conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore. Per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate restano fermi sia quanto previsto dal regolamento adottato ai sensi dell’articolo 4, comma 3, lettera l) , della legge n. 124 del 2007, sia le competenze dell’Ufficio centrale per la segretezza di cui all’articolo 9 della medesima legge n. 124 del 2007;

b) predispone la strategia nazionale di cybersicurezza;

c) svolge ogni necessaria attività di supporto al funzionamento del Nucleo per la cybersicurezza, di cui all’articolo 8;

d) è Autorità nazionale competente e punto di contatto único in materia di sicurezza delle reti e dei sistemi informativi, per le finalità di cui al decreto legislativo NIS, a tutela dell’unità giuridica dell’ordinamento, ed è competente all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative previste dal medesimo decreto;

e) è Autorità nazionale di certificazione della cybersicurezza ai sensi dell’articolo 58 del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, e assume tutte le funzioni in materia di certificazione di sicurezza cibernetica già attribuite al Ministero dello sviluppo economico dall’ordinamento vigente, comprese quelle relative all’accertamento delle violazioni e all’irrogazione delle sanzioni; nello svolgimento dei compiti di cui alla presente lettera:

1) accredita, ai sensi dell’articolo 60, paragrafo 1, del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, le strutture specializzate del Ministero della difesa e del Ministero dell’interno quali organismi di valutazione della conformità per i sistema di rispettiva competenza;

2) delega, ai sensi dell’articolo 56, paragrafo 6, lettera b) , del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, il Ministero della difesa e il Ministero dell’interno, attraverso le rispettive strutture accreditate di cui al numero 1) della presente lettera, al rilascio del certificato europeo di sicurezza cibernetica;

f) assume tutte le funzioni in materia di cybersicurezza già attribuite dalle disposizioni vigenti al Ministero dello sviluppo economico, ivi comprese quelle relative:

1) al perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi incluse le funzioni attribuite al Centro di valutazione e certificazione nazionale ai sensi del decreto-legge perimetro, le attività di ispezione e verifica di cui all’articolo 1, comma 6, lettera c) , del decretolegge perimetro e quelle relative all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative previste dal medesimo decreto, fatte salve quelle di cui all’articolo 3 del regolamento adottato con decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131;

2) alla sicurezza e all’integrità delle comunicazioni elettroniche, di cui agli articoli 16 -bis e 16 -ter del decreto legislativo 1° agosto 2003, n. 259, e relative disposizioni attuative;

3) alla sicurezza delle reti e dei sistemi informativi, di cui al decreto legislativo NIS;

g) partecipa, per gli ambiti di competenza, al gruppo di coordinamento istituito ai sensi dei regolamenti di cui all’articolo 1, comma 8, del decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56;

h) assume tutte le funzioni attribuite alla Presidenza del Consiglio dei ministri in materia di perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge perimetro e ai relativi provvedimenti attuativi, ivi incluse le attività di ispezione e verifica di cui all’articolo 1, comma 6, lettera c) , del decreto-legge perimetro e quelle relative all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative previste dal medesimo decreto, fatte salve quelle di cui all’articolo 3 del regolamento adottato con decreto del Presidente del Consiglio dei ministri n. 131 del 2020;

i) assume tutte le funzioni già attribuite al Dipartimento delle informazioni per la sicurezza (DIS), di cui all’articolo 4 della legge 3 agosto 2007, n. 124, dal decreto-legge perimetro e dai relativi provvedimenti attuativi e supporta il Presidente del Consiglio dei ministri ai fini dell’articolo 1, comma 19 -bis , del decreto-legge perimetro;

l) provvede, sulla base delle attività di competenza del Núcleo per la cybersicurezza di cui all’articolo 8, alle attività necessarie per l’attuazione e il controllo dell’esecuzione dei provvedimenti assunti dal Presidente del Consiglio dei ministri ai sensi dell’articolo 5 del decreto-legge perimetro;

m) assume tutte le funzioni in materia di cybersicurezza già attribuite all’Agenzia per l’Italia digitale dalle disposizioni vigente e, in particolare, quelle di cui all’articolo 51 del decreto legislativo 7 marzo 2005, n. 82, nonché quelle in materia di adozione di linee guida contenenti regole tecniche di cybersicurezza ai sensi dell’articolo 71 del medesimo decreto legislativo. L’Agenzia assume, altresì, i compiti di cui all’articolo 33 -septies , comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, già attribuiti all’Agenzia per l’Italia digitale;

m -bis ) provvede, anche attraverso un’apposita sezione nell’ambito della strategia di cui alla lettera b) , allo sviluppo e alla diffusione di standard, linee guida e raccomandazioni al fine di rafforzare la cybersicurezza dei sistemi informatici, alla valutazione della sicurezza dei sistemi crittografici nonché all’organizzazione e allá gestione di attività di divulgazione finalizzate a promuovere l’utilizzo della crittografia, anche a vantaggio della tecnologia blockchain, come strumento di cybersicurezza. L’Agenzia, anche per il rafforzamento dell’autonomia industriale e tecnologica dell’Italia, promuove altresì la collaborazione con centri universitari e di ricerca per la valorizzazione dello sviluppo di nuovi algoritmi proprietari, la ricerca e il conseguimento di nuove capacità crittografiche nazionali nonché la collaborazione internazionale con gli organismo esteri che svolgono analoghe funzioni. A tale fine, è istituito presso l’Agenzia, nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, il Centro nazionale di crittografia, il cui funzionamento è disciplinato con provvedimento del direttore generale dell’Agenzia stessa. Il Centro nazionale di crittografia svolge le funzioni di centro di competenza nazionale per tutti gli aspetti della crittografia in ambito non classificato, ferme restando le competenze dell’Ufficio centrale per la segretezza, di cui all’articolo 9 della legge 3 agosto 2007, n. 124, con riferimento alle informazioni e alle attività previste dal regolamento adottato ai sensi dell’articolo 4, comma 3, lettera l) , della citata legge n. 124 del 2007, nonché le competenze degli organismi di cui agli articoli 4, 6 e 7 della medesima legge ;

m -ter ) provvede alla qualificazione dei servizi cloud per la pubblica amministrazione nel rispetto della disciplina dell’Unione europea e del regolamento di cui all’articolo 33 -septies , comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221;

n) sviluppa capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, anche attraverso il CSIRT Italia di cui all’articolo 8 del decreto legislativo NIS. A tale fine, promuove iniziative di partenariato pubblico-privato per rendere effettive tali capacità;

n -bis ) nell’ambito delle funzioni di cui al primo periodo della lettera n) , svolge ogni attività diretta all’analisi e al supporto per il contenimento e il ripristino dell’operatività dei sistemi compromessi, con la collaborazione dei soggetti pubblici o privati che hanno subìto incidenti di sicurezza informatica o attacchi informatici. La mancata collaborazione di cui al primo periodo è valutata ai fini dell’applicazione delle sanzioni previste dall’articolo 1, commi 10 e 14, del decreto-legge perimetro, per i soggetti di cui all’articolo 1, comma 2 -bis , del medesimo decreto-legge perimetro, di cui all’articolo 3, comma 1, lettere g) e i) , del decreto legislativo NIS e di cui all’articolo 40, comma 3, alinea, del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1° agosto 2003, n. 259; restano esclusi gli organi dello Stato preposti alla prevenzione, all’accertamento e allá repressione dei reati, alla tutela dell’ordine e della sicurezza publica e alla difesa e sicurezza militare dello Stato, nonché gli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124;

n -ter ) provvede alla raccolta, all’elaborazione e alla classificazione dei dati relativi alle notifiche di incidenti ricevute dai soggetti che a ciò siano tenuti in osservanza delle disposizioni vigenti. Tali dati sono resi pubblici nell’ambito della relazione prevista dall’articolo 14, comma 1, quali dati ufficiali di riferimento degli attacchi informatici portati ai soggetti che operano nei settori rilevanti per gli interessi nazionali nel campo della cybersicurezza. Agli adempimenti previsti dalla presente lettera si provvede con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente;

o) partecipa alle esercitazioni nazionali e internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese;

p) cura e promuove la definizione ed il mantenimento di un quadro giuridico nazionale aggiornato e coerente nel dominio della cybersicurezza, tenendo anche conto degli orientamenti e degli sviluppi in ambito internazionale. A tal fine, l’Agenzia esprime pareri non vincolanti sulle iniziative legislative o regolamentari concernenti la cybersicurezza;

q) coordina, in raccordo con il Ministero degli affari esteri e della cooperazione internazionale, la cooperazione internazionale nella materia della cybersicurezza. Nell’ambito dell’Unione europea e a livello internazionale, l’Agenzia cura i rapporti con i competente organismi, istituzioni ed enti, nonché segue nelle competenti sedi istituzionali le tematiche di cybersicurezza, fatta eccezione per gli ambiti in cui la legge attribuisce specifiche competenze ad altre amministrazioni.

In tali casi, è comunque assicurato il raccordo con l’Agenzia al fine di garantire posizioni nazionali unitarie e coerenti con le politiche di cybersicurezza definite dal Presidente del Consiglio dei ministri;

r) perseguendo obiettivi di eccellenza, supporta negli ambiti di competenza, mediante il coinvolgimento del sistema dell’università e della ricerca nonché del sistema produttivo nazionali, lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche. A tali fini, l’Agenzia può promuovere, sviluppare e finanziare specifici progetti ed iniziative, volti anche a favorire il trasferimento tecnológico dei risultati della ricerca nel settore. L’Agenzia assicura il necesario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza e, in particolare, con il Ministero della difesa per gli aspetti inerenti alla ricerca militare. L’Agenzia può altresì promuovere la costituzione di aree dedicate allo sviluppo dell’innovazione finalizzate a favorire la formazione e il reclutamento di personale nei settori avanzati dello sviluppo della cybersicurezza, nonché promuovere la realizzazione di studi di fattibilità e di análisis valutative finalizzati a tale scopo;

s) stipula accordi bilaterali e multilaterali, anche mediante il coinvolgimento del settore privato e industriale, con istituzioni, enti e organismi di altri Paesi per la partecipazione dell’Italia a programmi di cybersicurezza, assicurando il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza, ferme restando le competenze del Ministero degli affari esteri e della cooperazione internazionale;

t) promuove, sostiene e coordina la partecipazione italiana a progetti e iniziative dell’Unione europea e internazionali, anche mediante il coinvolgimento di soggetti pubblici e privati nazionali, nel campo della cybersicurezza e dei correlati servizi applicativi, ferme restando le competenze del Ministero degli affari esteri e della cooperazione internazionale. L’Agenzia assicura il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cybersicurezza e, in particolare, con il Ministero della difesa per gli aspetti inerenti a progetti e iniziative in collaborazione con la NATO e con l’Agenzia europea per la difesa;

u) svolge attività di comunicazione e promozione della consapevolezza in materia di cybersicurezza, al fine di contribuire allo sviluppo di una cultura nazionale in materia;

v) promuove la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, in particolare favorendo l’attivazione di percorsi formativi universitari in materia, anche attraverso l’assegnazione di borse di studio, di dottorato e assegni di ricerca, sulla base di apposite convenzioni con soggetti pubblici e privati; nello svolgimento di tali compiti, l’Agenzia può avvalersi anche delle strutture formative e delle capacità della Presidenza del Consiglio dei ministri, del Ministero della difesa e del Ministero dell’interno, secondo termini e modalità da definire con apposito decreto del Presidente del Consiglio dei ministri, di concerto con i Ministri interessati;

v -bis ) può predisporre attività di formazione specifica riservate ai giovani che aderiscono al servizio civile regolate sulla base di apposite convenzioni. In ogni caso, il servizio prestato è, a tutti gli effetti, riconosciuto come servizio civile;

z) per le finalità di cui al presente articolo, può costituire e partecipare a partenariati pubblico-privato sul territorio nazionale, nonché, previa autorizzazione del Presidente del Consiglio dei ministri, a consorzi, fondazioni o società con soggetti pubblici e privati, italiani e stranieri;

aa) è designata quale Centro nazionale di coordinamento ai sensi dell’articolo 6 del regolamento (UE) 2021/887 del Parlamento europeo e del Consiglio del 20 maggio 2021, che istituisce il Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca e la rete dei centri nazionali di coordinamento.

1 -bis . Anche ai fini dell’esercizio delle funzioni di cui al comma 1, lettere r) , s) , t) , u) , v) , z) e aa) , presso l’Agenzia è istituito, con funzioni di consulenza e di proposta, un Comitato tecnico-scientifico, presieduto dal direttore generale della medesima Agenzia, o da un dirigente da lui delegato, e composto da personale della stessa Agenzia e da qualificati rappresentanti dell’industria, degli enti di ricerca, dell’accademia e delle associazioni del settore della sicurezza, designati con decreto del Presidente del Consiglio dei ministri. La composizione e l’organizzazione del Comitato tecnico-scientifico sono disciplinate secondo le modalità e i criteri definiti dal regolamento di cui all’articolo 6, comma 1. Per la partecipazione al Comitato tecnicoscientifico non sono previsti gettoni di presenza, compensi o rimborsi di spese.

2. Nell’ambito dell’Agenzia sono nominati, con decreto del Presidente del Consiglio dei ministri, il rappresentante nazionale, e il suo sostituto, nel Consiglio di direzione del Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca, ai sensi dell’articolo 12 del regolamento (UE) 2021/887. 3. Il CSIRT italiano di cui all’articolo 8 del decreto legislativo NIS è trasferito presso l’Agenzia e assume la denominazione di: «CSIRT Italia».

4. Il Centro di valutazione e certificazione nazionale, istituito presso il Ministero dello sviluppo economico, è trasferito presso l’Agenzia.

5. Nel rispetto delle competenze del Garante per la protezione dei dati personali, l’Agenzia, per le finalità di cui al presente decreto, consulta il Garante e collabora con esso, anche in relazione agli incidenti che comportano violazioni di dati personali. L’Agenzia e il Garante possono stipulare appositi protocolli d’intenti che definiscono altresì le modalità della loro collaborazione nell’ambito delle risorse disponibili a legislazione vigente e senza nuovi o maggiori oneri per la finanza pubblica.».

Note all’Articolo 5:

— Si riporta l’articolo 8 del citato decreto-legge 14 giugno 2021, n. 82 come modificato dalla presente legge:

«Articolo 8 (Nucleo per la cybersicurezza). — 1. Presso l’Agenzia è costituito, in via permanente, il Nucleo per la cybersicurezza, a supporto del Presidente del Consiglio dei ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento.

2. Il Nucleo per la cybersicurezza è presieduto dal direttore generale dell’Agenzia o, per sua delega, dal vice direttore generale ed è composto dal Consigliere militare del Presidente del Consiglio dei ministri, da un rappresentante, rispettivamente, del DIS, dell’Agenzia informazioni e sicurezza esterna (AISE), di cui all’articolo 6 della legge

3 agosto 2007, n. 124, dell’Agenzia informazioni e sicurezza interna (AISI), di cui all’articolo 7 della legge n. 124 del 2007, di ciascuno dei Ministeri rappresentati nel CIC e del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri. Per gli aspetti relativi alla trattazione di informazioni classificate il Nucleo è integrato da un rappresentante dell’Ufficio centrale per la segretezza di cui all’articolo 9 della legge n. 124 del 2007.

3. I componenti del Nucleo possono farsi assistere alle riunioni da altri rappresentanti delle rispettive amministrazioni in relazione alle materie oggetto di trattazione. In base agli argomenti delle riunioni possono anche essere chiamati a partecipare rappresentanti di altre amministrazioni, di università o di enti e istituti di ricerca, nonché di operatori privati interessati alla materia della cybersicurezza.

4. Il Nucleo può essere convocato in composizione ristretta con la partecipazione dei rappresentanti delle sole amministrazioni e soggetti interessati, anche relativamente ai compiti di gestione delle crisi di cui all’articolo 10.

4.1. In relazione a specifiche questioni di particolare rilevanza concernenti i compiti di cui all’articolo 9, comma 1, lettera a) , il Núcleo può essere convocato nella composizione di cui al comma 4 del presente articolo, di volta in volta estesa alla partecipazione di un rappresentante della Direzione nazionale antimafia e antiterrorismo, della Banca d’Italia o di uno o più operatori di cui all’articolo 1, comma 2 -bis , del decreto-legge perimetro, nonché di eventuali altri soggetti, interessati alle stesse questioni. Le amministrazioni e i soggetti convocati partecipano alle suddette riunioni a livello di vertice.

4 -bis . Ai componenti del Nucleo non spettano compensi, gettoni di presenza, rimborsi di spese o altri emolumenti comunque denominati.».

Note all’Articolo 6:

— Per gli articoli 6 e 7 della citata legge 3 agosto 2007, n. 124, si veda nelle note all’articolo 1.

— Per l’articolo 7 del citato decreto-legge 14 giugno 2021, n. 82, si veda nelle note all’articolo 4.

— Si riporta l’articolo 3 della citata legge 3 agosto 2007, n. 124:

«Articolo 3 (Autorità delegata) .

1. Il Presidente del Consiglio dei ministri, ove lo ritenga opportuno, può delegare le funzioni che non sono ad esso attribuite in via esclusiva soltanto ad un Ministro senza portafoglio o ad un Sottosegretario di Stato, di seguito denominati “Autorità delegata”».

1 -bis . L’Autorità delegata non può esercitare funzioni di governo ulteriori rispetto a quelle ad essa delegate dal Presidente del Consiglio dei Ministri a norma della presente legge e in materia di cybersicurezza, ad eccezione delle funzioni attribuite al Sottosegretario di Stato alla Presidenza del Consiglio dei ministri, con funzioni di Segretario del Consiglio medesimo.

3. Il Presidente del Consiglio dei ministri è costantemente informato dall’Autorità delegata sulle modalità di esercizio delle funzioni delegate e, fermo restando il potere di direttiva, può in qualsiasi momento avocare l’esercizio di tutte o di alcune di esse.

4. In deroga a quanto previsto dal comma 1 dell’articolo 9 della legge 23 agosto 1988, n. 400, e successive modificazioni, non è richiesto il parere del Consiglio dei ministri per il conferimento delle deleghe di cui al presente articolo al Ministro senza portafoglio.».

— Per l’articolo 17, commi 4 e 4 -bis , del citato decreto-legge 14 giugno 2021, n.82, si veda nelle note all’articolo 1.».

Note all’Articolo 7:

— Si riporta l’articolo 5 della citata legge 3 agosto 2007, n. 124, come modificato dalla presente legge:

«Articolo 5 (Comitato interministeriale per la sicurezza della Repubblica)

1. Presso la Presidenza del Consiglio dei ministri è istituito il Comitato interministeriale per la sicurezza della Repubblica (CISR) con funzioni di consulenza, proposta e deliberazione sugli indirizzi e sulle finalità generali della politica dell’informazione per la sicurezza.

2. Il Comitato elabora gli indirizzi generali e gli obiettivi fondamentali da perseguire nel quadro della politica dell’informazione per la sicurezza, delibera sulla ripartizione delle risorse finanziarie tra il DIS e i servizi di informazione per la sicurezza e sui relativi bilanci preventivi e consuntivi.

3. Il Comitato è presieduto dal Presidente del Consiglio dei ministri ed è composto dall’Autorità delegata, ove istituita, dal Ministro degli affari esteri e della cooperazione internazionale , dal Ministro dell’interno, dal Ministro della difesa, dal Ministro della giustizia, dal Ministro dell’economia e delle finanze, dal Ministro delle imprese e del made in Italy, dal Ministro dell’ambiente e della sicurezza energetica, dal Ministro dell’agricoltura, della sovranità alimentare e delle foreste, dal Ministro delle infrastrutture e dei trasporti e dal Ministro dell’università e della ricerca .

4. Il direttore generale del DIS svolge le funzioni di secretario del Comitato.

5. Il Presidente del Consiglio dei ministri può chiamare a partecipare alle sedute del Comitato, anche a seguito di loro richiesta, senza diritto di voto, altri componenti del Consiglio dei ministri, i direttori dell’AISE e dell’AISI, nonché altre autorità civili e militari di cui di volta in volta sia ritenuta necessaria la presenza in relazione alle questioni da trattare.».

Note all’Articolo 8:

— Si riporta l’articolo 53 del decreto legislativo 30 marzo 2001, n. 165 (Norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche):

«Articolo 53 (Incompatibilità, cumulo di impieghi e incarichi) .

1. Resta ferma per tutti i dipendenti pubblici la disciplina delle incompatibilità dettata dagli articoli 60 e seguenti del testo unico approvato con decreto del Presidente della Repubblica 10 gennaio 1957, n. 3, salva la deroga prevista dall’articolo 23 -bis del presente decreto, nonché, per i rapporti di lavoro a tempo parziale, dall’articolo 6, comma 2, del decreto del Presidente del Consiglio dei ministri 17 marzo 1989, n. 117 e dall’articolo 1, commi 57 e seguenti della legge 23 dicembre 1996, n. 662. Restano ferme altresì le disposizioni di cui agli articoli 267, comma 1, 273, 274, 508 nonché 676 del decreto legislativo 16 aprile 1994, n. 297, all’articolo 9, commi 1 e 2, della legge 23 dicembre 1992, n. 498, all’articolo 4, comma 7, della legge 30 dicembre 1991, n. 412, ed ogni altra successiva modificazione ed integrazione della relativa disciplina.

1 -bis . Non possono essere conferiti incarichi di direzione di strutture deputate alla gestione del personale a soggetti che rivestano o abbiano rivestito negli ultimi due anni cariche in partiti politici o in organizzazioni sindacali o che abbiano avuto negli ultimi due anni rapporti continuativi di collaborazione o di consulenza con le predette organizzazioni.

2. Le pubbliche amministrazioni non possono conferire ai dipendenti incarichi, non compresi nei compiti e doveri di ufficio, che non siano espressamente previsti o disciplinati da legge o altre fonti normative, o che non siano espressamente autorizzati.

3. Ai fini previsti dal comma 2, con appositi regolamenti, da emanarsi ai sensi dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, sono individuati gli incarichi consentiti e quelli vietati ai magistrati ordinari, amministrativi, contabili e militari, nonché agli avvocati e procuratori dello Stato, sentiti, per le diverse magistrature, i rispettivi istituti.

3 -bis . Ai fini previsti dal comma 2, con appositi regolamenti emanati su proposta del Ministro per la pubblica amministrazione e la semplificazione, di concerto con i Ministri interessati, ai sensi dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, e successive modificazioni, sono individuati, secondo criteri differenziati in rapporto alle diverse qualifiche e ruoli professionali, gli incarichi vietati ai dipendenti delle amministrazioni pubbliche di cui all’articolo 1, comma 2.

4. Nel caso in cui i regolamenti di cui al comma 3 non siano emanati, l’attribuzione degli incarichi è consentita nei soli casi espressamente previsti dalla legge o da altre fonti normative.

5. In ogni caso, il conferimento operato direttamente dall’amministrazione, nonché l’autorizzazione all’esercizio di incarichi che provengano da amministrazione pubblica diversa da quella di appartenenza, ovvero da società o persone fisiche, che svolgano attività d’impresa o commerciale, sono disposti dai rispettivi organi competente secondo criteri oggettivi e predeterminati, che tengano conto della specifica professionalità, tali da escludere casi di incompatibilità, sia di diritto che di fatto, nell’interesse del buon andamento della publica amministrazione o situazioni di conflitto, anche potenziale, di interessi, che pregiudichino l’esercizio imparziale delle funzioni attribuite al dipendente.

6. I commi da 7 a 13 del presente articolo si applicano ai dipendenti delle amministrazioni pubbliche di cui all’articolo 1, comma 2, compresi quelli di cui all’articolo 3, con esclusione dei dipendenti con rapporto di lavoro a tempo parziale con prestazione lavorativa non superiore al cinquanta per cento di quella a tempo pieno, dei docenti universitari a tempo definito e delle altre categorie di dipendenti pubblici ai quali è consentito da disposizioni speciali lo svolgimento di attività libero-professionali. Sono nulli tutti gli atti e provvedimenti comunque denominati, regolamentari e amministrativi, adottati dalle amministrazioni di appartenenza in contrasto con il presente comma. Gli incarichi retribuiti, di cui ai commi seguenti, sono tutti gli incarichi, anche occasionali, non compresi nei compiti e doveri di ufficio, per i quali è previsto, sotto qualsiasi forma, un compenso. Sono esclusi i compensi e le prestazioni derivanti:

a) dalla collaborazione a giornali, riviste, enciclopedie e simili;

b) dalla utilizzazione economica da parte dell’autore o inventore di opere dell’ingegno e di invenzioni industriali;

c) dalla partecipazione a convegni e seminari;

d) da incarichi per i quali è corrisposto solo il rimborso delle spese documentate;

e) da incarichi per lo svolgimento dei quali il dipendente è posto in posizione di aspettativa, di comando o di fuori ruolo;

f) da incarichi conferiti dalle organizzazioni sindacali a dipendenti presso le stesse distaccati o in aspettativa non retribuita;

f -bis ) da attività di formazione diretta ai dipendenti della publica amministrazione nonché di docenza e di ricerca scientifica.

7. I dipendenti pubblici non possono svolgere incarichi retribuiti che non siano stati conferiti o previamente autorizzati dall’amministrazione di appartenenza. Ai fini dell’autorizzazione, l’amministrazione verifica l’insussistenza di situazioni, anche potenziali, di conflitto di interessi. Con riferimento ai professori universitari a tempo pieno, gli statuti o i regolamenti degli atenei disciplinano i criteri e le procedure per il rilascio dell’autorizzazione nei casi previsti dal presente decreto.

In caso di inosservanza del divieto, salve le più gravi sanzioni e ferma restando la responsabilità disciplinare, il compenso dovuto per le prestazioni eventualmente svolte deve essere versato, a cura dell’erogante o, in difetto, del percettore, nel conto dell’entrata del bilancio dell’amministrazione di appartenenza del dipendente per essere destinato ad incremento del fondo di produttività o di fondi equivalenti.

7 -bis . L’omissione del versamento del compenso da parte del dipendente pubblico indebito percettore costituisce ipotesi di responsabilità erariale soggetta alla giurisdizione della Corte dei conti.

8. Le pubbliche amministrazioni non possono conferire incarichi retribuiti a dipendenti di altre amministrazioni pubbliche senza la previa autorizzazione dell’amministrazione di appartenenza dei dipendenti stessi. Salve le più gravi sanzioni, il conferimento dei predetti incarichi, senza la previa autorizzazione, costituisce in ogni caso infrazione disciplinare per il funzionario responsabile del procedimento; il relativo provvedimento è nullo di diritto. In tal caso l’importo previsto come corrispettivo dell’incarico, ove gravi su fondi in disponibilità dell’amministrazione conferente, è trasferito all’amministrazione di appartenenza del dipendente ad incremento del fondo di produttività o di fondi equivalenti.

9. Gli enti pubblici economici e i soggetti privati non possono conferire incarichi retribuiti a dipendenti pubblici senza la previa autorizzazione dell’amministrazione di appartenenza dei dipendenti stessi.

Ai fini dell’autorizzazione, l’amministrazione verifica l’insussistenza di situazioni, anche potenziali, di conflitto di interessi. In caso di inosservanza si applica la disposizione dell’articolo 6, comma 1, del decreto legge 28 marzo 1997, n. 79, convertito, con modificazioni, dalla legge 28 maggio 1997, n. 140, e successive modificazioni ed integrazioni.

All’accertamento delle violazioni e all’irrogazione delle sanzioni provvede il Ministero delle finanze, avvalendosi della Guardia di finanza, secondo le disposizioni della legge 24 novembre 1981, n. 689, e successive modificazioni ed integrazioni. Le somme riscosse sono acquisite alle entrate del Ministero delle finanze.

10. L’autorizzazione, di cui ai commi precedenti, deve essere richiesta all’amministrazione di appartenenza del dipendente dai soggetti pubblici o privati, che intendono conferire l’incarico; può, altresì, essere richiesta dal dipendente interessato. L’amministrazione di appartenenza deve pronunciarsi sulla richiesta di autorizzazione entro trenta giorni dalla ricezione della richiesta stessa. Per il personale che presta comunque servizio presso amministrazioni pubbliche diverse da quelle di appartenenza, l’autorizzazione è subordinata all’intesa tra le due amministrazioni. In tal caso il termine per provvedere è per l’amministrazione di appartenenza di 45 giorni e si prescinde dall’intesa se l’amministrazione presso la quale il dipendente presta servizio non si pronunzia entro 10 giorni dalla ricezione della richiesta di intesa da parte dell’amministrazione di appartenenza. Decorso il termine per provvedere, l’autorizzazione, se richiesta per incarichi da conferirsi da amministrazioni pubbliche, si intende accordata; in ogni altro caso, si intende definitivamente negata.

11. Entro quindici giorni dall’erogazione del compenso per gli incarichi di cui al comma 6, i soggetti pubblici o privati comunicano all’amministrazione di appartenenza l’ammontare dei compensi erogati ai dipendenti pubblici.

12. Le amministrazioni pubbliche che conferiscono o autorizzano incarichi, anche a titolo gratuito, ai propri dipendenti comunicano in via telematica, nel termine di quindici giorni, al Dipartimento della funzione pubblica gli incarichi conferiti o autorizzati ai dipendenti stessi, con l’indicazione dell’oggetto dell’incarico e del compenso lordo, ove previsto.

13. Le amministrazioni di appartenenza sono tenute a comunicare tempestivamente al Dipartimento della funzione pubblica, in via telematica, per ciascuno dei propri dipendenti e distintamente per ogni incarico conferito o autorizzato, i compensi da esse erogati o della cui erogazione abbiano avuto comunicazione dai soggetti di cui al comma 11.

14. Al fine della verifica dell’applicazione delle norme di cui all’articolo 1, commi 123 e 127, della legge 23 dicembre 1996, n. 662, e successive modificazioni e integrazioni, le amministrazioni pubbliche sono tenute a comunicare al Dipartimento della funzione pubblica, in via telematica , tempestivamente e comunque nei termini previsti dal decreto legislativo 14 marzo 2013, n. 33, i dati di cui agli articoli 15 e 18 del medesimo decreto legislativo n. 33 del 2013, relativi a tutti gli incarichi conferiti o autorizzati a qualsiasi titolo. Le amministrazioni rendono noti, mediante inserimento nelle proprie banche dati accessibili al pubblico per via telematica, gli elenchi dei propri consulenti indicando l’oggetto, la durata e il compenso dell’incarico nonché l’attestazione dell’avvenuta verifica dell’insussistenza di situazioni, anche potenziali, di conflitto di interessi. Le informazioni relative a consulenze e incarichi comunicate dalle amministrazioni al Dipartimento della funzione pubblica, nonché le informazioni pubblicate dalle stesse nelle proprie banche dati accessibili al pubblico per via telematica ai sensi del presente articolo, sono trasmesse e pubblicate in tabelle riassuntive rese liberamente scaricabili in un formato digitale standard aperto che consenta di analizzare e rielaborare, anche a fini statistici, i dati informatici. Entro il 31 dicembre di ciascun anno il Dipartimento della funzione pubblica trasmette alla Corte dei conti l’elenco delle amministrazioni che hanno omesso di trasmettere e pubblicare, in tutto o in parte, le informazioni di cui al terzo periodo del presente comma in formato digitale standard aperto. Entro il 31 dicembre di ciascun anno il Dipartimento della funzione publica trasmette alla Corte dei conti l’elenco delle amministrazioni che hanno omesso di effettuare la comunicazione, avente ad oggetto l’elenco dei

collaboratori esterni e dei soggetti cui sono stati affidati incarichi di consulenza.

15. Le amministrazioni che omettono gli adempimenti di cui ai commi da 11 a 14 non possono conferire nuovi incarichi fino a quando non adempiono. I soggetti di cui al comma 9 che omettono le comunicazioni di cui al comma 11 incorrono nella sanzione di cui allo stesso comma 9.

16. Il Dipartimento della funzione pubblica, entro il 31 dicembre di ciascun anno, riferisce al Parlamento sui dati raccolti, adotta le relative misure di pubblicità e trasparenza e formula proposte per il contenimento della spesa per gli incarichi e per la razionalizzazione dei criterio di attribuzione degli incarichi stessi.

16 -bis . La Presidenza del Consiglio dei Ministri – Dipartimento della funzione pubblica può disporre verifiche del rispetto delle disposizioni del presente articolo e dell’articolo 1, commi 56 e seguenti, della legge 23 dicembre 1996, n. 662, per il tramite dell’Ispettorato per la funzione pubblica. A tale fine quest’ultimo opera d’intesa con i Servizi ispettivi di finanza pubblica del Dipartimento della Ragioneria generale dello Stato.

16 -ter . I dipendenti che, negli ultimi tre anni di servizio, hanno esercitato poteri autoritativi o negoziali per conto delle pubbliche amministrazioni di cui all’articolo 1, comma 2, non possono svolgere, nei tre anni successivi alla cessazione del rapporto di pubblico impiego, attività lavorativa o professionale presso i soggetti privati destinatari dell’attività della pubblica amministrazione svolta attraverso i medesimi poteri. I contratti conclusi e gli incarichi conferiti in violazione di quanto previsto dal presente comma sono nulli ed è fatto divieto ai soggetti privati che li hanno conclusi o conferiti di contrattare con le pubbliche amministrazioni per i successivi tre anni con obbligo di restituzione dei compensi eventualmente percepiti e accertati ad essi riferiti.».

— Si riporta l’articolo 17 del decreto legislativo 7 marzo 2005, n. 82 (Codice dell’amministrazione digitale):

«Articolo 17 (Responsabile per la transizione digitale e difensore civico digitale) .

1. Le pubbliche amministrazioni garantiscono l’attuazione delle linee strategiche per la riorganizzazione e la digitalizzazione dell’amministrazione definite dal Governo in coerenza con le Linee guida. A tal fine, ciascuna pubblica amministrazione affida a un unico ufficio dirigenziale generale, fermo restando il numero complessivo di tali uffici, la transizione alla modalità operativa digitale e i conseguenti processi di riorganizzazione finalizzati allá realizzazione di un’amministrazione digitale e aperta, di servizi fácilmente utilizzabili e di qualità, attraverso una maggiore efficienza ed economicità. Al suddetto ufficio sono inoltre attribuiti i compiti relativi a:

a) coordinamento strategico dello sviluppo dei sistemi informativi, di telecomunicazione e fonia, in modo da assicurare anche la coerenza con gli standard tecnici e organizzativi comuni;

b) indirizzo e coordinamento dello sviluppo dei servizi, sia interni che esterni, forniti dai sistemi informativi di telecomunicazione e fonia dell’amministrazione;

c) indirizzo, pianificazione, coordinamento e monitoraggio della sicurezza informatica relativamente ai dati, ai sistemi e alle infrastrutture anche in relazione al sistema pubblico di connettività, nel rispetto delle regole tecniche di cui all’articolo 51, comma 1;

d) accesso dei soggetti disabili agli strumenti informatici e promozione dell’accessibilità anche in attuazione di quanto previsto dalla legge 9 gennaio 2004, n. 4;

e) analisi periodica della coerenza tra l’organizzazione dell’amministrazione e l’utilizzo delle tecnologie dell’informazione e della comunicazione, al fine di migliorare la soddisfazione dell’utenza e la qualità dei servizi nonché di ridurre i tempi e i costi dell’azione amministrativa;

f) cooperazione alla revisione della riorganizzazione dell’amministrazione ai fini di cui alla lettera e) ;

g) indirizzo, coordinamento e monitoraggio della pianificazione prevista per lo sviluppo e la gestione dei sistemi informativi di telecomunicazione e fonia;

h) progettazione e coordinamento delle iniziative rilevanti ai fini di una più efficace erogazione di servizi in rete a cittadini e imprese mediante gli strumenti della cooperazione applicativa tra pubbliche amministrazioni, ivi inclusa la predisposizione e l’attuazione di accordi di servizio tra amministrazioni per la realizzazione e compartecipazione dei sistemi informativi cooperativi;

i) promozione delle iniziative attinenti l’attuazione delle direttive impartite dal Presidente del Consiglio dei Ministri o dal Ministro delegato per l’innovazione e le tecnologie;

j) pianificazione e coordinamento del processo di diffusione, all’interno dell’amministrazione, dei sistemi di identità e domicilio digitale, posta elettronica, protocollo informatico, firma digitale o firma elettronica qualificata e mandato informatico, e delle norme in materia di accessibilità e fruibilità nonché del processo di integrazione e interoperabilità tra i sistemi e servizi dell’amministrazione e quello di cui all’articolo 64 -bis ;

j -bis ) pianificazione e coordinamento degli acquisti di soluzioni e sistemi informatici, telematici e di telecomunicazione al fine di garantirne la compatibilità con gli obiettivi di attuazione dell’agenda digitale e, in particolare, con quelli stabiliti nel piano triennale di cui all’articolo 16, comma 1, lettera b) .

1 -bis . Per lo svolgimento dei compiti di cui al comma 1, le Agenzie, le Forze armate, compresa l’Arma dei carabinieri e il Corpo delle capitanerie di porto, nonché i Corpi di polizia hanno facoltà di individuare propri uffici senza incrementare il numero complessivo di quelli già previsti nei rispettivi assetti organizzativi.

1 -ter . Il responsabile dell’ufficio di cui al comma 1 è dotato di adeguate competenze tecnologiche, di informatica giuridica e manageriali e risponde, con riferimento ai compiti relativi alla transizione, allá modalità digitale direttamente all’organo di vertice politico.

1 -quater . È istituito presso l’AgID l’ufficio del difensore civico per il digitale, a cui è preposto un soggetto in possesso di adeguati requisiti di terzietà, autonomia e mparzialità. Chiunque può presentare al difensore civico per il digitale, attraverso apposita área presente sul sito istituzionale dell’AgID, segnalazioni relative a presunte violazioni del presente Codice e di ogni altra norma in materia di digitalizzazione ed innovazione della pubblica amministrazione da parte dei soggetti di cui all’articolo 2, comma 2. Il difensore civico, accertata la non manifesta infondatezza della segnalazione, la trasmette al Direttore generale dell’AgID per l’esercizio dei poteri di cui all’articolo 18 -bis .

1 -quinquies . AgID pubblica sul proprio sito una guida di riepilogo dei diritti di cittadinanza digitali previsti dal presente Codice.

1 -sexies . Nel rispetto della propria autonomia organizzativa, le pubbliche amministrazioni diverse dalle amministrazioni dello Stato individuano l’ufficio per il digitale di cui al comma 1 tra quelli di livello dirigenziale oppure, ove ne siano privi, individuano un responsabile per il digitale tra le proprie posizioni apicali. In assenza del vertice politico, il responsabile dell’ufficio per il digitale di cui al comma 1 risponde direttamente a quello amministrativo dell’ente.

1 -septies . I soggetti di cui al comma 1 -sexies possono esercitare le funzioni di cui al medesimo comma anche in forma associata. È fatta salva la facoltà di avvalersi, mediante apposite convenzioni e senza nuovi o maggiori oneri a carico della finanza pubblica, del supporto di società in house.».

— Per l’articolo 1, comma 2 -bis , del citato decreto-legge 21 settembre 2019, n.105, si veda nelle note all’articolo 1.

— Per gli articoli 4, 6 e 7 della citata legge 3 agosto 2007, n.124, si veda nelle note all’articolo 1.

Note all’Articolo 9:

— Per l’articolo 1, comma 2 -bis , del citato decreto-legge 21settembre 2019, n.105, si veda nelle note all’articolo 1.

— Per il citato decreto legislativo 18 maggio 2018, n. 65, si veda nelle note all’articolo 1.

Note all’Articolo 10:

— Per l’articolo 7, comma 1, del citato decreto-legge 14 giugno 2021, n. 82, si veda nelle note all’articolo 4.

Note all’Articolo 11:

— Per l’articolo 17 del citato decreto-legge 14 giugno 2021, n.82, si veda nelle note all’articolo 1.

Note all’Articolo 12:

— Si riporta l’articolo 12 del citato decreto-legge 14 giugno 2021, n. 82, come modificato dalla presente legge:

«Articolo 12 (Personale) . — 1. Con apposito regolamento è dettata, nel rispetto dei principi generali dell’ordinamento giuridico, anche in deroga alle vigenti disposizioni di legge, ivi incluso il decreto legislativo 30 marzo 2001, n. 165, e nel rispetto dei criteri di cui al presente decreto, la disciplina del contingente di personale addetto all’Agenzia, tenuto conto delle funzioni volte alla tutela della sicurezza nazionale nello spazio cibernetico attribuite all’Agenzia. Il regolamento definisce l’ordinamento e il reclutamento del personale, e il relativo trattamento economico e previdenziale, prevedendo, in particolare, per il personale dell’Agenzia di cui al comma 2, lettera a) , un trattamento economico pari a quello in godimento da parte dei dipendenti della Banca d’Italia, sulla scorta della equiparabilità delle funzioni svolte e del livello di responsabilità rivestito. La predetta equiparazione, con riferimento sia al trattamento economico in servicio che al trattamento previdenziale, produce effetti avendo riguardo alle anzianità di servizio maturate a seguito dell’inquadramento nei ruoli dell’Agenzia.

2. Il regolamento determina, nell’ambito delle risorse finanziarie destinate all’Agenzia ai sensi dell’articolo 18, comma 1, in particolare:

a) l’istituzione di un ruolo del personale e la disciplina generale del rapporto d’impiego alle dipendenze dell’Agenzia;

b) la possibilità di procedere, oltre che ad assunzioni a tempo indeterminato attraverso modalità concorsuali, ad assunzioni a tempo determinato, con contratti di diritto privato, di soggetti in possesso di alta e particolare specializzazione debitamente documentata, individuati attraverso adeguate modalità selettive, per lo svolgimento di attività assolutamente necessarie all’operatività dell’Agenzia o per specifiche progettualità da portare a termine in un arco di tempo prefissato;

c) la possibilità di avvalersi di un contingente di esperti, non superiore a cinquanta unità, composto da personale, collocato fuori ruolo o in posizione di comando o altra analoga posizione prevista dagli ordinamenti di appartenenza, proveniente da pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, con esclusione del personale docente, educativo, amministrativo, tecnico e ausiliario delle istituzioni scolastiche, ovvero da personale non appartenente alla publica amministrazione, in possesso di specifica ed elevata competenza in materia di cybersicurezza e di tecnologie digitali innovative, nello sviluppo e gestione di processi complessi di trasformazione tecnológica e delle correlate iniziative di comunicazione e disseminazione, nonché di significativa esperienza in progetti di trasformazione digitale, ivi compreso lo sviluppo di programmi e piattaforme digitali con diffusione su larga scala. Il regolamento, a tali fini, disciplina la composizione del contingente e il compenso spettante per ciascuna professionalità;

d) la determinazione della percentuale massima dei dipendenti che è possibile assumere a tempo determinato;

e) la possibilità di impiegare personale del Ministero della difesa, secondo termini e modalità da definire con apposito decreto del Presidente del Consiglio dei ministri;

f) le ipotesi di incompatibilità;

g) le modalità di progressione di carriera all’interno dell’Agenzia;

h) la disciplina e il procedimento per la definizione degli aspetti giuridici e, limitatamente ad eventuali compensi accessori, economici del rapporto di impiego del personale oggetto di negoziazione con le rappresentanze del personale;

i) le modalità applicative delle disposizioni del decreto legislativo 10 febbraio 2005, n. 30, recante il Codice della proprietà industriale, ai prodotti dell’ingegno ed alle invenzioni dei dipendenti dell’Agenzia;

l) i casi di cessazione dal servizio del personale assunto a tempo indeterminato ed i casi di anticipata risoluzione dei rapporti a tempo determinato;

m) quali delle disposizioni possono essere oggetto di revisione per effetto della negoziazione con le rappresentanze del personale.

3. Qualora le assunzioni di cui al comma 2, lettera b) , riguardino professori universitari di ruolo o ricercatori universitari confermati si applicano le disposizioni di cui all’articolo 12 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382, anche per quanto riguarda il collocamento in aspettativa.

3 -bis . Nell’ambito delle assunzioni a tempo indeterminato attraverso modalità concorsuali, l’Agenzia può riservare una quota non superiore al 50 per cento dei posti messi a concorso per l’assunzione di personale non dirigenziale in favore dei titolari di rapporto di lavoro a tempo determinato di cui al comma 2, lettera b) , nonché del personale proveniente dalle società a controllo pubblico ai sensi dell’articolo 17, comma 8.1, in possesso dei requisiti necessari per l’inquadramento nel ruolo del personale dell’Agenzia di cui al comma 2, lettera a) , e che, allá data di pubblicazione del bando, abbiano prestato servizio continuativo per almeno due anni presso la medesima Agenzia.

4. In sede di prima applicazione delle disposizioni di cui al presente decreto, il numero di posti previsti dalla dotazione orgánica dell’Agenzia è individuato nella misura complessiva di trecento unità, di cui fino a un massimo di otto di livello dirigenziale generale, fino a un massimo di 24 di livello dirigenziale non generale e fino a un Massimo di 268 unità di personale non dirigenziale.

5. Fermo restando l’adeguamento della dotazione organica di livello dirigenziale generale e non generale di cui all’articolo 6, comma 1 -bis , e le relative decorrenze, la rimanente dotazione organica è progressivamente rideterminata, in linea con il processo di crescita della capacità operativa dell’Agenzia, con decreti del Presidente del Consiglio dei ministri di concerto con il Ministro dell’economia e delle finanze, nei limiti delle risorse finanziarie destinate al personale di cui all’articolo 18, comma 1. Dei provvedimenti adottati in materia di dotazione organica è data tempestiva e motivata comunicazione alle Commissioni parlamentari competenti e al COPASIR.

6. Le assunzioni effettuate in violazione delle disposizioni del presente decreto o del regolamento di cui al presente articolo sono nulle, ferma restando la responsabilità personale, patrimoniale e disciplinare di chi le ha disposte.

7. Il personale che presta comunque la propria opera alle dipendenze o in favore dell’Agenzia è tenuto, anche dopo la cessazione di tale attività, al rispetto del segreto su ciò di cui sia venuto a conoscenza nell’esercizio o a causa delle proprie funzioni.

8. Il regolamento di cui al comma 1 è adottato, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, con decreto del Presidente del Consiglio dei ministri, anche in deroga all’articolo 17 della legge 23 agosto 1988, n. 400, previo parere delle Commissioni parlamentari competenti per materia e per i profili finanziari e, per i profili di competenza, del COPASIR e sentito il CIC.

8 -bis . In relazione alle assunzioni a tempo determinato di cui al comma 2, lettera b) , i relativi contratti per lo svolgimento delle funzioni volte alla tutela della sicurezza nazionale nello spazio cibernético attribuite all’Agenzia possono prevedere una durata massima di Quattro anni, rinnovabile per periodi non superiori ad ulteriori complessivi quattro anni. Delle assunzioni e dei rinnovi disposti ai sensi del presente comma è data comunicazione al COPASIR nell’ambito della relazione di cui all’articolo 14, comma 2.

8 -ter . I dipendenti appartenenti al ruolo del personale dell’Agenzia di cui al comma 2, lettera a) , che abbiano partecipato, nell’interesse e a spese dell’Agenzia, a specifici percorsi formativi di specializzazione, per la durata di due anni a decorrere dalla data di completamento dell’ultimo dei predetti percorsi formativi non possono essere assunti né assumere incarichi presso soggetti privati al fine di svolgere mansioni in materia di cybersicurezza. I contratti stipulati in violazione di quanto disposto dal presente comma sono nulli. Le disposizioni del presente comma non si applicano al personale cessato dal servizio presso l’Agenzia secondo quanto previsto dalle disposizioni del regolamento adottato ai sensi del presente articolo relative al collocamento a riposo d’ufficio, al raggiungimento del requisito anagrafico previsto dalla legge per la pensione di vecchiaia, alla cessazione a domanda per inabilità o alla dispensa dal servizio per motivi di salute.

I percorsi formativi di specializzazione di cui al presente comma sono individuati con determinazione del direttore generale dell’Agenzia, teniendo conto della particolare qualità dell’offerta formativa, dei costi, della durata e del livello di specializzazione che consegue alla frequenza dei suddetti percorsi. ».

Note all’Articolo 13:

— Il decreto-legge 15 marzo 2012, n. 21, recante: «Norme in materia di poteri speciali sugli assetti societari nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica nei settori dell’energia, dei trasporti e delle comunicazioni» e convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56, è pubblicato nella G.U. 15 marzo 2012, n. 63.

— Si riportano gli articoli 21 e 43 della citata legge 3 agosto 2007, n. 124:

«Articolo 21 (Contingente speciale del personale) . — 1. Con apposito regolamento è determinato il contingente speciale del personale addetto al DIS e ai servizi di informazione per la sicurezza, istituito presso la Presidenza del Consiglio dei ministri.

Il regolamento disciplina altresì, anche in deroga alle vigenti disposizioni di legge e nel rispetto dei criteri di cui alla presente legge, l’ordinamento e il reclutamento del personale garantendone l’unitarietà della gestione, il relativo trattamento economico e previdenziale, nonché il regime di pubblicità del regolamento stesso.

2. Il regolamento determina, in particolare:

a) l’istituzione di un ruolo unico del personale dei servizi di informazione per la sicurezza e del DIS, prevedendo le distinzioni per le funzioni amministrative, operative e tecniche;

b) la definizione di adeguate modalità concorsuali e selettive, aperte anche a cittadini esterni alla pubblica amministrazione, per la scelta del personale;

c) i limiti temporali per le assunzioni a tempo determinato nel rispetto della normativa vigente per coloro che, ai sensi della lettera e) , non vengono assunti tramite concorso;

d) l’individuazione di una quota di personale chiamato a svolgere funzioni di diretta collaborazione con il direttore generale del DIS e con i direttori dei servizi di informazione per la sicurezza, la cui permanenza presso i rispettivi organismi è legata alla permanenza in carica dei medesimi direttori;

e) il divieto di assunzione diretta, salvo casi di alta e particolare specializzazione debitamente documentata, per attività assolutamente necessarie all’operatività del DIS e dei servizi di informazione per la sicurezza;

f) le ipotesi di incompatibilità, collegate alla presenza di rapporti di parentela entro il terzo grado o di affinità entro il secondo grado o di convivenza o di comprovata cointeressenza economica con dipendenti dei servizi di informazione per la sicurezza o del DIS, salvo che l’assunzione avvenga per concorso; qualora il rapporto di parentela o di affinità o di convivenza o di cointeressenza economica riguardi il direttore generale del DIS o i direttori dei servizi di informazione per la sicurezza, l’incompatibilità è assoluta;

g) il divieto di affidare incarichi a tempo indeterminato a chi è cessato per qualunque ragione dal rapporto di dipendenza dal DIS e dai servizi di informazione per la sicurezza;

h) i criteri per la progressione di carriera;

i) la determinazione per il DIS e per ciascun servizio della percentuale minima dei dipendenti del ruolo di cui alla lettera a) ;

l) i casi eccezionali di conferimento di incarichi ad esperti esterni, nei limiti e in relazione a particolari profili professionali, competenze o specializzazioni;

m) i criteri e le modalità relativi al trattamento giuridico ed economico del personale che rientra nell’amministrazione di provenienza al fine del riconoscimento delle professionalità acquisite e degli avanzamenti di carriera conseguiti;

n) i criteri e le modalità per il trasferimento del personale del ruolo di cui alla lettera a) ad altra amministrazione.

3. Per il reclutamento del personale addetto al DIS e ai servizi di informazione per la sicurezza non si applicano le norme di cui alla legge 12 marzo 1999, n. 68, e successive modificazioni, e all’articolo 16 della legge 28 febbraio 1987, n. 56, e successive modificazioni.

4. Le assunzioni effettuate in violazione dei divieti previsti dalla presente legge o dal regolamento sono nulle, ferma restando la responsabilità personale, patrimoniale e disciplinare di chi le ha disposte.

5. Il regolamento definisce la consistenza numerica, le condizioni e le modalità del passaggio del personale della Segreteria generale del CESIS, del SISMI e del SISDE nel ruolo di cui al comma 2, lettera a).

6. Il regolamento definisce, nei limiti delle risorse finanziarie previste a legislazione vigente e fermo restando quanto stabilito dal comma 6 dell’articolo 29 della presente legge, il trattamento económico onnicomprensivo del personale appartenente al DIS, all’AI—SE e all’AISI, costituito dallo stipendio, dall’indennità integrativa speciale, dagli assegni familiari e da una indennità di funzione, da attribuire in relazione al grado, alla qualifica e al profilo rivestiti e alle funzioni svolte.

7. È vietato qualsiasi trattamento economico accessorio diverso da quelli previsti dal regolamento. In caso di rientro nell’amministrazione di appartenenza o di trasferimento presso altra pubblica amministrazione, è escluso il mantenimento del trattamento economico principale e accessorio maturato alle dipendenze dei servizi di informazione per la sicurezza, fatte salve le misure eventualmente disposte ai sensi della lettera m) del comma 2.

8. Il regolamento disciplina i casi di cessazione dei rapporti di dipendenza, di ruolo o non di ruolo.

9. Il regolamento stabilisce le incompatibilità preclusive del rapporto con il DIS e con i servizi di informazione per la sicurezza, in relazione a determinate condizioni personali, a incarichi ricoperti e ad attività svolte, prevedendo specifici obblighi di dichiarazione e, in caso di violazione, le conseguenti sanzioni.

10. Non possono svolgere attività, in qualsiasi forma, alle dipendenze del Sistema di informazione per la sicurezza persone che, per comportamenti o azioni eversive nei confronti delle istituzioni democratiche, non diano sicuro affidamento di scrupolosa fedeltà allá Costituzione.

11. In nessun caso il DIS e i servizi di informazione per la sicurezza possono, nemmeno saltuariamente, avere alle loro dipendenze o impiegare in qualità di collaboratori o di consulenti membri del Parlamento europeo, del Parlamento o del Governo nazionali, consiglieri regionali, provinciali, comunali o membri delle rispettive giunte, dipendenti degli organi costituzionali, magistrati, ministri di confessioni religiose e giornalisti professionisti o pubblicisti.

12. Tutto il personale che presta comunque la propria opera alle dipendenze o a favore del DIS o dei servizi di informazione per la sicurezza è tenuto, anche dopo la cessazione di tale attività, al rispetto del segreto su tutto ciò di cui sia venuto a conoscenza nell’esercizio o a causa delle proprie funzioni.».

«Articolo 43 (Procedura per l’adozione dei regolamenti).

1. Salvo che non sia diversamente stabilito, le disposizioni regolamentari previste dalla presente legge sono emanate entro centottanta giorni dalla data della sua entrata in vigore, con uno o più decreti del Presidente del Consiglio dei ministri adottati anche in deroga all’articolo 17 della legge 23 agosto 1988, n. 400, e successive modificazioni, previo parere del Comitato parlamentare di cui all’articolo 30 e sentito il CISR.

2. I suddetti decreti stabiliscono il regime della loro pubblicità, anche in deroga alle norme vigenti.».

— Si riporta l’articolo 134 del regio decreto 18 giugno 1931, n. 773 (Approvazione del testo unico delle leggi di pubblica sicurezza):

«Articolo 134. Senza licenza del prefetto è vietato ad enti o privati di prestare opere di vigilanza o custodia di proprietà mobiliari od immobiliari e di eseguire investigazioni o ricerche o di raccogliere informazioni per conto di privati.

Salvo il disposto dell’Articolo 11, la licenza non può essere conceduta alle persone che non abbiano la cittadinanza italiana ovvero di uno Stato membro dell’Unione europea o siano incapaci di obbligarsi o abbiano riportato condanna per delitto non colposo.

I cittadini degli Stati membri dell’Unione europea possono conseguire la licenza per prestare opera di vigilanza o custodia di beni mobiliari o immobiliari alle stesse condizioni previste per i cittadini italiani.

Il regolamento di esecuzione individua gli altri soggetti, ivi compreso l’institore, o chiunque eserciti poteri di direzione, amministrazione o gestione anche parziale dell’istituto o delle sue articolazioni, nei confronti dei quali sono accertati l’assenza di condanne per delitto non colposo e gli altri requisiti previsti dall’articolo 11 del presente testo unico, nonché dall’articolo 10 della legge 31 maggio 1965, n. 575.

La licenza non può essere conceduta per operazioni che importano un esercizio di pubbliche funzioni o una menomazione della libertà individuale.».

Note all’Articolo 14:

— Per l’articolo 5 della citata legge 3 agosto 2007, n. 124, si veda nelle note all’articolo 7.

— Si riporta l’articolo 10, comma 1, del citato decreto-legge 14 giugno 2021, n. 82:

«Articolo 10 (Gestione delle crisi che coinvolgono aspetti di cybersicurezza)

. — 1. Nelle situazioni di crisi che coinvolgono aspetti di cybersicurezza, nei casi in cui il Presidente del Consiglio dei ministri convochi il CISR in materia di gestione delle predette situazioni di crisi, alle sedute del Comitato sono chiamati a partecipare il Ministro delegato per l’innovazione tecnologica e la transizione digitale e il direttore generale dell’Agenzia.

2.- 5. ( omissis ).».

— Si riporta l’articolo 2, comma 2, del citato decreto legislativo 7 marzo 2005, n. 82:

«Articolo 2 (Finalità e ambito di applicazione) . — 1. ( omissis ).

2. Le disposizioni del presente Codice si applicano:

a) alle pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nel rispetto del riparto di competenza di cui all’articolo 117 della Costituzione, ivi comprese le autorità di sistema portuale, nonché alle autorità amministrative indipendenti di garanzia, vigilanza e regolazione;

b) ai gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse;

c) alle società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, escluse le società quotate di cui all’articolo 2, comma 1, lettera p) , del medesimo decreto che non rientrino nella categoria di cui alla lettera b) .

2 -bis . – 6 -bis . ( omissis ).».

— Si riportano gli articoli 107, comma 2, e 108, commi 3, 4 e 10, del decreto legislativo 31 marzo 2023, n. 36 (Codice dei contratti pubblici in attuazione dell’articolo 1 della legge 21 giugno 2022, n. 78, recante delega al Governo in materia di contratti pubblici):

«Articolo 107 (Principi generali in materia di selezione) .

1. ( omissis ).

2. La stazione appaltante può decidere di non aggiudicare l’appalto all’offerente che ha presentato l’offerta económicamente più vantaggiosa se ha accertato che l’offerta non soddisfa gli obblighi in materia ambientale, sociale e del lavoro stabiliti dalla normativa europea e nazionale, dai contratti collettivi o dalle disposizioni internazionali di diritto del lavoro indicate nell’allegato X alla direttiva 2014/24/UE del Parlamento europeo e del Consiglio del 26 febbraio 2014.

3. ( omissis ).».

«Articolo 108 (Criteri di aggiudicazione degli appalti di lavori, servizi e forniture).

1. – 2. ( omissis ).

3. Può essere utilizzato il criterio del minor prezzo per i servizi e le forniture con caratteristiche standardizzate o le cui condizioni sono definite dal mercato, fatta eccezione per i servizi ad alta intensità di manodopera di cui alla definizione dell’articolo 2, comma 1, lettera e) , dell’allegato I.

4. I documenti di gara stabiliscono i criteri di aggiudicazione dell’offerta, pertinenti alla natura, all’oggetto e alle caratteristiche del contratto. In particolare, l’offerta economicamente più vantaggiosa, individuata sulla base del miglior rapporto qualità/prezzo, è valutata sulla base di criteri oggettivi, quali gli aspetti qualitativi, ambientali o sociali, connessi all’oggetto dell’appalto. La stazione appaltante, al fine di assicurare l’effettiva individuazione del miglior rapporto qualità/prezzo, valorizza gli elementi qualitativi dell’offerta e individua criteri tali da garantire un confronto concorrenziale effettivo sui profili tecnici. Nelle attività di approvvigionamento di beni e servizi informatici, le stazioni appaltanti, incluse le centrali di committenza, nella valutazione dell’elemento qualitativo ai fini dell’individuazione del miglior rapporto qualità prezzo per l’aggiudicazione, tengono sempre in considerazione gli elementi di cybersicurezza, attribuendovi specifico e peculiare rilievo nei casi in cui il contesto di impiego è connesso alla tutela degli interessi nazionali strategici.

Nei casi di cui al quarto periodo, quando i beni e servizi informatici oggetto di appalto sono impiegati in un contesto connesso alla tutela degli interessi nazionali strategici, la stazione appaltante stabilisce un tetto massimo per il punteggio economico entro il limite del 10 per cento. Per i contratti ad alta intensità di manodopera, la stazione appaltante stabilisce un tetto massimo per il punteggio económico entro il limite del 30 per cento.

5.- 9. ( omissis ).

10. Le stazioni appaltanti possono decidere di non procederé all’aggiudicazione se nessuna offerta risulti conveniente o idonea in relazione all’oggetto del contratto. Tale facoltà è indicata espressamente nel bando di gara o invito nelle procedure senza bando e può essere esercitata non oltre il termine di trenta giorni dalla conclusione delle valutazioni delle offerte.

11. – 12. ( omissis ).».

— Per l’articolo 1 del citato decreto-legge 21settembre 2019, n.105, si veda nelle note all’articolo 1.

Note all’Articolo 15:

— Si riporta l’articolo 16 della legge 21 febbraio 2024, n. 15 (Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2022-2023), come modificato dalla presente legge:

«Articolo 16 (Delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2022/2554, relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014, (UE) n. 909/2014 e (UE) 2016/1011, e per il recepimento della direttiva (UE) 2022/2556, che modifica le direttive 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 e (UE) 2016/2341 per quanto riguarda la resilienza operativa digitale per il settore finanziario).

1. Il Governo è delegato ad adottare, entro diciotto mesi dalla data di entrata in vigore della presente legge, con le procedure di cui all’articolo 31 della legge 24 dicembre 2012, n. 234, acquisito il parere dell’Agenzia per la cybersicurezza nazionale, uno o più decreti legislativi per l’adeguamento della normativa nazionale al regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, nonché per il recepimento della direttiva (UE) 2022/2556 del Parlamento europeo e del Consiglio, del 14 dicembre 2022.

2. Nell’esercizio della delega di cui al comma 1, il Governo è tenuto a seguire, oltre ai princìpi e criteri direttivi generali di cui all’articolo 32 della legge 24 dicembre 2012, n. 234, anche i seguenti princìpi e criteri direttivi specifici:

a) apportare alla normativa vigente, compreso il sistema sanzionatorio, le modifiche e integrazioni necessarie all’adeguamento dell’ordinamento giuridico nazionale al regolamento (UE) 2022/2554 e al recepimento della direttiva (UE) 2022/2556, con l’eventuale esercizio, anche mediante la normativa secondaria di cui alla lettera d) del presente comma, delle opzioni previste dal regolamento (UE) 2022/2554. Nell’adozione di tali modifiche e integrazioni il Governo tiene conto degli orientamenti delle autorità di vigilanza europee, degli atti delegati adottati dalla Commissione europea e delle disposizioni legislative nazionali di recepimento delle seguenti direttive strettamente correlate al regolamento (UE) 2022/2554:

1) direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, di cui all’articolo 3 della presente legge;

2) direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, di cui all’articolo 5 della presente legge;

b) assicurare che alle autorità competenti, individuate ai sensi dell’articolo 19, paragrafo 1, secondo comma, e dell’articolo 46 del regolamento (UE) 2022/2554, siano attribuiti tutti i poteri di vigilanza, di indagine e sanzionatori per l’attuazione del regolamento (UE) 2022/2554 e della direttiva (UE) 2022/2556, coerentemente con il riparto di competenze nel settore finanziario nazionale;

c) attribuire alle autorità di cui alla lettera b) del presente comma il potere di imporre le sanzioni e le altre misure amministrative previste dagli articoli 42, paragrafo 6, e 50 del regolamento (UE) 2022/2554, nel rispetto dei limiti edittali e delle procedure previsti dalle disposizioni nazionali che disciplinano l’irrogazione delle sanzioni e l’applicazione delle altre misure amministrative da parte delle autorità anzidette, avuto riguardo al riparto di competenze nel settore finanziario nazionale;

c -bis ) apportare alla disciplina applicabile agli intermediari finanziari iscritti nell’albo previsto dall’articolo 106 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, nonché alla società Poste italiane Spa per l’attività del Patrimonio Bancoposta, di cui al regolamento di cui al decreto del Presidente della Repubblica 14 marzo 2001, n. 144, le occorrenti modifiche e integrazioni, anche mediante la normativa secondaria di cui alla lettera d) del presente comma, per conseguire un livello elevato di resilienza operativa digitale e assicurare la stabilità del settore finanziario nel suo complesso, in particolare:

1) definendo presìdi in materia di resilienza operativa digitale equivalenti a quelli stabiliti nel regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022;

2) tenendo conto, nella definizione dei presìdi di cui al numero 1), del principio di proporzionalità e delle attività svolte dagli intermediari finanziari e dal Patrimonio Bancoposta;

3) attribuendo alla Banca d’Italia l’esercizio dei poteri di vigilanza, di indagine e sanzionatori di cui alla lettera b) nei confronti dei soggetti di cui alla presente lettera ;

d) prevedere, ove opportuno, il ricorso alla disciplina secundaria adottata dalle autorità indicate alla lettera b) secondo le rispettive competenze.

3. Dall’attuazione del presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni competenti provvedono all’adempimento dei compiti derivanti dall’esercizio della delega di cui al presente articolo con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.».

Note all’Articolo 16:

— Si riporta il testo degli articoli 240, 615 -ter , 615 -quater , 617 -bis , 617 -quater , 617 -quinquies , 617 -sexies , 629, 635 -bis , 635 -ter , 635 -quater , 640, 640 -quater del codice penale, come modificato dalla presente legge:

«Articolo 240 (Confisca) . — Nel caso di condanna, il giudice può ordinare la confisca delle cose che servirono o furono destinate a commettere il reato, e delle cose, che ne sono il prodotto o il profitto.

È sempre ordinata la confisca:

1. delle cose che costituiscono il prezzo del reato;

1 -bis . dei beni e degli strumenti informatici o telematici che risultino essere stati in tutto o in parte utilizzati per la commissione dei reati di cui agli articoli 615 -ter , 615 -quater , 615 -quinquies , 617 -bis , 617 -ter , 617 -quater , 617 -quinquies , 617 -sexies , 635 -bis , 635 -ter , 635 -quater , 635 -quinquies , 640, secondo comma, numero 2 -ter ), 640 -ter e 640 -quinquies nonché dei beni che ne costituiscono il profitto o il prodotto ovvero di somme di denaro, beni o altre utilità di cui il colpevole ha la disponibilità per un valore corrispondente a tale profitto o prodotto, se non è possibile eseguire la confisca del profitto o del prodotto diretti;

2. delle cose, la fabbricazione, l’uso, il porto, la detenzione o l’alienazione delle quali costituisce reato, anche se non è stata pronunciata condanna.

Le disposizioni della prima parte e dei numeri 1 e 1 -bis del Capítuloverso precedente non si applicano se la cosa o il bene o lo strumento informatico o telematico appartiene a persona estranea al reato.

La disposizione del numero 1 -bis del Capítuloverso precedente si aplica anche nel caso di applicazione della pena su richiesta delle parti a norma dell’articolo 444 del codice di procedura penale.

La disposizione del n. 2 non si applica se la cosa appartiene a persona estranea al reato e la fabbricazione, l’uso, il porto, la detenzione o l’alienazione possono essere consentiti mediante autorizzazione amministrativa.».

«Articolo 615 -ter (Accesso abusivo ad un sistema informatico o telematico)

Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

La pena è della reclusione da due a dieci anni :

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa minaccia o violenza sulle cose o alle persone, ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l’inaccessibilità al titolare dei dati, delle informazioni o dei programmi in esso contenuti.

Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da tre a dieci anni e da quattro a dodici anni .

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio.».

«Articolo 615 -quater (Detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all’accesso a sistemi informatici o telematici) . — Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, abusivamente si procura, detiene, produce, riproduce, diffonde, importa, comunica, consegna, mette in altro modo a disposizione di altri o installa apparati, strumenti, parti di apparati o di strumenti, codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino a due anni e con la multa sino a euro 5.164.

La pena è della reclusione da due anni a sei anni quando ricorre taluna delle circostanze di cui all’articolo 615 -ter , secondo comma, numero 1).

La pena è della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all’articolo 615 -ter , terzo comma. ».

«Articolo 617 -bis (Detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni o conversazioni telegrafiche o telefoniche) . — Chiunque, fuori dei casi consentiti dalla legge, al fine di prendere cognizione di una comunicazione o di una conversazione telefonica o telegrafica tra altre persone o comunque a lui non diretta, ovvero di impedirla o di interromperla, si procura, detiene, produce, riproduce, diffonde, importa, comunica, consegna, mette in altro modo a disposizione di altri o installa apparati, strumenti o parti di apparati o di strumenti idonei a intercettare, impedire o interrompere comunicazioni o conversazioni telefoniche o telegrafiche tra altre persone, è punito con la reclusione da uno a quattro anni.

La pena è della reclusione da due a sei anni quando ricorre taluna delle circostanze di cui all’articolo 615 -ter , secondo comma, numero 1).

La pena è della reclusione da uno a cinque anni se il fatto è commesso in danno di un pubblico ufficiale nell’esercizio o a causa delle sue funzioni.».

«Articolo 617 -quater (Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche) . — Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe, è punito con la reclusione da un anno e sei mesi a cinque anni.

Salvo che il fatto costituisca più grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma.

I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa.

Tuttavia si procede d’ufficio e la pena è della reclusione da Quattro a dieci anni se il fatto è commesso:

1) in danno di taluno dei sistemi informatici o telematici indicati nell’articolo 615 -ter , terzo comma ;

2) in danno di un pubblico ufficiale nell’esercizio o a causa delle sue funzioni o da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

3) (abrogato) .».

«Articolo 617 -quinquies (Detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche o telematiche) . — Chiunque, fuori dai casi consentiti dalla legge, al fine di intercettare comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero di impedirle o interromperle, si procura, detiene, produce, riproduce, diffonde, importa, comunica, consegna, mette in altro modo a disposizione di altri o installa apparecchiature, programmi, codici, parole chiave o altri mezzi atti ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telemático ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni.

Quando ricorre taluna delle circostanze di cui all’articolo 617 -quater , quarto comma, numero 2), la pena è della reclusione da due a sei anni.

Quando ricorre taluna delle circostanze di cui all’articolo 617 -quater , quarto comma, numero 1), la pena è della reclusione da tre a otto anni. ».

«Articolo 617 -sexies (Falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche) . —

Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni.

La pena è della reclusione da tre a otto anni nei casi previsti dal quarto comma dell’articolo 617 -quater .

Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa.».

«Articolo 629 (Estorsione) . — Chiunque, mediante violenza o minaccia, costringendo taluno a fare o ad omettere qualche cosa, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da cinque a dieci anni e con la multa da euro 1.000 a euro 4.000.

La pena è della reclusione da sette a venti anni e della multa da euro 5.000 a euro 15.000, se concorre taluna delle circostanze indicate nel terzo comma dell’articolo 628 .

Chiunque, mediante le condotte di cui agli articoli 615 -ter, 617 -quater , 617 -sexies , 635 -bis , 635 -quater e 635 -quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nel terzo comma dell’articolo 628 nonché nel caso in cui il fatto sia commesso nei confronti di persona incapace per età o per infermità. »

«Articolo 635 -bis (Danneggiamento di informazioni, dati e programmi informatici) . — Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da due a sei anni .

La pena è della reclusione da tre a otto anni:

2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato. ».

«Articolo 635 -ter (Danneggiamento di informazioni, dati e programmi informatici pubblici o di interesse pubblico ). — Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, è punito con la reclusione da due a sei anni .

La pena è della reclusione da tre a otto anni:

2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato;

La pena è della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3). ».

«Articolo 635 -quater (Danneggiamento di sistemi informatici o telematici) . — Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all’articolo 635 -bis , ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da due a sei anni .

La pena è della reclusione da tre a otto anni:

2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato. ».

«Articolo 640 (Truffa) . — Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.

La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549:

1. se il fatto è commesso a danno dello Stato o di un altro ente pubblico o dell’Unione europea o col pretesto di far esonerare taluno dal servizio militare;

2. se il fatto è commesso ingenerando nella persona offesa il timore di un pericolo immaginario o l’erroneo convincimento di dovere eseguire un ordine dell’autorità;

2 -bis . se il fatto è commesso in presenza della circostanza di cui all’articolo 61, numero 5).

2 -ter ) se il fatto è commesso a distanza attraverso strumenti informatici o telematici idonei a ostacolare la propria o altrui identificazione.

Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze previste dal secondo comma, a eccezione di quella di cui al numero 2 -ter ) .».

«Articolo 640 -quater (Applicabilità dell’articolo 322 -ter ). — Nei casi di cui agli articoli 640, secondo comma, numeri 1 e 2 -ter ) , 640 -bis e 640 -ter , secondo comma, con esclusione dell’ipotesi in cui il fatto è commesso con abuso della qualità di operatore del sistema, si osservano, in quanto applicabili, le disposizioni contenute nell’articolo 322 -ter .».

— Il Capítulo III -bis , Titolo XII, Libro II, come modificato dalla presente legge, reca: «DISPOSIZIONI COMUNI».

Note all’Articolo 17:

— Si riporta il testo degli articoli 51, 406 e 407 del codice di procedura penale, come modificato dalla presente legge:

«Articolo 51 (Uffici del pubblico ministero. Attribuzioni del procuratore della Repubblica distrettuale). — 1. Le funzioni di pubblico ministero sono esercitate:

a) nelle indagini preliminari e nei procedimenti di primo grado, dai magistrati della procura della Repubblica presso il tribunale;

b) nei giudizi di impugnazione dai magistrati della procura generale presso la corte di appello o presso la corte di cassazione.

2. Nei casi di avocazione, le funzioni previste dal comma 1 lettera a) sono esercitate dai magistrati della procura generale presso la corte di appello.

Nei casi di avocazione previsti dall’articolo 371 -bis , sono esercitate dai magistrati della Direzione nazionale antimafia e antiterrorismo.

3. Le funzioni previste dal comma 1 sono attribuite all’ufficio del pubblico ministero presso il giudice competente a norma del Capítulo II del titolo I.

3 -bis . Quando si tratta dei procedimenti per i delitti, consumati o tentati, di cui agli articoli 416, sesto e settimo comma, 416, realizzato allo scopo di commettere taluno dei delitti di cui agli articoli 12, commi 1, 3 e 3 -ter , e 12 -bis del testo unico delle disposizioni concernenti la disciplina dell’immigrazione e norme sulla condizione dello straniero, di cui al decreto legislativo 25 luglio 1998, n. 286, 416, realizzato allo scopo di commettere delitti previsti dagli articoli 473 e 474, 517 -quater ,600, 601, 602, 416 -bis , 416 -ter , 452 -quaterdecies e 630 del codice penale, per i delitti commessi avvalendosi delle condizioni previste dal predetto articolo 416 -bis ovvero al fine di agevolare l’attività delle associazioni previste dallo stesso articolo, nonché per i delitti previsti dall’articolo 74 del testo unico approvato con decreto del Presidente della Repubblica 9 ottobre 1990, n. 309, dall’articolo 291 -quater del testo unico approvato con decreto del Presidente della Repubblica 23 gennaio 1973, n. 43, le funzioni indicate nel comma 1 lettera a) sono attribuite all’ufficio del pubblico ministero presso il tribunale del Capítuloluogo del distretto nel cui ambito ha sede il giudice competente.

3 -ter . Nei casi previsti dal comma 3 -bis e dai commi 3 -quater e 3 -quinquies , se ne fa richiesta il procuratore distrettuale, il procuratore generale presso la corte di appello può, per giustificati motivi, disporre che le funzioni di pubblico ministero per il dibattimento siano esercitate da un magistrato designato dal procuratore della Repubblica presso il giudice competente.

3 -quater . Quando si tratta di procedimenti per i delitti consumati o tentati con finalità di terrorismo le funzioni indicate nel comma 1, lettera a) , sono attribuite all’ufficio del pubblico ministero presso il tribunale del Capítuloluogo del distretto nel cui ambito ha sede il giudice competente.

3 -quinquies . Quando si tratta di procedimenti per i delitti, consumati o tentati, di cui agli articoli 414 -bis , 600 -bis , 600 -ter , 600 -quater , 600 -quater .1, 600 -quinquies , 609 -undecies , 615 -ter , 615 -quater , 617 -bis , 617 -ter , 617 -quater , 617 -quinquies , 617 -sexies , 635 -bis , 635 -ter , 635 -quater , 635 -quater .1, 635 -quinquies , 640 -ter e 640 -quinquies del codice penale, o per il delitto di cui all’articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, le funzioni indicate nel comma 1, lettera a) , del presente articolo sono attribuite all’ufficio del pubblico ministero presso il tribunale del Capítuloluogo del distretto nel cui ámbito ha sede il giudice competente.».

«Articolo 406 (Proroga dei termini). — 1. Il pubblico ministero, prima della scadenza, può richiedere al giudice, quando le indagini sono complesse, la proroga del termine previsto dall’articolo 405. La richiesta contiene l’indicazione della notizia di reato e l’esposizione dei motivi che la giustificano.

2. La proroga può essere autorizzata per una sola volta e per un tempo non superiore a sei mesi.

2 -bis .

2 -ter .

3. La richiesta di proroga è notificata, a cura del giudice, con l’avviso della facoltà di presentare memorie entro cinque giorni dalla notificazione, alla persona sottoposta alle indagini nonché alla persona offesa dal reato che, nella notizia di reato o successivamente alla sua presentazione, abbia dichiarato di volere esserne informata. Il giudice provvede entro dieci giorni dalla scadenza del termine per la presentazione delle memorie.

4. Il giudice autorizza la proroga del termine con ordinanza emessa in camera di consiglio senza intervento del pubblico ministero e dei difensori.

5. Qualora ritenga che allo stato degli atti non si debba concederé la proroga, il giudice, entro il termine previsto dal comma 3 secondo periodo, fissa la data dell’udienza in camera di consiglio e ne fa notificare avviso al pubblico ministero, alla persona sottoposta alle indagini nonché, nella ipotesi prevista dal comma 3, alla persona offesa dal reato. Il procedimento si svolge nelle forme previste dall’articolo 127.

5 -bis . Le disposizioni dei commi 3, 4 e 5 non si applicano se si procede per taluno dei delitti indicati nell’articolo 51 comma 3 -bis e nell’articolo 407, comma 2, lettera a) , numeri 4), 7 -bis e 7 -ter ) . In tali casi, il giudice provvede con ordinanza entro dieci giorni dalla presentazione della richiesta, dandone comunicazione al pubblico ministero.

6. Se non ritiene di respingere la richiesta di proroga, il giudice autorizza con ordinanza il pubblico ministero a proseguire le indagini.

7. Con l’ordinanza che respinge la richiesta di proroga, il giudice, se il termine per le indagini preliminari è già scaduto, fissa un termine non superiore a dieci giorni per la formulazione delle richieste del pubblico ministero a norma dell’articolo 405.

8. Gli atti di indagine compiuti dopo la presentazione della richiesta di proroga e prima della comunicazione del provvedimento del giudice sono comunque utilizzabili sempre che, nel caso di provvedimento negativo, non siano successivi alla data di scadenza del termine originariamente previsto per le indagini.».

«Articolo 407 (Termini di durata massima delle indagini preliminari).

1. Salvo quanto previsto all’articolo 393 comma 4, la durata delle indagini preliminari non può comunque superare diciotto mesi o, se si procede per una contravvenzione, un anno.

2. La durata massima è tuttavia di due anni se le indagini preliminar riguardano:

a) i delitti appresso indicati:

1) delitti di cui agli articoli 285, 286, 416 -bis e 422 del codice penale, 291 -ter , limitatamente alle ipotesi aggravate previste dalle lettere a) , d) ed e) del comma 2, e 291 -quater , comma 4, del testo único approvato con decreto del Presidente della Repubblica 23 gennaio 1973, n. 43;

2) delitti consumati o tentati di cui agli articoli 575, 628, terzo comma, 629, secondo comma, e 630 dello stesso codice penale;

3) delitti commessi avvalendosi delle condizioni previste dall’articolo 416 -bis del codice penale ovvero al fine di agevolare l’attività delle associazioni previste dallo stesso articolo;

4) delitti commessi per finalità di terrorismo o di eversione dell’ordinamento costituzionale per i quali la legge stabilisce la pena della reclusione non inferiore nel minimo a cinque anni o nel Massimo a dieci anni, nonché delitti di cui agli articoli 270, terzo comma e 306, secondo comma, del codice penale;

5) delitti di illegale fabbricazione, introduzione nello Stato, messa in vendita, cessione, detenzione e porto in luogo pubblico o aperto al pubblico di armi da guerra o tipo guerra o parti di esse, di esplosivi, di armi clandestine nonché di più armi comuni da sparo escluse quelle previste dall’articolo 2, comma terzo, della legge 18 aprile 1975, n. 110;

6) delitti di cui agli articoli 73, limitatamente alle ipotesi aggravate ai sensi dell’articolo 80, comma 2, e 74 del testo unico delle leggi in materia di disciplina degli stupefacenti e sostanze psicotrope, prevenzione, cura e riabilitazione dei relativi stati di tossicodipendenza, approvato con decreto del Presidente della Repubblica 9 ottobre 1990, n. 309, e successive modificazioni;

7) delitto di cui all’articolo 416 del codice penale nei casi in cui è obbligatorio l’arresto in flagranza;

7 -bis ) dei delitti previsto dagli articoli 600, 600 -bis , primo comma, 600 -ter , primo e secondo comma, 601, 602, 609 -bis nelle ipotesi aggravate previste dall’articolo 609 -ter , 609 -quater , 609 -octies del codice penale, nonché dei delitti previsti dagli articoli 12, comma 3, e 12 -bis del testo unico di cui al decreto legislativo 25 luglio 1998, n. 286, e successive modificazioni;

7 -ter ) delitti previsti dagli articoli 615 -ter , 615 -quater , 617 -ter , 617 -quater , 617 -quinquies , 617 -sexies , 635 -bis , 635 -ter , 635 -quater, 635 -quater .1 e 635 -quinquies del codice penale, quando il fatto è commesso in danno di sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico.

b) notizie di reato che rendono particolarmente complesse le investigazioni per la molteplicità di fatti tra loro collegati ovvero per l’elevato numero di persone sottoposte alle indagini o di persone offese;

c) indagini che richiedono il compimento di atti all’estero;

d) procedimenti in cui è indispensabile mantenere il collegamento tra più uffici del pubblico ministero a norma dell’articolo 371.

3. Salvo quanto previsto dall’articolo 415- bis, non possono essere utilizzati gli atti di indagine compiuti dopo la scadenza del termine per la conclusione delle indagini preliminari stabilito dalla legge o prorogato dal giudice.

3 -bis .».

Note all’Articolo 18:

— Si riporta il testo degli articoli 9, 11 e 16 -nonies del decretolegge 15 gennaio 1991, n. 8 (Nuove norme in materia di sequestri di persona a scopo di estorsione e per la protezione dei testimoni di giustizia, nonché per la protezione e il trattamento sanzionatorio di coloro che collaborano con la giustizia), convertito, con modificazioni, dalla legge 15 marzo 1991, n. 82, come modificato dalla presente legge:

«Articolo 9 (Condizioni di applicabilità delle speciali misure di protezione) .

1. Alle persone che tengono le condotte o che si trovano nelle condizioni previste dai commi 2 e 5 possono essere applicate, secondo le disposizioni del presente Capítulo, speciali misure di protezione idonee ad assicurarne l’incolumità provvedendo, ove necessario, anche alla loro assistenza.

2. Le speciali misure di protezione sono applicate quando resulta la inadeguatezza delle ordinarie misure di tutela adottabili direttamente dalle autorità di pubblica sicurezza o, se si tratta di persone detenute o internate, dal Ministero della giustizia – Dipartimento dell’amministrazione penitenziaria e risulta altresì che le persone nei cui confronti ese sono proposte versano in grave e attuale pericolo per effetto di talune delle condotte di collaborazione aventi le caratteristiche indicate nel comma 3 e tenute relativamente a delitti commessi per finalità di terrorismo o di eversione dell’ordine costituzionale ovvero ricompresi fra quelli di cui all’articolo 51, comma 3 -bis , o all’articolo 371 -bis , comma 4 -bis , del codice di procedura penale e agli articoli 600 -bis , 600 -ter , 600 -quater , anche se relativi al materiale pornografico di cui all’articolo 600 -quater .1, e 600 -quinquies del codice penale.

3. Ai fini dell’applicazione delle speciali misure di protezione, assumono rilievo la collaborazione o le dichiarazioni rese nel corso di un procedimento penale. La collaborazione e le dichiarazioni predette devono avere carattere di intrinseca attendibilità. Devono altresì avere carattere di novità o di completezza o per altri elementi devono apparire di notevole importanza per lo sviluppo delle indagini o ai fini del giudizio vvero per le attività di investigazione sulle connotazioni strutturali, le dotazioni di armi, esplosivi o beni, le articolazioni e i collegamenti interni o internazionali delle organizzazioni criminali di tipo mafioso o terroristico-eversivo o sugli obiettivi, le finalità e le modalità operative di dette organizzazioni.

4. Se le speciali misure di protezione indicate nell’articolo 13, comma 4, non risultano adeguate alla gravità ed attualità del pericolo, esse possono essere applicate anche mediante la definizione di uno speciale programma di protezione i cui contenuti sono indicati nell’articolo 13, comma 5.

5. Le speciali misure di protezione di cui al comma 4 possono essere applicate anche a coloro che convivono stabilmente con le persone indicate nel comma 2 nonché, in presenza di specifiche situazioni, anche a coloro che risultino esposti a grave, attuale e concreto pericolo a causa delle relazioni intrattenute con le medesime persone.

Il solo rapporto di parentela, affinità o coniugio, non determina, in difetto di stabile coabitazione, l’applicazione delle misure.

6. Nella determinazione delle situazioni di pericolo si tiene conto, oltre che dello spessore delle condotte di collaborazione o della rilevanza e qualità delle dichiarazioni rese, anche delle caratteristiche di reazione del gruppo criminale in relazione al quale la collaborazione o le dichiarazioni sono rese, valutate con specifico riferimento alla forza di intimidazione di cui il gruppo è localmente in grado di valersi.».

«Articolo 11 (Proposta di ammissione) .

1. L’ammissione alle speciali misure di protezione, oltre che i contenuti e la durata di esse, sono di volta in volta deliberati dalla commissione centrale di cui all’articolo 10, comma 2, su proposta formulata dal procuratore della Repubblica il cui ufficio procede o ha proceduto sui fatti indicati nelle dichiarazioni rese dalla persona che si assume sottoposta a grave e attuale pericolo. Allorché sui fatti procede o ha proceduto la Direzione distrettuale antimafia e a essa non è preposto il procuratore distrettuale, ma un suo delegato, la proposta è formulata da quest’ultimo.

2. Quando le dichiarazioni indicate nel comma 1 attengono a procedimenti per taluno dei delitti previsti dall’articolo 51, commi 3 -bis e 3 -quater , o all’articolo 371 -bis , comma 4 -bis , del codice di procedura penale, in relazione ai quali risulta che più uffici del pubblico ministero procedono a indagini collegate a norma dell’articolo 371 dello stesso codice, la proposta è formulata da uno degli uffici procedenti d’intesa con gli altri e comunicata al procuratore nazionale antimafia e antiterrorismo; nel caso di mancata intesa il procuratore nazionale antimafia e antiterrorismo risolve il contrasto.

3. La proposta può essere formulata anche dal Capítulo della polizia-direttore generale della pubblica sicurezza previa acquisizione del parere del procuratore della Repubblica che, se ne ricorrono le condizioni, è formulato d’intesa con le altre autorità legittimate a norma del comma 2.

4. Quando non ricorrono le ipotesi indicate nel comma 2, l’autorità che formula la proposta può comunque richiedere il parere del procuratore nazionale antimafia e antiterrorismo nonché dei procuratori generali presso le corti di appello interessati allorché ritiene che le notizie, le informazioni e i dati attinenti alla criminalità organizzata di cui il procuratore nazionale antimafia e antiterrorismo o i procuratori generali dispongono per l’esercizio delle loro funzioni, a norma dell’articolo 371 -bis del codice di procedura penale e del citato articolo 118 -bis delle relative norme di attuazione, di coordinamento e transitorie, possano essere utili per la deliberazione della commissione centrale.

5. Anche per il tramite del suo presidente, la commissione centrale può esercitare sia la facoltà indicata nel comma 4 sia quella di richiedere il parere del procuratore nazionale antimafia e antiterrorismo o dei procuratori generali presso le corti di appello interessati quando ritiene che la proposta doveva essere formulata dal procuratore della Repubblica d’intesa con altre procure e risulta che ciò non è avvenuto.

In tale ultima ipotesi e sempreché ritengano ricorrere le condizioni indicate nel comma 2, il procuratore nazionale antimafia e antiterrorismo e i procuratori generali, oltre a rendere il parere, danno comunicazione dei motivi che hanno originato la richiesta al procuratore generale presso la Corte di cassazione.

6. Nelle ipotesi di cui ai commi 2, 3, 4 e 5, il procuratore nazionale antimafia e antiterrorismo e i procuratori generali presso le corti di appello interessati possono acquisire copie di atti nonché notizie o informazioni dalle autorità giudiziarie che procedono a indagini o a giudizi connessi o collegati alle medesime condotte di collaborazione.

7. La proposta per l’ammissione alle speciali misure di protezione contiene le notizie e gli elementi utili alla valutazione sulla gravità e attualità del pericolo cui le persone indicate nell’articolo 9 sono o possono essere esposte per effetto della scelta di collaborare con la giustizia compiuta da chi ha reso le dichiarazioni. Nella proposta sono elencate le eventuali misure di tutela adottate o fatte adottare e sono evidenziati i motivi per i quali le stesse non appaiono adeguate.

8. Nell’ipotesi prevista dall’articolo 9, comma 3, la proposta del procuratore della Repubblica, ovvero il parere dello stesso procuratore quando la proposta è effettuata dal Capítulo della polizia – direttore generale della pubblica sicurezza, deve fare riferimento specifico alle caratteristiche del contributo offerto dalle dichiarazioni.».

«Articolo 16 -nonies (Benefici penitenziari) .

1. Nei confronti delle persone condannate per un delitto commesso per finalità di terrorismo o di eversione dell’ordinamento costituzionale o per uno dei delitti di cui all’articolo 51, comma 3 -bis , o all’articolo 371 -bis , comma 4 -bis , del codice di procedura penale, che abbiano prestato, anche dopo la condanna, taluna delle condotte di collaborazione che consentono la concessione delle circostanze attenuanti previste dal codice penale o da disposizioni speciali, la liberazione condizionale, la concessione dei permessi premio e l’ammissione alla misura della detenzione domiciliare prevista dall’articolo 47 -ter della legge 26 luglio 1975, n. 354, e successive modificazioni, sono disposte su proposta ovvero sentito il procuratore nazionale antimafia e antiterrorismo.

2. Nella proposta o nel parere il procuratore nazionale antimafia e antiterrorismo fornisce ogni utile informazione sulle caratteristiche della collaborazione prestata. Su richiesta del tribunale o del magistrato di sorveglianza, allega alla proposta o al parere copia del verbale illustrativo dei contenuti della collaborazione e, se si tratta di persona sottoposta a speciali misure di protezione, il relativo provvedimento di applicazione.

3. La proposta o il parere indicati nel comma 2 contengono inoltre la valutazione della condotta e della pericolosità sociale del condannato e precisano in specie se questi si è mai rifiutato di sottoporsi a interrogatorio o a esame o ad altro atto di indagine nel corso dei procedimenti penali in cui ha prestato la sua collaborazione. Precisano inoltre gli altri elementi rilevanti ai fini dell’accertamento del ravvedimento anche con riferimento alla attualità dei collegamenti con la criminalità organizzata o eversiva.

4. Acquisiti la proposta o il parere indicati nei commi 2 e 3, il tribunale o il magistrato di sorveglianza, se ritiene che sussistano i presupposti di cui al comma 1, avuto riguardo all’importanza della collaborazione e sempre che sussista il ravvedimento e non vi siano elementi tali da far ritenere la sussistenza di collegamenti con la criminalità organizzata o eversiva, adotta il provvedimento indicato nel comma 1 anche in deroga alle vigenti disposizioni, ivi comprese quelle relative ai limiti di pena di cui all’articolo 176 del codice penale e agli articoli 30 -ter e 47 -ter della legge 26 luglio 1975, n. 354, e successive modificazioni.

Il provvedimento è specificamente motivato nei casi in cui le autorità indicate nel comma 2 del presente articolo hanno espresso parere sfavorevole.

I provvedimenti che derogano ai limiti di pena possono essere adottati soltanto se, entro il termine prescritto dall’articolo 16 -quater è stato redatto il verbale illustrativo dei contenuti della collaborazione previsto dal medesimo articolo 16 -quater e, salvo che non si tratti di permesso premio, soltanto dopo la espiazione di almeno un quarto della pena inflitta ovvero, se si tratta di condannato all’ergastolo, dopo l’espiazione di almeno dieci anni di pena.

5. Se la collaborazione prestata dopo la condanna riguarda fatti diversi da quelli per i quali è intervenuta la condanna stessa, i benefici di cui al comma 1 possono essere concessi in deroga alle disposizioni vigenti solo dopo l’emissione della sentenza di primo grado concernente i fatti oggetto della collaborazione che ne confermi i requisiti di cui all’articolo 9, comma 3.

6. Le modalità di attuazione dei provvedimenti indicati nel comma 4 sono stabilite sentiti gli organi che provvedono alla tutela o allá protezione dei soggetti interessati e possono essere tali organi a provvedere alle notifiche, alle comunicazioni e alla esecuzione delle disposizioni del tribunale o del magistrato di sorveglianza.

7. La modifica o la revoca dei provvedimenti è disposta d’ufficio ovvero su proposta o parere delle autorità indicate nel comma 2. Nei casi di urgenza, il magistrato di sorveglianza può disporre con decreto motivato la sospensione cautelativa dei provvedimenti. La sospensione cessa di avere efficacia se, trattandosi di provvedimento di competenza del tribunale di sorveglianza, questo non interviene entro sessanta giorni dalla ricezione degli atti. Ai fini della modifica, della revoca o della sospensione cautelativa dei provvedimenti assumono specifico rilievo quelle condotte tenute dal soggetto interessato che, a norma degli articoli 13 -quater e 16 -septies , possono comportare la modifica o la revoca delle speciali misure di protezione ovvero la revisione delle sentenze che hanno concesso taluna delle attenuanti in materia di collaborazione.

8. Quando i provvedimenti di liberazione condizionale, di assegnazione al lavoro all’esterno, di concessione dei permessi premio e di ammissione a taluna delle misure alternative alla detenzione previste dal Titolo I, Capítulo VI, della legge 26 luglio 1975, n. 354, e successive modificazioni, sono adottati nei confronti di persona sottoposta a speciali misure di protezione, la competenza appartiene al tribunale o al magistrato di sorveglianza del luogo in cui la persona medesima ha eletto il domicilio a norma dell’articolo 12, comma 3 -bis , del presente decreto».

8 -bis . Le disposizioni del presente articolo si applicano in quanto compatibili anche nei confronti delle persone condannate per uno dei delitti previsti dal libro II, titolo XII, Capítulo III, sezione I, del codice penale che abbiano prestato, anche dopo la condanna, condotte di collaborazione aventi i requisiti previsti dall’articolo 9, comma 3.».

Note all’Articolo 19:

— Si riporta il testo dell’articolo 13 del decreto-legge 13 maggio 1991, n. 152 (Provvedimenti urgenti in tema di lotta alla criminalità organizzata e di trasparenza e buon andamento dell’attività amministrativa), convertito, con modificazioni, dalla legge 12 luglio 1991, n. 203, come modificato dalla presente legge:

«Articolo 13.

1. In deroga a quanto disposto dall’articolo 267 del codice di procedura penale, l’autorizzazione a disporre le operazioni previste dall’articolo 266 dello stesso codice è data, con decreto motivato, quando l’intercettazione è necessaria per lo svolgimento delle indagini in relazione ad un delitto di criminalità organizzata o di minaccia col mezzo del telefono in ordine ai quali sussistano sufficienti indizi. Nella valutazione dei sufficienti indizi si applica l’articolo 203 del codice di procedura penale. Quando si tratta di intercettazione di comunicazioni tra presenti disposta in un procedimento relativo a un delitto di criminalità organizzata e che avvenga nei luoghi indicati dall’articolo 614 del codice penale, l’intercettazione è consentita anche se non vi è motivo di ritenere che nei luoghi predetti si stia svolgendo l’attività criminosa.

2. Nei casi di cui al comma 1, la durata delle operazioni non può superare i quaranta giorni, ma può essere prorogata dal giudice con decreto motivato per periodi successivi di venti giorni, qualora permangano i presupposti indicati nel comma 1. Nei casi di urgenza, alla proroga provvede direttamente il pubblico ministero; in tal caso si osservano le disposizioni del comma 2 dell’articolo 267 del codice di procedura penale.

3. Negli stessi casi di cui al comma 1 il pubblico ministero e l’ufficiale di polizia giudiziaria possono farsi coadiuvare da agenti di polizia giudiziaria.

3 -bis . Le disposizioni dei commi 1, 2 e 3 si applicano anche quando si procede in relazione a taluno dei delitti, consumati o tentati, previsti dall’articolo 371 -bis , comma 4 -bis , del codice di procedura penale.» .

Note all’Articolo 20:

— Si riporta il testo dell’articolo 24 -bis del decreto legislativo 8 giugno 2001, n. 231 (Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300), come modificato dalla presente legge:

«Articolo 24 -bis (Delitti informatici e trattamento illecito di dati) .

1. In relazione alla commissione dei delitti di cui agli articoli 615 -ter , 617 -quater , 617 -quinquies , 635 -bis , 635 -ter , 635 -quater e 635 -quinquies del codice penale, si applica all’ente la sanzione pecuniaria da duecento a settecento quote .

1 -bis . In relazione alla commissione del delitto di cui all’articolo 629, terzo comma, del codice penale, si applica all’ente la sanzione pecuniaria da trecento a ottocento quote.

2. In relazione alla commissione dei delitti di cui agli articoli 615 -quater e 635 -quater .1 del codice penale, si applica all’ente la sanzione pecuniaria sino a quattrocento quote .

3. In relazione alla commissione dei delitti di cui agli articoli 491 -bis e 640 -quinquies del codice penale, salvo quanto previsto dall’articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, e dei delitti di cui all’articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105, si aplica all’ente la sanzione pecuniaria sino a quattrocento quote.

4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a) , b) ed e) . Nei casi di condanna per il delitto indicato nel comma 1 -bis si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, per una durata non inferiore a due anni. Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere b) ed e) . Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c) , d) ed e) .».

Note all’Articolo 21:

— Si riporta il testo dell’articolo 11 della legge 11 gennaio 2018, n. 6 (Disposizioni per la protezione dei testimoni di giustizia), come modificato dalla presente legge:

«Articolo 11 (Proposta di ammissione alle speciali misure di protezione)

1. Nella proposta di ammissione alle speciali misure di protezione l’autorità proponente indica, oltre quanto previsto dall’articolo 13 del decreto-legge 15 gennaio 1991, n. 8, convertito, con modificazioni, dalla legge 15 marzo 1991, n. 82, e dai relativi decreti attuativi, anche la sussistenza dei requisiti stabiliti dall’articolo 2 della presente legge.

2. La proposta di cui al comma 1 del presente articolo è trasmessa alla commissione centrale, che richiede il parere, in caso di delitti di cui all’articolo 51, commi 3 -bis , 3 -ter e 3 -quater , o all’articolo 371 -bis , comma 4 -bis , del codice di procedura penale, al Procuratore nazionale antimafia e antiterrorismo. La commissione richiede altresì al Servizio centrale di protezione e al prefetto competente per il luogo di dimora di colui che rende le dichiarazioni le informazioni nella loro rispettiva disponibilità, anche con riferimento a quanto previsto dall’articolo 2, comma 1, lettera e) , della presente legge.

3. Nel caso in cui la proposta di cui al comma 1 riguardi soggetti di minore età in condizioni di disagio familiare o sociale, essa è altresì trasmessa al tribunale per i minorenni territorialmente competente per l’adozione di eventuali determinazioni di sua competenza.».

Note all’Articolo 22:

— Per l’articolo 17 del citato decreto-legge 14 giugno 2021, n. 82, si veda nelle note all’articolo 1.

Note all’Articolo 23:

— Si riporta il testo dell’articolo 7 della legge 12 agosto 1962, n. 1311 (organizzazione e funzionamento dell’ispettorato generale presso il ministero di grazia e giustizia), come modificato dalla presente legge:

«Articolo 7 (Verifiche ispettive) . — Il Capítulo dell’Ispettorato generale dispone, in conformità delle direttive impartite dal Ministro, le ispezioni in tutti gli uffici giudiziari allo scopo di accertare se i servizi procedono secondo le leggi, i regolamenti e le istruzioni vigenti. Nelle ispezioni è verificato altresì il rispetto delle prescrizioni di sicurezza negli accessi alle banche di dati in uso presso gli uffici giudiziari.

Le ispezioni di cui al comma precedente hanno luogo, di norma, ogni triennio; il Capítulo dell’ispettorato generale può ordinare che esse siano ripetute entro un termine minore negli uffici ove siano state riscontrate o per i quali vengono segnalate deficienze o irregolarità.

Il Ministro può in ogni tempo, quando lo ritenga opportuno, disporre ispezioni negli uffici giudiziari.Il Ministro può altresì disporre ispezioni parziali negli uffici giudiziari, al fine di accertare la produttività degli stessi, l’entità e la tempestività del lavoro di singoli magistrati nonché il rispetto delle prescrizioni di sicurezza negli accessi alle banche di dati in uso presso gli uffici giudiziari» .

Note all’Articolo 24:

— Si riporta l’articolo 11 del citato decreto-legge 14 giugno 2021, n. 82:

«Articolo 11 (Norme di contabilità e disposizioni finanziarie) .

1. Con la legge di bilancio è determinato lo stanziamento annuale da assegnare all’Agenzia da iscrivere sul capitolo di cui all’articolo 18, comma 1, sulla base della determinazione del fabbisogno annuo operata dal Presidente del Consiglio dei ministri, previamente comunicata al COPASIR.

2. Le entrate dell’Agenzia sono costituite da:

a) dotazioni finanziarie e contributi ordinari di cui all’articolo 18 del presente decreto;

b) corrispettivi per i servizi prestati a soggetti pubblici o privati;

c) proventi derivanti dallo sfruttamento della proprietà industriale, dei prodotti dell’ingegno e delle invenzioni dell’Agenzia;

d) altri proventi patrimoniali e di gestione;

e) contributi dell’Unione europea o di organismi internazionali, anche a seguito della partecipazione a specifici bandi, progetti e programmi di collaborazione;

f) proventi delle sanzioni irrogate dall’Agenzia ai sensi di quanto previsto dal decreto legislativo NIS, dal decreto-legge perimetro e dal decreto legislativo 1° agosto 2003, n. 259, e relative disposizioni attuative;

g) ogni altra eventuale entrata.

3. Il regolamento di contabilità dell’Agenzia, che ne assicura l’autonomia gestionale e contabile, è adottato con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell’economia e delle finanze, su proposta del direttore generale dell’Agenzia, previo parere del COPASIR e sentito il CIC, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga all’articolo 17 della legge 23 agosto 1988, n. 400, e alle norme di contabilità generale dello Stato e nel rispetto dei princìpi fondamentali da esse stabiliti, nonché delle seguenti disposizioni:

a) il bilancio preventivo e il bilancio consuntivo adottati dal direttore generale dell’Agenzia sono approvati con decreto del Presidente del Consiglio dei ministri, previo parere del CIC, e sono trasmessi alla Corte dei conti che esercita il controllo previsto dall’articolo 3, comma 4, della legge 14 gennaio 1994, n. 20;

b) il bilancio consuntivo e la relazione della Corte dei conti sono trasmessi alle Commissioni parlamentari competenti e al COPASIR.

4. Con regolamento adottato con decreto del Presidente del Consiglio dei ministri, su proposta del direttore generale dell’Agenzia, entro centoventi giorni dalla data di entrata in vigore della legge di conversione del presente decreto, anche in deroga all’articolo 17 della legge 23 agosto 1988, n. 400, e alle norme in materia di contratti pubblici, previo parere del COPASIR e sentito il CIC, sono definite le procedure per la stipula di contratti di appalti di lavori e forniture di beni e servizi per le attività dell’Agenzia finalizzate alla tutela della sicurezza nazionale nello spazio cibernetico, ferma restando la disciplina dell’articolo 162 del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 18 aprile 2016, n. 50.».

25Sep/24

Ley 151 de 15 de mayo de 2022 GOC-2022-861-O93 de Código Penal

25 septiembre, 2024Cuba, LeyActos del uso de medios y técnicas informáticas, Códigp Penal Cubano, datos, Derecho Cubano, Derecho Informático Cuba, Identidad de otra persona, Imagen, Información de carácter familiar, información de carácter personal, Información y Comunicación, Integridad de las Telecomunicaciones, Integridad Telecomunicaciones, Legislación Cuba, Legislación Informática Cuba, mensajes, Revelación Secreto Comunicaciones, Seguridad de las Telecomunicaciones, Señales Satelitales, sonido, Tecologías de la Información y la Comunicación, Televisivas y Radiales, video, Violación Comunicaciones, VozJosé Cuervo

Ley 151 de 15 de mayo de 2022 GOC-2022-861-O93 de Código Penal (Gaceta Oficial nº 93 Ordinaria de 1 de septiembre de 2022)

Ley 151/2022 “Código Penal” (GOC-2022-861-O93)

GACETA OFICIAL DE LA REPÚBLICA DE CUBA

MINISTERIO DE JUSTICIA

EDICIÓN ORDINARIA LA HABANA, JUEVES 1ro. DE SEPTIEMBRE DE 2022 AÑO CXX

ASAMBLEA NACIONAL DEL PODER POPULAR

JUAN ESTEBAN LAZO HERNÁNDEZ, Presidente de la Asamblea Nacional del

Poder Popular de la República de Cuba,

HAGO SABER: Que la Asamblea Nacional del Poder Popular, en sesión del día 15

de mayo de 2022, correspondiente al Quinto Período Extraordinario de Sesiones de la IX

Legislatura, ha aprobado lo siguiente:

POR CUANTO: La Constitución de la República ha generado un profundo proceso

legislativo para desarrollar sus postulados, por lo que corresponde elaborar un nuevo

Código Penal, cuyo contenido se atempere a los mandatos constitucionales y a las

nuevas disposiciones normativas que en esta materia se han aprobado.

POR CUANTO: Un Estado socialista de derecho y justicia social, como el proclamado en

la Constitución de la República, requiere desarrollar una norma penal que refleje en

esencia la lucha contra el delito y la delincuencia atendiendo a las condiciones políticas,

económicas y sociales de nuestro país.

POR CUANTO: El 29 de diciembre de 1987 se aprobó la Ley No. 62, Código Penal,

con el objetivo de actualizar y concentrar en un solo cuerpo jurídico las regulaciones

sustantivas de la Ley No. 21, de 15 de febrero de 1979, y otros textos penales; no

obstante, se produjeron modificaciones a su contenido para adecuarlo a los nuevos

escenarios internos y externos, provocando dispersión normativa en esta materia.

POR CUANTO: Resulta imprescindible que la nueva norma penal sustantiva integre,

en lo pertinente, lo previsto en los tratados internacionales vigentes para la República

de Cuba, con el fin de alcanzar una mayor efectividad y eficacia en la prevención y

enfrentamiento al delito.

POR TANTO: La Asamblea Nacional del Poder Popular, en correspondencia con

las atribuciones que le confiere el Artículo 108, inciso c) de la Constitución, aprueba la

LEY No. 151.- CÓDIGO PENAL

CAPÍTULO X.- ACTOS EN OCASIÓN DEL USO DE LOS MEDIOS Y TÉCNICAS INFORMÁTICAS

Artículo 168. Incurre en sanción de privación de libertad de diez a veinte años, quien, para facilitar cualquiera de los actos previstos en este título:

a) Con la utilización de equipos, medios, programas, redes informáticas o cualquier otra aplicación informática, intercepte, interfiera, use, altere, dañe, inutilice o destruya datos, información, documentos electrónicos, soportes informáticos, programas o sistemas de información y de comunicaciones o telemáticos, de servicios públicos, sociales, administrativos, de emergencia, de seguridad nacional o de cualquier otro tipo, de entidades nacionales, internacionales o de otro país; y

b) haga uso o permita la utilización de correo electrónico, otros servicios o protocolos de internet, o de cualquier equipo terminal de telecomunicaciones; cree, distribuya, comercie o tenga en su poder programas capaces de producir los efectos a que se refiere el inciso anterior.

TÍTULO IX.- DELITOS CONTRA LA INTEGRIDAD DE LAS TELECOMUNICACIONES,

LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN Y SUS SERVICIOS

CAPÍTULO I.- DELITOS CONTRA LA SEGURIDAD DE LAS TELECOMUNICACIONES,

LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN Y SUS SERVICIOS

Artículo 289. Quien, violando las medidas de seguridad informática legalmente establecidas, haga uso de los medios informáticos y sus soportes de información, programas y sistemas operativos o de aplicaciones u otras tecnologías de la información y la comunicación, las telecomunicaciones y sus servicios, y afecte la seguridad de los activos digitales, su confidencialidad, integridad y disponibilidad, incurre en sanción de privación de libertad de seis meses a dos años o multa de doscientas a quinientas cuotas, o ambas.

Artículo 290. Quien, sin la debida autorización, acceda o use un sistema informático, soporte de información, programa de computación o base de datos, o cualquier otra aplicación informática, o permita que otra persona lo haga, con el propósito de apoderarse, utilizar, conocer, revelar o difundir la información que se almacene, transmita o capture en o a través de estos, incurre en sanción de privación de libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas.

Artículo 291. Incurre en sanción de privación de libertad de seis meses a dos años o multa de doscientas a quinientas cuotas, o ambas, quien, sin estar debidamente autorizado:

a) Emplee equipos, medios tecnológicos o procedimientos que obstaculicen o impidan acceder a la utilización lícita de los sistemas informáticos, o afecten la transmisión o recepción de mensajes de auxilio o socorro, los servicios públicos o la defensa y la seguridad nacional; y

b) utilice programas u otros dispositivos para explorar o monitorear las telecomunicaciones, las tecnologías de la información y la comunicación y sus servicios, con el propósito de detectar vulnerabilidades de la seguridad en ellas, interrumpir los servicios u obtener información sobre su funcionamiento o los usuarios que la emplean.

Artículo 292. Incurre en sanción de privación de libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas, quien:

a) Realice cualquier acto con el propósito de vulnerar la seguridad de sistemas que utilicen tecnologías de información y la comunicación, las telecomunicaciones y sus servicios; y

b) preste servicios a tercero a sabiendas de que están destinados a lograr los fines señalados en el inciso anterior.

Artículo 293.1. Quien, sin la debida autorización y con el propósito de provocar daños o alguna alteración a un sistema informático o telemático, intercepte, manipule o interfiera este, incurre en sanción de privación de libertad de seis meses a dos años o multa de doscientos a quinientas cuotas, o ambas.

2. Se sanciona a privación de libertad de seis meses a un año o multa de cien a trescientas cuotas o ambas a quien, conociendo la ilicitud del acto previsto en el apartado anterior, o debiendo haberlo presumido, se beneficie de su resultado.

3. Si para ejecutar los actos previstos en el apartado 1 que antecede, se utilizan programas u otros recursos o medios para la obtención ilegal de contraseñas, accesos u otras aplicaciones informáticas similares, la sanción a imponer es de uno a tres años de privación de libertad o multa de trescientas a mil cuotas, o ambas.

Artículo 294. Incurre en sanción de privación de libertad de dos a cinco años o multa de quinientas a mil cuotas, o ambas, quien, con la intención de inutilizar total o parcialmente tecnologías de la información y las comunicaciones, las telecomunicaciones, su infraestructura, servicios y sistemas informáticos, produzca, utilice, trafique, adquiera, distribuya, instale, introduzca o extraiga del territorio nacional virus informáticos, códigos malignos u otras tecnologías de computación de efectos dañinos para la seguridad de aquellos.

CAPÍTULO II.- DIFUSIÓN ILEGAL DE SEÑALES SATELITALES, TELEVISIVAS Y RADIALES,

SERVICIOS DE TELECOMUNICACIONES U OTROS SIMILARES

Artículo 295.1. Incurre en sanción de privación de libertad de tres a ocho años, quien, sin estar legalmente autorizado, dirija, organice, distribuya, obtenga lucro o financie la difusión de señales satelitales, televisivas o radiales u otros servicios públicos de telecomunicaciones.

2. En igual sanción incurre quien comercialice o distribuya los medios, equipos o tecnologías, o facilite las actividades relacionadas en el apartado anterior.

CAPÍTULO III.- DISPOSICIONES COMPLEMENTARIAS

Artículo 296.1. Los delitos previstos en este título se sancionan, según lo establecido en cada caso, siempre que no constituyan otro de mayor entidad, así como con independencia de los que se cometan para su ejecución o en ocasión de ella.

2. Si, como resultado de la comisión de un delito previsto en este título, se produce un grave perjuicio, o se comete contra sistemas internacionales o de otro país, o se ponen en riesgo el normal funcionamiento y desarrollo de sistemas, sectores y servicios vitales o estratégicos para la defensa y la seguridad nacional o la información oficial clasificada, la sanción puede incrementarse hasta el doble en sus límites mínimo y máximo.

3. Cuando el interviniente en los delitos previstos en este título se trate de un funcionario, empleado u otra persona que tenga a su cargo la custodia, operación, seguridad o mantenimiento del sistema, red, base de datos, programa informático o los medios, equipos o tecnologías para la difusión de señales satelitales, televisivas o radiales, la sanción establecida puede incrementarse hasta en la mitad en sus límites mínimo y máximo.

4. A los declarados responsables de los delitos previstos en este Título se les puede imponer la sanción accesoria de confiscación de bienes.

CAPÍTULO III.-VIOLACIÓN Y REVELACIÓN DEL SECRETO DE LAS COMUNICACIONES

SECCIÓN PRIMERA.- Violación del secreto de las comunicaciones

Artículo 382.1. Quien, sin estar autorizado, abra o acceda a una carta, telegrama, despacho, correspondencia, mensaje, correo electrónico o cualquier otra forma de comunicación material o digital perteneciente a otro, es sancionado con privación de libertad de seis meses a un año o multa de cien a trescientas cuotas, o ambas.

2. La sanción es de privación de libertad de seis meses a dos años o multa de doscientas a quinientas cuotas, o ambas, si el hecho se comete:

a) Por un funcionario o empleado público, con abuso de su cargo; y

b) por motivo de enemistad, venganza u otro fin malicioso, o por motivo de discriminación contra la víctima en cualquiera de sus manifestaciones.

SECCIÓN SEGUNDA.- Revelación del secreto de las comunicaciones

Artículo 383.1. Quien, con el propósito de perjudicar a otra persona o de procurar para sí o para un tercero un beneficio, revele un secreto que conoce a través de carta, telegrama, despacho, correspondencia, mensaje, correo electrónico o cualquier otra forma de comunicación material o digital perteneciente a otro, es sancionado con privación de libertad de seis meses a dos años o multa de doscientas a quinientas cuotas, o ambas.

2. La sanción es de privación de libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas, si el hecho se comete:

a) Por un funcionario o empleado público, con abuso de su cargo; y

b) por motivo de enemistad, venganza u otro fin malicioso, o por motivo de discriminación contra la víctima en cualquiera de sus manifestaciones.

CAPÍTULO IX.- DISPOSICIONES COMPLEMENTARIAS

Artículo 389.1. En los delitos de amenazas, coacción y violación de domicilio previstos en los artículos 377, 378, 379 y 380 de este Código, se procede si media denuncia de la víctima o perjudicado o de su representante, excepto cuando se trate de hechos que sean consecuencia de la violencia de género o la violencia familiar.

2. Si la víctima o perjudicado o su representante desisten de su denuncia por escrito y en forma expresa, antes del juicio oral, se archivan las actuaciones, excepto que concurra alguna de las circunstancias siguientes:

a) Se compruebe que la denuncia fue retirada o desistida por haber sido constreñida la voluntad de la víctima o perjudicado o de quien tiene el derecho a presentarla;

b) se afecte el interés social o estatal;

c) la víctima o perjudicado se halle incapacitado para ejercer sus derechos; y

d) se trate de un menor de dieciocho años que carezca de representante legal, o los intereses de estos sean contrapuestos, en los cuales el fiscal puede sostener la denuncia.

TÍTULO XV.- DELITOS CONTRA EL HONOR

CAPÍTULO IV.- ACTOS CONTRA LA INTIMIDAD PERSONAL Y FAMILIAR, LA PROPIA

IMAGEN Y VOZ, IDENTIDAD DE OTRA PERSONA Y SUS DATOS

Artículo 393.1. Incurre en sanción de privación de libertad de seis meses a dos años o multa de doscientas a quinientas cuotas o ambas, quien, sin el consentimiento de otra persona y con el propósito de afectar su intimidad personal y familiar, su propia imagen y voz, o identidad, obtenga, facilite, reproduzca, divulgue, transmita o mantenga en su poder grabación o reproducción de sonido, foto o vídeo, mensajes o cualquier otra información de carácter personal o familiar de aquella.

2. Se sanciona de igual forma prevista en el apartado anterior, si el hecho se refiere a los datos personales de la víctima o a cualquier otra información relacionada con estos, que consten protegidos en registros, ficheros, archivos y bases de datos, de los cuales hayan sido recopilados u obtenidos con ese fin ilícito.

3. Los hechos previstos en el apartado anterior se sancionan con privación de libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas, cuando:

a) Sean cometidos por el responsable o la persona encargada de los registros, ficheros, archivos y bases de datos en los que obren;

b) se ejecuten mediante precio, recompensa o beneficio patrimonial de cualquier tipo;

c) se realicen por enemistad, venganza u otro fin malicioso, o con el objetivo de acosar a la víctima; y

d) si la reproducción, divulgación o transmisión se realiza en las redes sociales o medios de comunicación social, tanto en sus espacios físico como digital.

4. Incurre en sanción de dos a cinco años de privación de libertad o multa de quinientas a mil cuotas si se trata de datos personales, cuya utilización ilícita puede dar lugar a discriminación en cualquiera de sus manifestaciones, o implique distinción lesiva a la dignidad humana o conlleven un riesgo grave para la víctima, o esta fuera una persona menor de dieciocho años o en estado de discapacidad.

CAPÍTULO V.- DISPOSICIONES COMPLEMENTARIAS

Artículo 394.1. Los delitos de calumnia, injuria y actos contra la intimidad o la imagen, voz, datos o identidad de la persona solo son perseguibles en virtud de querella de la persona ofendida o de su representante legal cuando aquella sea menor de dieciocho años o en estado de discapacidad mental; y en caso de muerte del ofendido, por su cónyuge, pareja de hecho afectiva, los ascendientes o descendientes y los hermanos.

2. En los delitos previstos en el apartado anterior, cuando sean consecuencia de la violencia de género o la violencia familiar, la querella puede ser promovida por el cónyuge o pareja de hecho, pariente o persona allegada afectiva, siempre que se compruebe que la persona legitimada tiene la voluntad constreñida para ejercitar su derecho a la acción penal privada, debido a cualquier relación ilegítima de poder ejercida por el victimario.

3. En los delitos mencionados en el apartado 1 que antecede, cuando los hechos de violencia de género o violencia familiar tienen repercusión pública, se puede proceder además, por denuncia de cualquier persona, siempre que se compruebe que quienes están facultados para establecer la querella o para formular la denuncia tienen la voluntad constreñida por cualquier relación ilegítima de poder ejercida por el victimario.

4. La difamación requiere la denuncia de la parte ofendida; o si se refieren a una persona fallecida o declarada ausente, el derecho a denunciar corresponde a su cónyuge, pareja de hecho afectiva, los ascendientes o descendientes y los hermanos.

TÍTULO XVI.- DELITOS CONTRA LA LIBERTAD E INDEMNIDAD SEXUAL, LAS FAMILIAS Y EL DESARROLLO INTEGRAL DE LAS PERSONAS MENORES DE EDAD

CAPÍTULO I.- DELITOS CONTRA LA LIBERTAD E INDEMNIDAD SEXUAL DE LAS PERSONAS

SECCIÓN TERCERA.- Acoso y ultraje sexual

Artículo 397.1. Se sanciona con privación de libertad de seis meses a dos años o multa de doscientas a quinientas cuotas o ambas, a quien, directamente o a través de cualquier medio de comunicación, acose a otra persona con requerimientos sexuales para sí o para un tercero.

2. La sanción es de uno a tres años de privación de libertad o multa de trescientas a mil cuotas o ambas, si para ejecutar los actos previstos en el apartado anterior el comisor se aprovecha:

a) De una situación de vulnerabilidad de la víctima;

b) del poder, autoridad o ascendencia que tiene sobre la víctima; y

c) de su superioridad laboral, docente o de otro tipo análogo respecto a la víctima, anunciándole expresa o tácitamente la producción de un daño o perjuicio relacionado con las legítimas expectativas que pueda tener en el ámbito de dicha relación de superioridad, si rechaza la propuesta sexual.

3. En igual sanción que la prevista en el apartado anterior se incurre, si el hecho es consecuencia de la violencia de género o la violencia familiar, o por cualquier motivo discriminatorio.

4. Incurre en igual sanción que la prevista en el apartado 1 que antecede, quien realice públicamente exhibiciones o actos sexuales, que solo deben ocurrir en la intimidad.

Artículo 399.1. Quien produzca, oferte, comercie, procure a otro, difunda o transmita en cualquier tipo de soporte o medio, publicaciones, imágenes, grabaciones u otros objetos de carácter pornográficos, incurre en sanción de privación de libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas.

2. Si los hechos a que se refiere el párrafo anterior se realizan con pornografía de personas menores de dieciocho años o en estado de discapacidad mental, la sanción a imponer es de dos a cinco años de privación de libertad.

3. Incurre en sanción de privación de libertad de seis meses a un año o multa de cien a trescientas cuotas, o ambas, quien, con cualquiera de los propósitos previstos en el apartado 1, posea o tenga en su poder publicaciones, imágenes, grabaciones u otros objetos en cualquier tipo de soporte que sea contentivo de pornografía de personas menores de edad.

TÍTULO XVIII.- DELITOS CONTRA LA CREACIÓN INTELECTUAL

CAPÍTULO I.- DELITOS CONTRA LA CREACIÓN LITERARIA Y ARTÍSTICA

Artículo 428.1. Quien, de propósito, usurpe la condición de autor de una obra literaria o artística o la condición de artista de una interpretación o ejecución de una obra, o modifique sustancialmente estas, sin la autorización de su autor o artista o persona autorizada, y cause un grave perjuicio al autor o al artista, incurre en sanción de privación de libertad de seis meses a un año o multa de cien a trescientas cuotas, o ambas.

2. En igual sanción incurre quien, de propósito y de forma no autorizada, reproduzca, distribuya, importe, exporte o almacene ejemplares de obras en cantidades o valor de gran trascendencia económica, y cause un grave perjuicio a los titulares de los derechos sobre las obras.

3. Los hechos previstos en los apartados anteriores se sancionan con privación de libertad de seis meses a dos años o multa de doscientas a quinientas cuotas, o ambas, si:

a) Están vinculados con la delincuencia organizada transnacional u otras formas de organización creadas para esos propósitos; o

b) se cometen a escala comercial y a través de medios o sistemas informáticos.

4. En los casos previstos en los apartados anteriores solo se procede si media denuncia de la víctima o perjudicado; no obstante, si desiste de su denuncia, por escrito y, en forma expresa, antes del juicio oral, o verbalmente durante su celebración dejando constancia en acta, se archivan las actuaciones.

——————————————————————————————–

LIBRO I.- PARTE GENERAL

TÍTULO I.- DISPOSICIONES PRELIMINARES

Artículo 1.1. Este Código tiene como objetivos:

a) Proteger a la sociedad, a las personas y al orden político, económico y social

establecido en la Constitución;

b) salvaguardar las formas de propiedad, los bienes y derechos reconocidos en la

norma constitucional y las demás leyes; y

c) contribuir a formar en todos los ciudadanos la conciencia del respeto a la legalidad

socialista, del ejercicio adecuado de sus derechos y el cumplimiento de sus deberes,

del orden y la disciplina, así como de la correcta observancia de las normas de

convivencia social.

2. A los efectos antes expuestos, especifica los actos socialmente lesivos que son

constitutivos de delito y establece las sanciones aplicables a cada caso; define las

medidas de seguridad posdelictivas y los presupuestos para su aplicación.

3. En la materia regulada por la presente Ley, rige el principio de lesividad social,

mediante el cual, para imponer una sanción, se requiere que el hecho produzca una

lesión a los bienes jurídicos tutelados por la ley, o los ponga en peligro o riesgo de

provocarla.

4. Son de aplicación los demás principios que dimanan de la Constitución, los prescritos

en los tratados internacionales en vigor en el país, según correspondan, y los demás que

se desarrollan en este Código.

Artículo 2.1. Solo constituyen delitos los actos expresamente previstos en la ley

vigente, con anterioridad a su comisión.

2. Las sanciones que se imponen en el proceso penal son las establecidas en la ley

Vigente con anterioridad al acto punible; y, en cuanto a las medidas de seguridad, se

imponen las que dispone la ley en vigor en el momento en que el tribunal dicte la

resolución.

3. Se prohíbe la analogía para crear delitos, determinar un estado peligroso posdelictivo o

establecer penas o medidas de seguridad, según corresponda.

TÍTULO II.- EFICACIA DE LA LEY PENAL

CAPÍTULO I.- EFICACIA DE LA LEY PENAL EN EL TIEMPO

Artículo 3.1. La ley penal aplicable es la vigente en el momento de la comisión del delito,

no obstante, esta Ley es de aplicación al hecho delictivo cometido con anterioridad a su

vigencia si es más favorable al imputado o acusado.

2. Si, de acuerdo con esta Ley, el hecho sancionado en una sentencia pronunciada con

anterioridad a su vigencia deja de ser delito, la sanción impuesta y sus demás efectos se

extinguen de pleno derecho, e iguales efectos se producen respecto al caso en el que la

persona se encuentra sujeta a período de prueba por sobreseimiento condicionado.

3. Si con posterioridad a la firmeza de la sentencia, esta Ley resulta más favorable para

el sancionado, el tribunal sustituye la sanción impuesta por la que corresponda de

acuerdo con la nueva ley, partiendo del hecho declarado probado en aquella resolución;

similar proceder se sigue en el caso de que el hecho haya sido sobreseído

condicionadamente y la persona aún se encuentre sujeta a período de prueba.

4. En cuanto a las medidas de seguridad posdelictivas, cuando la nueva ley favorezca a la

persona ya asegurada, resulta de aplicación, el proceder establecido en los apartados 2 y

3 que anteceden.

CAPÍTULO II.- EFICACIA DE LA LEY PENAL EN EL ESPACIO

Artículo 4.1. Este Código Penal es aplicable a:

a) Los delitos cometidos en todo el territorio nacional, integrado por la Isla de Cuba, la

Isla de la Juventud, las demás islas y cayos adyacentes, las aguas interiores y el mar

territorial en la extensión que fija la ley de conformidad con el derecho internacional,

el espacio aéreo que sobre estos se extiende y el espectro radioeléctrico;

b) los hechos delictivos ejecutados a bordo de nave o aeronave cubana, en cualquier

lugar en que se encuentre, salvo las excepciones establecidas por los tratados

internacionales en vigor para la República de Cuba; y

c) los ilícitos penales contra el medio ambiente y los recursos naturales, tanto vivos

como no vivos, del lecho y de las aguas suprayacentes al mar territorial, y del subsuelo

del mar de la zona económica exclusiva de la República y la plataforma continental,

en la extensión que fija la ley de conformidad con el Derecho Internacional.

2. También es aplicable a los delitos cometidos a bordo de medio naval extranjero que

se encuentre en el mar territorial cubano, cuando:

a) Produzcan consecuencias para el Estado cubano;

b) perturben o puedan perturbar la paz del país o el orden en el mar territorial;

c) el capitán de la nave o un agente diplomático o funcionario consular del Estado del

pabellón de esta, haya solicitado la asistencia de las autoridades cubanas; y

d) sea necesario para la represión de los delitos perseguibles en virtud de los tratados

internacionales en vigor para la República de Cuba.

3. Además, resulta aplicable a los delitos cometidos a bordo de aeronave extranjera en

vuelo en el territorio nacional y el espacio aéreo que se extiende sobre el mismo, cuando:

a) Una parte o la totalidad de los efectos del hecho se produzcan en este, incluido su

espacio aéreo;

b) haya sido cometido por un ciudadano cubano o en su contra, o si es una persona con

residencia permanente en el país;

c) afecten la seguridad del Estado;

d) constituyan una violación de los reglamentos vigentes en el país, sobre vuelo o

maniobra de las aeronaves; y

e) resulte necesario ejercer la jurisdicción penal para cumplir obligaciones contraídas

por el Estado cubano, de conformidad con los tratados internacionales en vigor para

la República de Cuba.

4. No obstante lo dispuesto en los apartados 2 y 3, el Estado extranjero puede reclamar

el conocimiento del proceso iniciado por los órganos competentes cubanos y la entrega

del imputado o acusado, de acuerdo con lo que al efecto se haya establecido en los

tratados internacionales en vigor para la República de Cuba.

5. Un delito se considera cometido en territorio cubano si la persona realiza en él actos

preparatorios o de ejecución, aunque el resultado se haya producido en el extranjero, o

viceversa.

6. Las cuestiones que se susciten con motivo de delitos cometidos en territorio cubano

por diplomáticos o ciudadanos extranjeros, excluidos de la jurisdicción de los tribunales

cubanos por tratados internacionales en vigor para la República de Cuba, se resuelven

por la vía diplomática.

7. Estas reglas son aplicables a los delitos cometidos por las personas naturales y

jurídicas, a estas últimas cuando les resulte pertinente.

Artículo 5.1. La ley penal cubana es aplicable a los cubanos y personas sin ciudadanía

residentes en Cuba, que cometan un delito en el extranjero, si se encuentran en Cuba o

son extraditados.

2. La ley penal cubana es aplicable a los cubanos que cometan un delito en el extranjero

y sean entregados a Cuba para ser juzgados por sus tribunales, en cumplimiento de

tratados internacionales en vigor para la República de Cuba.

3. La ley penal cubana es aplicable a los extranjeros y personas sin ciudadanía no

residentes en Cuba que cometan un delito en el extranjero, si se encuentran en Cuba y no

son extraditados, tanto si residen en el territorio del Estado en que se perpetran los actos

como en cualquier otro Estado y siempre que el hecho sea punible también en el lugar

de su comisión; este último requisito no es exigible si el acto constituye un delito contra

los intereses fundamentales, políticos o económicos de la República de Cuba, o contra la

humanidad, la dignidad humana o la salud colectiva, o es perseguible en virtud de

tratados internacionales en vigor para la República de Cuba. En estos casos solo se

procede a instancia del Ministro de Justicia.

4. La sanción o la parte de ella que el sancionado haya cumplido en el extranjero por el

mismo delito, se le abona a la impuesta por el tribunal cubano; pero si, dada la diversidad

de clases de ambas sanciones, esto no es posible, el cómputo se hace de la manera que

el tribunal considere más justa.

Artículo 6.1. El Estado cubano puede extraditar a sus ciudadanos cuando se trate de:

a) Un cubano que también ostenta la ciudadanía del Estado requirente;

b) un cubano que resida permanentemente en el Estado requirente; o

c) un extranjero que haya adquirido la ciudadanía cubana antes, durante o después de

cometer el hecho punible por el que se le reclama.

2. La extradición de extranjeros, personas sin ciudadanía y ciudadanos cubanos en los

casos previstos en el apartado anterior, se lleva a cabo de conformidad con lo establecido

en la ley cubana, los tratados internacionales en vigor para la República de Cuba y, en su

defecto, aplicando el principio de reciprocidad, siempre que se respeten los derechos y

garantías de los ciudadanos.

TÍTULO III.- DELITO

CAPÍTULO I.- CONCEPTO DE DELITO

Artículo 7. Constituye delito toda acción u omisión socialmente lesiva y culpable,

sancionada por la ley.

CAPÍTULO II.- DELITOS INTENCIONALES Y CULPOSOS

Artículo 8.1. El delito puede ser cometido de forma intencional o culposa.

2. El delito es intencional cuando la persona realiza consciente y voluntariamente la

acción u omisión socialmente lesiva y ha querido su resultado, o cuando sin querer el

resultado, prevé la posibilidad de que se produzca y asume este riesgo.

3. El delito es culposo cuando la persona infringe un deber de cuidado objetivo que

personalmente le es exigible y ocasiona un resultado lesivo que le era evitable y no

deseado.

4. Responde penalmente quien omite impedir la realización del hecho punible, sí:

a) Tiene el deber jurídico de impedirlo, o si crea un peligro inminente que sea capaz

de producirlo; y

b) la omisión corresponde al delito, mediante un hacer.

5. Si, como consecuencia de la acción u omisión, se produce un resultado más grave

que el querido, determinante de una calificación y sanción más severa, esta se impone

solamente si la persona pudo o debió prever dicho resultado.

6. No obstante lo dispuesto en el apartado anterior, si las circunstancias concurrentes

en el caso lo permiten, el tribunal puede rebajar la sanción correspondiente al resultado

más grave hasta en un tercio de sus límites mínimo y máximo.

CAPÍTULO III.- UNIDAD Y PLURALIDAD DE ACCIONES Y DELITOS

Artículo 9.1. Se consideran un solo delito:

a) Los distintos actos delictivos cuando uno de ellos sea medio necesario e

imprescindible para cometer otro; y

b) las distintas violaciones penales que surjan de un mismo acto.

2. En estos casos, la sanción imponible es la correspondiente al delito más grave.

Artículo 10.1. Se consideran un solo delito de carácter continuado las diversas conductas

delictivas cometidas por una misma persona que ataquen el mismo bien jurídico, guarden

similitud en la ejecución y tengan una adecuada proximidad en el tiempo, en este caso,

se aumenta el límite mínimo de la sanción imponible en una cuarta parte y el máximo en

la mitad, tomando en cuenta lo previsto en el apartado 4 del Artículo 34 de este Código.

2. Cuando diferentes conductas delictivas afectan derechos inherentes a la persona

misma, también tienen el carácter de continuadas y constituyen un solo delito, siempre

que atenten contra la misma víctima.

Artículo 11.1. Se consideran delitos independientes la pluralidad de acciones que

tienen como único vínculo la persona que interviene en ellas, siempre que no existan

otras situaciones concursales.

2. En el concurso real al que se refiere el apartado anterior, cada delito se sanciona con

independencia de los demás y se forma la sanción conjunta correspondiente, conforme a

las reglas de adecuación establecidas para el caso.

CAPÍTULO IV.- SOLUCIONES DEL CONFLICTO DE NORMAS

Artículo 12. Cuando se aprecie que un mismo hecho puede ser calificado como

delitos diferentes, el conflicto de normas se resuelve aplicando las reglas de

especialidad, consunción y subsidiaridad.

CAPÍTULO V.- DELITO CONSUMADO, TENTATIVA Y ACTOS PREPARATORIOS

Artículo 13.1. Son sancionables el delito consumado y la tentativa; en el caso de los

actos preparatorios se sancionan únicamente cuando así se establece específicamente

en la parte especial de este Código.

2. Se considera consumado cuando el hecho realizado se corresponde de manera exacta

con la figura delictiva prevista en el Código.

3. Se considera tentativa si la persona ha comenzado la ejecución de un delito,

mediante acciones exteriores, practicando todos o parte de los actos que objetivamente

deben producir el resultado, sin llegar a consumarlo.

4. Los actos preparatorios comprenden la organización de un plan, la adquisición o

adaptación de medios o instrumentos, la reunión, la asociación o el desarrollo de

cualquier otra actividad encaminada inequívocamente a la perpetración del delito.

5. La tentativa y los actos preparatorios se consideran como tales siempre que no

constituyan, de por sí, otro delito más grave.

Artículo 14.1. No es sancionable la tentativa cuando la persona espontáneamente

desiste del acto o evita su resultado.

2. Tampoco son sancionables los actos preparatorios cuando la persona

Espontáneamente desiste de ellos, especialmente destruyendo los medios dispuestos,

anulando la posibilidad de hacer uso de estos en el futuro o poniendo el hecho en

conocimiento de las autoridades.

3. Lo dispuesto en los apartados anteriores no exonera de responsabilidad a la persona

si, como resultado de su conducta, comete cualquier otro delito.

CAPÍTULO VI.- TENTATIVA INIDÓNEA

Artículo 15. Si por los actos realizados, por el medio empleado por la persona para

intentar la perpetración del delito o por el objeto respecto al cual ha intentado la

ejecución, el delito manifiestamente no podía haberse cometido, el tribunal puede

atenuar libremente la sanción sin ajustarse a su límite mínimo y aun eximirla de ella, en

caso de evidente ausencia de lesividad social.

CAPÍTULO VII.- LUGAR Y TIEMPO DE LA ACCIÓN

Artículo 16.1. El lugar de la comisión de un delito es aquel en el cual la persona ha

actuado o ha omitido la obligación de actuar o en el que se produzcan sus efectos.

2. El momento de la comisión de un delito es aquel en el cual la persona ha actuado o

ha omitido la obligación de actuar, independientemente del momento en que el resultado

se produzca.

3. La tentativa y los actos preparatorios se consideran cometidos en el lugar en que la

persona ha actuado o en el que, según su intención, los efectos debían producirse.

4. La tentativa y los actos preparatorios se consideran cometidos en el momento en que

la persona ha actuado.

TÍTULO IV.- RESPONSABILIDAD PENAL

CAPÍTULO I.- PERSONAS PENALMENTE RESPONSABLES

Artículo 17. La responsabilidad penal es exigible a las personas naturales y jurídicas.

SECCIÓN PRIMERA.- Personas naturales

Artículo 18.1. La responsabilidad penal es exigible a la persona natural si al momento

de cometer el hecho punible tiene cumplidos los dieciséis años de edad.

2. A la persona con dieciséis y menos de dieciocho años de edad se le exige

Responsabilidad penal si:

a) Se trata de hechos delictivos que afecten bienes jurídicos con especial connotación;

b) para la ejecución del delito utiliza medios o modos que denoten desprecio por la

vida humana o demuestra notorio irrespeto a los derechos de los demás; o

c) sea reiterativa en la comisión de hechos delictivos.

3. En el caso de personas entre dieciséis años de edad cumplidos y menos de dieciocho

años al momento de cometer el hecho que sean declaradas responsables de delitos, los

límites mínimos y máximos de las sanciones pueden ser reducidos hasta la mitad; y con

respecto a las de dieciocho a veinte años de edad, hasta en un tercio, en ambos casos,

predomina el propósito de reinsertar socialmente al sancionado, adiestrarlo en una

profesión u oficio e inculcarle el respeto al orden legal.

4. En el caso de personas que tengan más de sesenta años de edad en el momento

en que se les juzga, el límite mínimo de las sanciones de privación de libertad puede

rebajarse hasta en un tercio.

SECCIÓN SEGUNDA.- Personas jurídicas

Artículo 19.1. La responsabilidad penal es exigible a las personas jurídicas

por la comisión de los delitos cometidos en su nombre, cuando sean perpetrados por

acuerdo de su órgano de gobierno o de dirección o por su representante, sin perjuicio

de la responsabilidad penal individual en que hayan incurrido las personas naturales

intervinientes en el hecho punible.

2. A los efectos de este Código le es exigible responsabilidad penal a las personas

jurídicas no estatales constituidas de conformidad con los requisitos establecidos en las

leyes; se excluyen las organizaciones políticas, sociales y de masas reconocidas en la

Constitución y demás leyes.

3. La transformación, fusión, absorción o escisión de una persona jurídica no extingue

su responsabilidad penal; esta se entenderá trasladada a la entidad o entidades en que

se transforme, quede fusionada o absorbida y se extiende a aquellas que resulten de la

escisión; el tribunal, atendiendo a la proporción en que tengan lugar los procesos antes

referidos, determina el traslado o adecua la extensión de la sanción.

4. La disolución ficticia o simulada de la persona jurídica no extingue su responsabilidad

penal, al continuar realizando sus actividades, negocios u operaciones con todos los

efectos que ello implica.

CAPÍTULO II.- INTERVENCIÓN EN EL DELITO

Artículo 20.1. La responsabilidad penal es exigible a los autores, partícipes y cómplices.

2. Son autores quienes ejecutan el hecho:

a) Por sí mismos;

b) organizan el plan del delito y su ejecución;

c) conjuntamente con otra u otras personas; o

d) por medio de otro que no es autor o partícipe, o es inimputable, o no responde

penalmente del delito por haber actuado bajo violencia o coacción, o en virtud de

error al que fue inducido.

3. Son partícipes quienes:

a) Determinan a otro penalmente responsable a cometer un delito;

b) cooperan en la ejecución del hecho delictivo mediante actos sin los cuales no

hubiera podido cometerse; o

c) intervienen en el hecho delictivo en cualquiera de las formas previstas en el apartado

anterior, sin ostentar la condición de sujeto especial que exige el delito.

4. Son cómplices quienes:

a) Alientan a otro para que persista en su intención de cometer un delito;

b) proporcionan o facilitan informes o medios o dan consejos para la mejor ejecución

del hecho punible;

c) antes de la comisión del delito, le prometen al autor o partícipe ocultarlo, suprimir

las huellas dejadas u ocultar los objetos obtenidos; y

d) fuera del caso previsto en el inciso b) del apartado anterior, cooperan en la ejecución

del delito de cualquier otro modo.

Artículo 21. En los delitos contra la humanidad, la dignidad humana, la salud colectiva

o en los previstos en los tratados en vigor para la República de Cuba que así lo tengan

establecido, son autores todos los responsables penalmente, con independencia de su

modo y forma de intervención en el hecho.

CAPÍTULO III.- EXIMENTES DE LA RESPONSABILIDAD PENAL

SECCIÓN PRIMERA.- Enfermedad mental

Artículo 22.1. Está exento de responsabilidad penal quien comete el hecho delictivo,

como consecuencia de un trastorno mental permanente o transitorio, o desarrollo mental

retardado, que lo incapacita en el momento del hecho para comprender el carácter ilícito

de su acción u omisión y dirigir su conducta.

2. Los límites de la sanción fijados por la ley se reducen a la mitad si en el momento

de la comisión del delito el responsable tiene sustancialmente disminuida su facultad

para comprender el carácter ilícito de su acción u omisión y dirigir su conducta.

3. Las disposiciones de los apartados anteriores no se aplican si con el propósito de

cometer el delito, el interviniente se ha colocado voluntariamente en estado de trastorno

mental transitorio por la ingestión de bebidas alcohólicas, drogas u otras sustancias de

efectos similares, ni en ningún otro caso en que pudiera haber previsto las consecuencias

de su acción.

SECCIÓN SEGUNDA.- Legítima defensa

Artículo 23.1. Está exento de responsabilidad penal quien obra en legítima defensa de

su persona o derechos.

2. Obra en legítima defensa quien impide o repele una agresión ilegítima, inminente o

actual y sin que esta haya sido suficientemente provocada, si concurren, además, los

requisitos siguientes:

a) Necesidad objetiva de la defensa; y

b) proporcionalidad entre la agresión y la defensa, determinada en cada caso con

criterios razonables, según las circunstancias de personas, medios, tiempo y lugar.

3. Está igualmente exento de responsabilidad penal quien defiende a un tercero en

las condiciones y con los requisitos exigidos en el apartado 2 que antecede, aunque la

agresión haya sido provocada, si el defensor no intervino en la provocación.

4. Asimismo, obra en legítima defensa quien impide o repele en forma proporcional un

peligro o un daño inminente o actual a la paz pública o a los bienes o intereses sociales

del Estado.

5. Si quien repele la agresión se excede en los límites de la legítima defensa y

especialmente, si usa un medio de defensa desproporcionado en relación con el peligro

suscitado por el ataque, el tribunal puede rebajar la sanción hasta en dos tercios de su

límite mínimo, y si se ha cometido este exceso a causa de la excitación o la emoción

violenta provocada por la agresión, puede prescindir de imponerle sanción alguna.

SECCIÓN TERCERA.- Estado de necesidad

Artículo 24.1. Está exento de responsabilidad penal quien obra con el fin de evitar un

peligro inminente que amenace su propia persona o la de otro, un bien social o individual,

cualquiera que este sea, si el peligro no podía ser evitado de otro modo ni fue provocado

intencionalmente por el interviniente, y siempre que el bien sacrificado sea de valor

inferior que el salvado.

2. En el caso previsto en el apartado anterior, cuando los bienes en conflicto sean de

igual valor, se le puede eximir de responsabilidad penal siempre que no se le haya podido

exigir una actuación diferente.

3. Si es el propio interviniente quien provoca el riesgo o peligro por su actuar

imprudente o si se excede en los límites del estado de necesidad, el tribunal puede

rebajar la sanción hasta en dos tercios, o si las circunstancias del hecho lo justifican,

eximirlo de responsabilidad.

4. No es apreciable el estado de necesidad si el interviniente tiene el deber de afrontar

el peligro que amenace a su persona.

SECCIÓN CUARTA.- Error

Artículo 25.1. El error sobre un elemento constitutivo del tipo penal, si fuera invencible,

excluye la responsabilidad penal; si fuera vencible, se exige responsabilidad a título de

delito culposo, de ser esto posible.

2. El error, invencible o vencible, sobre un elemento que cualifique el delito o sobre

una circunstancia agravante, impide su apreciación.

3. Está exento de responsabilidad penal quien comete el delito sin comprender la

ilicitud de su acción u omisión, ya sea porque desconozca la existencia, alcance o validez

de la prohibición, o porque crea, equivocadamente, que su conducta está permitida por

concurrir una causa que la justifique.

4. En el caso del apartado anterior, si el error fuera vencible, la sanción se atenúa

conforme a las reglas de adecuación previstas para los delitos culposos.

5. El error de prohibición directo no se aprecia cuando la persona tenga el deber de

conocer la prohibición.

Artículo 26. Cuando por error o por otro accidente, se comete un delito en perjuicio

de persona distinta de aquella contra quien iba dirigida la acción, no se tiene en cuenta la

condición de la víctima para aumentar la gravedad de la sanción.

SECCIÓN QUINTA.- Cumplimiento de un deber o el ejercicio de un derecho

Artículo 27.1. Está exento de responsabilidad penal quien comete el hecho delictivo

al obrar en cumplimiento de un deber o en el ejercicio legítimo de su derecho, profesión,

cargo u oficio.

2. También está exento de sanción penal quien comete el delito en virtud de la obediencia

debida que viene impuesta por la ley al interviniente, siempre que el hecho ejecutado se

encuentre entre las facultades del que lo ordena y su ejecución entre las obligaciones de

quien lo ha cometido.

3. En caso de exceso en los límites de la obediencia al afrontar alguna de las situaciones

anteriores, el tribunal puede aplicar la atenuación extraordinaria de la sanción.

SECCIÓN SEXTA.- Miedo insuperable o intenso

Artículo 28.1. Está exento de responsabilidad penal quien obra impulsado por miedo

insuperable de un mal ilegítimo, inmediato e igual o mayor que el que se produce.

2. Cuando el mal temido es menor que el que se produce, pero causa al agente, por sus

circunstancias personales, un miedo intenso determinante de su acción, el tribunal

puede rebajar hasta en dos tercios el límite mínimo de la sanción imponible.

TÍTULO V.- SANCIONES

CAPÍTULO I.- FINES DE LA SANCIÓN

Artículo 29.1. La sanción tiene por finalidad prevenir la comisión de nuevos delitos,

reprimir por el delito cometido y reinsertar socialmente al sancionado sobre la base

de los principios de estricto cumplimiento de las leyes y de respeto a las normas de

convivencia social.

2. En el caso de las personas jurídicas como sujetos penalmente responsables, la

sanción, además de los fines preventivos y punitivos, persigue restablecer la capacidad

organizativa de la entidad y encauzarla en los propósitos para los que fue creada.

CAPÍTULO II.- CLASES DE SANCIONES

SECCIÓN PRIMERA.- Sanciones aplicables a las personas naturales

Artículo 30.1. Las sanciones aplicables a las personas naturales pueden ser principales,

accesorias y mixtas.

2. Las sanciones principales pueden ser autónomas y alternativas, mientras que las

accesorias son aquellas que pueden ser aplicadas cuando se haya impuesto previamente

alguna sanción principal, a la cual se vinculan, y en los demás casos en que este Código

lo establece expresamente con el carácter de mixtas.

3. Las sanciones principales son las siguientes:

a) Muerte;

b) privación de libertad;

c) trabajo correccional con internamiento;

d) reclusión domiciliaria;

e) trabajo correccional sin internamiento;

f) servicio en beneficio de la comunidad;

g) limitación de libertad;

h) multa; y

i) amonestación.

4. En el caso de las sanciones de trabajo correccional con internamiento, reclusión

domiciliaria, trabajo correccional sin internamiento y limitación de libertad puede

considerarse su forma de cumplimiento, mediante el estudio o superación.

5. Las sanciones accesorias son las siguientes:

a) Privación de derechos;

b) privación o suspensión de la responsabilidad parental, remoción de la tutela y la

revocación del apoyo intenso para personas con discapacidad;

c) prohibición del ejercicio de una profesión, cargo u oficio;

d) suspensión o cancelación de la licencia de conducción, o inhabilitación para

conducir vehículos;

e) cancelación de la licencia de arma de fuego;

f) denegación de permisos o autorizaciones para navegar o para el movimiento de

buques, embarcaciones y artefactos navales;

g) prohibición de frecuentar lugares determinados;

h) destierro y confinamiento;

i) comiso;

j) confiscación de bienes;

k) expulsión de extranjeros del territorio nacional;

l) suspensión o cancelación definitiva de la autorización, permiso o licencia para el

ejercicio de actividades económicas u otras de similar naturaleza;

m) cierre forzoso de establecimiento;

n) prohibición de acercamiento a la víctima, perjudicado, familiares o personas

allegadas afectivamente; y

ñ) prohibición de salida del territorio nacional.

Artículo 31.1. De conformidad con lo previsto en el apartado 2 del artículo anterior, se

consideran sanciones:

a) Autónomas, las sanciones principales de muerte, privación de libertad y multa;

b) alternativas:

b.1) las de trabajo correccional con internamiento, reclusión domiciliaria, trabajo

correccional sin internamiento y limitación de libertad; de la privación de

libertad que no exceda de cinco años;

b.2) la de servicio en beneficio de la comunidad, que se aplica cuando la de privación

de libertad impuesta no supere los tres años;

b.3) la amonestación de la de multa;

c) mixtas, las sanciones accesorias previstas en los incisos c), d), f), g), h), i), j), k),

l), m) y ñ) del apartado 5 del Artículo 30 de este Código, que se pueden aplicar

en lugar de las principales, de acuerdo a lo establecido en los apartados 6 y 7 del

presente artículo.

2. Cuando el tribunal imponga una sanción superior a cinco años de privación de

libertad, sin que supere los ocho años, excepcionalmente, puede aplicar alguna de las

alternativas a las que se refiere el inciso b.1) del apartado anterior, excepto cuando:

a) Se trate de un hecho delictivo que afecte bienes jurídicos con especial connotación;

b) el delito haya sido cometido por funcionario o empleado público con abuso de

sus funciones y atribuciones o esté vinculado a la corrupción administrativa o

económica, con las drogas ilícitas o sustancias de efectos similares; o

c) con esa decisión judicial se vulneren los presupuestos legales establecidos en los

apartados 4 y 5 del presente artículo.

3. A los efectos de la determinación del rigor de las sanciones alternativas, este se

Deduce de su ubicación taxativa en orden descendente desde el inciso c) al g) del

apartado 3 del artículo anterior.

4. Para imponer cualquiera de las sanciones señaladas en los incisos b) y c) del apartado

1 de este artículo, el tribunal tiene en cuenta que:

a) Su objetivo principal es prescindir de la aplicación innecesaria de la de privación de

libertad;

b) la misma sea compatible con la naturaleza del delito, y con las condiciones

personales, antecedentes penales y de conducta, necesidades y posibilidades de

reinserción social de quien la recibe; y

c) la sociedad y particularmente la víctima o perjudicado por el delito, queden

protegidos, evitando lesionar los derechos de estos últimos, a cuyo efecto puede ser

escuchado su criterio en los casos que corresponda.

5. Las sanciones alternativas de reclusión domiciliaria, trabajo correccional sin

internamiento, servicio en beneficio de la comunidad y limitación de libertad no se

aplican a quienes, durante los cinco años anteriores, hayan sido sancionados a privación

de libertad por un término mayor de un año, a menos que circunstancias excepcionales lo

hagan aconsejable a juicio del tribunal.

6. En los delitos, cuyo marco legal prevé hasta un año de privación de libertad, el

tribunal la sustituye preferentemente por una sanción alternativa o mixta, de las que se

cumplen en libertad, excepto que se aprecien circunstancias excepcionales que

aconsejen racionalmente el internamiento de la persona.

7. En los delitos culposos y en los intencionales con un marco sancionador que no

exceda los cinco años de privación de libertad o multa hasta mil cuotas o ambas, en

lugar de la sanción principal, el tribunal puede imponerle a la persona responsable una o

varias de las sanciones accesorias a las que se le concede el carácter de mixtas; sin que

esta facultad pueda ser aplicada cuando concurran en el caso las excepciones

establecidas en el apartado 2 de este artículo, en lo que resulten pertinentes.

SECCIÓN SEGUNDA.- Sanciones aplicables a las personas jurídicas

Artículo 32.1. Las sanciones aplicables a las personas jurídicas pueden ser principales y

accesorias.

2. Las sanciones principales son las siguientes:

a) Disolución;

b) clausura temporal;

c) prohibición para desarrollar determinadas actividades o negocios;

d) intervención; y

e) multa.

3. Las sanciones accesorias son las siguientes:

a) Publicación de la sentencia sancionadora;

b) cancelación de la licencia de arma de fuego;

c) denegación de permisos o autorizaciones para navegar o para el movimiento de

buques, embarcaciones y artefactos navales;

d) comiso;

e) confiscación de bienes; y

f) suspensión o pérdida de facilidades y beneficios económicos, financieros, tributarios

o de otro tipo que le hayan sido otorgados por el Estado.

CAPÍTULO III.- SANCIONES PRINCIPALES APLICABLES A LAS PERSONAS NATURALES

SECCIÓN PRIMERA.- Sanción de muerte

Artículo 33.1. La sanción de muerte se ejecuta por fusilamiento y solo se aplica,

excepcionalmente por el tribunal, en las formas más graves de consumación de los

delitos para los que está establecida.

2. La sanción de muerte no se impone a las personas menores de veinte años de edad

ni a las mujeres que cometieron el hecho estando embarazadas o que lo estén al

momento de dictarse la sentencia.

SECCIÓN SEGUNDA.- Privación de libertad

Artículo 34.1. La sanción de privación de libertad puede ser perpetua o temporal.

2. La privación perpetua de libertad implica el internamiento de por vida del sancionado

En establecimiento penitenciario; puede imponerse como sanción principal en los delitos

en que expresamente está establecida y cuando se imponga la de muerte y esta se

conmute por el Consejo de Estado.

3. La sanción de privación perpetua de libertad no puede ser impuesta a las personas

menores de veinte años de edad al momento de cometer el hecho punible ni mayores de

sesenta y cinco años cumplidos al momento de ser juzgada.

4. El límite máximo de la sanción de privación temporal de libertad es treinta años,

excepcionalmente, en los supuestos de delito continuado y agravación extraordinaria,

este puede extenderse hasta cuarenta años de privación de libertad, cuando el ilícito

penal calificado prevé como sanción a imponer la de treinta años de privación de libertad.

5. En el caso de la sanción conjunta, se puede extender hasta cuarenta años si alguno de

los delitos calificados prevé como sanción a imponer la de treinta años de privación

de libertad.

6. Cuando la persona sea menor de dieciocho años de edad al momento de ser juzgada,

la sanción de privación temporal de libertad no puede rebasar los veinte años; no

obstante, en el caso de que sea objeto de sanción conjunta, esta puede ser extendida

hasta treinta años si alguno de los delitos calificados prevé esta como sanción.

SECCIÓN TERCERA.- Trabajo correccional con internamiento

Artículo 35.1. La sanción de trabajo correccional con internamiento es aplicable

cuando por la índole del delito, sus circunstancias y las características individuales del

sancionado, existen razones fundadas para estimar que su reinserción social es

susceptible de obtenerse por medio del trabajo.

2. El tribunal, al aplicar la sanción de trabajo correccional con internamiento, le impone

al sancionado las obligaciones siguientes:

a) Demostrar, con su actitud en el lugar de internamiento al que se le destina, que

ha comprendido las consecuencias desfavorables derivadas del hecho delictivo

cometido; y

b) emplear los ingresos provenientes de su trabajo para el cuidado y manutención

de su familia, así como para el cumplimiento de las obligaciones impuestas en la

sentencia y otras obligaciones legalmente establecidas.

SECCIÓN CUARTA.- Reclusión domiciliaria

Artículo 36.1. La sanción de reclusión domiciliaria consiste en la obligación del

sancionado de permanecer en su domicilio por el tiempo correspondiente a la sanción

impuesta.

2. La sanción de reclusión domiciliaria se impone cuando existan razones fundadas

para estimarla suficiente, a los efectos de alcanzar sus fines.

3. El tribunal, al aplicar la sanción de reclusión domiciliaria, impone al sancionado las

obligaciones siguientes:

a) Mantener una correcta actitud ante el trabajo, el estudio y la sociedad, de estricto

cumplimiento de las leyes y de las disposiciones establecidas por el tribunal;

b) salir de su domicilio solo para cumplir las actividades laborales o estudiantiles que

desempeña, de las organizaciones políticas o de masas a las que pertenece, o por

otros motivos justificados;

c) no puede cambiar de residencia, ni trasladarse a otro municipio o provincia sin la

autorización del tribunal competente; y

d) comparecer ante el tribunal cuantas veces sea llamado a ofrecer explicaciones sobre

su conducta durante la ejecución de la sanción.

SECCIÓN QUINTA.- Trabajo correccional sin internamiento

Artículo 37.1. La sanción de trabajo correccional sin internamiento es aplicable

cuando, por la índole del delito, sus circunstancias y las características individuales del

sancionado, existen razones fundadas para estimar que su reinserción social es

susceptible de obtenerse por medio de actividades laborales o estudiantiles, en libertad.

2. El tribunal, al aplicar la sanción de trabajo correccional sin internamiento, impone

al sancionado las obligaciones siguientes:

a) Mantener una correcta actitud en la sociedad, de estricto cumplimiento de las leyes

y de las disposiciones establecidas por el tribunal;

b) poner de manifiesto, con una buena actitud en el centro o actividad de trabajo o

estudio donde se ubique, que ha comprendido los fines que se persiguen con la

sanción;

c) no puede cambiar de puesto de trabajo o centro de estudio sin la autorización del

tribunal;

d) no puede cambiar de residencia, ni trasladarse a otro municipio o provincia sin la

autorización del tribunal competente; y

e) comparecer ante el tribunal cuantas veces sea llamado a ofrecer explicaciones sobre

su conducta durante la ejecución de la sanción.

SECCIÓN SEXTA.- Servicio en beneficio de la comunidad

Artículo 38.1. La sanción de servicio en beneficio de la comunidad consiste en la

obligación de realizar una actividad o servicio de utilidad pública y comunitaria, no

remunerada al sancionado; es aplicable cuando por la índole del delito, sus

circunstancias y las características individuales del sancionado, existen razones

fundadas para estimar que su reinserción social es susceptible de obtenerse por medio

de la ocupación asignada.

2. La sanción de servicio en beneficio de la comunidad no puede ser inferior a trescientas

sesenta y cinco horas ni superior a setecientas treinta, en el período que determine el

tribunal, sin exceder su duración, tres años.

3. El sancionado, durante el período de la sanción impuesta cumple la ocupación

asignada por el tribunal en la frecuencia determinada por este, que puede incluir los fines

de semana, en correspondencia con lo establecido en la legislación laboral.

4. La prestación del servicio en beneficio de la comunidad no interfiere en la actividad

laboral o estudiantil habitual del sancionado.

5. El tribunal, al aplicar la sanción de servicio en beneficio de la comunidad le impone

al sancionado las obligaciones siguientes:

a) Mantener una correcta actitud en la sociedad, de estricto cumplimiento de las leyes

y de las disposiciones establecidas por el tribunal;

b). poner de manifiesto, con una buena actitud en la entidad donde se le ubique, que ha

comprendido los fines que se persiguen con la sanción;

c) cumplir, en el lugar a que se le destine y la frecuencia determinada por el tribunal;

d) no puede cambiar de residencia, ni trasladarse a otro municipio o provincia sin la

autorización del tribunal competente; y

e) comparecer ante el tribunal cuantas veces sea llamado a ofrecer explicaciones sobre

su conducta durante la ejecución de la sanción.

SECCIÓN SÉPTIMA.- Limitación de libertad

Artículo 39.1. La sanción de limitación de libertad es aplicable cuando, por la índole

del delito, sus circunstancias y las características individuales del sancionado, existen

razones fundadas para estimar que su reinserción social es susceptible de obtenerse

con restricción de su derecho a la libertad de movimiento, sin que sea internado en

establecimiento penitenciario.

2. El tribunal, al aplicar la sanción de limitación de libertad le impone al sancionado

las obligaciones siguientes:

a) Mantener una correcta actitud ante el trabajo, el estudio y la sociedad, de estricto

cumplimiento de las leyes y de las disposiciones establecidas por el tribunal;

b) no puede cambiar de residencia, ni trasladarse a otro municipio o provincia sin la

autorización del tribunal competente; y

c) comparecer ante el tribunal cuantas veces sea llamado a ofrecer explicaciones sobre

su conducta durante la ejecución de la sanción.

SECCIÓN OCTAVA.- Multa

Artículo 40.1. La sanción de multa consiste en la obligación del sancionado de pagar

una cantidad de dinero que se determine por el tribunal en la sentencia.

2. La multa está formada por cuotas y la cuantía de cada cuota no puede ser inferior a

diez pesos ni superior a doscientos.

3. El tribunal para determinar la cuantía de las cuotas, tiene en cuenta los ingresos

del sancionado, cuidando de no afectar, en cuanto sea posible, la parte de sus recursos

destinados a atender sus propias necesidades y de las personas a su abrigo.

SECCIÓN NOVENA.- Amonestación

Artículo 41.1. La sanción de amonestación consiste en reprochar al sancionado su

conducta infractora, oralmente, en público o en privado, y en forma breve, sencilla,

cuidando de no humillarlo ni herir su dignidad y exhortándolo a no reincidir, sugiriéndole,

de ser posible y oportuno, los medios racionales de prevenir nuevas conductas infractoras.

2. El tribunal puede imponer la sanción de amonestación alternativamente a la de

multa hasta doscientas cuotas, cuando por la naturaleza del hecho y las características

individuales del sancionado, sea razonable suponer que la finalidad de la sanción puede

ser alcanzada sin necesidad de afectación patrimonial.

3. La amonestación solo puede imponerse una vez con respecto a infracciones análogas

cometidas por la misma persona en el transcurso de un año; y no es aplicable a

reincidentes o multirreincidentes.

CAPÍTULO IV.- SANCIONES ACCESORIAS APLICABLES A LAS PERSONAS NATURALES

SECCIÓN PRIMERA.- Privación de derechos

Artículo 42.1. La sanción accesoria de privación de derechos comprende:

a) La pérdida del derecho al sufragio activo y pasivo;

b) el derecho a ocupar cargo de dirección en los órganos correspondientes a la actividad

administrativa del Estado;

c) el derecho a ocupar cargo de dirección en entidades económicas en cualquiera de

sus formas de gestión; y

d) el derecho a ocupar cargo de dirección en organizaciones políticas, de masas y

sociales.

2. El tribunal puede imponerla cuando la privativa de libertad sea remitida

condicionalmente, o cuando se trate de las sanciones alternativas de reclusión domiciliaria,

trabajo correccional sin internamiento, servicio en beneficio de la comunidad y limitación

de libertad; si es revocada la sanción o la remisión condicional impuesta, se aplica esta

sanción accesoria por el tiempo que resta por cumplir.

3. Cuando la sanción impuesta sea la de privación de libertad o trabajo correccional

con internamiento, siempre se aplica la sanción accesoria de privación de derechos, y su

duración es por un término igual al de la principal.

4. En los casos en los que el tribunal haya impuesto la sanción de privación de derechos,

puede suspender su ejecución, en lo relativo al ejercicio del sufragio activo o del derecho

a ocupar cargo de dirección, siempre que el sancionado esté en libertad y la naturaleza

del hecho por el que fue condenado lo haga razonable.

SECCIÓN SEGUNDA.-Privación o suspensión de la responsabilidad parental, la remoción de la tutela y la revocación del apoyo para personas en situación de discapacidad

Artículo 43.1. La sanción accesoria de privación o suspensión de la responsabilidad

parental, la remoción de la tutela, o la revocación del apoyo para personas en situación

de discapacidad, se puede imponer en los casos de delitos vinculados a la violencia de

género, familiar y en los demás casos que así lo establezca este Código.

2. La privación o suspensión de la responsabilidad parental produce sobre el sancionado

la pérdida de su titularidad, y de los derechos, deberes y atribuciones inherentes a ella; no

obstante atendiendo al interés superior de la niña, niño o adolescente, se puede

mantener la obligación de dar alimentos y la comunicación familiar.

3. La remoción de la tutela o la revocación del apoyo a personas en situación de

discapacidad, se puede imponer en los casos en los que el delito sea consecuencia del

incumplimiento, la transgresión o el abuso de los derechos y deberes que le vienen

impuestos al sancionado en su condición de tutor de la persona menor de dieciocho años

de edad, o como representante de la persona en situación de discapacidad.

4. La privación de la responsabilidad parental, la remoción de la tutela, o la revocación

del apoyo para personas en situación de discapacidad tienen carácter definitivo.

5. La suspensión de la responsabilidad parental se puede imponer hasta por tres años

y, excepcionalmente, hasta cinco años cuando la sanción principal impuesta sea la de

privación de libertad superior a este último tiempo.

6. El tribunal para determinar la imposición de esta sanción accesoria tiene en cuenta:

a) La especial protección que requiere la infancia, la adolescencia y otras personas en

situación de vulnerabilidad;

b) la gravedad del delito cometido;

c) el grado de afectación física o mental que provocó el delito en la víctima; y

d) la necesidad de evitar nuevos delitos o actos de violencia familiar por parte del

sancionado.

SECCIÓN TERCERA.-Prohibición del ejercicio de una profesión, cargo u oficio

Artículo 44.1. La sanción accesoria de prohibición del ejercicio de una profesión,

cargo u oficio puede aplicarse facultativamente por el tribunal en los casos en que la

persona comete el delito con abuso de su cargo o por negligencia en el cumplimiento de

sus deberes, así como en aquellos otros casos que así se disponga en este Código.

2. El término de esta sanción accesoria es de uno a cinco años, excepto cuando en la

parte especial de este Código se señale expresamente otro, o cuando la sanción

impuesta sea la de privación de libertad superior a cinco años, en este último caso, el

término puede extenderse hasta el doble del correspondiente a la principal.

SECCIÓN CUARTA.- Suspensión, cancelación de la licencia de conducción o

Inhabilitación para conducir vehículos

Artículo 45. Las sanciones accesorias de suspensión, cancelación de la licencia

de conducción o inhabilitación para conducir vehículos, invalidan al sancionado

para la conducción de los vehículos que requieran dicha autorización legal y pueden

imponerse por el tribunal, de conformidad con el Artículo 227 de esta Ley.

Artículo 46.1. La suspensión de la licencia de conducción consiste en retirar al

sancionado el documento que lo habilita para conducir vehículos que requieran dicha

autorización legal, por el término que disponga el tribunal; cumplido este, se le reintegra

la licencia de conducción, de conformidad con los requisitos establecidos en la ley.

2. La cancelación de la licencia de conducción consiste en su anulación temporal o

definitiva. Cuando la cancelación sea temporal, vencido el término dispuesto por el

tribunal, el sancionado puede optar por una nueva licencia, de conformidad con los

requisitos establecidos en la ley.

Artículo 47. La inhabilitación para conducir vehículos se aplica a quienes resulten

sancionados por delitos en ocasión del tránsito y consiste en privar al sancionado que

condujo un vehículo sin la autorización legal para esto, del derecho a obtener la licencia

de conducción y permiso de aprendizaje, de manera temporal o definitiva.

SECCIÓN QUINTA.- Cancelación de la licencia de arma de fuego

Artículo 48.1. La sanción accesoria de cancelación de la licencia de arma de fuego

consiste en la anulación del documento oficial que acredita que la persona a favor de

quien se expidió, se encuentra autorizada para la tenencia, porte, uso y transportación

de arma de fuego; y tiene carácter definitivo.

2. El tribunal aplica la sanción accesoria de cancelación de la licencia de arma de fuego

cuando:

a) La persona resulte sancionada por cometer un delito portando o usando un arma de

fuego;

b) la índole del delito cometido por el titular de la licencia haga suponer que, de

conservar el arma que la misma ampara, representa un riesgo o peligro futuro para

las personas o para la sociedad; o

c) el sancionado con su conducta haya propiciado que otro interviniente porte o

use el arma descrita en la licencia de que es titular.

SECCIÓN SEXTA.- Denegación del permiso para navegar o de la autorización para el movimiento de buques, embarcaciones y artefactos navales

Artículo 49.1. La sanción accesoria de denegación del permiso para navegar o de la

autorización para el movimiento de buques, embarcaciones y artefactos navales,

consiste en la decisión del tribunal, de que la Capitanía de Puerto correspondiente

deniegue al propietario del medio naval o a la persona designada por este, del permiso de

salida para el cabotaje en aguas interiores, de altura o travesía internacional o de la

autorización para el movimiento del buque, embarcación y artefacto naval en bahías,

puertos, lagos, ríos y presas, según sea el caso.

2. El tribunal puede imponer esta sanción accesoria, en los casos en que la persona

comete el delito empleando el buque, embarcación o artefacto naval como instrumento

de la trasgresión, en ocasión de estar maniobrándolo, sin que fuera un medio para ese

fin, o cuando con su conducta propicie, que otros intervinientes, lo empleen con tales

propósitos.

3. La denegación del permiso para la navegación o de la autorización de movimiento

de buques, embarcaciones y artefactos navales tiene carácter temporal y su término no

puede exceder de tres años.

SECCIÓN SÉPTIMA.- Prohibición de frecuentar lugares determinados

Artículo 50.1. La sanción accesoria de prohibición de frecuentar lugares determinados

se impone por el término de hasta cinco años.

2. El tribunal puede aplicar esta sanción cuando existan fundadas razones para presumir

que la permanencia del sancionado en determinado lugar puede inclinarlo a cometer

nuevos delitos.

SECCIÓN OCTAVA.- Destierro y confinamiento

Artículo 51.1. La sanción accesoria de destierro consiste en la prohibición de residir

en un lugar determinado y la de confinamiento, en la obligación de permanecer en una

localidad determinada.

2. El término de esta sanción accesoria es de uno a diez años.

3. La sanción accesoria de destierro y confinamiento se puede imponer en todos

aquellos casos en los que la presencia del sancionado en un lugar, o su salida de aquel,

puede traer como consecuencia que cometa nuevos delitos.

4. El destierro y confinamiento no son aplicables a las personas menores de dieciocho

años de edad ni a las mayores de sesenta y cinco años al momento de ser juzgadas.

SECCIÓN NOVENA.- Comiso

Artículo 52.1. La sanción accesoria de comiso consiste en desposeer al sancionado de .

los bienes u objetos que sirvieron o estaban destinados para la perpetración del delito,

los provenientes directa o indirectamente del mismo, así como los de uso, tenencia o

comercio ilícito que hubieran sido ocupados.

2. La sanción accesoria de comiso del producto indirecto del delito procede cuando:

a) El producto del delito se haya transformado o convertido total o parcialmente en

otros bienes;

b) se trate de ingresos u otros beneficios derivados del delito; o

c) se haya vinculado con bienes adquiridos de fuentes lícitas o no. Si las fuentes fueran

lícitas, el comiso se extiende hasta el valor estimado del producto del delito y si no

lo fueran o se estuviera en presencia de los casos previstos en los incisos a) y b) de

este apartado, el comiso comprende la totalidad del provecho, ingreso o beneficio

obtenido.

3. Esta sanción accesoria también alcanza, los efectos o instrumentos del delito a que

se refieren los apartados anteriores, que se encuentren en posesión o propiedad de

terceros no responsables, cuando tal posesión o propiedad resulte el medio para ocultar

o asegurar esos bienes u objetos, o para beneficiar a terceros.

4. El tribunal impone la sanción accesoria de comiso en los casos a que se hace

referencia en los apartados 2 y 3 que anteceden.

SECCIÓN DÉCIMA.- Confiscación de bienes

Artículo 53.1. La sanción accesoria de confiscación de bienes consiste en desposeer al

sancionado de sus bienes, total o parcialmente, transfiriéndolos a favor del Estado.

2. La confiscación de bienes no comprende los bienes u objetos que sean indispensables

para satisfacer las necesidades vitales del sancionado o de los familiares a su abrigo.

3. El tribunal aplica esta sanción accesoria en aquellos delitos, de la parte especial de

este Código, que la establezca.

SECCIÓN DECIMOPRIMERA.- Expulsión de extranjeros del territorio nacional

Artículo 54.1. El tribunal puede al sancionar a un extranjero, imponerle como sanción

accesoria, su expulsión del territorio nacional si por la índole del delito, las circunstancias

de su comisión o las características individuales del sancionado, se evidencia que su

permanencia en la República de Cuba es perjudicial.

2. El Ministro de Justicia, en casos excepcionales, puede disponer la expulsión del

extranjero sancionado antes de que cumpla la sanción principal impuesta, aun cuando no

se le haya aplicado la accesoria a que se refiere este artículo; en estos casos, se declara

extinguida la responsabilidad penal del sancionado, de conformidad con lo establecido

en el inciso m) del Artículo 90 de este Código.

SECCIÓN DECIMOSEGUNDA.- Suspensión o cancelación definitiva de la autorización,

permiso o licencia para el ejercicio de actividades económicas u otras de similar naturaleza

Artículo 55.1. La sanción accesoria de suspensión de la autorización, permiso o licencia

para el ejercicio de actividades económicas u otras de similar naturaleza consiste en la

inhabilitación temporal para realizar la actividad a que se refiera o la prohibición de que

se ejerza en determinadas condiciones por el término que disponga el tribunal.

2. El tribunal puede imponer la sanción accesoria de suspensión o cancelación

definitiva de la autorización, permiso o licencia para el ejercicio de actividades

económicas u otras de similar naturaleza, cuando se comete un delito relacionado con la

actividad para la que estaba autorizado el sancionado.

3. Cumplido el término establecido por el tribunal para la suspensión de la autorización,

permiso o licencia para el ejercicio de actividades económicas u otras de similar

naturaleza, se le reintegra al sancionado.

4. La cancelación definitiva de la autorización, permiso o licencia para el ejercicio

de actividades económicas u otras de similar naturaleza consiste en su revocación por el

término que el tribunal disponga; vencido este el sancionado puede optar por una nueva

autorización, licencia o permiso, de conformidad con lo establecido en la ley.

Artículo 56. Los términos de la sanción accesoria de suspensión o cancelación de la

autorización, permiso o licencia para el ejercicio de actividades económicas u otras de

similar naturaleza a que se refieren los apartados 3 y 4 del artículo anterior son, en el

caso de:

a) Suspensión, de tres meses a un año; y

b) cancelación, de uno a tres años.

SECCIÓN DECIMOTERCERA.- Cierre forzoso de establecimiento o local

Artículo 57.1. La sanción accesoria de cierre forzoso de establecimiento consiste

en la clausura del establecimiento o local utilizado para el desempeño de actividades

económicas u otras de similar naturaleza; el tribunal puede imponerla de forma temporal

o definitiva, cuando se comete un delito relacionado de algún modo con la actividad que

se desarrolla en el establecimiento o local.

2. El tribunal puede disponer la sanción accesoria de cierre temporal forzoso de

establecimiento o local por un término que no sea inferior a tres meses ni superior a

tres años.

3. Esta sanción no se aplica cuando el establecimiento o local en que se desarrolla la

actividad forma parte de una vivienda.

SECCIÓN DECIMOCUARTA.- Prohibición de acercamiento a las víctimas, perjudicados

u otras personas allegadas afectivamente

Artículo 58.1. La sanción accesoria de prohibición de acercamiento a las víctimas,

perjudicados u otras personas allegadas afectivamente a estas consiste en que el

sancionado no puede establecer contacto con aquellas por cualquier medio ni

permanecer en un área o perímetro próximo a las mismas que determine el tribunal.

2. El tribunal puede disponerla con el propósito de proteger a las víctimas, perjudicados

u otras personas allegadas afectivamente a estas, preferiblemente en delitos de

atentado, contra la vida y la integridad corporal, la libertad e indemnidad sexual, la

familia y el desarrollo integral de las personas menores de edad, el honor y los derechos

individuales, y en los cometidos como resultado de la violencia de género o la violencia

familiar.

3. Esta sanción se puede imponer por un término igual al de la sanción de privación

temporal de libertad o alternativa a esta; en caso de que la sanción principal sea la de

multa, esta sanción accesoria se puede establecer hasta por cinco años.

SECCIÓN DECIMOQUINTA.- Prohibición de salida del territorio nacional

Artículo 59.1. La sanción accesoria de prohibición de salida del territorio nacional

consiste en la interdicción que impone el tribunal al sancionado para viajar al exterior del

país durante el tiempo en que se encuentre cumpliendo la sanción principal restrictiva de

su libertad o hasta que acredite que abonó el importe de la multa, si fuera el caso.

2. También puede ser impuesta al responsable del delito hasta que acredite que satisfizo

el importe de la responsabilidad civil si así se estableció en la sentencia, o mientras dure

el acuerdo al que haya arribado el sancionado con el beneficiario para su satisfacción.

3. Además de lo previsto en los apartados anteriores, esta sanción accesoria se impone

En los casos en los que existan razones fundadas para estimar que la ausencia del

Sancionado del territorio nacional afecta los intereses resarcitorios de las víctimas o

perjudicados, del Estado o de personas en situación de discapacidad o minoría de edad.

Artículo 60. El tribunal puede aplazar o suspender el cumplimiento de esta sanción

accesoria por el tiempo que sea pertinente e incluso cancelarla, en los casos en los que

concurran causas justificadas que hagan necesaria la salida del sancionado del territorio

nacional.

CAPÍTULO V.- SANCIONES PRINCIPALES APLICABLES A LAS PERSONAS JURÍDICAS

SECCIÓN PRIMERA.- Disolución

Artículo 61. La sanción de disolución consiste en la extinción legal de la persona

jurídica mediante el inicio del proceso de liquidación, y concluye con la cancelación de

la escritura de su constitución en el registro en que se encuentra anotada, momento este

a partir del cual se considera disuelta a todos los efectos legales.

SECCIÓN SEGUNDA.- Clausura temporal

Artículo 62.1. La sanción de clausura temporal consiste en el cierre, total o parcial, del

establecimiento y la paralización de las actividades, negocios u operaciones del área de

la persona jurídica objeto de la sanción; no puede ser inferior a seis meses ni exceder los

dos años.

2. La sanción de clausura temporal del establecimiento no afecta la existencia de la

persona jurídica ni su validez, solo restringe sus actividades, negocios u operaciones.

SECCIÓN TERCERA.- Prohibición de desarrollar determinadas actividades o negocios

Artículo 63.1. La sanción de prohibición de desarrollar determinadas actividades o

negocios consiste en la suspensión temporal o permanente impuesta a la persona

jurídica para que se inhiba de realizar la actividad o negocio objeto de la sanción.

2. Si la sanción accesoria se trata de una suspensión temporal de desarrollar

Determinadas actividades o negocios, no puede ser inferior a seis meses ni exceder los

tres años.

SECCIÓN CUARTA.- Intervención

Artículo 64.1. La sanción de intervención consiste en someter a la persona jurídica a

la fiscalización de sus actividades, mediante un interventor designado por el tribunal con

carácter temporal, ya sea en la totalidad de la entidad o en determinadas instalaciones,

secciones, locales o unidades de negocios.

2. El término de la sanción accesoria de intervención no puede ser inferior a seis meses

ni exceder los dos años.

3. Los objetivos de la sanción accesoria de intervención son los siguientes:

a) Restablecer la organización de la persona jurídica, preservar sus bienes y garantizar

su adecuado funcionamiento durante el término fijado; y

b) salvaguardar los derechos de sus trabajadores y acreedores.

SECCIÓN QUINTA.- Multa

Artículo 65.1. La sanción de multa consiste en la obligación de la persona jurídica

sancionada de abonar la cantidad de dinero que se determine en la sentencia.

2. La sanción de multa está formada por cuotas que no pueden ser inferiores a cien

pesos ni superiores a mil.

3. El tribunal, para determinar la cuantía de las cuotas, tiene en cuenta la naturaleza y

consecuencias del delito, el objeto social de la persona jurídica, su capital social, así

como la situación financiera de la entidad al momento de cometer el ilícito penal.

CAPÍTULO VI.- SANCIONES ACCESORIAS APLICABLES A LAS PERSONAS JURÍDICAS

SECCIÓN PRIMERA.- Publicación de la sentencia sancionadora

Artículo 66.1. La sanción accesoria de publicación de la sentencia sancionadora consiste

en difundir, íntegra o parcialmente, según resulte necesario, la decisión dictada por el

tribunal contra la persona jurídica responsable del delito, en los medios de comunicación

social mediáticos, en los institucionales propios de su ámbito de actuación, en el registro

donde obre inscrita o en la Gaceta Oficial de la República de Cuba.

2. El tribunal para imponer esta sanción toma en cuenta si en el hecho aparecen

Involucradas otras personas naturales y jurídicas que puedan resultar afectadas en su

dignidad u otros valores que le sean intrínsecos.

SECCIÓN SEGUNDA.- Cancelación de la licencia de arma de fuego

Artículo 67. En lo que concierne a la sanción accesoria de cancelación de la licencia de

arma de fuego, para las personas jurídicas se aplican, en lo pertinente, las disposiciones

contenidas en el Artículo 48 de este Código.

SECCIÓN TERCERA.- Denegación de permisos o autorizaciones para navegar o para el

Movimiento de buques, embarcaciones y artefactos navales

Artículo 68. La sanción accesoria de denegación de permisos o autorizaciones para

navegar o para el movimiento de buques, embarcaciones y artefactos navales, se aplica

a los medios navales de las personas jurídicas en correspondencia con las disposiciones

contenidas en el Artículo 49 de este Código.

SECCIÓN CUARTA.- Comiso y confiscación de bienes

Artículo 69. En cuanto a las sanciones accesorias de comiso y confiscación de bienes,

para las personas jurídicas se aplican las disposiciones contenidas en los artículos 52 y

53 de este Código.

SECCIÓN QUINTA.- Suspensión o pérdida de facilidades y beneficios económicos,

financieros, tributarios o de otro tipo que le hayan sido otorgados por el Estado

Artículo 70.1. La sanción accesoria, imponible a la persona jurídica responsable del

delito, de suspensión o pérdida de facilidades y beneficios económicos, financieros,

tributarios o de otro tipo que le hayan sido otorgados por el Estado, consiste en:

a) Suspender o dejar temporalmente excluida a la persona jurídica de percibir todos o

alguno de los beneficios de los que disfruta o de todas, o alguna de las facilidades

de tipo económico, financiero, tributario o de otra índole que reciba de las entidades

estatales correspondientes, por el tiempo que determine el tribunal, que no puede

exceder del fijado en la sanción principal; y

b) pérdida o exclusión de las facilidades y beneficios de que disfruta la persona jurídica;

no obstante, luego de cumplir la sanción principal puede recibir otras facilidades y

beneficios de similar naturaleza.

2. El tribunal puede aplicar esta sanción accesoria en los casos en que se haya impuesto

como sanción principal la de clausura temporal, prohibición de desarrollar determinadas

actividades o negocios o intervención, siempre que no se ponga en riesgo la existencia de

la persona jurídica, se afecten los intereses del Estado y los derechos de sus

trabajadores.

CAPÍTULO VII.- ADECUACIÓN DE LA SANCIÓN

SECCIÓN PRIMERA.- Disposiciones generales

Artículo 71.1. El tribunal fija la medida de la sanción a las personas naturales dentro

de los límites establecidos por la ley, teniendo en cuenta los principios establecidos en

la Constitución y en este Código, en especial los referidos a la reinserción social de las

personas; atendiendo a:

a) Las formas, medios o instrumentos empleados en la ejecución del delito, las

consecuencias físicas o mentales que haya producido en la víctima y la magnitud

del daño material, moral, perjuicio económico ocasionado o el riesgo de causarlo;

b) la concurrencia de circunstancias atenuantes y agravantes, de reglas de adecuación

generales y específicas; y

c) los móviles de quien comete el delito, así como sus antecedentes, características

individuales, actitud para resarcir los daños o perjuicios causados o disminuir los

efectos del hecho delictivo, comportamiento con posterioridad a la ejecución del

delito y posibilidades de enmienda.

2. Cuando se trate de personas jurídicas penalmente responsables, decide la medida de

la sanción dentro de los límites que establece la ley y atiende al grado de lesividad social

del hecho, la concurrencia de atenuantes y agravantes, especialmente las referidas a la

colaboración que presten sus asociados y representantes en la investigación del hecho,

su actitud para resarcir los daños o perjuicios causados o disminuir los efectos del delito

y sus consecuencias económico-sociales, así como sus antecedentes.

3. El tribunal no puede apreciar una circunstancia, que es elemento constitutivo del

delito, al mismo tiempo, como agravante de la responsabilidad penal de la persona

responsable en quien recae, ni tomarla en cuenta para aplicar una regla de adecuación

agravatoria de la sanción.

4. El tribunal aprecia las circunstancias estrictamente personales, eximentes, atenuantes

o agravantes de la responsabilidad penal solo respecto a la persona en quien concurran, e

igual efecto tienen las reglas de adecuación que se encuentren en similar situación, salvo

que otra regla se disponga en este Código.

5. El tribunal aprecia las circunstancias específicas del delito que consistan en la

ejecución material del hecho o en los medios empleados para su realización, solo

en los intervinientes que hayan tenido conocimiento de ellas antes o en el momento

de la ejecución del hecho o de su cooperación en este.

6. El tribunal puede rebajar la sanción hasta en dos tercios de su límite mínimo o

exonerar de esta al interviniente en el delito si espontáneamente impide su realización

y las circunstancias del hecho lo ameritan, o disminuirla hasta en un tercio, si solo ha

tratado de impedirlo.

7. El tribunal puede adecuar la sanción dentro del marco previsto para cualquier otra

modalidad menos grave del propio delito si, al dictar sentencia en primera instancia,

apelación, casación o revisión, considera que la sanción a imponer resulta

excesivamente severa, aun si fuera aplicada en el límite mínimo previsto para el delito

calificado; si este carece de una modalidad menos grave y no concurren otras reglas de

adecuación favorables al sancionado, puede imponerse la sanción dentro del marco

previsto para el mismo, rebajando su límite mínimo hasta la mitad.

SECCIÓN SEGUNDA.- Adecuación de la sanción en los delitos culposos

Artículo 72.1. El tribunal tiene en cuenta para la adecuación de la sanción en los delitos

culposos, la gravedad de la infracción del deber de cuidado que provocó el hecho, sus

consecuencias y las posibilidades del responsable para prever o evitar su comisión.

2. El marco de la sanción a imponer en los delitos culposos no puede ser inferior al tercio

del límite mínimo, ni exceder de la mitad de la escala establecida para cada delito

intencional, salvo que otra regla se disponga en la parte especial de este Código o en otra

ley.

SECCIÓN TERCERA.- Adecuación de la sanción en personas menores de dieciocho años

de edad

Artículo 73.1. El tribunal para la adecuación de la sanción en los casos de personas

con dieciséis años y menores de dieciocho años de edad al momento de cometer el

delito, evalúa con preferencia la imposición de sanciones alternativas que no impliquen

internamiento, siempre que el límite de la sanción, las características del hecho y del

responsable así lo permitan.

2. El tribunal, con el objetivo de evitar que el sancionado cometa nuevos delitos y

alcanzar su reinserción social, puede imponer algunas de las prohibiciones siguientes:

a) Asistir a determinados lugares o locales donde se realicen espectáculos o actividades

públicas;

b) mantener relaciones con determinadas personas;

c) consumir bebidas alcohólicas;

d) deambular por la vía pública a determinadas horas; y

e) tener en su poder o portar objetos que puedan significar un riesgo o peligro para las

demás personas.

3. El tribunal puede, además, imponerle al sancionado en estos casos, con iguales fines

que los mencionados en el apartado anterior, las obligaciones siguientes:

a) Asistir a un centro de enseñanza, con sujeción especial a controles de asistencia y

aprovechamiento escolar;

b) asistir a un centro de formación profesional para adquirir conocimientos que le

permitan desempeñar labores útiles a la sociedad; y

c) ser sometido, cuando la persona se encuentra en una situación de adicción al

alcohol u otras drogas ilícitas o sustancias de efectos similares, o sea portadora

de enfermedades infectocontagiosas o de transmisión sexual, entre otras que así

lo requieran, a programas de tratamiento médico, psiquiátrico o psicológico, bajo

régimen ambulatorio o interno en centro asistencial especializado.

4. El tribunal puede imponer las prohibiciones y obligaciones anteriores por el tiempo

que estime necesario para alcanzar los fines señalados en el apartado 2 de este artículo,

aunque sin exceder el fijado para la sanción principal.

SECCIÓN CUARTA.- Adecuación de la sanción en los delitos que afecten el ámbito

Económico o patrimonial

Artículo 74.1. El tribunal, en los delitos que afecten el ámbito económico o patrimonial,

puede rebajar libremente el límite mínimo de la sanción, si el acusado satisface el daño

producido y el perjuicio ocasionado antes de declararse el juicio concluso para sentencia,

salvo que otra regla se disponga en este Código.

2. Lo dispuesto en el apartado anterior no es aplicable en los delitos contra la seguridad

del Estado y de terrorismo.

SECCIÓN QUINTA.- Adecuación de la sanción en los delitos cometidos como resultado

de la violencia de género o la violencia familiar

Artículo 75.1. El tribunal, en los delitos cometidos como resultado de la violencia de

género o la violencia familiar, puede incrementar en un tercio el límite máximo del marco

legal de la sanción que corresponda.

2. El tribunal tiene en cuenta, para determinar el tipo de sanción a imponer al responsable

y adecuar su extensión o cuantía en estos casos, lo siguiente:

a) La entidad de la violencia manifestada en su actuación ilícita, así como su reiteración

o habitualidad;

b) el grado de afectación que provocó el delito en la víctima u otras personas de su

espacio familiar;

c) si con anterioridad ha cometido otros delitos vinculados a estos tipos de violencia; y

d) evitar que el sancionado incurra en nuevos hechos de esta naturaleza.

3. El tribunal, en correspondencia con los elementos previstos en el apartado anterior,

puede imponer al responsable, preferentemente sanciones que impliquen su

internamiento o sanciones alternativas a este, y la de multa cuando el caso así lo

requiera.

Artículo 76.1. El tribunal, en la sentencia, puede imponer al sancionado las obligaciones

siguientes:

a) Tener autorización del tribunal competente para cambiar de lugar de residencia;

b) recibir tratamiento psicológico obligatorio, en la institución que el tribunal

establezca; y

c) presentarse ante el tribunal competente en las oportunidades que se determine.

2. Estas obligaciones se pueden imponer por un término de hasta cinco años, sin

exceder el de la sanción principal; y, si la impuesta fue multa, su término se puede fijar

hasta por un año.

SECCIÓN SEXTA.- Adecuación de la sanción en los actos preparatorios y la tentativa

Artículo 77.1. Los actos preparatorios y la tentativa se reprimen con las mismas

sanciones establecidas para los delitos a cuya ejecución propenden, rebajadas hasta en

dos tercios de sus límites mínimos.

2. El tribunal, para adecuar la sanción en los actos preparatorios, evalúa la magnitud

objetiva en que las acciones preparatorias del delito pusieron en riesgo al bien jurídico

concreto, y los motivos que le impidieron al responsable avanzar en su propósito de

cometer el hecho.

3. El tribunal, para la adecuación de la sanción en la tentativa, tiene en cuenta el

momento hasta el cual la actuación del responsable se acercó a la consumación del

delito y las causas por las que no lo consumó.

SECCIÓN SÉPTIMA.- Adecuación de la sanción en cuanto a autores, partícipes y cómplices

Artículo 78.1. El tribunal fija la sanción para los autores dentro de los límites establecidos

para el delito cometido; y en el caso de los partícipes sus límites mínimos y máximos se

pueden rebajar en una cuarta parte.

2. La sanción imponible al cómplice es la correspondiente al delito, rebajada en un

tercio en sus límites mínimo y máximo.

3. El tribunal, para adecuar la sanción en caso de autores y partícipes, tiene en cuenta

el grado en que la conducta de cada uno contribuyó a la comisión del delito; y para la de

los cómplices, la entidad y la naturaleza de su intervención.

4. El tribunal, para adecuar la sanción en los casos de autores y partícipes, tiene en

cuenta el grado en que la actuación de cada uno contribuyó a la ejecución del delito;

y, para la de los cómplices, evalúa la trascendencia de su aporte a la comisión del

hecho ilícito.

SECCIÓN OCTAVA.- Circunstancias atenuantes o agravantes

Artículo 79.1. Son circunstancias atenuantes de la responsabilidad penal de las personas

naturales las siguientes:

a) Actuar bajo la influencia de una amenaza o coacción;

b) obrar bajo la influencia directa de una persona con la que tiene estrecha relación de

dependencia;

c) proceder a confesar a las autoridades su participación en el hecho, ayudar a su

esclarecimiento, evitar, reparar o disminuir los efectos del delito, o dar satisfacción

a la víctima o perjudicado, en cualquier momento del proceso antes de declararse el

juicio concluso para sentencia;

d) presentarse voluntariamente a las autoridades después de haber cometido la

conducta punible, para admitir su responsabilidad;

e) obrar, la mujer, durante los trastornos asociados al embarazo, la menopausia, el

período menstrual o el puerperio;

f) mantener, con anterioridad a la perpetración del delito, una conducta destacada en el

cumplimiento de sus deberes para con la Patria, el trabajo, la familia o la sociedad;

g) actuar obedeciendo a un móvil noble;

h) obrar en estado de grave alteración psíquica o emoción intensa provocada por

actos ilícitos del ofendido contra él, su cónyuge, pareja de hecho, conviviente, o

parientes hasta el cuarto grado de consanguinidad o segundo de afinidad, si por esta

causa presentó alguna dificultad para comprender el carácter ilícito de la acción u

omisión o para dirigir su conducta, sin llegar a constituir una causa eximente de la

responsabilidad penal;

i) cometer el hecho como consecuencia de haber sido objeto, de manera continua y

persistente, de violencia de género o de violencia familiar, proveniente de la víctima

del delito;

j) incurrir en alguna omisión a causa de la fatiga proveniente de un trabajo excesivo; y

k) cuando el acusado haya sufrido a consecuencia del hecho que se le imputa, daño

físico o moral grave.

2. En el caso de las personas jurídicas pueden ser apreciadas como circunstancias

atenuantes de su responsabilidad penal las previstas en los incisos c), d) y g) del apartado

anterior; y, además:

a) Obtener, con anterioridad al delito, resultados satisfactorios en el control y gestión

de los recursos financieros y materiales; y

b) establecer, con posterioridad al descubrimiento del delito, medidas eficaces de

control interno con el objetivo de evitar y detectar futuros hechos ilícitos que afecten

sus recursos financieros y materiales.

Artículo 80.1. Son circunstancias agravantes de la responsabilidad penal de las personas

naturales cometer el delito:

a) Como miembro de un grupo integrado por tres o más personas;

b) por lucro, por móviles viles o fútiles, con maldad o por impulsos de brutal

perversidad;

c) con la participación de menores de dieciocho años;

d) aprovechando la ocurrencia de un desastre, peligro inminente de este, calamidad

pública o cualquiera otra situación de esa naturaleza;

e) con el empleo de un medio que provoque peligro común;

f) con abuso de poder, autoridad o confianza;

g) de noche, en despoblado, en sitio de escaso tránsito u oscuro, escogidas estas

circunstancias de propósito o aprovechándose de ellas;

h) valiéndose de que la víctima se encuentra en situación de vulnerabilidad que le impide

gobernar y defender sus bienes e intereses adecuadamente, así como la dependencia

o subordinación de esta al ofensor;

i) cuando la víctima es su cónyuge o pareja de hecho, o se susciten como consecuencia

de esta relación que hubo entre ellos o exista parentesco entre ambos hasta el

cuarto grado de consanguinidad o segundo de afinidad, o vínculos de amistad o

afecto íntimo; esta agravante solo se tiene en cuenta en los delitos contra la vida,

la integridad corporal, los derechos individuales, la libertad y la indemnidad

sexual, la familia, la infancia y la juventud, el honor, la dignidad y los derechos

patrimoniales;

j) en un escenario público o en cualquier otra circunstancia que tenga como objetivo

propiciar la apología del delito;

k) con la intervención de una persona que presenta trastorno mental permanente o

transitorio o desarrollo mental retardado, que lo incapacita en el momento del hecho

para comprender el carácter ilícito de su acción u omisión y dirigir su conducta,

aprovechándose de esta situación;

l) bajo los efectos de la ingestión de bebidas alcohólicas, de la ingestión, absorción o

inyección de drogas o sustancias de efectos similares y siempre que en tal situación

se haya colocado voluntariamente con el propósito de delinquir; o en el caso en que

pudiera haber previsto las consecuencias de su acción;

m) después de haber sido advertido oficialmente por la autoridad competente;

n) por motivos de violencia de género o familiar, discriminación de sexo, género,

orientación sexual, identidad de género, edad, origen étnico, color de la piel, creencia

religiosa, discapacidad, origen nacional o territorial o cualquiera otra condición o

circunstancia personal que implique distinción lesiva a la dignidad humana;

ñ) contra personas o bienes relacionados con la defensa, la seguridad nacional, el

ciberespacio, las reservas materiales o vinculados con actividades priorizadas para

el desarrollo económico y social del país;

o) contra cualquier persona que actúe justamente en cumplimiento de un deber legal o

social o en venganza o represalia por su actuación;

p) vinculado a la delincuencia organizada transnacional; y

q) facilitando la ejecución del hecho, imposibilitando u obstruyendo su descubrimiento,

o agravando sus consecuencias; mediante la utilización de las tecnologías de la

información y la comunicación, las telecomunicaciones y sus servicios.

2. En el caso de las personas jurídicas, pueden ser apreciadas como circunstancias

agravantes de su responsabilidad penal, las previstas en los incisos a), b), c), d), e), f), n),

ñ), o), p) y q) del apartado anterior; y, además, haber sido requerida con anterioridad al

delito por los órganos o autoridades competentes por deficiente control y gestión de los

recursos financieros y materiales.

SECCIÓN NOVENA.- Atenuación y agravación extraordinarias de la sanción

Artículo 81.1. El tribunal puede rebajar hasta la mitad el límite mínimo de la sanción

prevista para el delito si en el mismo concurren varias circunstancias atenuantes o por

manifestarse alguna de ellas de modo muy intenso, de modo tal que su significación,

relevancia y naturaleza específica en relación con el hecho justiciable así lo amerite o si

se trata de un colaborador eficaz.

2. El tribunal, respetando lo previsto en el apartado 4 del Artículo 34 de este Código,

puede aumentar hasta la mitad el límite máximo de la sanción prevista para el delito si

concurren varias circunstancias agravantes o por manifestarse alguna de ellas de manera

muy intensa, de modo tal, que su significación, relevancia y naturaleza específica en

relación con el hecho justiciable así lo amerite.

3. El tribunal, cuando se aprecie circunstancias atenuantes y agravantes, aun aquellas

que se manifiesten de modo muy intenso, compensa las unas con las otras a fin de

encontrar la proporción justa de la sanción a imponer.

4. El tribunal, conforme a lo previsto en apartado 4 del Artículo 34 de este Código, en los

casos de delitos intencionales puede aumentar hasta el doble los límites mínimos y

máximos de la sanción prevista para el delito cometido, si al ejecutar el hecho el

interviniente se encuentra cumpliendo una sanción, con independencia de la forma en

que la extingue.

SECCIÓN DÉCIMA.-Reincidencia y multirreincidencia

Artículo 82.1. Se manifiesta la reincidencia cuando al delinquir, el responsable ya

había sido sancionado por otro delito intencional, siempre que la sentencia por la que fue

sancionado haya adquirido firmeza con anterioridad.

2. Existe multirreincidencia cuando al delinquir, el responsable ya había sido sancionado

con anterioridad por dos o más delitos intencionales, siempre que las sentencias por las

que fue sancionado hayan adquirido firmeza.

3. El tribunal con respecto al acusado que comete un delito intencional, facultativamente,

adecua la sanción de la manera siguiente:

a) Si aprecia la reincidencia, dentro de la escala resultante, después de haber aumentado

hasta en un tercio su límite mínimo; y

b) de apreciar la multirreincidencia, dentro de la escala resultante, después de haber

aumentado hasta la mitad su límite mínimo.

4. El tribunal a los efectos de la aplicación de las disposiciones contenidas en este

artículo, tiene en cuenta las sentencias dictadas por tribunales extranjeros, acreditadas

de conformidad con los tratados internacionales en vigor para la República de Cuba o, en

su defecto, mediante certificación expedida por el Registro Central de Sancionados.

SECCIÓN DECIMOPRIMERA.- Reglas de adecuación de la sanción para las personas jurídicas

Artículo 83. El tribunal a los efectos de determinar las sanciones imponibles a las

personas jurídicas, sigue, en lo pertinente, las reglas de equivalencia siguientes:

a) La de disolución de la persona jurídica se aplica cuando la sanción prevista para el

delito cometido sea superior a los doce años de privación de libertad; reservándose

esta sanción para los casos de especial gravedad o cuando el objetivo de su origen

era cometer el delito;

b) las de clausura temporal, intervención y prohibición temporal o permanente para

desarrollar determinada actividad o negocio, se aplican cuando la sanción prevista

para el delito cometido no exceda de doce años de privación de libertad; se pueden

aplicar en los delitos cuya sanción exceda los doce años de privación de libertad,

como alternativa de la disolución, teniendo en cuenta las especificidades del caso; y

c) la sanción de multa puede ser impuesta en todos los casos.

Artículo 84. La sanción de multa se impone atendiendo a las reglas de equivalencia

siguientes:

a) De mil a tres mil cuotas, cuando se trate de delitos con sanciones de hasta tres años

de privación de libertad;

b) de tres mil a seis mil cuotas, cuando se trate de delitos que tengan prevista la sanción de

privación de libertad superior a tres años y que no exceda de doce; y

c) de seis mil a cien mil cuotas, en los casos en que la sanción prevista sea superior a

los doce años de privación de libertad.

Artículo 85. El tribunal, cuando la naturaleza jurídica de las sanciones principales lo

permita, puede aplicar dos de las sanciones previstas en el Artículo 32 de este Código,

en correspondencia con las características del hecho, la persona jurídica en cuestión y

las reglas de equivalencias establecidas.

CAPÍTULO VIII.- SANCIÓN CONJUNTA

SECCIÓN PRIMERA.- Sanción conjunta en los delitos cometidos por persona natural

Artículo 86.1. El tribunal, con aplicación de lo dispuesto en los artículos 10, 11 y 13

de este Código, le impone en la sentencia al responsable de dos o más delitos juzgados

en concurso real, la sanción que corresponde a cada uno de estos y las integra en una

sanción conjunta y única, conforme a las reglas siguientes:

a) Si, por cualquiera de los delitos en concurso, ha fijado la sanción de muerte o la

sanción de privación perpetua de libertad, no impone más que una u otra de estas

sanciones;

b) si, por todos los delitos en concurso ha fijado sanción de privación temporal de

libertad, impone una sola sanción, que no puede ser inferior a la de mayor rigor ni

exceder del total de las que haya fijado separadamente para cada delito, así como

el límite excepcional de cuarenta años que fija el apartado 5 del Artículo 34 de este

Código;

c) si la sanción conjunta formada no excede los cinco años de privación temporal de

libertad, puede imponerle cualquiera de las alternativas previstas en este Código;

d) si ha fijado multa por todos los delitos, impone una multa única que no puede ser

inferior que la de mayor rigor ni puede exceder de la suma de las que haya impuesto

separadamente para cada delito;

e) si se han fijado sanciones de privación perpetua o temporal de libertad y multa,

después de convertir en únicas las de cada tipo de sanción en correspondencia con

las reglas anteriores, impone ambas sanciones; y

f) en atención a la sanción conjunta principal, realiza las rectificaciones pertinentes al

tiempo de cumplimiento de las sanciones accesorias que se hayan impuesto.

2. Cuando se juzga por un nuevo delito a quien ya fue sancionado a privación de

libertad, para imponer la sanción conjunta y única se siguen las reglas siguientes:

a) Si no ha comenzado a cumplir la sanción anterior, la conjunta se integra con esta y

la nueva sanción impuesta;

b) si se encuentra cumpliendo sanción anterior, la conjunta se conforma con lo que le

resta por cumplir de esta y la nueva sanción impuesta; y

c) si es un tribunal de inferior jerarquía el que conoce del nuevo delito y la sanción

anterior ha sido aplicada por un tribunal de una instancia superior, aquel se limita

a imponer la sanción correspondiente al delito que juzga y da cuenta al tribunal

competente para que se forme la sanción conjunta y única que proceda.

3. El tribunal competente, cuando una persona se encuentre extinguiendo dos o más

sanciones de privación de libertad por no habérsele impuesto oportunamente una

sanción conjunta y única, reclama los antecedentes de las causas por las que fue

sancionada y procede a formar una sanción conjunta y única.

4. Cuando a una persona se le imponga alguna de las sanciones alternativas a la de

privación temporal de libertad o esta se remite condicionalmente y, antes de comenzarla

a extinguir o durante su cumplimiento, resulte sancionada a privación temporal de

libertad; el tribunal sancionador dispone el cumplimiento de esta última sanción y

remite los antecedentes del caso al tribunal competente para la formación de la sanción

conjunta y única, el que revoca las sanciones alternativas impuestas o deja sin efecto el

período de prueba de la remisión condicional, del mismo modo puede alternar o remitir

condicionalmente de nuevo la sanción impuesta, si se cumplen los presupuestos legales

previstos en esta Ley.

5. Cuando a una persona se le hayan impuesto varias sanciones alternativas a la

Privación temporal de libertad o coincida con un período de prueba de remisión

condicional, el tribunal competente al proceder a formar la sanción conjunta o única, las

revoca todas y decreta la privación temporal de libertad, luego de lo cual aplica una

sanción conjunta que puede alternar o remitir condicionalmente de ser el caso o dispone

el cumplimiento de la de privación de libertad.

6. Para establecer la sanción conjunta en los casos previstos en los incisos b), c), d) y e)

del apartado 1 que antecede el tribunal además, toma en cuenta que la misma:

a) No signifique una nueva valoración sobre los elementos que se tuvieron en cuenta

al imponer las sanciones individuales por los delitos cometidos;

b) su extensión temporal o pecuniaria esté en correspondencia con la consecución de

los fines previstos en el apartado 1 del Artículo 29 de este Código; y

c) al momento de ser formada, en ningún caso en que el sancionado se encuentre

cumpliendo una sanción de privación temporal de libertad o de trabajo correccional

con internamiento, puede ser modificada por otra que implique su excarcelación.

SECCIÓN SEGUNDA.- Sanción conjunta en los delitos cometidos por la persona jurídica

Artículo 87.1. El tribunal a la persona jurídica responsable de dos o más delitos, respecto

a los cuales no se haya dictado todavía sentencia, le impone una sanción conjunta y

única, con aplicación en lo pertinente de los artículos 10, 11 y 13 de este Código,

conforme a las reglas siguientes, si por:

a) Cualquiera de los delitos en concurso ha fijado la sanción de disolución, no impone

más que esta;

b) todos los delitos en concurso ha fijado sanciones de la misma naturaleza, impone

una única sanción, que no puede ser inferior a la de mayor rigor ni superior al total

de las que haya fijado separadamente para cada delito, sin exceder los cinco años; y

c) los delitos en concurso ha fijado sanciones de distinta clase, si no fueran excluyentes

por su naturaleza, se imponen las dos más graves, después de ser convertidas en

únicas, conforme a la regla del inciso anterior. Si se excluyeran, se impone la

sanción considerada de mayor gravedad, atendiendo a las particularidades del caso

concreto.

2. El tribunal sancionador, cuando se juzgue por un nuevo delito a la persona jurídica y

no haya comenzado a cumplir la sanción anterior o la esté cumpliendo, impone sanción

conjunta y única, en la que considera la anteriormente impuesta o lo que le resta por

cumplir, aplicando las disposiciones contenidas en el apartado precedente.

3. El tribunal provincial popular del territorio donde se encuentre domiciliada la

persona jurídica o radique su representación, en el caso de estar cumpliendo la misma

dos o más sanciones, reclama los antecedentes de las causas por las que fue sancionada

y procede a formar sanción conjunta y única.

4. En los casos previstos en los apartados que anteceden, son de aplicación lo establecido en el inciso a) del apartado 6 del artículo anterior, y en los apartados 1 y 2 del

Artículo 29.- de este Código.

CAPÍTULO IX.- REMISIÓN CONDICIONAL DE LA SANCIÓN

Artículo 88.1. El tribunal, al dictar la sentencia, puede disponer la remisión condicional

de la sanción de privación temporal de libertad que no exceda de cinco años, si existen

razones fundadas para considerar que el fin de la reinserción social del sancionado se

puede alcanzar sin que sea ejecutada y, apreciando en su persona:

a) Su comportamiento en la sociedad con anterioridad al hecho justiciable;

b) el grado de capacidad mental que posee para comprender el carácter ilícito de su

acción u omisión; y

c) su posibilidad de enmienda.

2. El tribunal, preferentemente, puede remitir condicionalmente la sanción de privación

temporal de libertad, cuando al momento de ser juzgada la persona responsable del delito:

a) Tenga menos de dieciocho años de edad;

b) sea mayor de sesenta y cinco años de edad;

c) se encuentre en situación de discapacidad; o

d) se manifieste intensamente una situación que lo haga incompatible con su

internamiento en un establecimiento penitenciario.

3. La remisión condicional no es aplicable a los reincidentes, a menos que circunstancias

extraordinarias muy calificadas, lo hagan aconsejable; y al multirreincidente no se le

aplica en ningún caso.

4. El tribunal puede supeditar la remisión condicional al compromiso asumido por

una organización de masas o social a que pertenezca el sancionado, o por su colectivo de

trabajo, estudio o unidad militar, de orientarlo y adoptar las medidas apropiadas para que,

en lo sucesivo, no incurra en nuevo delito.

5. La remisión condicional de la sanción implica un período de prueba de uno a cinco

años de duración; pero, en ningún caso, puede ser inferior al del término de la sanción

impuesta.

6. La remisión de la sanción principal de privación temporal de libertad puede extender

sus efectos a todas o algunas de las sanciones accesorias impuestas.

7. El tribunal, con el objetivo de evitar que incurra en un nuevo delito, durante el

período de prueba, puede imponer al sancionado beneficiario de la remisión condicional

las obligaciones siguientes:

a) Mantener una correcta actitud ante el trabajo, el estudio y la sociedad, de estricto

cumplimiento de las leyes y de las disposiciones establecidas por el tribunal;

b) contar con la previa autorización del tribunal competente, para cambiar de residencia

o trasladarse a otros municipios o provincias;

c) comparecer ante el tribunal cuantas veces sea llamado a ofrecer explicaciones sobre

su conducta; y

d) abstenerse de ejecutar determinada actividad, cuya naturaleza sea incompatible con

el delito cometido.

8. El tribunal puede declarar extinguida la sanción de privación temporal de libertad

remitida condicionalmente cuando el sancionado cumple las obligaciones que le han sido impuestas, de conformidad con lo establecido en la ley.

9. El tribunal ordena la ejecución de la sanción impuesta si durante el período de

prueba el beneficiado con la remisión condicional es sancionado a privación de libertad

por un nuevo delito, incumple cualquiera de los deberes que le incumben, observa una

mala conducta social, cuando la organización política, de masas o social, el colectivo de

trabajo o la unidad militar, retiran la garantía que ofrecieron o se descubre que durante

los cinco años anteriores aquel cometió un delito de índole tal que es incompatible con la

concesión de este beneficio.

TÍTULO VI.- LIBERTAD CONDICIONAL

Artículo 89.1. El tribunal puede disponer la libertad condicional del sancionado a

privación temporal de libertad o trabajo correccional con internamiento si, apreciando

sus condiciones individuales y su comportamiento durante el tiempo de reclusión,

existen razones fundadas para considerar que se ha enmendado y que los fines de la

sanción se han alcanzado sin necesidad de ejecutarse totalmente la misma; de

conformidad con lo establecido en la ley.

2. El tribunal, de manera excepcional, cuando se trate de delitos contra la seguridad

del Estado, terrorismo, los vinculados a la corrupción administrativa y económica, a las

drogas ilícitas u otras sustancias de efectos similares o a la delincuencia organizada,

contra la vida y en aquellos otros que su lesividad social lo justifique; puede fijar en la

sentencia que el sancionado extinga dos tercios o más de la sanción de privación

temporal de libertad impuesta, como requisito para valorar la concesión de la libertad condicional.

TÍTULO VII.- EXTINCIÓN DE LA RESPONSABILIDAD PENAL

Artículo 90. La responsabilidad penal se extingue por:

a) Muerte del infractor;

b) extinción de la persona jurídica;

c) haber cumplido la sanción impuesta;

d) haber transcurrido el período de prueba correspondiente a la remisión condicional

de la sanción de privación temporal de libertad;

e) amnistía;

f) indulto;

g) sentencia absolutoria dictada en procedimiento de revisión;

h) extinción de la acción penal, como consecuencia de la aplicación de criterios de

oportunidad o por cumplimiento del período de prueba impuesto en el sobreseimiento

condicionado;

i) prescripción de la acción penal;

j) prescripción de la sanción;

k) desistimiento del querellante en los delitos perseguibles a instancia de parte;

l) por desistimiento del denunciante en los delitos en que así se disponga en la parte

especial de este Código; y

m) la expulsión del territorio nacional del extranjero sancionado, en el caso a que se

refiere el apartado 2 del Artículo 54 de este Código.

Artículo 91.1. La muerte del sancionado extingue la responsabilidad penal, pero

las obligaciones derivadas de su responsabilidad civil expiran cuando el sancionado y

el tercero civilmente responsable, así declarado en la sentencia, fallecen en estado de

insolvencia.

2. La extinción de la persona jurídica se extiende a la responsabilidad penal, pero la

responsabilidad civil solo se extingue en la porción que no cubra su capital social, cuando

sea liquidado.

Artículo 92.1. La amnistía extingue la sanción y todos sus efectos, aunque no se

extiende a la responsabilidad civil, a menos que en la ley respectiva se disponga otra cosa.

2. El sancionado por delitos en concurso real, solo se considera amnistiado cuando

en la ley respectiva se incluyan los delitos que integran el concurso; en caso contrario,

cumple la sanción correspondiente al delito o delitos que no han sido objeto de amnistía.

Artículo 93.1. El indulto no extingue más que la sanción principal y nunca las sanciones

accesorias, a menos que hayan sido incluidas expresamente en este.

2. El indulto no puede comprender la responsabilidad civil ni la cancelación de los

antecedentes penales del sancionado, a menos que tenga carácter definitivo y estos

efectos se consignen expresamente en la disposición normativa correspondiente.

Artículo 94. La sentencia absolutoria dictada en procedimiento de revisión extingue la

responsabilidad penal y civil.

Artículo 95. La aplicación de criterios de oportunidad y el cumplimiento satisfactorio

del período de prueba del sobreseimiento condicionado extinguen la acción penal, con

las demás consecuencias jurídicas que establece la Ley del Proceso Penal.

Artículo 96.1. La acción penal prescribe por el decursar de los términos contados a

partir de la comisión del hecho punible, siguientes:

a) Veinticinco años, cuando la ley señala al delito una sanción superior a diez años

de privación temporal de libertad;

b) quince años, cuando la ley señala al delito una sanción de privación temporal

de libertad de seis años y un día hasta diez años;

c) diez años, cuando la ley señala al delito una sanción de privación temporal de

libertad de dos años y un día hasta seis años;

d) cinco años, cuando la ley señala una sanción de hasta dos años de privación temporal

de libertad; y

e) tres años, cuando la ley señala una sanción de multa.

2. Cuando se trate de delitos para los cuales la ley señala más de una sanción, a los

efectos del cómputo de los términos anteriores, se tiene en cuenta la de mayor severidad

y en esta, su límite máximo.

3. La prescripción se interrumpe:

a) Desde que el procedimiento se inicie contra el imputado;

b) por todo acto del órgano competente del Estado, dirigido a la persecución del

imputado o acusado; y

c) si el imputado o acusado, en el curso del término de la prescripción, comete otro

delito.

4. Después de cada interrupción, el término de la prescripción comienza a decursar de

nuevo; en estos casos, la acción penal prescribe también al transcurrir el doble del período señalado para esto.

5. Las disposiciones sobre la prescripción de la acción penal no son aplicables a los

delitos en que la ley establece la sanción de muerte o privación perpetua de libertad, así

como en los de lesa humanidad, y en aquellos que lo prevean los tratados internacionales

en vigor para la República de Cuba.

Artículo 97.1. Las sanciones impuestas por sentencia firme prescriben y no pueden ser

ejecutadas por el transcurso de los términos siguientes:

a) Treinta años, cuando la sanción impuesta es la de privación perpetua de libertad o

muerte;

b) veinticinco años, cuando la sanción impuesta es superior a diez años de privación

temporal de libertad;

c) veinte años, cuando la sanción impuesta es de seis años y un día a diez años de

privación temporal de libertad;

d) diez años, cuando la sanción impuesta es de seis años o menos de privación temporal

de libertad; y

e) cinco años, respecto a todas las demás sanciones impuestas.

2. Si se ha impuesto más de una sanción, se tiene en cuenta la más severa, a los efectos

del cómputo de los anteriores términos.

3. La prescripción se interrumpe:

a) Durante el tiempo en que, por disposición de la ley, la ejecución de la sanción no

pueda efectuarse; y

b) por toda disposición del tribunal, dirigida a lograr que la sanción se ejecute.

4. Después de cada interrupción, el término de la prescripción comienza a decursar

de nuevo; en estos casos, la sanción prescribe también al transcurrir el doble del período

señalado para esto.

5. Las disposiciones sobre la prescripción de la sanción no son aplicables con respecto

a los delitos de lesa humanidad y en aquellos que lo prevean los tratados internacionales

en vigor para la República de Cuba.

TÍTULO VIII.- ANTECEDENTES PENALES

Artículo 98.1. Constituyen antecedentes penales y, en consecuencia, se inscriben en el

Registro Central de Sancionados las sanciones firmes impuestas por:

a) Los tribunales, con excepción de la de amonestación, así como la de multa inferior

a trescientas cuotas;

b) los tribunales militares por delitos no militares, con excepción de la de amonestación,

así como la de multa inferior a trescientas cuotas;

c) los tribunales militares por delitos militares, cuando expresamente así se disponga

en la propia sentencia; y

d) los tribunales extranjeros a los ciudadanos cubanos, en los casos y con las

condiciones establecidas en la ley.

2. A estos efectos constituyen antecedentes penales las sanciones aplicadas por

tribunales extranjeros a extranjeros y personas sin ciudadanía sujetos a la jurisdicción

cubana, con las condiciones establecidas en la ley.

Artículo 99.1. Los antecedentes penales se cancelan de oficio o a instancia del propio

interesado.

2. Los antecedentes penales se cancelan de oficio, cuando el Registro Central de

Sancionados, por cualquier medio, tenga conocimiento de que se ha producido alguna

de las circunstancias siguientes:

a) Muerte del sancionado;

b) haber arribado el sancionado a los setenta años de edad y no hallarse cumpliendo

sanción;

c) haberse dictado sentencia absolutoria en proceso de revisión;

d) amnistía;

e) indulto, siempre que en la disposición normativa que lo establezca así se disponga;

f) referirse el antecedente penal a hechos que, por efectos de una ley penal posterior

hayan dejado de constituir delito;

g) estar dispuesto, expresamente, en la Ley de Ejecución Penal; y

h) haber transcurrido diez años, a partir de la fecha en que fue cumplida la sanción

impuesta, excepto la sanción de multa, que se cancela pasado un año de la firmeza

de la sentencia.

3. La cancelación de oficio de los antecedentes penales, procede siempre que el

sancionado acredite que abonó la multa, y en su caso, que satisfizo la responsabilidad

civil declarada en la sentencia o se encuentra cumpliéndola satisfactoriamente.

4. La cancelación de oficio a que se refiere el inciso h) del apartado 2 que antecede,

no procede cuando se trate de reincidentes, multirreincidentes o sancionados por delitos

contra la seguridad del Estado y de terrorismo.

5. Los antecedentes penales se cancelan por el Ministerio de Justicia, a instancia del

propio sancionado, cuando se cumplan los requisitos siguientes:

a) Haber extinguido el sancionado todas las sanciones impuestas, ya sea por

cumplimiento o, en caso de indulto, remisión condicional o libertad condicional, por

haber decursado el término en que debieron haber quedado cumplidas;

b) haber satisfecho totalmente el sancionado la responsabilidad civil o hallarse

cumpliéndola satisfactoriamente; el ministro de Justicia, de forma excepcional,

puede autorizar la cancelación de los antecedentes penales sin el cumplimiento de

este requisito, cuando las circunstancias lo aconsejen y siempre que el sancionado

haya cumplido al menos la mitad de la obligación fijada;

c) haber transcurrido, después de extinguida la sanción, el término que, según la

cuantía o naturaleza de la impuesta, se dispone en el apartado siguiente; y

d) haber observado el sancionado, con posterioridad al cumplimiento de la sentencia,

desde que fue indultado, remitida la sanción o puesto en libertad condicional, una

conducta ajustada a las normas de convivencia social y una actitud honrada ante el

trabajo.

6. El término que debe transcurrir después de cumplida la sanción, a los efectos de

la cancelación de los antecedentes penales a instancia del propio sancionado, es el que

corresponda, según la escala siguiente:

a) El de diez años, cuando la sanción impuesta sea la de privación temporal de libertad

de diez años y un día a treinta años; e igual término se toma en cuenta cuando la

sanción que se impuso fue extendida excepcionalmente conforme a lo previsto en

el Artículo 34, apartado 4, de este Código;

b) el de ocho años, cuando la sanción impuesta sea la de privación temporal de libertad

de seis años y un día a diez años;

c) el de cinco años, cuando la sanción impuesta sea la de privación temporal de libertad

de tres años y un día a seis años;

d) el de tres años, cuando la sanción impuesta sea la de privación temporal de libertad

de uno a tres años; y

e) el de un año, cuando se trate de cualquier otra sanción.

7. No obstante lo dispuesto en el apartado anterior, si después de cumplida la sentencia,

el sancionado demuestra que mantiene una conducta ejemplar, el ministro de Justicia

puede, de forma excepcional, cancelar los antecedentes penales al transcurrir al menos

la mitad del término correspondiente de la escala anterior, siempre que haya cumplido el

resto de los requisitos exigidos; en este caso las entidades estatales y no estatales están

obligadas a facilitar al sancionado los informes y demás documentos que requieran para

demostrar su conducta ejemplar.

Artículo 100.1. La cancelación, en todo caso, produce el efecto de anular los

antecedentes penales en el Registro Central de Sancionados y en cualquier otro archivo

o expediente público, cuando dichos antecedentes provienen de las mismas sentencias.

2. Los antecedentes penales cancelados no pueden ser tomados en cuenta para apreciar

en la persona responsable de un delito la condición de reincidente o multirreincidente,

salvo que en el momento de la comisión del hecho todavía no hubieran sido objeto de su

cancelación.

Artículo 101. El modo de proceder para la inscripción, la cancelación de oficio o a

instancia del interesado, la expedición de certificaciones de los antecedentes penales y la

entrega de información y demás cuestiones relacionadas con el registro de antecedentes

penales, se regula por disposiciones especiales dictadas por el ministro de Justicia.

TÍTULO IX.- DECLARACIÓN DE LA RESPONSABILIDAD CIVIL DERIVADA DEL DELITO Y

EJECUCIÓN DE SUS OBLIGACIONES

CAPÍTULO I.- DISPOSICIONES GENERALES

Artículo 102.1. La responsabilidad civil por los daños o perjuicios ocasionados

como consecuencia del delito recae sobre los autores y partícipes que los provocaron,

y en los terceros civilmente responsables así declarados, quienes están obligados a su

cumplimiento, a cargo de su patrimonio, en los términos y condiciones fijados en la ley.

2. El tribunal que conoce del delito declara la responsabilidad civil y su extensión

aplicando las normas correspondientes de la legislación civil y, además, ejecuta

directamente la obligación de restituir la cosa, el reparar el daño moral y de ser el caso,

adopta las medidas necesarias para que el inmueble sea desocupado y restituido a quien

corresponda, con las especificidades que establecen los casos de los delitos previstos en

los artículos 421 y 422 de este Código.

3. Cuando la obligación civil consista en la reparación de los daños materiales o

indemnización de los perjuicios económicos, o ambas, esta se satisface de conformidad

con lo regulado en los artículos 104 y 105 de este Código.

4. No procede exigir responsabilidad civil cuando:

a) La víctima o perjudicado sea uno de los intervinientes responsables del delito o

adquiera esa condición como consecuencia de haber realizado otras acciones

o actos ilícitos asociados a ese hecho;

b) la víctima o perjudicado renuncie a su beneficio en el correspondiente proceso

penal;

c) el delito sea consecuencia de ejecutar otros hechos delictivos anteriores o

concomitantes a aquel, siempre que sea declarado penalmente responsable de los

mismos; y

d) existan acuerdos reparatorios entre el imputado o acusado y la víctima o perjudicado,

de conformidad con lo establecido en la ley.

5. El tribunal, en la declaración y extensión de la responsabilidad civil derivada del

delito, aplica las disposiciones normativas del Ministerio de Finanzas y Precios y

del Banco Central de Cuba que resulten pertinentes.

6. El tribunal al declarar la responsabilidad civil observa las reglas siguientes:

a) Cuando el monto del daño material o del perjuicio económico sea en una cuantía

tal que haga evidente la imposibilidad del pago de la reparación o indemnización,

la obligación se puede fijar en una cuantía de hasta el veinte por ciento del salario

o cualquier otro ingreso periódico que perciba el obligado, pagadera en los plazos

que se fijen, durante un término que no puede exceder de los diez años naturales; no

obstante, si concurren circunstancias excepcionales que lo ameriten y con ello no se

afecta el interés resarcitorio de la víctima o perjudicado, el tribunal puede extender

dicho término hasta los quince años naturales; y

b) si la víctima o perjudicado tuviera asegurados los bienes afectados como

consecuencia del delito, la entidad aseguradora asume la reparación de los daños e

indemnización de los perjuicios, en la cuantía establecida en el contrato de seguro.

7. El tribunal, a los efectos de garantizar el cumplimiento de la obligación de

responsabilidad civil derivada del delito, puede disponer en la sentencia la prohibición

de que el obligado enajene, grave o disponga de sus bienes o parte de estos, sin previa

autorización judicial, mientras no la satisfaga o garantice su satisfacción a través de

cualquiera de las formas que reconoce el derecho.

8. La deuda adquirida por el obligado por concepto de responsabilidad civil derivada

del delito es imprescriptible; no obstante, el tribunal puede por circunstancias muy

calificadas que así lo justifiquen, declarar extinguida esa obligación.

CAPÍTULO II.- TERCEROS CIVILMENTE RESPONSABLES

Artículo 103.1. Son terceros civilmente responsables, con independencia de los que lo

sean penalmente:

a) Los padres, tutores, personas con la guarda y cuidado o que prestan apoyo; por los

daños y perjuicios derivados de los hechos delictivos cometidos por quienes estén

bajo su responsabilidad parental, tutela, guarda y cuidado o apoyo, siempre que los

hechos puedan ser atribuidos al incumplimiento del deber de vigilancia o de debida

diligencia que les incumbe;

b) las entidades estatales y no estatales y sus directivos; por los daños y perjuicios

derivados de los hechos delictivos cometidos por sus funcionarios, empleados y

trabajadores en el ejercicio de sus actividades e incumplen obligaciones con relación

a la preservación de recursos financieros y materiales; y

c) las entidades de seguros que hayan asumido el riesgo de las responsabilidades

pecuniarias derivadas del uso o explotación de cualquier bien, entidad estatal o no

estatal, cuando se produzca el evento que determine el riesgo asegurado.

2. El tercero civilmente responsable declarado está obligado a satisfacer las cuantías

correspondientes a la reparación de los daños materiales y las indemnizaciones de los

perjuicios económicos fijados en la sentencia, en defecto del pago por el sancionado.

3. Las entidades de seguros son responsables civilmente hasta el límite de la

Indemnización legalmente establecida o la pactada con la persona responsable

penalmente.

CAPÍTULO III.- CAJA DE RESARCIMIENTOS DEL MINISTERIO DE JUSTICIA

Artículo 104.1. La Caja de Resarcimientos del Ministerio de Justicia es la entidad

encargada de hacer efectiva la responsabilidad civil declarada en la sentencia referente a

la reparación de daños o indemnización de los perjuicios económicos, o ambos,

conforme a la ley.

2. La Caja de Resarcimientos del Ministerio de Justicia recibe los ingresos siguientes:

a) Las cantidades satisfechas por los sancionados y, en su caso, por los terceros

civilmente responsables;

b) los descuentos en las remuneraciones por el trabajo de los sancionados a privación

temporal de libertad y trabajo correccional con internamiento, para abonar las partes

no satisfechas por concepto de responsabilidad civil;

c) el aporte que la entidad le transfiere del salario que debió devengar el sancionado

cuando el tribunal dispuso que la obligación civil se satisfaga, conforme a lo

establecido en los apartados 4 y 5 del Artículo 105 de este Código;

d) las responsabilidades civiles no reclamadas por sus titulares dentro del término

legal;

e) el importe de las fianzas incautadas en los procesos judiciales;

f) el importe de las multas judiciales;

g) el importe de las multas procesales;

h) el importe proveniente de las multas administrativas impuestas en virtud de lo

dispuesto en la Ley del Proceso Penal;

i) el importe del efectivo monetario y el valor de los bienes comisados o confiscados

en proceso penal;

j) el importe de la fianza y de los bienes embargados o en depósito preventivo como

medida cautelar patrimonial impuesta en el proceso penal, en la porción que cubran

el monto de la deuda de responsabilidad civil;

k) el importe del valor de los bienes embargados por la vía de apremio patrimonial,

ante el impago de la multa judicial;

l) el importe del valor de los bienes embargados por la vía de apremio patrimonial,

ante el impago del importe fijado por concepto de responsabilidad civil;

m) los recargos que se impongan en los casos de demora en el pago de la responsabilidad

civil;

n) los importes obtenidos por la gestión de cobro;

ñ) las asignaciones presupuestarias para el pago inicial, durante el tiempo en que la

Caja de Resarcimientos tramita el expediente y comienza a cobrarle al deudor, de

las pensiones alimenticias en favor de personas menores de edad, jóvenes hasta

que se gradúan en el sistema nacional de enseñanza o personas en estado de

discapacidad mental, y otros tipos de pensiones análogas, que son dispuestas en

sentencias penales; y

o) cualquier otro ingreso que determine la ley.

3. La Caja de Resarcimientos del Ministerio de Justicia, excepcionalmente, asume

las indemnizaciones con cargo a sus fondos, cuando se compruebe que el obligado se

encuentra en estado de insolvencia y que la víctima o perjudicado, como consecuencia

inmediata del daño o perjuicio producido, enfrenta una grave necesidad económica que

así lo justifique; el monto a pagar no puede exceder la suma de diez veces el salario medio

del país.

4. Entre el sancionado y la víctima o perjudicado, se pueden establecer acuerdos

que favorezcan o conduzcan al cumplimiento de la responsabilidad civil dispuesta en

la sentencia, los que son sometidos a la consideración del tribunal competente y, de ser

aprobados, se comunican a la Caja de Resarcimientos del Ministerio de Justicia, a los

efectos pertinentes.

Artículo 105.1. A la persona declarada responsable civilmente por un delito, que no

abone su importe, se le embarga el salario o cualquier otro ingreso, bienes o derechos

embargables, mediante oficio que libra la Caja de Resarcimientos del Ministerio de

Justicia, en los términos y condiciones fijados en la ley.

2. La persona declarada responsable civilmente por un delito, de ser requerida o con

posterioridad a esta diligencia, se niega, sin causa justificada, a satisfacer la

responsabilidad civil dispuesta, se procede a verificar si posee salarios u otros ingresos,

bienes o derechos embargables que satisfagan la deuda determinada en la forma que se

establece en el apartado anterior.

3. El encargado de ejecutar el embargo a que se hace referencia en los apartados

anteriores, que no lo cumpla, incurre en la responsabilidad penal correspondiente.

4. Si el sancionado no cuenta con salario o cualquier otro ingreso, bienes o derechos

embargables o estos sean insuficientes para cubrir el monto adeudado, y siempre que la

naturaleza de la sanción principal que cumple lo permita, el tribunal puede disponer que

satisfaga la deuda o parte de esta, ejecutando un servicio en beneficio de la comunidad,

conforme a lo regulado en esta Ley, excepto que la entidad en la que preste el servicio

le transfiera el salario que el sancionado debió devengar por ese concepto, a la Caja de

Resarcimientos del Ministerio de Justicia.

5. La deuda de responsabilidad civil se tiene por satisfecha con el tiempo en que

el sancionado presta el servicio en beneficio de la comunidad, solo cuando el salario

resultante de esa actividad cubre su monto total.

TÍTULO X.- MEDIDAS DE SEGURIDAD POSDELICTIVAS

CAPÍTULO I.- DISPOSICIONES GENERALES

Artículo 106.1. El tribunal competente puede aplicar las medidas de seguridad

posdelictivas terapéuticas establecidas en este Código, cuando en el proceso seguido

contra la persona que cometió un delito se compruebe que presenta un trastorno mental

permanente que la hace inimputable del mismo por impedirle comprender el carácter

ilícito del acto y dirigir su conducta, o si por esa situación constituye un riesgo para la

seguridad de los demás, el orden público y social.

2. En el caso del imputado, acusado o sancionado adicto al consumo del alcohol u

otras drogas o sustancias de efectos similares que sea responsable del delito, también

puede ser objeto de las medidas de seguridad que se establecen en este título, con los

fines preventivo y terapéutico que se persiguen y para proteger o restablecer su salud.

CAPÍTULO II.- MEDIDAS DE SEGURIDAD POSDELICTIVAS TERAPÉUTICAS Y DE REFUERZO

Artículo 107.1. Las medidas de seguridad terapéuticas son las siguientes:

a) Ingreso en hospital o institución de salud que preste servicio de tratamiento

psiquiátrico o de deshabituación; y

b) tratamiento médico ambulatorio.

2. El tribunal aplica las medidas terapéuticas previstas en el apartado que antecede,

atendiendo al criterio y los objetivos médicos del tratamiento especializado; y la misma se

extiende por el tiempo necesario hasta que desaparezca en la persona la situación que

dio motivo a esta; no obstante, en caso de que la de ingreso en hospital o entidad de salud

que preste servicio de tratamiento psiquiátrico o de deshabituación se exceda del límite

mínimo del marco legal del delito cometido por el asegurado, el tribunal procede de

inmediato a evaluar los resultados del tratamiento médico especializado, a los efectos de

decidir si extiende la duración de la medida terapéutica, la varía por otra o la deja sin

efecto.

3. El tribunal, de ser pertinente, durante el cumplimiento de la medida de seguridad

terapéutica de ingreso en hospital o institución de salud que preste servicio de

tratamiento psiquiátrico o de deshabituación, la puede modificar por la de tratamiento

médico ambulatorio, y viceversa.

Artículo 108.1. A quien se le imponga una medida de seguridad terapéutica, como

refuerzo a esta, se le puede aplicar además la vigilancia por los órganos de la Policía

Nacional Revolucionaria, que consiste en la labor de orientación y control de la conducta

de esa persona, por funcionarios de dichos órganos, quienes se pueden auxiliar de

familiares del asegurado y otras personas allegadas afectivamente, siempre que estas

puedan influir favorablemente en la evolución positiva del mismo.

2. La medida de vigilancia por los órganos de la Policía Nacional Revolucionaria se

aplica por el tiempo en que la persona se encuentra cumpliendo la medida de seguridad

terapéutica.

3. El tribunal, de ser necesario, puede extender el tiempo establecido en el apartado

que antecede hasta por un año como máximo, después de haber sido cumplida la medida

de seguridad terapéutica.

4. El tribunal, de considerar que la medida de vigilancia por los órganos de la Policía

Nacional Revolucionaria ha dejado de ser necesaria, dispone su cese en cualquier

momento de su ejecución.

Artículo 109. Las medidas de seguridad terapéuticas se aplican cuando:

a) De conformidad con lo dispuesto en el Artículo 22 de este Código, la persona fue

eximida de responsabilidad penal por delito cometido;

b) antes de comenzar a cumplir la sanción de privación de libertad, trabajo correccional

con internamiento, o durante su cumplimiento, le sobrevenga alguna de las

situaciones previstas en el Artículo 106 de este Código y la misma sea incompatible

con su permanencia en el establecimiento penitenciario;

c) antes de comenzar a cumplir, o durante el cumplimiento de cualquier otra sanción

alternativa, le sobrevenga alguna de las situaciones previstas en el Artículo 106

de este Código, haciendo incompatible su estado con la ejecución de la sanción

alternativa impuesta; y

d) adquiera la adicción al alcohol u otras drogas o sustancias de efectos similares,

antes de comenzar a cumplir la sanción o durante su cumplimiento.

Artículo 110.1. La medida de seguridad terapéutica aplicada a un sancionado se

cumple antes que la sanción, siempre que su estado lo haga necesario, la índole del

delito cometido lo permita, o la ley lo disponga de esa manera.

2. El tiempo de duración de la medida de seguridad terapéutica aplicada a una persona

por cualquiera de los supuestos previstos en los incisos b) y c) del artículo anterior, se

abona de pleno derecho al del cumplimiento de la sanción.

3. En el caso previsto en el inciso d) del artículo anterior, dicho tiempo también se

abona al de la sanción, si se dispuso que primero fuera cumplida la medida de seguridad

terapéutica, o si con motivo del aseguramiento fue suspendida la ejecución de la

sanción; excepto que la persona se haya negado o hubiera incumplido u obstaculizado

reiterativamente el cumplimiento de la medida de seguridad.

Artículo 111.1. El tribunal, de conformidad con lo establecido en esta Ley, cuando en

proceso penal seguido contra quien cometió un delito comprueba que concurre alguna

de las situaciones señaladas en el Artículo 106 de este Código, aplica las medidas de

seguridad terapéutica previstas en el artículo que antecede.

2. Del mismo modo procede su aplicación si, antes o durante el cumplimiento de la

sanción que le fue impuesta, a la persona le sobreviene alguna de esas situaciones.

LIBRO II.- PARTE ESPECIAL LOS DELITOS

TÍTULO I. DELITOS CONTRA LA SEGURIDAD DEL ESTADO

CAPÍTULO I.- DELITOS CONTRA LA SEGURIDAD EXTERIOR DEL ESTADO

SECCIÓN PRIMERA.- Actos contra la independencia o la integridad territorial del Estado

Artículo 112. Quien, en interés de un Estado extranjero, ejecute un hecho con el

objeto de que sufra detrimento la independencia del Estado cubano, o la integridad de

su territorio, incurre en sanción de privación de libertad de diez a treinta años, privación

perpetua de libertad o muerte.

SECCIÓN SEGUNDA.- Promoción de acción armada contra Cuba

Artículo 113. Quien ejecute un hecho dirigido a promover la guerra, o cualquier acto de

agresión armada contra el Estado cubano, incurre en sanción de privación de libertad de

diez a treinta años, privación perpetua de libertad o muerte.

SECCIÓN TERCERA.- Servicio armado contra el Estado

Artículo 114.1. El cubano que tome las armas contra la Patria, bajo las banderas

enemigas, incurre en sanción de privación de libertad de diez a treinta años, privación

perpetua de libertad o muerte.

2. En igual sanción incurre el extranjero o persona sin ciudadanía residente en Cuba

que tome las armas contra el Estado cubano, bajo las banderas enemigas.

SECCIÓN CUARTA.- Ayuda al enemigo

Artículo 115.1. Incurre en sanción de privación de libertad de diez a treinta años,

privación perpetua de libertad o muerte quien:

a) Facilite al enemigo la entrada en el territorio nacional, o la toma o destrucción de

instalaciones de defensa, posiciones, armamentos y demás medios de guerra y

de defensa, buque o aeronave del Estado cubano;

b) suministre al enemigo caudales, armas, municiones, embarcaciones, aeronaves,

efectos, provisiones u otros medios idóneos o eficaces para hostilizar al Estado

cubano;

c) suministre al enemigo planos, croquis, vistas o informes de campamentos, zonas,

instalaciones o unidades militares, obras o medios de defensa o cualquier otro

documento o noticia que conduzca eficazmente al fin de hostilizar al Estado cubano

o de favorecer el progreso de las armas enemigas;

d) impida que las tropas nacionales, durante acciones combativas, reciban los medios

expresados en el inciso b), o la información con respecto al enemigo a que se refiere

el inciso c);

e) realice cualquier actividad encaminada a seducir tropa nacional o que se halle al

servicio del Estado cubano, para que pase a las filas enemigas o deserte de sus

banderas;

f) reclute a personas en el territorio nacional o fuera de él, para el servicio armado del

enemigo;

g) en su condición de prisionero de guerra, voluntariamente o para obtener cualquier

ventaja o beneficio, ejecute trabajos para favorecer militarmente al enemigo o intervenga

en otras actividades que perjudiquen al Estado cubano o a sus aliados; y

h) favorezca el progreso de las armas enemigas de cualquier otro modo no especificado

en los incisos anteriores.

2. La misma sanción prevista en el apartado anterior se impone a quien cometa

cualquiera de estos hechos contra un Estado extranjero aliado del Estado cubano, en el

caso de hallarse realizando acciones combativas contra un enemigo común.

3. En el caso previsto en el inciso g) del apartado 1, si como consecuencia del

requerimiento de un superior o por propia voluntad, el requerido inicia o vuelve a la

acción u ocupa de nuevo su puesto, la sanción es de privación de libertad de dos a cinco

años, e incluso, puede eximírsele de sanción si el hecho no ocasiona la pérdida de vida o

graves consecuencias.

SECCIÓN QUINTA.- Espionaje

Artículo 116.1. Quien, en detrimento de la seguridad del Estado, participe, colabore

o mantenga relaciones con los servicios de información de un Estado extranjero, o les

proporcione informes, o los obtenga o los procure con el fin de comunicárselos, incurre

en sanción de privación de libertad de diez a treinta años, privación perpetua de libertad

o muerte.

2. En igual sanción incurre quien proporcione, a un Estado extranjero, datos de carácter

secreto, cuya utilización pueda redundar en perjuicio de la República de Cuba, o los

obtenga, reúna o guarde con el mismo fin.

3. Quien, sin la debida autorización, practique reconocimientos, tome fotografías,

procure u obtenga informes o levante, confeccione o tenga en su poder planos, croquis

o vistas de campamentos, emplazamientos, zonas o unidades militares, obras o medios

de defensa, ferrocarriles, barcos o aeronaves de guerra, establecimientos marítimos o

militares, caminos u otras instalaciones militares o cualquier otro documento o

información concernientes a la seguridad del Estado, incurre en sanción de privación de

libertad de siete a quince años.

4. La sanción es de privación de libertad de diez a veinte años si, para ejecutar su

propósito, la persona penetra clandestinamente o mediante violencia, soborno o engaño

cuando esté prohibida o limitada la entrada en los lugares mencionados en el apartado

anterior o en otros de su mismo carácter.

5. El simple hecho de penetrar clandestinamente, con engaño, violencia o mediante

soborno, en alguno de los lugares o zonas indicados en los apartados anteriores, se

sanciona con privación de libertad de dos a cinco años.

6. Incurre en iguales sanciones a las previstas en los apartados anteriores, según el

caso, quien comete los hechos para favorecer a organizaciones no gubernamentales,

instituciones de carácter internacional, formas asociativas o de cualquier persona natural

o jurídica.

7. Los delitos previstos en los apartados 4, 5 y 6 se sancionan con independencia de los

que se cometan para su ejecución o en ocasión de ella.

SECCIÓN SEXTA.- Revelación de secretos concernientes a la seguridad del Estado

Artículo 117.1. Quien, fuera de lo previsto en el Artículo 116 de este Código, revele

secretos políticos, militares, económicos, científicos, técnicos o de cualquier naturaleza,

concernientes a la seguridad del Estado, incurre en sanción de privación de libertad de

cuatro a diez años.

2. La sanción es de privación de libertad de siete a quince años:

a) Si el secreto revelado lo poseía la persona por razón de su cargo o le había sido

confiado;

b) si la persona llegó a conocer el secreto subrepticiamente o por cualquier otro medio

ilegítimo; y

c) si, a causa del hecho, se producen consecuencias graves.

3. Las sanciones establecidas en los apartados anteriores se imponen también, en los

casos respectivos, a quien procure y obtenga la revelación del secreto.

Artículo 118. Quien, culposamente, dé lugar a que alguno de los secretos a que se

refiere el artículo anterior sea conocido, incurre en sanción de privación de libertad

de uno a tres años.

CAPÍTULO II.- DELITOS CONTRA LA SEGURIDAD INTERIOR DEL ESTADO

SECCIÓN PRIMERA.- Delitos contra el orden constitucional

Artículo 119.1. Incurre en sanción de privación de libertad de diez a treinta años,

privación perpetua de libertad o muerte quien se alce en armas para conseguir por la

fuerza, alguno de los fines siguientes:

a) Cambiar, total o parcialmente, la Constitución de la República o la forma de

Gobierno por ella establecida; e

b) impedir en todo o en parte, aunque sea temporalmente, al Presidente, Vicepresidente

de la República o a los órganos superiores del Estado y del Gobierno, el ejercicio

de sus funciones.

2. En igual sanción incurre quien realice cualquier hecho dirigido a promover el

alzamiento armado, de producirse este; si el alzamiento no se produce, la sanción es de

privación de libertad de cuatro a diez años.

3. Quien ejecute cualquier otro hecho dirigido, directa o indirectamente, a lograr

mediante la violencia u otro medio ilícito, alguno de los fines señalados en el apartado 1,

incurre en sanción de privación de libertad de siete a quince años, siempre que el hecho

no constituya un delito de mayor entidad.

Artículo 120.1. Quien, con cualquiera de las finalidades expresadas en el apartado 1

del artículo anterior, ejercite arbitrariamente cualquier derecho o libertad reconocido en

la Constitución de la República y ponga en peligro el orden constitucional y el normal

funcionamiento del Estado y el Gobierno cubano, incurre en sanción de privación de

libertad de cuatro a diez años.

2. El hecho previsto en el apartado anterior se sanciona como tal, siempre que no

constituya un delito de mayor entidad.

3. También se sanciona con independencia de los demás delitos que se cometan con

motivo o en ocasión de ser ejecutado el mismo.

SECCIÓN SEGUNDA.- Sedición

Artículo 121. Quienes, tumultuariamente y mediante concierto expreso o tácito,

empleando violencia, perturben el orden constitucional socialista, la celebración de

elecciones, referendos, plebiscitos o consultas populares, impidan el cumplimiento

de alguna sentencia o resolución firme de los tribunales, disposición legal o medida

dictada por el Estado o Gobierno, o por una autoridad civil o militar en el ejercicio de sus

respectivas funciones, rehúsen obedecerlas, realicen exigencias, o se resistan a cumplir

sus deberes, son sancionados:

a) Con privación de libertad de diez a treinta años, privación perpetua de libertad o

muerte, si el delito se comete en situaciones excepcionales, de desastre o afecta

la seguridad del Estado, o durante grave alteración del orden público, o en zona

militar, recurriendo a las armas o ejerciendo violencia;

b) con privación de libertad de diez a veinte años, si el delito se comete sin recurrir a las

armas ni ejercer violencia y concurre alguna de las demás circunstancias expresadas

en el inciso anterior; o si se ha recurrido a las armas o ejercido violencia, y el delito

se comete fuera de zona militar en tiempo de paz; y

c) con privación de libertad de tres a ocho años, en los demás casos.

SECCIÓN TERCERA.- Infracción de los deberes de resistencia

Artículo 122.1. El funcionario del Estado o del Gobierno que no resista por todos los

medios a su alcance cualquier acto contra el orden constitucional, invasión, insurrección

o sedición, incurre en sanción de privación de libertad de tres a ocho años.

2. Quien, sin órdenes de evacuación o movilización, abandone sus labores cuando haya

peligro de invasión, insurrección, sedición o de actos contra el orden constitucional o

cuando estos hayan ocurrido, incurre en sanción de privación de libertad de dos a cinco

años.

SECCIÓN CUARTA.- Usurpación del mando político o militar

Artículo 123. Incurre en sanción de privación de libertad de diez a treinta años,

privación perpetua de libertad o muerte quien:

a) Tome el mando de tropas, unidades o puestos militares, poblaciones, barcos

o aeronaves de guerra, sin facultad legal para ello ni orden de la autoridad competente; y

b) usurpe, a sabiendas, el ejercicio de una función propia del presidente, vicepresidente

de la República o de cualquiera de los órganos constitucionales del poder estatal.

SECCIÓN QUINTA.- Propaganda contra el orden constitucional

Artículo 124.1. Incurre en sanción de privación de libertad de tres a ocho años quien:

a) Incite contra el orden social, la solidaridad internacional o el Estado socialista

reconocidos en la Constitución de la República, mediante la propaganda oral o

escrita o en cualquier otra forma; y

b) confeccione, distribuya o posea propaganda del carácter mencionado en el inciso

anterior.

2. Si, para la ejecución de los hechos previstos en el apartado anterior, se utilizan

medios de comunicación social en sus espacios físico y digital, la sanción es de privación

de libertad de cuatro a diez años.

3. Quien permita la utilización de los medios de comunicación social en sus espacios

físico y digital a que se refiere el apartado anterior incurre en sanción de privación de

libertad de dos a cinco años.

4. Quien, teniendo responsabilidad de cuidado, custodia o uso de cualquier medio de

comunicación social, permita que otro lo utilice para ejecutar los actos previstos en el

apartado 1, incurre en sanción de privación de libertad de dos a cinco años, siempre que

sus acciones no constituyan un delito de mayor entidad.

SECCIÓN SEXTA.- Sabotaje

Artículo 125.1. Incurre en sanción de privación de libertad de siete a quince años

quien, con el propósito de impedir u obstaculizar su normal uso o funcionamiento, o a

sabiendas de que puede producirse este resultado, destruya, altere, dañe o perjudique

los medios, recursos, edificaciones, sistemas, instalaciones o unidades

socioeconómicas o militares siguientes:

a) Fuentes energéticas, obras hidráulicas, vías y servicios de transporte terrestre,

de transmisión de energía, de las telecomunicaciones y la información y la

comunicación, sus servicios y redes físicas y digitales;

b) talleres, frigoríficos, depósitos, almacenes u otras instalaciones destinadas a guardar

bienes de uso o consumo;

c) centros de enseñanza o de investigación científica, edificaciones públicas, comercios,

albergues o locales de organizaciones administrativas, políticas, de masas, sociales

o recreativas;

d) centros industriales o agropecuarios, cuencas hidrográficas, cosechas, bosques,

pastos o ganado;

e) instalaciones portuarias o de aeronavegación, naves o aeronaves;

f) centros de investigación, cría o desarrollo de especies animales;

g) campamentos, depósitos, armamentos, construcciones o dependencias militares en

general; y

h) otras instalaciones, sistemas o recursos relacionados con actividades priorizadas

para el país.

2. En igual sanción incurre quien, con el propósito de afectar la economía nacional, dañe

o destruya bienes de uso o consumo depositados en almacenes o en otras instalaciones

o a la intemperie.

Artículo 126. La sanción es de privación de libertad de diez a treinta años, privación

perpetua de libertad o muerte, si en la realización de los hechos descritos en el artículo

a) Se ocasionan lesiones graves o la muerte de alguna persona;

b) se utiliza el fuego, sustancias, materias o instrumentos inflamables, explosivos,

agentes químicos o biológicos u otros medios capaces de producir consecuencias

graves;

c) se producen consecuencias graves, cualquiera que sea el medio utilizado;

d) se pone en peligro la seguridad colectiva; y

e) los bienes afectados pertenecen a las reservas materiales.

CAPÍTULO III.- DELITOS CONTRA LA PAZ Y EL DERECHO INTERNACIONAL

SECCIÓN PRIMERA.- Crimen de agresión

Artículo 127. Quien, estando en la posición de controlar o dirigir efectivamente la

acción política, económica o militar de un Estado, ordene, autorice, permita o participe

activamente en la planificación, preparación, iniciación o realización de un acto que

menoscabe directa o indirectamente la soberanía, la integridad territorial o la

independencia política o económica del Estado cubano, incurre en sanción de privación

de libertad de diez a veinte años.

SECCIÓN SEGUNDA.- Actos hostiles contra un Estado extranjero

Artículo 128.1. Quien, efectúe alistamientos u otros actos hostiles a un Estado extranjero,

que den motivo al peligro de una guerra, a medidas de represalia contra Cuba, o expongan

a los cubanos a vejaciones o represalias en sus personas o bienes o a la alteración de las

relaciones amistosas de Cuba con otro Estado, incurre en sanción de privación de

libertad de cuatro a diez años.

2. Si, como consecuencia de los hechos previstos en el apartado anterior, resultan las

medidas de represalia contra Cuba, o las vejaciones o represalias contra sus ciudadanos,

o la alteración de las relaciones diplomáticas, o la guerra, la sanción es de privación de

libertad de diez a treinta años, privación perpetua de libertad o muerte.

Artículo 129. Quien, reclute personas en el territorio nacional para el servicio militar

de un Estado extranjero, incurre en sanción de privación de libertad de cuatro a diez años.

SECCIÓN TERCERA.- Violación de la soberanía de un Estado extranjero

Artículo 130. Quien, en el territorio cubano, ejecute un hecho encaminado a menoscabar

la independencia de un Estado extranjero, la integridad de su territorio o la estabilidad de

su gobierno, incurre en sanción de privación de libertad de tres a ocho años.

SECCIÓN CUARTA.- Actos contra los jefes y representantes diplomáticos de Estados extranjeros

Artículo 131.1. Quien, en territorio cubano, agreda físicamente o atente contra el honor

o la dignidad del jefe de un Estado extranjero, incurre en sanción de privación de libertad

de tres a ocho años, siempre que no constituya un hecho de mayor entidad.

2. Igual sanción se aplica si el hecho se comete contra los representantes diplomáticos

de los Estados extranjeros en ocasión del ejercicio de sus funciones, o contra sus

familiares, con el fin de afectar estas.

3. Quien viole la inmunidad personal o el lugar de residencia del jefe de otro

Estado recibido en el territorio cubano con carácter oficial, o la inmunidad personal de

representante diplomático de otro Estado, de los miembros de las misiones especiales,

consulares o de los organismos internacionales, acreditados en la República de Cuba,

incurre en sanción de privación de libertad de dos a cinco años.

4. Los hechos previstos en el apartado anterior se sancionan con independencia de los

que se cometan para su ejecución o en ocasión de ella.

SECCIÓN QUINTA.- Incitación a la guerra

Artículo 132. Incurre en sanción de privación de libertad de dos a cinco años quien:

a) Incite a una guerra de agresión; y

b) durante el curso de las negociaciones diplomáticas para la solución de un conflicto

internacional, fomente la agitación popular, con el propósito de ejercer presión

sobre el Estado en favor de la guerra.

SECCIÓN SEXTA.- Difusión de noticias falsas contra la paz internacional

Artículo 133. Quien difunda noticias falsas, con el propósito de perturbar la paz

internacional, o de poner en peligro el prestigio o el crédito del Estado cubano, o sus

buenas relaciones con otro Estado, incurre en sanción de privación de libertad de dos a

cinco años.

SECCIÓN SÉPTIMA.-Genocidio

Artículo 134.1. Incurre en sanción de privación de libertad de diez a treinta años,

privación perpetua de libertad o muerte quien, con la intención de destruir, total o

parcialmente, a un grupo nacional, étnico, religioso o por el color de la piel como tal.

a) Someta a este grupo a condiciones de existencia que constituyan una amenaza de

exterminio del grupo o de alguno de sus miembros;

b) tome medidas para impedir u obstaculizar los nacimientos en el seno del grupo;

c) ejecute el traslado forzoso de los menores de dieciocho años de ese grupo a otro; y

d) produzca la matanza o lesione gravemente la integridad física o mental de miembros

del grupo.

2. En igual sanción incurre quien, violando las normas del derecho internacional,

bombardee, ametralle o ejerza sevicia sobre la población civil indefensa.

SECCIÓN OCTAVA.-Mercenarismo

Artículo 135.1. Quien, con el fin de obtener el pago de un sueldo u otro tipo de retribución

o beneficio personal, se incorpore a formaciones militares, o empresas militares privadas,

integradas total o parcialmente por individuos que no son ciudadanos del Estado en cuyo

territorio se proponen actuar, incurre en sanción de privación de libertad de diez a treinta

años, privación perpetua de libertad o muerte.

2. En igual sanción incurre quien colabore o ejecute cualquier otro hecho encaminado,

directa o indirectamente, a lograr el objetivo señalado en el apartado anterior.

SECCIÓN NOVENA.- Crimen del apartheid

Artículo 136.1. Incurren en sanción de privación de libertad de diez a treinta años,

privación perpetua de libertad o muerte, quienes, con el fin de instituir y mantener la

dominación de un grupo de personas sobre otro, de acuerdo con políticas y prácticas de

exterminio, segregación y discriminación por motivo del color de la piel:

a) Denieguen a los miembros de este grupo el derecho a la vida y la libertad mediante

el asesinato, los atentados graves contra la integridad física o psíquica, la libertad

o la dignidad, las torturas, penas o tratos crueles, inhumanos o degradantes, la

detención arbitraria y la prisión ilegal;

b) impongan al grupo medidas legislativas, o de otro orden, destinadas a impedir su

participación en la vida política, social, económica y cultural del país y a crear,

deliberadamente, condiciones que obstaculicen su pleno desarrollo, rehusándoles a

sus miembros los derechos y libertades fundamentales;

c) dividan a la población en grupos según criterios basados en el color de la piel,

creando reservas y ghettos, prohibiendo los matrimonios entre miembros de

distintos grupos y expropiándoles sus bienes; y

d) exploten el trabajo de los miembros del grupo, en especial sometiéndolos a trabajo

forzado.

2. Si el hecho consiste en perseguir u hostilizar a las organizaciones y personas que

se opongan al apartheid, o lo combatan, la sanción es de privación de libertad de diez a

veinte años.

3. La responsabilidad por los actos previstos en los apartados anteriores es exigible

con independencia del país en el que los intervinientes actúan o residen, y se extiende,

cualquiera que sea el móvil, a los particulares, los miembros de las organizaciones e

instituciones y los representantes del Estado.

SECCIÓN DÉCIMA.- Disposición complementaria

Artículo 137. Los delitos previstos en este capítulo son perseguibles previa instancia

del Ministro de Justicia.

CAPÍTULO IV.- DELITOS CONTRA EL DERECHO INTERNACIONAL HUMANITARIO

SECCIÓN PRIMERA.- Maltrato o violencia a personas especialmente protegidas en

conflicto armado

Artículo 138.1. Quien maltrate gravemente a personas especialmente protegidas con

ocasión o en desarrollo de conflicto armado, o ejerza violencia contra estas, incurre en

sanción de privación de libertad de cuatro a diez años.

2. En igual sanción prevista en el apartado anterior, incurre quien maltrate, de cualquier

otra forma, a una persona especialmente protegida con ocasión o en desarrollo de

conflicto armado, herida o enferma, o desatienda el cumplimiento de las obligaciones

que le sean asignadas para su cuidado y curación.

3. Si los hechos previstos en los apartados anteriores ocasionan consecuencias graves, la

sanción prevista en cada caso se incrementa en un tercio, y se sancionan con

independencia de los demás delitos que se cometan en ocasión o como consecuencia de

los hechos.

SECCIÓN SEGUNDA.- Saqueo

Artículo 139.1. Quien, con ánimo de lucro, despoje de dinero u otras pertenencias a

los heridos, muertos o prisioneros donde se desarrolle un conflicto armado, incurre en

sanción de privación de libertad de tres a ocho años.

2. Si el hecho previsto en el apartado anterior se comete reiteradamente o en grupo

organizado o estructurado, o lo apropiado es de considerable valor, la sanción es de

privación de libertad de cuatro a diez años.

SECCIÓN TERCERA.- Destrucción o daños de bienes especialmente protegidos en

conflicto armado

Artículo 140.1. Quien, donde se desarrolla un conflicto armado, destruya u ocupe

ilegalmente bienes especialmente protegidos, incurre en sanción de privación de libertad

de tres a ocho años.

2. Si los hechos descritos en el apartado anterior se cometen reiteradamente o con

ensañamiento o se causan daños considerables, la sanción es de privación de libertad de

cuatro a diez años.

3. Los hechos previstos en los apartados anteriores se sancionan como tales, con

independencia de los demás delitos que se cometan en ocasión o como consecuencia de

los hechos.

SECCIÓN CUARTA.- Uso indebido de insignias o símbolos de la Cruz Roja u otra

Organización internacional dedicada a prestar ayuda humanitaria

Artículo 141. Quien, en el lugar donde se desarrolla un conflicto armado, utilice

ilícitamente insignias, banderas o símbolos de la Cruz Roja o de cualquier otra

organización internacional reconocida por el Estado cubano dedicada a prestar ayuda

humanitaria en tales situaciones, incurre en sanción de privación de libertad de seis

meses a dos años.

CAPÍTULO V.- OTROS ACTOS CONTRA LA SEGURIDAD DEL ESTADO

Artículo 142.1. Incurre en sanción de privación de libertad de diez a treinta años,

privación perpetua de libertad o muerte quien:

a) Viole el espacio territorial tripulando o viajando a bordo de nave o aeronave, para

cometer cualquiera de los delitos previstos en este título;

b) penetre clandestinamente en el territorio nacional para cometer cualquiera de

los delitos previstos en las secciones Primera, Segunda, Tercera, Cuarta y Sexta

del Capítulo I, en las secciones Primera, Segunda, Cuarta, Quinta y Sexta del

Capítulo II, o en las secciones Segunda, Tercera, Cuarta y Sexta del Capítulo III; y

c) organice o forme parte de grupos armados para cometer cualquiera de los delitos

previstos en este título.

2. Quien de abrigo, preste ayuda o suministre provisiones a los grupos o elementos

descritos en el apartado anterior, o favorezca de cualquier otro modo sus operaciones,

incurre en sanción de privación de libertad de diez a veinte años.

Artículo 143. Quien, por sí o en representación de organizaciones no gubernamentales,

instituciones de carácter internacional, formas asociativas o de cualquier persona natural

o jurídica del país o de un Estado extranjero, apoye, fomente, financie, provea, reciba o

tenga en su poder fondos, recursos materiales o financieros, con el propósito de sufragar

actividades contra el Estado cubano y su orden constitucional, incurre en sanción de

privación de libertad de cuatro a diez años.

Artículo 144. Quien, al tener conocimiento de la preparación o ejecución de cualquier

delito contra la seguridad del Estado, no lo denuncie, sin perjuicio de tratar de impedirlo

por todos los medios a su alcance, incurre en sanción de privación de libertad de dos a

cinco años.

CAPÍTULO VI.- DISPOSICIONES COMPLEMENTARIAS

Artículo 145. Se sanciona conforme a las reglas que, respecto a los actos preparatorios

se establecen en los artículos 13 y 77 de este Código, a quien:

a) Habiendo resuelto cometer alguno de los delitos previstos en este título, proponga

a otra u otras personas su intervención en la ejecución de estos;

b) se concierte con una o más personas para la ejecución de alguno de los delitos

previstos en este título, y resuelvan cometerlo; e

c) incite a otro u otros, de palabra o por escrito, pública o privadamente, a ejecutar

alguno de los delitos previstos en este título; y si a la incitación ha seguido la

comisión del hecho, será sancionado como autor del delito cometido.

Artículo 146. En los casos de delitos contra la seguridad del Estado, la sanción

aplicable al delito de encubrimiento, previsto en el Artículo 203 de este Código, es la

correspondiente al delito encubierto, rebajados en un tercio sus límites mínimo y máximo.

Artículo 147.1. Está exento de responsabilidad penal quien, habiendo intervenido en

la preparación o en la realización de un delito contra la seguridad del Estado, lo denuncie

antes de comenzar a ejecutarse o a tiempo de poder evitarse sus consecuencias.

2. En los delitos previstos en este título, el tribunal puede reducir hasta en dos tercios el

límite mínimo de la sanción, o, excepcionalmente, declarar la exención de

responsabilidad penal, cuando:

a) La persona haya abandonado voluntariamente sus actividades delictivas, se presente

ante las autoridades y confiese los hechos en que ha intervenido; y

b) el abandono por la persona de su vinculación criminal, haya evitado o disminuido

sustancialmente una situación de peligro, impedido la producción del resultado

dañoso o coadyuvado eficazmente a la obtención de pruebas decisivas para la

identificación o captura de otros presuntos intervinientes o para el esclarecimiento

de los hechos.

Artículo 148. En los delitos previstos en este Título, el tribunal puede imponer la

sanción accesoria de confiscación de bienes.

TÍTULO II.- DELITOS DE TERRORISMO

CAPÍTULO I.- DISPOSICIONES PRELIMINARES

Artículo 149.1. El presente título tiene como objeto prever y sancionar los actos descritos

en su articulado que por su forma de ejecución, medios y métodos empleados,

evidencien el propósito de intimidar u obligar, a un gobierno o a una organización

internacional, a realizar un acto o abstenerse de realizarlo o, de igual manera, provocar

estados de alarma, temor o terror en la población, en un grupo de personas o en

determinada persona, poner en peligro inminente o afectar la vida, la integridad física o

mental de las personas, provocar afectaciones a bienes de significativa consideración o

importancia, el medio ambiente, la paz internacional o la seguridad del Estado cubano.

2. Los delitos previstos en este título se sancionan con independencia de los que se

cometan para su ejecución o en ocasión de ella; y se le aplican las reglas establecidas en

los artículos 145, 146 y 147, apartado 2, de este Código.

Artículo 150. En los delitos previstos en este Título, el tribunal puede imponer la

sanción accesoria de confiscación de bienes.

CAPÍTULO II.- ACTOS COMETIDOS CON ARMAS O ARTEFACTOS EXPLOSIVOS O

MORTÍFEROS, AGENTES QUÍMICOS O BIOLÓGICOS U OTROS MEDIOS O SUSTANCIAS

Artículo 151.1. Quien fabrique, facilite, venda, transporte, remita, introduzca en el país

o tenga en su poder armas, municiones o materias, sustancias o instrumentos inflamables,

asfixiantes, tóxicos, explosivos plásticos o de cualquier otra clase o naturaleza, agentes

químicos o biológicos, o cualquier otro elemento de cuya investigación, diseño o

combinación puedan derivarse productos de la naturaleza descrita, cualquier otra sustancia

similar o artefacto explosivo o mortífero, incurre en sanción de diez a treinta años de

privación de libertad, privación perpetua de libertad o muerte.

2. De igual forma que la prevista en el apartado que antecede, se sanciona a quien

amenace con utilizar materiales nucleares, sustancias radioactivas u otras fuentes de

radiaciones ionizantes para causar lesiones o la muerte de cualquier persona, daños a

bienes, o con realizar cualquier delito para obligar a una persona o entidad, a una

organización internacional o a un Estado, a hacer o abstenerse de ejecutar cualquier acto.

Artículo 152. En igual sanción incurre quien entrega, coloca, arroja, disemina, detona

o utiliza un artefacto explosivo o mortífero, u otro medio o sustancia de las descritas en

el artículo anterior, contra:

a) Un lugar de uso público;

b) una instalación pública o gubernamental;

c) una red de transporte público o cualquiera de sus componentes; o de transmisión

de energía, de las telecomunicaciones y la información y la comunicación, sus servicios;

d) una instalación de infraestructura;

e) cosechas, bosques, pastos, ganado o aves; o

f) campamentos, depósitos, armamentos, construcciones o dependencias militares en

general.

Artículo 153.1. Quien adultere sustancias o productos alimenticios o de otro tipo,

destinados al consumo humano, de modo que puedan causar la muerte o dañar la salud de

las personas, incurre en sanción de privación de libertad de diez a veinte años.

2. Si, como consecuencia de los hechos descritos en el apartado anterior se ocasionan

lesiones graves o la muerte de alguna persona, la sanción es de quince a treinta años de

privación de libertad, privación perpetua de libertad o muerte.

Artículo 154.1. Quien ejecute un acto contra la vida, la integridad corporal, la libertad

o seguridad de alguna persona que, por la naturaleza de las actividades que desarrolla,

disfrute de relevante reconocimiento en la sociedad, o contra sus familiares más allegados,

incurre en sanción de privación de libertad de diez a treinta años, privación perpetua de

libertad o muerte.

2. Si el acto ejecutado se dirige a destruir o dañar significativamente los bienes de que

dispongan las personas a que se refiere el apartado anterior, la sanción es de privación de

libertad de cuatro a diez años.

CAPÍTULO III.- TOMA DE REHENES

Artículo 155.1. Quien se apodere de otra persona, o la retenga en contra de su

voluntad, y amenace con matarla, herirla o mantenerla retenida, a fin de obligar a un

Estado, organización intergubernamental, persona natural o jurídica o grupo de personas,

a una acción u omisión, como condición explícita o implícita, para la liberación del rehén,

incurre en sanción de privación de libertad de diez a veinte años.

2. Si como consecuencia de los hechos descritos en el apartado anterior se produce la

muerte o lesiones graves de una o más personas o se logra la condición exigida para

la liberación del rehén, la sanción es de quince a treinta años de privación de libertad,

privación perpetua de libertad o muerte.

CAPÍTULO IV.- ACTOS CONTRA LAS PERSONAS INTERNACIONALMENTE PROTEGIDAS

Artículo 156.1. Quien realice un acto contra la vida, la integridad corporal, la libertad o

la seguridad de una persona internacionalmente protegida, o de algún familiar que resida

en su domicilio, la sanción es de privación de libertad de diez a treinta años, privación

perpetua de libertad o muerte.

2. Incurre en sanción de cuatro a diez años de privación de libertad quien realice

cualquier acto contra los locales oficiales, la residencia particular o los medios de

transporte de la persona internacionalmente protegida y que pueda poner en peligro su

vida, integridad corporal, libertad o seguridad.

CAPÍTULO V.- ACTOS CONTRA LA SEGURIDAD DE LA NAVEGACIÓN MARÍTIMA

Artículo 157.1. La sanción es de diez a treinta años de privación de libertad para quien:

a) Se apodere de un medio naval o ejerza el control de este, mediante intimidación,

violencia, o amenaza;

b) realice algún acto de violencia contra una persona que se halle a bordo de un medio

naval, si dicho acto puede poner en peligro la navegación segura de ese medio

naval;

c) destruya un medio naval o le cause daño a este o a su carga que puedan poner en

peligro su navegación;

d) destruya o cause daños importantes o considerables en las instalaciones y servicios

de navegación marítima o entorpezca gravemente su funcionamiento, si cualquiera

de tales actos pudiera poner en peligro la navegación segura del medio naval; y

e) difunda información a sabiendas de que es falsa, poniendo en peligro la navegación

segura del medio naval.

2. Si, en relación con la ejecución de los actos antes enunciados se causa lesiones

graves o la muerte de una o más personas, la sanción es de privación de libertad de

quince a treinta años, privación perpetua de libertad o muerte.

CAPÍTULO VI.- ACTOS CONTRA LA SEGURIDAD DE LA AVIACIÓN CIVIL Y LOS

AEROPUERTOS

Artículo 158. Quien, a bordo de una aeronave en vuelo o en servicio, mediante

violencia, amenaza de violencia o cualquier otro acto ilícito se apodere de la aeronave o

ejerza su control o ponga en peligro la seguridad de esta, incurre en sanción de privación

de libertad de diez a treinta años

Artículo 159. En igual sanción que la anterior incurre quien ponga o pueda poner en

peligro la seguridad de un aeropuerto al:

a) Ejecutar un acto de violencia o de intimidación contra una persona; y

b) destruir o causar daños de consideración en sus instalaciones, o en una aeronave

que no esté en servicio y esté situada en el aeropuerto, o perturbe de cualquier

manera los servicios que allí se prestan.

Artículo 160. De igual forma que la anterior se sanciona a quien ponga o pueda poner

en peligro la seguridad de una aeronave al:

a) Realizar contra una persona a bordo de una aeronave en vuelo actos de violencia o

de intimidación;

b) destruir una aeronave en servicio o causarle daño que la incapacite para el vuelo

o que, por su naturaleza, constituya un peligro para la seguridad de la aeronave en

vuelo;

c) destruir o dañar las instalaciones o servicios de la navegación aérea o perturbe su

funcionamiento, si tales actos, por su naturaleza, constituyen un peligro para la

seguridad de las aeronaves en vuelo; y

d) comunicar, a sabiendas, informes falsos, poniendo con ello en peligro la seguridad

de una aeronave en vuelo.

Artículo 161. Si como consecuencia de los hechos previstos en los artículos 158, 159

y 160 de este Código, se causan lesiones graves, o la muerte, de una o más personas, la

sanción es de privación de libertad de quince a treinta años, privación perpetua de

libertad o muerte.

CAPÍTULO VII.- OTROS ACTOS QUE ATENTAN CONTRA LA SEGURIDAD AÉREA Y MARÍTIMA

Artículo 162. Incurre en sanción de privación de libertad de diez a treinta años,

privación perpetua de libertad o muerte, quien:

a) Utilizando un medio naval o aeronave, artillada o no, cometa actos de intimidación,

violencia, amenaza u hostilidad contra otro medio naval o aeronave con el propósito

de apoderarse del medio naval o de la aeronave, o de los bienes de a bordo; dañar o

destruir el medio naval o la aeronave, desviarlo de su ruta, o impedir su circulación

o actividades normales; o tomar como rehenes, lesionar o dar muerte a tripulantes o

pasajeros;

b) utilice un medio naval o aeronave para atacar objetivos terrestres, aéreos o marítimos;

c) coloque o haga colocar en medio naval o aeronave, por cualquier medio, un artefacto

o sustancia capaz de destruirlo o de causarle daños que lo inutilicen o que, por su

naturaleza, constituyan un peligro para su seguridad;

d) tripule o viaje en medios navales o aeronaves, por el espacio territorial marítimo o

aéreo cubano sin la debida autorización o incumpliendo las disposiciones vigentes

al respecto; y

e) penetre en el territorio marítimo o aéreo cubano portando armas, en medios navales

o aeronaves no artilladas, con el fin de realizar cualquiera de los actos descritos en

los apartados anteriores.

Artículo 163. Incurre en igual sanción a la prevista en el artículo anterior quien,

voluntariamente, entrega un medio naval o aeronave con el propósito o a sabiendas de

que será utilizado en la realización de los actos que se describen en el artículo que

antecede.

Artículo 164. Quien tripule un medio naval o aeronave para cometer cualquiera de

los actos que se consignan en este capítulo, será encausado por todos los delitos que se

cometan con dicho medio naval o aeronave.

Artículo 165. Cuando los hechos descritos en los artículos 158 y 162, inciso a), de este

Código, relacionados con el apoderamiento de medios navales o los bienes o mercancías

que transportan, y el propósito del responsable no sea el que establece el Artículo 149 de

este Código sino cualquier otro, se aplican las mismas sanciones previstas en cada caso

de este título y el tribunal puede rebajar en un tercio el límite mínimo previsto.

CAPÍTULO VIII.- ACTOS CONTRA LA SEGURIDAD DE LAS PLATAFORMAS FIJAS

EMPLAZADAS EN LA PLATAFORMA CONTINENTAL O INSULAR

Artículo 166.1. Incurre en sanción de privación de libertad de diez a treinta años a

quien:

a) Se apodere de una plataforma fija o ejerza el control de esta, mediante intimidación

o violencia;

b) ejerza intimidación o violencia contra una persona que se halle a bordo de una

plataforma fija, si dicho acto puede poner en peligro la seguridad de esta; y

c) coloque o haga colocar en una plataforma fija, por cualquier medio, un artefacto o

una sustancia que pueda destruirla o poner en peligro su seguridad.

2. Si, como consecuencia de los actos anteriormente descritos, se causa la destrucción

de una plataforma fija, se le provocan graves perjuicios, o se ocasionan lesiones graves

o la muerte de cualquier persona, la sanción es de quince a treinta años de privación de

libertad, privación perpetua de libertad o muerte.

CAPÍTULO IX.- FINANCIAMIENTO AL TERRORISMO

Artículo 167.1. Quien, por cualquier medio, directa o indirectamente, recaude,

transporte, provea o tenga en su poder fondos o recursos financieros o materiales con el

propósito de que se utilicen en su totalidad o en parte en la comisión de alguno de los

delitos previstos en este título, o a sabiendas de que serán utilizados en la comisión de

alguno de dichos delitos, incurre en sanción de privación de libertad de diez a treinta años.

2. En igual sanción incurre quien, por cualquier medio, directa o indirectamente, ponga

fondos, recursos financieros o materiales o servicios financieros o conexos de otra índole

a disposición de persona o entidad que los destine a la comisión de algunos de los delitos

previstos en este título.

3. Incurre en sanción de privación de libertad de cuatro a diez años quien, por cualquier

medio, directa o indirectamente, financie, recaude, provea o tenga en su poder fondos,

recursos financieros o materiales, o proporcione el acceso a servicios financieros o

conexos de otra índole, con el propósito de:

a) Organizar o facilitar el viaje o desplazamiento interno o internacional de personas

con el objetivo de que estas planifiquen, preparen o intervengan en cualquiera de

los actos previstos en este título, o para ofrecer o recibir adiestramiento con fines

de terrorismo; y

b) organizar o facilitar el viaje o desplazamiento interno o internacional de personas

con el objetivo de reclutar a otros para que planifiquen, preparen o intervengan

en cualquiera de los actos previstos en este título, o para que ofrezcan o reciban

adiestramiento con fines de terrorismo.

4. Se incurre en igual sanción a la prevista en el apartado que antecede, cuando los

actos descritos en los apartados precedentes se realicen a favor de una persona, grupo

o entidad vinculada a hechos terroristas, sin que los fondos, recursos o servicios que se

ponen a su disposición estén destinados a la comisión de los delitos previstos en este

título, ni se utilicen en ello.

5. A los efectos de lo previsto en este artículo, el delito se configura con independencia

de la procedencia de los fondos, recursos financieros o materiales, o servicios financieros

o conexos de otra índole de que se trate.

CAPÍTULO X.- ACTOS EN OCASIÓN DEL USO DE LOS MEDIOS Y TÉCNICAS INFORMÁTICAS

Artículo 168. Incurre en sanción de privación de libertad de diez a veinte años, quien,

para facilitar cualquiera de los actos previstos en este título:

a) Con la utilización de equipos, medios, programas, redes informáticas o cualquier otra

aplicación informática, intercepte, interfiera, use, altere, dañe, inutilice o destruya

datos, información, documentos electrónicos, soportes informáticos, programas o

sistemas de información y de comunicaciones o telemáticos, de servicios públicos,

sociales, administrativos, de emergencia, de seguridad nacional o de cualquier otro

tipo, de entidades nacionales, internacionales o de otro país; y

b) haga uso o permita la utilización de correo electrónico, otros servicios o protocolos

de internet, o de cualquier equipo terminal de telecomunicaciones; cree, distribuya,

comercie o tenga en su poder programas capaces de producir los efectos a que se

refiere el inciso anterior.

CAPÍTULO XI.- OTROS ACTOS DE TERRORISMO

Artículo 169.1. Quien, en una situación de conflicto armado, realice cualquier otro

acto destinado a causar la muerte o lesiones graves a alguna persona que no participe

directamente en las hostilidades, cuando el propósito de dicho acto, por su naturaleza

o contexto, sea intimidar a una población u obligar a un Estado o gobierno o a una

organización internacional a realizar un acto o a abstenerse de hacerlo, incurre en

sanción de privación de libertad de diez a treinta años, privación perpetua de libertad o

muerte.

2. Quien realice cualquier otro acto no sancionado más severamente por la ley que, por

su forma, medios o lugar u oportunidad de ejecución, tienda a la consecución de los fines

a que se refiere el Artículo 149 de este Código, incurre en sanción de privación de libertad

de cuatro a diez años.

Artículo 170.1. Incurre en sanción de privación de libertad de diez a treinta años,

privación perpetua de libertad o muerte quien, para cometer cualquiera de los delitos

previstos en este título:

a) Viole el mar territorial de la República tripulando un medio naval, o el espacio

aéreo que forma parte del territorio nacional viajando a bordo de aeronave;

b) penetre clandestinamente en el territorio nacional; y

c) organice o forme parte de grupos armados.

2. Quien dé abrigo, preste ayuda o suministre provisiones a los grupos o individuos

que participan en los actos descritos en el apartado anterior, o favorezca de cualquier otro

modo sus operaciones, incurre en sanción de privación de libertad de diez a veinte años.

TÍTULO III.- DELITOS CONTRA LA ADMINISTRACIÓN Y LA JURISDICCIÓN

CAPÍTULO I.- VIOLACIÓN DE LOS DEBERES INHERENTES A UNA FUNCIÓN PÚBLICA

SECCIÓN PRIMERA.- Revelación de información oficial clasificada

Artículo 171.1. Quien, por razón de su cargo posea o conozca una información oficial

clasificada, según lo establecido en las disposiciones legales a tales efectos; relativa a la

economía, los servicios, la producción, los bienes o la defensa y en general a la gestión

de cualquiera de ellos, la revele y con ello afecte intereses significativos o esenciales de

la entidad de que se trate, incurre en sanción de privación de libertad de uno a tres años o

multa de trescientas a mil cuotas, o ambas.

2. Si, a causa del hecho, se producen consecuencias graves, la sanción es de privación

de libertad de tres a ocho años.

3. Quienes obtengan la revelación de la información oficial clasificada, induciendo

a quien la posee para que se la dé a conocer o a través de cualesquiera otros actos

encaminados a lograr su entrega, incurre en las mismas sanciones previstas en los

apartados que anteceden.

Artículo 172. Quien conozca una información oficial clasificada como secreto estatal,

secreto o confidencial, o limitada, según lo establecido en las disposiciones legales,

relativa a la economía, los servicios, la producción, los bienes o la defensa y, en general, a

la gestión de cualquiera de ellos, por haber indagado o por haberla obtenido

subrepticiamente o por otros medios ilegítimos, y la revele o la utilice en su propio

beneficio, incurre en sanción de privación de libertad de uno a tres años o multa de

trescientas a mil cuotas, o ambas.

SECCIÓN SEGUNDA.- Revelación de pruebas para la evaluación docente

Artículo 173.1. El funcionario o empleado público que intencionalmente revele el

contenido de prueba, examen u otro material o información preparados por los órganos

competentes del Estado para la evaluación de los alumnos de centros docentes oficiales,

antes de que aquellos deban ser conocidos, incurre en sanción de privación de libertad

de uno a tres años o multa de trescientas a mil cuotas, o ambas.

2. Si el hecho previsto en el apartado anterior se realiza con ánimo de lucro o provecho,

o mediante dádiva o recompensa de algún tipo, la sanción es de privación de libertad de

dos a cinco años o multa de quinientas a mil cuotas, o ambas.

3. Los hechos previstos en este artículo se sancionan como tales, siempre que no

constituyan un delito de mayor gravedad.

SECCIÓN TERCERA.- Abuso de autoridad

Artículo 174. El funcionario público que, con el propósito de perjudicar a una persona

o de obtener un beneficio ilícito, para sí o para otro, ejerza las funciones inherentes a su

cargo de modo manifiestamente contrario a las leyes, o se exceda arbitrariamente de los

límites legales de su competencia, incurre en sanción de privación de libertad de uno a

tres años o multa de trescientas a mil cuotas, o ambas, siempre que el hecho no

constituya un delito de mayor entidad.

SECCIÓN CUARTA.- Desobediencia

Artículo 175. El funcionario público que no dé cumplimiento a sentencia, resolución

firme u orden dictada por tribunal o autoridad competente, revestida de las formalidades

legales, según corresponda, incurre en sanción de privación de libertad de seis meses a

un año o multa de cien a trescientas cuotas, o ambas.

SECCIÓN QUINTA.- Abandono de funciones

Artículo 176.1. El funcionario público encargado de cumplir alguna misión en otro país

que la abandone o, cumplida esta, o requerido en cualquier momento para que regrese,

se niegue expresa o tácitamente a hacerlo, incurre en sanción de privación de libertad de

tres a ocho años.

2. En igual sanción incurre el funcionario público que, en ocasión del cumplimiento de

una misión en el extranjero y contra la orden expresa del Gobierno, se traslade a otro país.

3. Si los hechos previstos en los apartados anteriores se cometen por un empleado

público, se sancionan con privación de libertad de dos a cinco años.

SECCIÓN SEXTA.- Prevaricación

Artículo 177. El funcionario público que intencionalmente dicte resolución contraria

a la ley en asunto que conozca por razón de su cargo, incurre en sanción de privación de

libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas.

Artículo 178. El funcionario público que retarde maliciosamente la tramitación o

resolución de un asunto de que conozca o deba conocer u omita injustificadamente el

cumplimiento del deber o de un acto que le venga impuesto por razón de su cargo o

rehúse hacerlo, incurre en sanción de privación de libertad de seis meses a un año o

multa de cien a trescientas cuotas, o ambas.

Artículo 179.1. El juez que intencionalmente dicte o contribuya con su voto a que se

dicte, en proceso penal, sentencia contraria a la ley, incurre en sanción de privación de

libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas.

2. Si, intencionalmente, dicta o contribuye con su voto a que se dicte sentencia contraria

a la ley en asunto no penal sometido a su jurisdicción, la sanción es de privación de

libertad de seis meses a dos años o multa de doscientas a quinientas cuotas, o ambas.

3. Si, en vez de sentencia, se trata de otra resolución, las sanciones previstas en los dos

apartados anteriores se reducen a la mitad.

Artículo 180. Quien, maliciosamente, faltando a los deberes de su cargo, deje de

promover la persecución o sanción de una persona a quien se le atribuye o ha cometido

un delito, o promueva la de aquella, cuya inocencia le es conocida, incurre en sanción de

privación de libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas.

SECCIÓN SÉPTIMA.- Ejecución indebida de sanciones o de medidas de seguridad

Artículo 181.1. El funcionario público que aplique o disponga la aplicación de una

medida de seguridad sin orden del tribunal competente, incurre en sanción de privación

de libertad de uno a tres años, siempre que el hecho no constituya un delito de mayor

entidad.

2. En igual sanción incurre el funcionario público que, debiendo intervenir por razón

de su cargo en la ejecución de las sanciones o medidas de seguridad, las modifique o las

haga cumplir en forma ilegal, siempre que el hecho no constituya un delito de mayor

entidad.

CAPÍTULO II.- VIOLENCIA, OFENSA Y DESOBEDIENCIA CONTRA LOS FUNCIONARIOS

PÚBLICOS, LA AUTORIDAD, SUS AGENTES Y OTRAS PERSONAS EN CUMPLIMIENTO DEL

DEBER

SECCIÓN PRIMERA.- Atentado

Artículo 182.1. Quien emplee violencia o intimidación contra una autoridad, un

funcionario público, o sus agentes o auxiliares, para impedirles realizar un acto propio de

sus funciones, o para exigirles que lo ejecuten, o por venganza o represalia por el ejercicio

de estas, incurre en sanción de privación de libertad de dos a cinco años.

2. En igual sanción incurre cuando la violencia o intimidación se ejerce en venganza

o represalia contra los familiares, cónyuge, pareja de hecho o personas allegadas a los

sujetos mencionados en el apartado anterior.

3. La sanción que se establece en el apartado 1 se impone, cuando se comete el hecho

contra cualquier persona que, en cumplimiento de su deber ciudadano, hubiera

contribuido a la ejecución o aplicación de las leyes o disposiciones generales.

4. La sanción es de privación de libertad de tres a ocho años, salvo que, por la entidad

del resultado, corresponda una mayor, si en los hechos previstos en los apartados

anteriores concurre alguna de las circunstancias siguientes:

a) Se realiza por dos o más personas;

b) se ejecuta con empleo de armas o cualquier otro instrumento idóneo para la agresión;

c) se causan a la persona ofendida lesiones de la naturaleza establecida en los artículos

346 y 348 de este Código, u otros daños a su salud;

d) se haya logrado el propósito perseguido por el interviniente; y

e) se trata de hechos asociados al tráfico de drogas ilícitas o sustancias de efectos

similares, a la corrupción o a la delincuencia organizada transnacional.

SECCIÓN SEGUNDA.- Actos contra testigos, víctimas, perjudicados o peritos

Artículo 183.1. Quien, con el propósito de obstaculizar o impedir la aportación de medios

de pruebas, la prestación de testimonio o la comparecencia ante la autoridad de testigo,

víctima o perjudicado, en cualquier fase del proceso, realice actos de amenaza, violencia

o intimidación contra estos, sus familiares, cónyuge, pareja de hecho o personas

allegadas, así como la promesa, ofrecimiento concesión de un beneficio indebido, o

cualquier otro acto que le facilite sus propósitos, incurre en sanción de privación de

libertad de dos a cinco años o multa de quinientas a mil cuotas, o ambas.

2. En igual sanción incurre quien, por venganza o represalia, realice los actos descritos

en el apartado anterior contra la persona que, como testigo, víctima o perjudicado haya

comparecido en el proceso, o contra quien haya contribuido de cualquier otra manera a

la ejecución o aplicación de las leyes o disposiciones normativas, o los realice contra sus

familiares, cónyuge, pareja de hecho o personas allegadas.

3. Quien realice actos de amenaza, violencia, intimidación o de cualquier otro tipo

sobre el perito, sus familiares, cónyuge, pareja de hecho o personas allegadas, con

similar propósito previsto en los apartados anteriores, incurre en sanción de privación de

libertad de dos a cinco años o multa de quinientas a mil cuotas, o ambas.

4. La sanción es de privación de libertad de tres a ocho años, salvo que, por la entidad

del resultado, corresponda una mayor, si en los hechos previstos en los apartados

anteriores concurre alguna de las circunstancias siguientes:

a) Se realiza por dos o más personas;

b) se ejecuta con empleo de armas o cualquier otro instrumento idóneo para la agresión;

c) se causan a la persona ofendida lesión corporal o daños a la salud;

d) se haya logrado el propósito perseguido por el interviniente; y

e) se trata de hechos asociados al tráfico de drogas ilícitas o sustancias de efectos

similares, a la corrupción o a la delincuencia organizada transnacional.

SECCIÓN TERCERA.- Resistencia

Artículo 184.1. Quien oponga resistencia a un funcionario público, autoridad o sus

agentes o auxiliares, en el ejercicio de sus funciones, incurre en sanción de privación de

libertad de seis meses a un año o multa de cien a trescientas cuotas, o ambas.

2. Si el hecho previsto en el apartado anterior se comete respecto a un funcionario

público, autoridad o sus agentes o auxiliares, o a un militar, en la oportunidad de cumplir

estos sus deberes de capturar a personas sospechosas de haber transgredido la ley o

custodiar a personas privadas de libertad o aseguradas, la sanción es de privación de

libertad de dos a cinco años.

SECCIÓN CUARTA.- Desacato

Artículo 185.1. Quien verbal o extra verbalmente, mediante escrito o gestos, en su

presencia o de otra u otras personas, o a través de cualquier medio de comunicación,

amenace, calumnie, difame, insulte, injurie, ultraje u ofenda en su dignidad o decoro, a un

funcionario público, autoridad o a sus agentes o auxiliares, en ejercicio de sus funciones o

en ocasión o con motivo de ellas, incurre en sanción de privación de libertad de seis

meses a un año o multa de cien a trescientas cuotas, o ambas.

2. Si el hecho previsto en el apartado anterior se realiza respecto al Presidente o

Vicepresidente de la República, al Presidente de la Asamblea Nacional del Poder Popular,

a los demás miembros del Consejo de Estado o del Consejo de Ministros, a los diputados

de la Asamblea Nacional del Poder Popular, al Presidente del Tribunal Supremo Popular,

al Fiscal General de la República, al Contralor General de la República o al Presidente

del Consejo Electoral Nacional, la sanción es de privación de libertad de uno a tres años.

SECCIÓN QUINTA.- Denegación de auxilio y desobediencia

Artículo 186.1. El funcionario público que no preste la debida cooperación a la

administración de justicia o a la prestación de un servicio público cuando sea requerido

por autoridad competente, o se abstenga, sin causa justificada, a prestar algún auxilio al

que esté obligado por razón de su cargo, cuando sea requerido por un particular, incurre

en sanción de privación de libertad de seis meses a un año o multa de cien a trescientas

cuotas, o ambas.

2. Si, como consecuencia del hecho, resulta grave perjuicio para el interés nacional o para

una persona, incurre en sanción de privación de libertad de seis meses a dos años o

multa de doscientas a quinientas cuotas, o ambas.

Artículo 187. Quien, sin motivo que lo justifique, se niegue o deje de prestar la

debida cooperación o auxilio a la administración de justicia cuando sea requerido con las

formalidades legales por autoridad competente, por sí misma o a través de sus agentes o

auxiliares, incurre en sanción de privación de libertad de seis meses a un año o multa de

cien a trescientas cuotas, o ambas.

Artículo 188. El médico que, requerido para prestar algún auxilio relacionado con su

profesión, en caso urgente y de grave peligro para la vida o la salud de una persona, se

abstenga de prestarlo sin causa justificada, incurre en sanción de privación de libertad

de seis meses a un año o multa de cien a trescientas cuotas o ambas, siempre que el

resultado de su omisión no constituya un delito de mayor entidad.

Artículo 189.1. Quien desobedezca las decisiones de las autoridades o los funcionarios

públicos, o las órdenes de sus agentes o auxiliares, dictadas en el ejercicio de sus

funciones, incurre en sanción de privación de libertad de seis meses a un año o multa de

cien a trescientas cuotas, o ambas.

2. Si la desobediencia consiste en negarse a dar su identidad u ocultar la verdadera,

la sanción es de seis meses a dos años de privación de libertad o multa de doscientas a

quinientas cuotas, o ambas.

3. Incurre en igual sanción que la prevista en el apartado anterior, quien reiteradamente

desobedezca o incumpla las medidas que le hayan sido impuestas en forma legal por

las autoridades competentes, o las advertencias realizadas como consecuencia de la

inobservancia de las adoptadas por el órgano o entidad encargada de la prevención social.

CAPÍTULO III.- EJERCICIO FRAUDULENTO DE FUNCIONES PÚBLICAS

SECCIÓN PRIMERA.- Usurpación de funciones públicas

Artículo 190.1. Incurre en sanción de privación de libertad de uno a tres años o multa

de trescientas a mil cuotas, o ambas, quien:

a) Realice, sin título legítimo, actos propios de una autoridad o de un funcionario

público, atribuyéndose carácter oficial; o

b) realice, indebidamente, actos propios de los miembros de las Fuerzas Armadas

Revolucionarias o del Ministerio del Interior.

2. Si el hecho consiste solo en atribuirse la condición de miembro de las Fuerzas

Armadas Revolucionarias o del Ministerio del Interior, la sanción es de privación de

libertad de seis meses a dos años o multa de doscientas a quinientas cuotas, o ambas.

3. Los delitos previstos en los apartados anteriores se sancionan con independencia de

los que se cometan para su ejecución o en ocasión de ella.

SECCIÓN SEGUNDA.- Usurpación de capacidad legal

Artículo 191. Quien, con ánimo de lucro u otro fin malicioso, o causando daño o

perjuicio a otro, realice actos propios de una profesión para cuyo ejercicio no está

debidamente habilitado, incurre en sanción de privación de libertad de seis meses a un

año o multa de cien a trescientas cuotas o ambas, siempre que el resultado de su

actuación no constituya un delito de mayor entidad.

SECCIÓN TERCERA.- Enriquecimiento ilícito

Artículo 192.1. La autoridad o funcionario público que directamente o por persona

intermedia, realice gastos o aumente su patrimonio o el de un tercero en cuantía no

proporcional a sus ingresos legales, sin justificar la licitud de los medios empleados para

realizar gastos u obtener tal aumento patrimonial, incurre en sanción de privación de

libertad de tres a ocho años.

2. Si el hecho se comete por personas no comprendidas en el apartado que antecede, la

sanción es de privación de libertad de dos a cinco años o multa de quinientas a mil

cuotas, o ambas.

3. A los declarados responsables de los delitos previstos en los apartados anteriores,

se les impone, en los casos que proceda, la sanción accesoria de confiscación de bienes.

4. Las sanciones previstas en esta sección se imponen siempre que el hecho no

constituya un delito de mayor entidad.

SECCIÓN CUARTA.- Tráfico de influencias

Artículo 193.1. Incurre en sanción de privación de libertad de tres a ocho años quien,

ofreciendo hacer uso de influencias en un funcionario o empleado público o cualquier

otra persona, simulándolas o prevaliéndose de cualquier situación derivada de su

relación personal u oficial con estos, por sí o mediante tercero:

a) Prometa, promueva o gestione la tramitación o resolución ilícita de negocios

públicos;

b) prometa, solicite o promueva alguna decisión o acto con vistas a obtener para sí o

para otra persona cualquier beneficio ilícito derivado de la gestión; y

c) acepte el ofrecimiento, reciba, o haga que le prometan, para sí o para otro, cualquier

beneficio o ventaja, como estímulo o retribución por su mediación o con el pretexto

de remunerar favores o decisiones.

2. Si el delito previsto en el apartado anterior se comete por un funcionario público,

con abuso de sus funciones, la sanción es de privación de libertad de siete a quince años.

3. Incurre en sanción de cuatro a diez años de privación de libertad, el funcionario

público que, con abuso de sus funciones, acepte la influencia y ejecute las acciones a las

que se dirige aquella que están descritas en los incisos a) y b) del apartado 1.

4. Si los hechos previstos en los apartados 2 y 3 son cometidos por un empleado

público, las sanciones previstas en estos se pueden rebajar hasta en un tercio en sus

límites mínimos y máximos.

5. Las sanciones previstas en los apartados anteriores se imponen, siempre que no

constituyan un delito de mayor gravedad.

6. En los casos de la comisión de este delito, puede imponerse la sanción accesoria de

confiscación de bienes.

CAPÍTULO IV.- COHECHO, EXACCIÓN ILEGAL Y NEGOCIACIONES ILÍCITAS

SECCIÓN PRIMERA.- Cohecho en el sector estatal

Artículo 194.1. El funcionario público que reciba, directamente o por persona

intermedia, para sí o para otra persona, dádiva, presente o cualquier otra ventaja o

beneficio, para ejecutar u omitir un acto relativo a sus funciones, incurre en sanción de

privación de libertad de cuatro a diez años.

2. Si el hecho consiste en aceptar el ofrecimiento o promesa de dádiva, presente u otra

ventaja o beneficio, la sanción es de privación de libertad de dos a cinco años o multa de

quinientas a mil cuotas, o ambas.

3. Si el funcionario exige o solicita la dádiva, presente, ventaja o beneficio, la sanción

es de privación de libertad de ocho a veinte años.

4. En iguales sanciones incurre quien, con el carácter de perito o auditor, realice los

hechos descritos en los apartados anteriores, según sea el caso.

5. Quien, directamente o por persona intermedia, para sí o para otra persona, dé dádiva

o presente, o favorezca con cualquier otra ventaja o beneficio, o le haga ofrecimiento o

promesa a un funcionario o empleado público para que realice, retarde u omita realizar un

acto relativo a su cargo, incurre en sanción de privación de libertad de tres a ocho años.

6. El funcionario público que, con abuso de su cargo o de las atribuciones o actividades

que le hayan sido asignadas o de la encomienda que se le haya confiado, obtenga

beneficio o ventaja personal de cualquier clase, incurre en sanción de privación de

libertad de cuatro a diez años, siempre que el hecho no constituya un delito de mayor entidad.

7. Si los hechos descritos en los apartados 1, 2, 3 y 6 se realizan por un empleado

público, las sanciones aplicables son las previstas, respectivamente, en esos apartados,

pero el tribunal podrá rebajarlas hasta la mitad de sus límites mínimos si las

circunstancias concurrentes en el hecho o en su persona lo justifican.

8. El funcionario de entidad extranjera u organización internacional que cometa los

actos ilícitos descritos en los apartados 1, 2, 3, 5 y 6, en ocasión de prestar un servicio

público o en su relación con el Estado o sus instituciones en el marco de negociaciones

económicas, financieras o comerciales, incurre iguales sanciones que las previstas en

cada uno de estos apartados; y si fuera un empleado, sus límites se pueden reducir en la

mitad.

9. En los casos de comisión de este delito, puede imponerse la sanción accesoria de

confiscación de bienes.

SECCIÓN SEGUNDA.- Exacción ilegal

Artículo 195. El funcionario o empleado público que, prevaliéndose de sus funciones o

cargo exija directa o indirectamente el pago de impuestos, tasas, contribuciones,

derechos o cualquier otro ingreso al presupuesto del Estado, a sabiendas de que son

indebidos o son superiores a la cuantía establecida legalmente, incurre en sanción de

privación de libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas.

SECCIÓN TERCERA.- Negociaciones ilícitas en el sector estatal

Artículo 196.1. El funcionario o empleado público estatal que debiendo intervenir

por razón de su cargo en cualquier contrato, negociación, decisión, negocio u operación

comercial, se aproveche de esta circunstancia para obtener, directamente o por persona

intermedia, para sí o para otro, algún interés o beneficio de aquellos, incurre en sanción

de privación de libertad de tres a ocho años.

2. En iguales sanciones incurre el funcionario o empleado de entidad extranjera u

organización internacional cuando el hecho se comete en ocasión de prestar un servicio

público o se deriva de su relación con el Estado o sus instituciones, en el marco de

negociaciones económicas, financieras o comerciales.

3. En los casos de comisión de este delito, puede imponerse la sanción accesoria de

confiscación de bienes.

SECCIÓN CUARTA.- Cohecho y negociaciones ilícitas en el sector no estatal

Artículo 197.1. Cuando los hechos previstos en los apartados 1, 2, 3, 5 y 6 del Artículo 194

y en el apartado 1 del Artículo 196 de este Código, se cometen por quien represente o

cumpla cualquier función en una cooperativa, empresa u otra entidad del sector no

estatal, siempre que el hecho se derive de un servicio público o en su relación con el

Estado o sus instituciones, en el marco de negociaciones económicas, financieras o

comerciales, los límites mínimos o máximos de la sanción se pueden reducir en un tercio.

2. Si los hechos a los que se refiere el apartado 1, se realizan por los sujetos del sector

no estatal, entre sí, los límites mínimo y máximo de la sanción se reducen en la mitad.

3. En estos casos, solo se procede si media denuncia de la víctima o perjudicado, del

representante de la entidad o del fiscal cuando se afecte el interés del Estado.

4. En estos delitos puede ser impuesta la sanción accesoria de confiscación de bienes.

CAPÍTULO V.- DENUNCIA O ACUSACIÓN FALSA

Artículo 198.1. Incurre en sanción de privación de libertad de seis meses a dos años o

multa de doscientas a quinientas cuotas o ambas, quien:

a) A sabiendas de que falta a la verdad y con el propósito de que se inicie un proceso

penal contra otra persona, le impute, ante la Policía, el instructor penal, el fiscal, los

auxiliares de estos que intervienen en la investigación, o el tribunal, hechos que, de

ser ciertos, serían constitutivos de delito; y

b) simule la existencia de huellas, indicios u otras pruebas materiales o suprima o

altere las existentes, con el ánimo de inculpar a otra persona como responsable de

un delito.

2. Si, como consecuencia de la denuncia o acusación falsa, el ofendido sufre un

perjuicio grave, la sanción es de privación de libertad de tres a ocho años.

CAPÍTULO VI.- PERJURIO

Artículo 199.1. Quien, intencionalmente, al comparecer como testigo, víctima o

perjudicado, perito o intérprete, ante un tribunal o funcionario competente, preste una

declaración falsa o deje de decir lo que sabe acerca de lo que se le interroga, incurre en

sanción de privación de libertad de uno a tres años o multa de trescientas a mil cuotas, o

ambas.

2. Si la declaración falsa del testigo, víctima o perjudicado se presta a cambio de

dádiva, presente o cualquier otra ventaja o beneficio, o promesa de ello, la sanción es de

privación de libertad de dos a cinco años o multa de quinientas a mil cuotas, o ambas.

3. En igual sanción a la prevista en el apartado anterior incurre, quien dé dádiva,

presente, cualquier otra ventaja o beneficio, o promesa u ofrecimiento de ello, al testigo,

víctima o perjudicado para que preste declaración falsa.

4. Si de la declaración falsa resulta un perjuicio grave, los límites mínimos y máximos

de la sanción se incrementan en la mitad si se trata de un proceso judicial.

5. Si alguna de las personas relacionadas en los apartados 1 y 2 declara sobre los

mismos hechos en la fase investigativa del proceso y en el juicio oral, solo le es imputable

la declaración falsa que presta en este.

6. Está exento de sanción por el delito de perjurio quien se retracte de su falsa

declaración, cuando todavía sea posible evitar los efectos de esta.

Artículo 200.1. Quien, a sabiendas, proponga un testigo falso a un tribunal o funcionario

público competente, incurre en sanción de privación de libertad de seis meses a dos años

o multa de doscientas a quinientas cuotas, o ambas.

2. Si, como consecuencia de ese medio de prueba, resulta un perjuicio grave, la sanción

es de privación de libertad de tres a ocho años.

CAPÍTULO VII.- SIMULACIÓN DE DELITO

Artículo 201. Quien, ante la policía, instructor penal, fiscal, tribunal o cualquier otra

autoridad de las demás previstas en la ley, o por cualquier otro medio idóneo, denuncie

un delito ficticio o prepare huellas, indicios u otras pruebas falsas que hagan suponer

su comisión, con el propósito, de que se inicie un proceso penal, aunque sin inculpar a

persona determinada, incurre en sanción de privación de libertad de seis meses a un año

o multa de cien a trescientas cuotas, o ambas.

CAPÍTULO VIII.- EJERCICIO ARBITRARIO DE DERECHOS

Artículo 202.1. Quien, en lugar de recurrir a la autoridad competente para ejercer un

derecho que le corresponda o razonablemente crea corresponderle, lo ejerza por sí

mismo empleando violencia o intimidación en las personas o fuerza en las cosas para

ejecutar el hecho y siempre que este, por sus resultados, no constituya un delito de mayor

entidad, incurre en sanción de privación de libertad de seis meses a un año o multa de

cien a trescientas cuotas, o ambas.

2. En el caso previsto en el apartado anterior se procede si media denuncia de la

víctima o perjudicado o de su representante, excepto cuando se trate de hechos que sean

consecuencia de la violencia de género o la violencia familiar; no obstante, si la víctima o

perjudicado o su representante desisten de su denuncia, en forma expresa, antes del

juicio, se archivan las actuaciones.

3. El desistimiento de la denuncia no es procedente cuando:

a) Se compruebe que fue constreñida la voluntad de la víctima o perjudicado o de

quien tiene el derecho a presentarla;

b) se afecte el interés social o estatal;

c) la víctima o perjudicado se halle incapacitado para ejercer su derecho; y

d) se trate de un menor de dieciocho años que carezca de representante legal, o los

intereses de entre ellos sean contrapuestos, ante lo cual, el fiscal puede sostener la

denuncia.

CAPÍTULO IX.- ENCUBRIMIENTO

Artículo 203.1. Quien, con conocimiento de que una persona ha participado en la

comisión de un delito o de que se le acusa de ello y, fuera de los casos de complicidad en

el mismo, la oculte, altere o haga desaparecer indicios o pruebas que considere puedan

perjudicarla o, en cualquier otra forma, le ayude a eludir la investigación y a sustraerse de

la persecución penal, incurre en igual sanción que la establecida para el delito

encubierto, rebajados en la mitad sus límites mínimo y máximo.

2. En igual sanción incurre quien, conociendo el acto ilícito o debiendo haberlo

presumido, ayude a la persona responsable a asegurar el producto del delito.

3. No se sanciona a quien realiza el hecho previsto en el apartado 1 para favorecer a

sus ascendientes, descendientes, cónyuge, pareja de hecho o hermanos, siempre que no

se aproveche de los efectos del delito.

CAPÍTULO X.- INCUMPLIMIENTO DEL DEBER DE DENUNCIAR

Artículo 204.1. Incurre en sanción de privación de libertad de seis meses a un año o

multa de cien a trescientas cuotas, o ambas, quien:

a) Con conocimiento de que se ha cometido o se intenta cometer un delito, deja de

denunciarlo a las autoridades, tan pronto como pueda hacerlo; y

b) con conocimiento de la intervención de una persona en un hecho delictivo, no la

denuncia oportunamente a las autoridades.

2. Lo dispuesto en el apartado anterior no se aplica a las personas que, según la ley, no

están obligadas a denunciar.

Artículo 205. El médico que, al asistir a una persona o reconocer a un cadáver,

nota u observa algunas lesiones externas por violencias o indicios de intoxicación, o

envenenamiento o de haberse cometido cualquier delito y no da cuenta inmediatamente

a las autoridades, consignando los datos correspondientes, incurre en sanción de

privación de libertad de seis meses a dos años o multa de doscientas a quinientas cuotas

o ambas, siempre que el hecho no constituya un delito de mayor entidad.

CAPÍTULO XI.- QUEBRANTAMIENTO DE SANCIONES Y DE MEDIDAS CAUTELARES

PRIVATIVAS DE LIBERTAD

SECCIÓN PRIMERA.- Evasión de presos o detenidos

Artículo 206.1. Quien se evada o intente evadirse del lugar de internamiento en que se

halle cumpliendo sanción, sujeto a prisión provisional o detenido, o se sustrae o intenta

sustraerse de la vigilancia de sus custodios en ocasión de ser conducido o trasladado,

incurre en sanción de privación de libertad de uno a tres años o multa de trescientas a mil

cuotas, o ambas.

2. Si en la evasión o el intento de evasión se emplea violencia, intimidación o fuerza

en las cosas, o se proyecta colectivamente, la sanción es de privación de libertad de tres

a ocho años, con independencia de las que corresponden a los delitos cometidos.

3. Si el evadido se presenta voluntariamente antes de transcurrir veinte días desde su

evasión, la sanción puede rebajarse hasta en dos tercios de su límite mínimo.

4. Si el evadido se presenta voluntariamente en un término que no exceda de las setenta

y dos horas, desde su evasión, la autoridad penitenciaria competente podrá imponerle

alguna de las medidas disciplinarias previstas en la ley, lo que informa al órgano ante el

cual se formuló la denuncia para que se archiven las actuaciones, de ser el caso.

5. Incurre en sanción de privación de libertad de seis meses a un año o multa de cien

a trescientas cuotas o ambas, el sancionado privado de libertad que no se presente en el

lugar de internamiento que corresponde, una vez decursados los veinte días posteriores

al vencimiento del permiso de salida que le fue otorgado, siempre que existan elementos

objetivos o motivos suficientes para estimar que su propósito es el de evadir total o

parcialmente el cumplimiento de la sanción privativa de libertad que extingue.

SECCIÓN SEGUNDA.- Ayuda a la evasión de presos o detenidos

Artículo 207.1. Quien procure o facilite la evasión de una persona privada legalmente de

libertad, u oculte o preste ayuda al evadido incurre en sanción de privación de libertad

de dos a cinco años.

2. Si el hecho se comete por el funcionario público encargado de la vigilancia o

conducción del evadido o por quien, sin ostentar este carácter, ha asumido esta tarea en

cumplimiento de un deber legal o social, la sanción es de privación de libertad de tres a

ocho años.

SECCIÓN TERCERA.- Desórdenes y posesión o tenencia de armas o instrumentos para

agredir en lugares de detención, establecimientos penitenciarios u otros lugares de

internamiento

Artículo 208.1. Las personas recluidas en establecimiento penitenciario o lugar de

internamiento que, en forma tumultuaria y mediante violencia o amenazas, intenten

obligar a sus vigilantes o custodios a la ejecución, omisión o tolerancia de cualquier acto,

incurren en sanción de privación de libertad de cuatro a diez años.

2. El participante en el disturbio o desorden que, durante su ocurrencia, cometa un acto

que cause la muerte de un tercero, incurre en sanción de privación de libertad de ocho a

veinte años, siempre que el hecho no constituya un delito de mayor entidad.

3. Si, como consecuencia del disturbio o del desorden, se causa la muerte de un

tercero y no puede determinarse la identidad del autor, los promotores y participantes son

sancionados con privación de libertad de siete a quince años.

4. Los actos preparatorios del delito previsto en este artículo se sancionan conforme a

lo dispuesto en el Artículo77 de este Código.

Artículo 209.1. Las personas recluidas en establecimiento penitenciario o lugar

de internamiento que tenga en su poder armas cortantes, punzantes o contundentes o

cualquier otro instrumento propio para ejercer violencia, incurre en sanción de privación

de libertad de seis meses a dos años.

2. Si se trata de un arma de fuego de cualquier clase, la sanción es de privación de

libertad de tres a ocho años.

SECCIÓN CUARTA.- Incumplimiento de sanciones accesorias u otras obligaciones

o prohibiciones penales

Artículo 210. Quien incumpla una sanción accesoria, mixta, u obligaciones o

Prohibiciones penales que le hayan sido impuestas en una sentencia firme por el tribunal,

incurre en sanción de privación de libertad de seis meses a un año o multa de cien a

trescientas cuotas, o ambas.

CAPÍTULO XII.- INFIDELIDAD EN LA CUSTODIA DE DOCUMENTOS U OTROS OBJETOS

SECCIÓN PRIMERA.- Sustracción y daño de documentos u otros objetos en custodia

Oficial y violación de sellos oficiales

Artículo 211.1. Quien sustraiga, altere u oculte documentos en cualquier soporte y

formato, u objetos depositados en archivos y otros lugares destinados a su conservación

oficial o confiados a la custodia de un funcionario o empleado público, o

intencionalmente los destruya o deteriore, incurre en sanción de privación de libertad de

seis meses a dos años o multa de doscientas a quinientas cuotas, o ambas.

2. Si el hecho se comete por el funcionario o empleado público encargado de la custodia

de los documentos u objetos a que se refiere el apartado anterior, o con abuso de su

cargo, o por quien, sin ostentar este carácter, los tiene a su disposición en cumplimiento

de un trámite legal o por cualquier otro motivo legítimo, la sanción es de privación de

libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas.

3. En igual sanción que la del apartado anterior incurrirá quien, con la finalidad de

extraerlos del territorio nacional, sustraiga, altere u oculte documentos, legajos, papeles

u objetos depositados en archivos y otros lugares destinados a su conservación oficial o

confiados a la custodia de un funcionario o empleado público.

4. Si el documento u objeto sustraído, alterado, ocultado, destruido o deteriorado es un

envío de correspondencia postal o telegráfica, o una encomienda, bulto, pequeño

paquete, despacho u otro medio postal, la sanción es de:

a) Privación de libertad de uno a tres años o multa de trescientas a mil cuotas o ambas,

en el caso previsto en el apartado 1; y

b) privación de libertad de dos a cinco años o multa de quinientas a mil cuotas o

ambas, en el caso previsto en los apartados 2 y 3.

5. Quien destruya, retire o dañe sellos oficiales puestos por un funcionario público en

cualquier inmueble, mueble, objeto o documento como diligencia previa a la práctica de

una auditoría, examen especial o inspección o con la finalidad de asegurar su

identificación o la conservación de su estado, incurre en sanción de seis meses a un año

de privación de libertad o multa de cien a trescientas cuotas, o ambas.

SECCIÓN SEGUNDA.- Infracción de las normas de protección de documentos

clasificados

Artículo 212.1. El funcionario o empleado público que, con propósito malicioso o con

infracción de las disposiciones legales sobre la información oficial clasificada, destruya,

altere, oculte, cambie, dañe o, por cualquier otro medio, inutilice documentos oficiales

comprendidos en las categorías de secreto estatal, secreto y confidencial, incurre en

sanción de privación de libertad de dos a cinco años.

2. Si, como resultado del hecho previsto en el apartado anterior se produce un

grave perjuicio, o se comete contra documentos oficiales vinculados con las relaciones

internacionales u otro país, o se ponen en riesgo el normal funcionamiento y desarrollo

de sistemas, sectores y servicios vitales o estratégicos para la defensa y la seguridad

nacional, los límites mínimo y máximo de la sanción se incrementan hasta la mitad.

3. El delito previsto en el apartado anterior se sanciona con independencia de los que

se cometan para su ejecución o en ocasión de ella.

CAPÍTULO XIII.- INCUMPLIMIENTO DE LAS OBLIGACIONES DERIVADAS DE LA COMISIÓN

DE CONTRAVENCIONES

Artículo 213.1. Quien, concluidos los trámites procesales legales pertinentes, incumpla

las obligaciones derivadas de la comisión de contravenciones, incurre en sanción de

privación de libertad de seis meses a un año.

2. En el caso previsto en el apartado anterior, solo se procede si media denuncia de la

autoridad o funcionario encargado del control del cumplimiento de la obligación. Si antes

de dictarse sentencia, el acusado satisface las obligaciones derivadas de dicha

resolución, se archivan las actuaciones.

CAPÍTULO XIV.- VIOLACIÓN DE LOS DEBERES INHERENTES AL SERVICIO MILITAR

Artículo 214.1. Incurre en sanción de privación de libertad de seis meses a un año o

multa de cien a trescientas cuotas o ambas, la autoridad, funcionario o empleado público

que:

a) Impida, obstaculice o ayude a evadir, de cualquier modo, el cumplimiento de

las obligaciones con el servicio militar por quien le está subordinado laboral o

administrativamente; e

b) incumpla sus obligaciones con el registro militar, la ejecución de aviso, o entrega

del personal, de los medios o equipos de la economía nacional asignados a las

Fuerzas Armadas Revolucionarias y al Ministerio del Interior.

2. En igual sanción incurre quien, con el propósito de eludir sus obligaciones

concernientes al cumplimiento del servicio militar, incumple los trámites relativos a su

incorporación al Servicio Militar Activo o de la Reserva, o con otros actos relacionados

con el servicio militar.

3. Si para la realización de los hechos a que se refiere el apartado anterior se utiliza un

medio engañoso, la sanción es de privación de libertad de seis meses a dos años o multa

de doscientas a quinientas cuotas, o ambas.

Artículo 215. El reservista que no se presente al llamado para su incorporación a filas

ante una posible o inminente agresión del enemigo u otra circunstancia que afecte la

defensa y la seguridad nacional, incurre en sanción de privación de libertad de seis meses

a dos años.

CAPÍTULO XV.- CLANDESTINIDAD DE PUBLICACIONES

Artículo 216. Quien confeccione, difunda o haga circular en cualquier formato,

publicaciones sin indicar la imprenta o el lugar de impresión o sin cumplir las normas

establecidas para la identificación de su autor o de su procedencia, o las reproduzca,

almacene o transporte, incurre en sanción de privación de libertad de seis meses a un año

o multa de cien a trescientas cuotas, o ambas.

TÍTULO IV.- DELITOS CONTRA LA SEGURIDAD COLECTIVA

CAPÍTULO I.- ESTRAGOS

Artículo 217.1. Quien, mediante incendio, inundación, derrumbe, explosión u otra

forma igualmente capaz de producir grandes estragos, ponga en peligro la vida de las

personas o la existencia de bienes de considerable valor, incurre en privación de libertad

de dos a cinco años.

2. En igual sanción que la prevista en el apartado anterior incurre, quien arroje en las

aguas potables, objetos o sustancias nocivas que pongan en peligro la salud humana y la

calidad de vida de las personas.

3. Incurre en igual sanción anterior, quien, de cualquier modo, aumente el peligro

común o entorpezca su prevención o la disminución de sus efectos.

4. Si, como consecuencia de los hechos previstos en los apartados anteriores, resultan

daños considerables para los bienes, la sanción es de privación de libertad de tres a ocho

años.

5. Si como consecuencia de los hechos previstos en los apartados 1 y 2, resultan

lesiones graves o la muerte de alguna persona, la sanción es de privación de libertad de

cinco a doce años.

6. Los hechos previstos en los apartados anteriores se sancionan como tales, siempre

que no constituyan un delito de mayor gravedad.

CAPÍTULO II.- INUTILIZACIÓN DE DISPOSITIVOS DE SEGURIDAD

Artículo 218. Quien destruya, deteriore o suprima los dispositivos públicos de seguridad

para prevenir los incendios, las inundaciones o los derrumbes, incurre en sanción de:

a) Privación de libertad de uno a tres años o multa de trescientas a mil cuotas o ambas

si, como consecuencia del hecho, resultan daños considerables para los bienes;

b) privación de libertad de dos a cinco años si, como consecuencia del hecho, resulta

lesionada gravemente alguna persona; y

c) privación de libertad de tres a ocho años si, como consecuencia del hecho, resulta

la muerte de alguna persona.

Artículo 219. Quien, a consecuencia de destruir, modificar, dañar o suprimir una señal

destinada a llamar la atención sobre la amenaza de un peligro, ocasione lesiones graves o

la muerte de alguna persona o daños considerables para los bienes, incurre en sanción de

privación de libertad de uno a tres años.

CAPÍTULO III.- DELITOS CONTRA LA SEGURIDAD DEL TRÁNSITO

SECCIÓN PRIMERA.- Delitos cometidos en ocasión de conducir vehículos por las vías públicas

Artículo 220. Quien, al conducir un vehículo infringiendo las leyes o reglamentos del

tránsito, cause la muerte a una persona, incurre en sanción de privación de libertad de

uno a diez años.

Artículo 221.1. Quien, al conducir un vehículo infringiendo las leyes o reglamentos

del tránsito, cause lesiones graves o dañe gravemente la salud de una persona, incurre en

sanción de privación de libertad de uno a tres años.

2. Si las lesiones no ponen en peligro inminente la vida de la víctima ni le dejan

deformidad, incapacidad o secuela de ninguna clase, y requieren para su curación

tratamiento médico, la sanción es de privación de libertad de seis a nueve meses o multa

de cien a doscientas cuotas, o ambas.

Artículo 222.1. Quien, al conducir un vehículo infringiendo las leyes o reglamentos

del tránsito, cause daños a bienes de ajena pertenencia, incurre en sanción de multa de

cien a trescientas cuotas.

2. Si, el daño causado es de considerable valor o si, a causa de este, se produce un

perjuicio grave, la sanción es de privación de libertad de seis meses a un año o multa de

cien a trescientas cuotas, o ambas.

Artículo 223.1. Quien, sin ser conductor de un vehículo, por infringir las leyes o

reglamentos del tránsito, dé lugar a que se produzca la muerte de alguna persona, incurre

en sanción de privación de libertad de uno a tres años.

2. Si, del hecho, resultan lesiones graves o daños de considerable valor, la sanción es

de privación de libertad de seis meses a un año o multa de cien a trescientas cuotas, o

ambas.

3. Si, del hecho, resultan lesiones que no ponen en peligro inminente la vida de la

víctima ni le dejan deformidad, incapacidad o secuela de ninguna clase, y requieren

para su curación tratamiento médico, o resultan daños, la sanción es de multa de cien a

trescientas cuotas.

SECCIÓN SEGUNDA.- Delitos cometidos en ocasión del tránsito ferroviario, aéreo y marítimo

Artículo 224. Quien, por incumplir las leyes o reglamentos del tránsito ferroviario,

aéreo o marítimo, provoque un accidente, es sancionado:

a) Con privación de libertad de uno a diez años, si, como consecuencia del accidente,

se causa la muerte a otra persona;

b) con privación de libertad de uno a tres años, si, como consecuencia del accidente,

se causan lesiones graves o se daña gravemente la salud a otra persona;

c) con privación de libertad de seis a nueve meses o multa de cien a doscientas cuotas o

ambas, si, como consecuencia del accidente se causan lesiones a otro, que no ponen

en peligro la vida de la víctima ni le dejan deformidad, incapacidad o secuela de

ninguna clase y que requieren tratamiento médico para su curación;

d) con privación de libertad de seis meses a un año o multa de cien a trescientas cuotas o

ambas, si, como consecuencia del accidente se causan daños de considerable valor

a bienes de ajena pertenencia; y

e) con multa de cien a trescientas cuotas, si, como consecuencia del accidente se

causan daños de limitado valor a bienes de ajena pertenencia.

SECCIÓN TERCERA.- Otros delitos contra la seguridad del tránsito

Artículo 225. Quien, al conducir un vehículo, no socorra o preste auxilio a la persona

que haya atropellado o herido, en accidente de tránsito por las vías públicas, incurre

en sanción de privación de libertad de seis meses a dos años o multa de doscientas a

quinientas cuotas o ambas, independientemente de la que corresponda por el delito

cometido en ocasión del mencionado tránsito.

Artículo 226.1. Incurre en sanción de privación de libertad de seis meses a dos años o

multa de doscientas a quinientas cuotas, o ambas, quien:

a) Conduzca un vehículo, en estado de embriaguez alcohólica, o bajo los efectos de

drogas o sustancias de efectos similares; y

b) permita que otra persona en estado de embriaguez alcohólica, o bajo los efectos de

drogas o sustancias de efectos similares, conduzca un vehículo de su propiedad o

del que esté encargado por cualquier concepto.

2. Se sanciona con multa de cien a trescientas cuotas a quien:

a) Conduzca un vehículo habiendo ingerido bebidas alcohólicas en cantidad suficiente

para afectar su capacidad de conducción, aunque sin llegar al estado de embriaguez; y

b) permita que otra persona conduzca un vehículo de su propiedad o del que esté

encargado por cualquier concepto, a sabiendas de que ha ingerido bebidas alcohólicas

que, sin llegar al estado de embriaguez, le ha afectado su capacidad de conducción.

3. Si el delito se comete por un conductor de vehículo de carga o de transporte colectivo

de pasajeros, o un conductor profesional que actúe como tal, la sanción es de:

a) Privación de libertad de uno a tres años o multa de trescientas a mil cuotas o ambas,

en el caso del apartado 1; y

b) privación de libertad de seis meses a un año o multa de cien a trescientas cuotas o

ambas, en el caso del apartado 2.

4. Si el delito se comete por un conductor de transporte ferroviario, aéreo y marítimo,

la sanción es de:

a) Privación de libertad de dos a cinco años, en el caso del apartado 1; y

b) privación de libertad de uno a tres años o multa de trescientas a mil cuotas o ambas,

en el caso del apartado 2.

5. Las sanciones previstas en los apartados anteriores se imponen con independencia

de las que correspondan con motivo del resultado que eventualmente se produzca.

SECCIÓN CUARTA.- Disposiciones complementarias

Artículo 227. Para la adecuación de las sanciones establecidas en el presente capítulo,

exceptuando las de los delitos previstos en los artículos 225 y 226 de este Código, los

tribunales tienen en cuenta:

a) La mayor o menor gravedad de la infracción que produjo el evento dañoso,

según su calificación por leyes o reglamentos del tránsito; cuando se trate

de infracciones cuya mayor o menor gravedad no haya sido determinada

expresamente por dichas leyes o reglamentos, la determinación la harán los

tribunales en sus sentencias, teniendo en cuenta la mayor o menor probabilidad

de que se produzcan accidentes al incurr irse en ellas; y

b) si la persona ha sido ejecutoriamente sancionada con anterioridad por la comisión

de algún delito contra la seguridad vial y, especialmente, el número y la entidad de

las infracciones cometidas por esta, durante el año natural anterior a la fecha de la

comisión del delito.

Artículo 228.1. La sanción accesoria de suspensión o cancelación de la licencia de

conducción, o inhabilitación para conducir vehículos que requieran dicha autorización

legal, puede imponerse, según los casos, si el sancionado ha incurrido en alguno de los

delitos contra la seguridad vial que prevé este capítulo.

2. Cuando esta sanción accesoria se imponga temporalmente, su término no excede de

cinco años.

3. Cuando la sanción impuesta es de multa, el término de la accesoria de suspensión

o cancelación de la licencia de conducción, o inhabilitación para conducir vehículos que

requieran dicha autorización legal, se computa a razón de un día por cuota.

4. Los términos mínimos de la sanción accesoria a que se refiere el apartado 2 de este

artículo, son los siguientes:

a) Tres meses, cuando se trate de la suspensión de la licencia de conducción;

b) un año, para la cancelación de la licencia de conducción; y

c) tres años, cuando sea la inhabilitación para conducir vehículos que requieran dicha

autorización legal.

5. A quienes reinciden en la infracción del apartado 1, inciso a), del Artículo 226 de este

Código, se les pueden imponer, como sanciones accesorias, la suspensión o la

Cancelación de la licencia de conducción por período no menor de un año ni mayor de

diez.

Artículo 229. En los casos de delitos de daños previstos en este capítulo solo se

procede si media denuncia de la víctima o perjudicado o del fiscal, en este último caso

cuando se afecte el interés del Estado; no obstante, si desisten de su denuncia, por

escrito y en forma expresa, antes del juicio o verbalmente y dejando constancia en acta

durante su celebración, se archivan las actuaciones.

CAPÍTULO IV.- INFRACCIÓN DE LAS NORMAS REFERENTES AL USO Y CONSERVACIÓN DE

LAS FUENTES DE RADIACIONES IONIZANTES Y LOS MATERIALES NUCLEARES

Artículo 230.1. Incurre en sanción de privación de libertad de cinco a doce años quien:

a) De propósito, realice actos que pongan en peligro u ocasionen daños de cualquier

naturaleza a medios de transporte de materiales nucleares, con el fin de obstaculizar

su funcionamiento;

b) libere intencionalmente energía nuclear, sustancias radiactivas u otras fuentes de

radiaciones ionizantes que pongan en peligro la vida o la salud de las personas o sus

bienes, aunque no se produzcan daños;

c) de propósito e indebidamente, demande, tenga en su poder, utilice, sustraiga, se

apodere o desvíe de su ruta materiales nucleares, sustancias radiactivas u otras

fuentes de radiaciones ionizantes;

d) abandone, arroje o altere materiales nucleares, sustancias radiactivas u otras fuentes

de radiaciones ionizantes; y

e) provoque o realice alguna explosión de ensayo de armas nucleares o cualquier otro

tipo de explosión nuclear.

2. Si en la realización de los actos previstos en el apartado anterior, la persona

responsable emplea engaño, amenaza, violencia o intimidación en las personas o fuerza

en las cosas, o se apropia de bienes que le hayan sido confiados, o tenga en custodia, o

se ocasionan daños a bienes o a la salud de las personas o al medio ambiente o a alguno

de sus componentes, la sanción es de privación de libertad de diez a veinte años.

Artículo 231.1. Incurre en sanción de privación de libertad de tres a ocho años quien:

a) Sin la debida autorización, ponga en operación una instalación o medios de

transporte en que se empleen materiales nucleares, sustancias radiactivas u otras

fuentes de radiaciones ionizantes; y

b) sin la debida autorización, reciba, transporte, almacene, facilite, trafique o retire

materiales nucleares, sustancias radiactivas u otras fuentes de radiaciones ionizantes.

2. La sanción es de privación de libertad de cuatro a diez años, si, con motivo de los

actos previstos en el apartado anterior, el acusado u otra persona hace uso indebido de

los referidos materiales.

3. Las sanciones previstas en este capítulo se imponen siempre que los hechos no

constituyan un delito más grave.

CAPÍTULO V.- DELITOS CONTRA LA SALUD PÚBLICA

SECCIÓN PRIMERA.- Propagación de epidemias

Artículo 232.1. Quien infrinja las medidas o disposiciones dictadas por las autoridades

sanitarias competentes para la prevención y control de las enfermedades trasmisibles y

los programas o campañas para el control o erradicación de enfermedades o epidemias

de carácter grave o peligrosas, incurre en sanción de privación de libertad de seis meses a

dos años o multa de doscientas a quinientas cuotas, o ambas.

2. En igual sanción incurre quien se niegue a colaborar con las autoridades sanitarias

en los lugares del territorio nacional en que cualquier enfermedad trasmisible adquiera

características epidémicas graves o en los territorios colindantes expuestos a la

propagación.

3. Quien maliciosamente propague o facilite la propagación de una enfermedad incurre

en sanción de privación de libertad de tres a ocho años.

SECCIÓN SEGUNDA.- Exhumaciones ilegales

Artículo 233. Quien, sin cumplir las formalidades legales, realice o haga realizar una

exhumación o el traslado de un cadáver o de restos humanos, incurre en sanción de

privación de libertad de seis meses a un año o multa de cien a trescientas cuotas, o

ambas.

SECCIÓN TERCERA.- Adulteración de medicamentos

Artículo 234.1. Se sanciona con privación de libertad de seis meses a un año o multa de

cien a trescientas cuotas, o ambas, al farmacéutico o empleado que, de propósito:

a) Despache medicamentos deteriorados o en mal estado de conservación;

b) sustituya indebidamente un medicamento por otro;

c) despache medicamentos contraviniendo las formalidades legales o reglamentarias; y

d) prepare un medicamento en forma distinta a la indicada en la fórmula o prescripción

facultativa.

2. Se sanciona con privación de libertad de dos a cinco años o multa de quinientas a mil

cuotas, o ambas, a quien, estando encargado de la producción industrial de

medicamentos, intencionalmente lo prepare de forma distinta a la indicada en la fórmula

establecida.

3. Quien, maliciosamente, adultere, omita o sustituya el medicamento indicado al

paciente, o no se lo suministre o aplique en las dosis que el facultativo indicó, incurre en

sanción de privación de libertad de uno a tres años o multa de trescientas a mil cuotas, o

ambas.

4. Las sanciones previstas en los apartados anteriores se imponen siempre que el hecho

no constituya un delito de mayor entidad.

SECCIÓN CUARTA.- Delitos relacionados con las drogas ilícitas o sustancias de efectos

similares

Artículo 235.1. Incurre en sanción de privación de libertad de cuatro a diez años, quien

sin estar autorizado:

a) Produzca, elabore, transporte, trafique, adquiera, introduzca o extraiga del territorio

nacional o tenga en su poder, con el propósito de traficar o, de cualquier modo,

procure a otra persona, drogas ilícitas o sustancias de efectos similares;

b) opere, administre o dirija locales o viviendas destinados a la concurrencia de

personas para consumir drogas ilícitas o sustancias de efectos similares;

c) fabrique, transporte, o distribuya equipos, materiales o sustancias precursoras a

sabiendas que se utilizan en el cultivo, producción o fabricación ilícita de drogas

ilícitas o sustancias de efectos similares;

d) cultive la planta Cannabis, conocida por marihuana, u otras de propiedades similares

o, a sabiendas, posea semillas o partes de dichas plantas;

e) mantenga en su poder u oculte, sin informar de inmediato a las autoridades, los

hallazgos de drogas ilícitas o sustancias de efectos similares; y

f) organice, gestione o financie las acciones o actividades previstas en este apartado.

2. La sanción es de privación de libertad de diez a treinta años, privación perpetua de

libertad o muerte:

a) Si los hechos a los que se refieren los apartados anteriores se cometen por

funcionarios o empleados públicos, autoridades o sus agentes o auxiliares, o estos

facilitan su ejecución, aprovechándose de esa condición o utilizando medios o

recursos del Estado;

b) si la persona, en la transportación o tráfico ilícito internacional de drogas ilícitas o

sustancias de efectos similares penetra en territorio nacional por cualquier circunstancia,

utilizando nave o aeronave u otro medio de transportación;

c) si la persona participa en actos relacionados con el tráfico ilícito internacional de

drogas ilícitas o sustancias de efectos similares;

d) si, en la comisión de los hechos previstos en el apartado anterior se utiliza persona

menor de dieciocho años;

e) si los hechos descriptos en el apartado 1 se cometen en instituciones educativas,

deportivas, establecimientos penitenciarios u otros lugares de internamiento, centros

asistenciales o en sus inmediaciones o en otros lugares a los que los niños, niñas,

adolescentes y jóvenes acudan para realizar actividades educativas, deportivas y

sociales;

f) si los hechos se cometen vinculados a un grupo organizado o a la delincuencia

organizada transnacional;

g) si los hechos se realizan con cantidades relativamente grandes de drogas ilícitas o

sustancias de efectos similares; y

h) si el responsable al momento del hecho, tiene registrado un antecedente penal por

similar delito, sea por tribunal nacional o extranjero.

3. Quien, al tener conocimiento de la preparación o ejecución de cualquiera de los

delitos previstos en este artículo, no lo denuncie, incurre en sanción de privación de

libertad de dos a cinco años.

4. Los actos preparatorios de los delitos previstos en este artículo se sancionan conforme

a lo dispuesto en el Artículo 77 de este Código.

5. A los declarados responsables por cualquiera de los delitos previstos en este artículo

Se les impone, si procede, la sanción accesoria de confiscación de bienes; y en el caso

Previsto en el inciso d) del apartado 1 que antecede, si el cultivador es propietario,

Usufructuario u ocupante por cualquier concepto legal de tierra, se le impone la

confiscación de esta en el primero de los casos, y en los demás se le priva del derecho de

usufructo u ocupación de la misma.

Artículo 236. La simple tenencia de drogas ilícitas o sustancias de efectos similares sin

la debida autorización o prescripción facultativa, se sanciona:

a) Con privación de libertad de uno a tres años o multa de trescientas a mil cuotas

o ambas, cuando se trate de cocaína o de otras sustancias de efectos similares o

superiores;

b) con privación de libertad de seis meses a dos años o multa de doscientas a quinientas

cuotas o ambas, cuando se trate de Cannabis, conocida por marihuana, o sus

derivados; y

c) con privación de libertad de seis meses a un año o multa de cien a trescientas cuotas

o ambas, cuando se trate de drogas ilícitas o sustancias de efectos similares no

comprendidas en los apartados anteriores.

Artículo 237.1. Se sanciona con privación de libertad de tres a ocho años:

a) Al profesional que, autorizado para recetar o administrar drogas ilícitas o sustancias

de efectos similares lo haga con fines distintos a los estrictamente terapéuticos; y

b) a quien, por razón del cargo o empleo que desempeñe, y a consecuencia de

infringir las disposiciones legales o reglamentarias a que está obligado, permita

la introducción o tránsito en el país, o la extracción de este, de drogas ilícitas o

sustancias de efectos similares.

2. Si los hechos previstos en el apartado anterior se realizan en cantidades relativamente

grandes de las sustancias referidas, la sanción es de privación de libertad de cuatro a diez

años.

Artículo 238. Quien infrinja las medidas de control legalmente establecidas para

la producción, fabricación, preparación, distribución, venta, expedición de recetas,

transporte, almacenaje o cualquier otra forma de manipulación de drogas ilícitas o

sustancias de efectos similares se sanciona con privación de libertad de seis meses a dos

años o multa de doscientas a quinientas cuotas, o ambas.

SECCIÓN QUINTA.- Otros actos que implican riesgo para la salud pública

Artículo 239.1. Se sanciona con privación de libertad de uno a tres años o multa de

trescientas a mil cuotas, o ambas, a quien:

a) Arroje, en las aguas potables, objetos o sustancias nocivas que pongan en peligro la

salud humana y la calidad de vida de las personas; y

b) contamine cuencas hidrográficas que se utilizan o puedan ser utilizadas como fuente

de abastecimiento para la población.

2. En igual sanción incurre quien, por negligencia o a consecuencia de incumplir las

obligaciones que le están impuestas por razón del cargo, empleo, ocupación u oficio en

una instalación de abastecimiento de agua potable a la población o para el tratamiento de

aguas residuales domésticas, industriales o agropecuarias, dé lugar a que se contaminen

las aguas o se dañe su calidad, poniendo en peligro la salud de la población.

3. Las sanciones previstas en los apartados anteriores se imponen siempre que el hecho

no constituya un delito de mayor gravedad.

Artículo 240.1. El médico que no brinde informe a las autoridades sanitarias

competentes de los casos de enfermedades transmisibles señaladas en los reglamentos,

que conozca por razón de su profesión, incurre en sanción de privación de libertad de seis

meses a un año o multa de cien a trescientas cuotas, o ambas.

2. El veterinario que no dé cuenta a las autoridades competentes de los casos de

animales que presenten manifestaciones o padezcan enfermedades susceptibles de ser

trasmitidas a otros animales o a seres humanos, que conozca por razón de su profesión,

incurre en igual sanción que la prevista en el apartado anterior.

Artículo 241. Quien incite a otras personas a no admitir para ellos o sus familiares la

asistencia médica o rechazar las medidas de medicina preventiva, incurre en sanción de

privación de libertad de seis meses a un año o multa de cien a trescientas cuotas, o ambas.

Artículo 242.1. Quien se apodere, trafique, almacene, facilite, procese, reciba, emplee,

transporte o exporte sustancias u objetos contaminados o contaminadores o destinados

a ser inutilizados o desinfectados, o los retenga indebidamente en su poder, incurre

en sanción de privación de libertad de seis meses a dos años o multa de doscientas a

quinientas cuotas, o ambas.

2. En igual sanción prevista en el apartado anterior incurre, quien venda, ponga a la

venta o en circulación:

a) Productos y materias primas destinados a elaborar alimentos, que estén adulterados

o contaminados en su composición o que contengan sustancias o materias extrañas,

sucias, dañadas, descompuestas o contaminadas en cantidades que lo hagan nocivo

o perjudicial para la salud o el consumo humano; y

b) alimentos elaborados en las condiciones y circunstancias descritas en el inciso

anterior.

Artículo 243.1. El responsable, técnico o auxiliar de laboratorio clínico,

microbiológico u otros servicios que realizan investigaciones al paciente que falsee el

resultado de los análisis o pruebas que hayan sido practicadas bien por ellos mismos o

por personal que les esté subordinado, incurre en sanción de privación de libertad de

uno a tres años o multa de trescientas a mil cuotas, o ambas.

2. Si, como consecuencia de la falsedad cometida, dejan de adoptarse las medidas

terapéuticas adecuadas o se emplean otras contraindicadas y, debido a ello, sufre daños

la salud de una persona o se agrava la enfermedad que padece, la sanción es de privación

de libertad de tres a ocho años.

3. Si, como consecuencia del hecho descrito en el apartado anterior, resulta la muerte

de una persona, la sanción es de privación de libertad de cinco a doce años.

TÍTULO V.- DELITOS CONTRA EL PATRIMONIO CULTURAL Y NATURAL

CAPÍTULO I.- DAÑOS A BIENES DEL PATRIMONIO CULTURAL Y NATURAL

Artículo 244.1. Quien intencionalmente destruya, deteriore o inutilice un bien

integrante del patrimonio cultural o un monumento nacional o local, incurre en sanción

de privación de libertad de dos a cinco años o multa de quinientas a mil cuotas, o ambas.

2. En igual sanción que la prevista en el apartado anterior incurre quien intencionalmente

modifique, destruya, deteriore o inutilice un sitio natural de valor científico, ambiental o

estético, reconocido como patrimonio natural de la nación.

CAPÍTULO II.- EXTRACCIÓN ILEGAL DEL PAÍS DE BIENES DEL PATRIMONIO CULTURAL

Artículo 245.1. Quien extraiga o intente extraer del país, bienes integrantes del

patrimonio cultural, sin cumplir las formalidades legales, incurre en sanción de privación

de libertad de dos a cinco años o multa de quinientas a mil cuotas, o ambas.

2. Si los bienes a que se refiere el apartado anterior son de considerable valor para el

patrimonio cultural del país, la sanción es de privación de libertad de tres a ocho años.

CAPÍTULO III.- TRASMISIÓN, TENENCIA ILEGAL, TRÁFICO Y FALSIFICACIÓN DE BIENES

DEL PATRIMONIO CULTURAL Y DE OBRAS DE ARTE

Artículo 246.1. Quien, sin cumplir las formalidades legales, realice cualquier acto

traslativo de dominio o posesión de un bien integrante del patrimonio cultural, incurre en

sanción de privación de libertad de uno a tres años o multa de trescientas a mil cuotas,

o ambas.

2. En igual sanción incurre quien sin cumplir las formalidades legales, adquiera o

tenga en su poder, por cualquier concepto, un bien declarado patrimonio cultural o que

proceda de un inmueble declarado monumento nacional o local.

Artículo 247.1. Se sanciona con privación de libertad de uno a tres años o multa de

trescientas a mil cuotas o ambas a quien, en perjuicio de su creador o del patrimonio

cultural, falsifique una obra de arte o la trafique.

2. Si, como consecuencia de los hechos previstos en el apartado anterior, se causa un

grave perjuicio, la sanción es de privación de libertad de dos a cinco años.

TÍTULO VI.- DELITOS CONTRA LOS RECURSOS NATURALES, EL MEDIO AMBIENTE

Y EL ORDENAMIENTO TERRITORIAL

CAPÍTULO I.- DELITOS CONTRA EL MEDIO AMBIENTE

SECCIÓN PRIMERA.- Contaminación de las aguas

Artículo 248.1. Se sanciona con privación de libertad de dos a cinco años o multa de

quinientas a mil cuotas, o ambas, a quien contamine cuencas hidrográficas y provoque

un daño significativo a los ecosistemas que las componen.

2. Quien, a consecuencia de incumplir las obligaciones que le están impuestas por razón

del cargo, empleo, ocupación u oficio, dé lugar a que contaminen cuencas hidrográficas y

provoque un daño significativo a los ecosistemas que las componen, incurre en privación

de libertad de dos a cinco años.

Artículo 249. Quien vierta desechos o residuales en la zona costera, aguas territoriales

o zona económica exclusiva de la República de Cuba que dañen significativamente los

ecosistemas, incurre en sanción de privación de libertad de dos a cinco años o multa de

quinientas a mil cuotas, o ambas.

SECCIÓN SEGUNDA.- Contaminación de la atmósfera

Artículo 250.1. Quien, incumpliendo las normas legales o técnicas establecidas emita

a la atmósfera sustancias contaminantes que ocasionen daños significativos a la salud

humana y al ecosistema, incurre en sanción de privación de libertad de dos a cinco años

o multa de quinientas a mil cuotas, o ambas.

2. En igual sanción incurre quien, a consecuencia de incumplir las obligaciones que le

están impuestas por razón del cargo, empleo, ocupación u oficio, provoque los resultados

lesivos previstos en el apartado anterior.

SECCIÓN TERCERA.- Contaminación del suelo

Artículo 251. Se sanciona con privación de libertad de uno a tres años o multa de

trescientas a mil cuotas, o ambas, a quien, incumpliendo las normas legales o técnicas

establecidas:

a) En ocasión del uso o explotación de los suelos, provoque la intensificación del

proceso de erosión, salinización u otras formas de degradación que reduzcan su

capacidad agroproductiva;

b) vierta desechos o residuos sólidos o líquidos que sean tóxicos o peligrosos, o utilice

sustancias químicas y hormonales que contaminen los suelos; y

c) de manera intencional, destruya o modifique las formas de relieve que hayan sido

reconocidas de especial significación por cualquier disposición legal.

Artículo 252. Quien, incumpliendo las regulaciones legales o técnicas establecidas,

realice trabajos materiales de exploración arqueológica o geológica, o ejecute actividades

de explotación minera, mediante excavaciones, remoción de tierras u otros medios, que

ocasionen un daño significativo a los ecosistemas, incurre en sanción de privación de

libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas.

Artículo 253. En igual sanción que la prevista en el artículo anterior incurre quien,

incumpliendo las regulaciones establecidas para la protección de lugares que tengan

reconocido un valor natural, científico, ambiental, paisajístico, ecológico, patrimonial,

económico o cultural, o los considere de especial protección, extraiga o explote

materiales que formen parte de la composición de sus suelos.

SECCIÓN CUARTA.- Actos en perjuicio de la biodiversidad

Artículo 254.1. Quien, sin la autorización correspondiente, tale, destruya, cace,

capture, colecte, trafique, comercialice o transporte alguna especie, sus partes y

derivados de la fauna y flora silvestre autóctonas de especial significación, provocando un

daño significativo al ecosistema, incurre en sanción de privación de libertad de dos a

cinco años o multa de quinientas a mil cuotas, o ambas.

2. En igual sanción que la prevista en el apartado anterior incurre quien importe,

exporte o trafique especies no autóctonas, sus partes o derivados, que estén protegidas

por los tratados internacionales en vigor para nuestro Estado.

Artículo 255. Los hechos previstos en el artículo anterior se sancionan con privación

de libertad de tres a ocho años, si se ejecutan:

a) En un área protegida;

b) empleando sustancias tóxicas, medios explosivos u otros medios de extracción

masiva; o

c) formando parte de un grupo de tres o más personas o vinculado a la delincuencia

organizada transnacional.

Artículo 256. Quien, sin la autorización correspondiente, introduzca o libere especies

exóticas, provocando un daño significativo al ecosistema, incurre en sanción de privación

de libertad de dos a cinco años o multa de quinientas a mil cuotas, o ambas.

SECCIÓN QUINTA.- Infracción de las normas para prevenir, controlar y erradicar

Enfermedades y plagas de animales y plantas

Artículo 257.1. Quien infrinja las disposiciones emanadas de autoridad competente

para prevenir, combatir o destruir las enfermedades y plagas de animales y vegetales, es

sancionado con privación de libertad de seis meses a un año o multa de cien a

trescientas cuotas, o ambas.

2. Si, la infracción a que se refiere el apartado anterior se produce en momentos en que

existe enfermedad o plaga animal o vegetal, la sanción es de privación de libertad de uno

a tres años o multa de trescientas a mil cuotas, o ambas.

3. Si, como consecuencia de los hechos a que se refieren los apartados anteriores, se

produce o propaga la enfermedad o plaga, la sanción es de privación de libertad de dos a

cinco años o multa de quinientas a mil cuotas, o ambas.

SECCIÓN SEXTA.- Explotación ilegal de la zona económica de la República de Cuba

Artículo 258.1. Quien, sin la debida autorización, realice cualquier acto con el fin de

explotar los recursos naturales, tanto vivos como no vivos, del lecho y subsuelo marinos y

los existentes en las aguas suprayacentes inmediatas a las costas fuera del mar territorial

y zona contigua en la extensión que fija la ley, incurre en sanción de multa de mil a diez

mil cuotas.

2. Si como consecuencia de los hechos previstos en el apartado anterior, se produce

un daño significativo, la sanción es de multa de cinco mil a veinte mil cuotas, o ambas.

3. En los casos a que se refieren los apartados anteriores podrá imponerse como sanción

accesoria, además de la que corresponda, el comiso de los equipos y de los recursos

naturales extraídos del lecho y subsuelo marinos.

SECCIÓN SÉPTIMA.- Pesca ilícita

Artículo 259.1. Quien, sin la debida autorización, con cualquier clase de embarcación,

penetre en las aguas territoriales o en la zona económica de la República, adyacente a su

mar territorial, con el fin de practicar la pesca, incurre en sanción de multa de mil a diez

mil cuotas.

2. En el caso a que se refiere el apartado anterior puede imponerse como sanción

accesoria, además de la que corresponda, el comiso de los avíos de pesca y de las

especies capturadas.

SECCIÓN OCTAVA.- Disposiciones complementarias

Artículo 260. Los delitos previstos en las Secciones primera y segunda del presente

Capítulo se sancionan como tales, siempre que el hecho no constituya uno de mayor

entidad.

Artículo 261.1. A los declarados responsables por los delitos previstos en este Capítulo,

se les puede imponer la sanción accesoria de confiscación de bienes.

2. A los declarados responsables por los delitos previstos en las Secciones primera,

segunda y tercera del presente Capítulo, el tribunal, les puede imponer cualquiera de las

obligaciones siguientes:

a) Asumir los costos por la eliminación o mitigación del daño producido al medio

ambiente;

b) contratar y sufragar, con cargo a su patrimonio, los estudios técnicos necesarios

hasta demostrar la efectiva eliminación o mitigación de los efectos adversos del

daño ambiental provocado;

c) constituir un fondo o consignar una suma monetaria para garantizar la ejecución de

los trabajos de restauración del medio ambiente dañado o el reembolso de los gastos

causados a un tercero por su realización;

d) destruir, neutralizar o tratar las sustancias y materiales que posea o tenga

almacenados, capaces de ocasionar daños al ambiente; y

e) la ejecución de servicios de naturaleza ambiental en beneficio de la comunidad.

CAPÍTULO II.- ACTOS CONTRA EL ORDENAMIENTO TERRITORIAL

Artículo 262.1. Quien, en lugares que estén reconocidos por ley como una zona

con regulación especial, realice una construcción no autorizable que produzca un daño

significativo al ecosistema, incurre en sanción de privación de libertad de seis meses a

dos años o multa de doscientas a quinientas cuotas, o ambas.

2. A los declarados responsables por este delito, se les puede imponer la sanción

accesoria de confiscación de bienes.

3. En caso de que sea necesario, el tribunal también puede imponerle a los declarados

responsable de este delito, una o varias de las obligaciones previstas en los incisos a), b),

c) y e) del apartado 2 del Artículo 261 de este Código.

TÍTULO VII.- DELITOS CONTRA EL ORDEN PÚBLICO

CAPÍTULO I.- DESÓRDENES PÚBLICOS

Artículo 263.1. Quien, mediante actos de violencia, intimidación o escandalosos,

afecte el orden, la paz y tranquilidad de las familias, de la comunidad o de la sociedad,

incurre en sanción de privación de libertad de seis meses a dos años o multa de

doscientas a quinientas cuotas, o ambas.

2. Si los hechos previstos en el apartado anterior consisten en provocar riñas o altercados

en establecimientos abiertos al público, vías públicas, vehículos de transportación

colectiva de personas, círculos sociales, espectáculos, fiestas familiares o públicas u

otros actos o lugares al que concurren numerosas personas, incurre en sanción de

privación de libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas.

3. Se sancionan con privación de libertad de tres a ocho años los hechos descritos en

los apartados anteriores, si:

a) Se cometen formando parte de un grupo de personas;

b) se causan lesiones a las personas, o se producen daños en las propiedades;

c) se obstaculizan las vías públicas o los accesos a las mismas de manera peligrosa

para los que por ellas circulen; y

d) durante su ejecución invaden instalaciones o edificios.

Artículo 264. Los hechos previstos en los apartados 2 y 3 del artículo anterior se

sancionan con privación de libertad de cinco a doce años, si en su ejecución se emplean

armas de cualquier clase, o medios o instrumentos idóneos para alcanzar tales

propósitos o se provocan lesiones de las previstas en los artículos 346 y 347 de este

Código.

Artículo 265.1. Quien, sin causa que lo justifique, en lugares públicos, espectáculos o

reuniones numerosas, dé gritos de alarma, o profiera amenazas de un peligro común,

incurre en sanción de privación de libertad de seis meses a un año o multa de cien

a trescientas cuotas, o ambas.

2. Si los actos previstos en el apartado anterior se realizan con el propósito de provocar

pánico o tumulto o alterar el orden público, la sanción es de privación de libertad de uno

a tres años o multa de trescientas a mil cuotas, o ambas.

3. Si para la ejecución del hecho, se emplea un arma de cualquier clase o materias

explosivas, la sanción es de:

a) Privación de libertad de uno a tres años, en el caso del apartado 1; y

b) privación de libertad de dos a cinco años, en el caso del apartado 2.

Artículo 266.1. Quien, a sabiendas, difunda noticias falsas o predicciones maliciosas

con el objetivo de causar alarma, descontento o desinformación en la población, o para

provocar alteraciones del orden público, incurre en sanción de privación de libertad de

uno a tres años o multa de trescientas a mil cuotas, o ambas.

2. Si, para la ejecución de los hechos previstos en el apartado anterior, se utilizan las

redes sociales o medios de comunicación social en los espacios físico y digital, la

sanción es de privación de libertad de dos a cinco años o multa de quinientas a mil

cuotas, o ambas.

Artículo 267. Los delitos previstos en el presente capítulo se sancionan con

independencia de los que se cometan para su ejecución o en ocasión de ella.

CAPÍTULO II.- INSTIGACIÓN A DELINQUIR

Artículo 268.1. Quien, fuera del caso previsto en el inciso c) del Artículo 145 de este

Código, incite públicamente a cometer un delito determinado, incurre en sanción de

privación de libertad de seis meses a un año o multa de cien a trescientas cuotas, o

ambas.

2. Si la incitación surte efectos, se impone la sanción correspondiente al delito cometido,

si este tiene fijada una sanción mayor a la señalada en el apartado anterior.

3. Si la incitación es para incumplir una ley, o una disposición legal, o una medida

adoptada por las autoridades, o los deberes ciudadanos relacionados con la defensa de

la Patria, la producción, los servicios o la educación, la sanción a imponer es la prevista

en el apartado 1, rebajada en un tercio en sus límites mínimo y máximo.

4. Si los hechos previstos en los apartados anteriores se realizan a través de las redes

sociales o medios de comunicación social en sus espacios físico y digital, las sanciones

previstas en cada caso son aumentadas en la mitad en sus límites mínimos y máximos.

CAPÍTULO III.- ULTRAJE A LOS SÍMBOLOS NACIONALES

Artículo 269. Quien mancille o, con otros actos, muestre desprecio a la Bandera de la

estrella solitaria, al Himno de Bayamo o al Escudo de la Palma Real, incurre en sanción

de privación de libertad de dos a cinco años o multa de quinientas a mil cuotas, o ambas.

CAPÍTULO IV.- DIFAMACIÓN DE LAS INSTITUCIONES Y ORGANIZACIONES, Y DE LOS

HÉROES Y MÁRTIRES

Artículo 270. Quien públicamente difame, denigre o menosprecie a las instituciones de

la República de Cuba, a las organizaciones políticas, de masas o sociales del país, o a los

héroes y mártires de la Patria, incurre en sanción de privación de libertad de dos a cinco

años o multa de quinientas a mil cuotas, o ambas.

CAPÍTULO V.- ULTRAJE A LOS SÍMBOLOS DE UN ESTADO EXTRANJERO

Artículo 271. Quien arranque, destruya o mancille la bandera, insignias u otro símbolo

oficial de un Estado extranjero, expuesto públicamente por una representación acreditada

de ese Estado, incurre en sanción de privación de libertad de dos a cinco años o multa de

quinientas a mil cuotas, o ambas.

CAPÍTULO VI.- ABUSO DE LA LIBERTAD RELIGIOSA

Artículo 272. Quien, abusando de las creencias religiosas que profesa o practica,

garantizadas constitucionalmente, las oponga a los objetivos de la educación, el deber de

trabajar, defender la Patria, respetar sus símbolos o a cualesquier otro deber establecido

por la Constitución de la República de Cuba, es sancionado con privación de libertad de

seis meses a un año o multa de cien a trescientas cuotas, o ambas.

CAPÍTULO VII.- ASOCIACIÓN PARA DELINQUIR

Artículo 273.1. Quienes, en número de tres o más personas, se asocien para cometer

delitos, por el solo hecho de asociarse, incurren en sanción de privación de libertad de

uno a tres años.

2. Si el fin de la asociación es el de provocar desórdenes o interrumpir fiestas familiares

o públicas, espectáculos u otros eventos de la comunidad o cometer otros actos

similares, la sanción es de privación de libertad de seis meses a dos años o multa de

doscientas a quinientas cuotas, o ambas.

3. Si las personas se asocian para formar parte de un grupo organizado, o se vinculan

con la delincuencia organizada transnacional, la sanción es de privación de libertad de

tres a ocho años.

CAPÍTULO VIII.- ASOCIACIONES, REUNIONES Y MANIFESTACIONES ILÍCITAS

Artículo 274.1. Los promotores, organizadores o directores de una asociación no

autorizada para constituirse, incurren en sanción de privación de libertad de seis meses a

dos años o multa de doscientas a quinientas cuotas, o ambas.

2. Quien pertenezca, como asociado o afiliado, a una asociación no autorizada para

constituirse, incurre en sanción de privación de libertad de seis meses a un año o multa

de cien a trescientas cuotas, o ambas.

3. A los responsables de los hechos previstos en los apartados anteriores, el tribunal

puede imponerles la sanción accesoria de confiscación de bienes.

Artículo 275.1. Quien, a sabiendas de su ilicitud, participe en reuniones o

Manifestaciones celebradas con infracción de las disposiciones que regulan el ejercicio

de estos derechos incurre en sanción de privación de libertad de seis meses a un año o

multa de cien a trescientas cuotas, o ambas.

2. Los organizadores de reuniones o manifestaciones celebradas con infracción de las

disposiciones que regulan el ejercicio de estos derechos incurren en sanción de seis

meses a dos años o multa de trescientas a quinientas cuotas, o ambas.

CAPÍTULO IX.- PORTACIÓN Y TENENCIA ILEGAL DE ARMAS Y EXPLOSIVOS

Artículo 276.1. Quien, sin autorización legal, adquiera, porte o tenga en su poder un

arma de fuego, o sus piezas o componentes, incurre en sanción de privación de libertad

de dos a cinco años.

2. Si el hecho consiste en fabricar, vender o de cualquier modo traficar o facilitar a

otra persona un arma de fuego, sus piezas o componentes, la sanción es de privación de

libertad de tres a ocho años.

3. Cuando se trate de arma de fuego de clase para la que no se concede licencia, la

sanción es de:

a) Privación de libertad de tres a ocho años, en el caso del apartado 1; y

b) privación de libertad de cuatro a diez años, en el caso del apartado 2.

Artículo 277.1. Se sanciona con privación de libertad de seis meses a dos años o multa

de doscientas a quinientas cuotas o ambas, a quien, teniendo licencia o autorización

legal para la posesión de un arma de fuego, la porte en lugar u oportunidad en que se halle

prohibido por disposición del órgano estatal competente.

2. Se sanciona con privación de libertad de uno a tres años o multa de trescientas a

mil cuotas o ambas, a quien, teniendo licencia o autorización legal para la posesión de un

arma de fuego, preste o de cualquier modo procure a otra persona dicha arma.

3. En los casos previstos en el apartado anterior, se impone la sanción accesoria de

comiso del arma.

Artículo 278. Quien fabrique, adquiera, venda, entregue o tenga en su poder explosivos

o sustancias químicas explosivas, sin estar autorizado legalmente para ello, incurre en

sanción de privación de libertad de uno a tres años, siempre que el hecho no constituya

un delito de mayor entidad.

Artículo 279. Quien porte o tenga en su poder un puñal, una navaja, un punzón,

un cuchillo o cualquier instrumento cortante, punzante o contundente, cuando las

circunstancias de la portación o tenencia evidencien que está destinado a la comisión de

un delito o a la realización de cualquier acto antisocial incurre en sanción de privación

de libertad de seis meses a dos años o multa de doscientas a quinientas cuotas, o ambas.

CAPÍTULO X.- ACTOS QUE AFECTAN EL DERECHO DE INVIOLABILIDAD DIPLOMÁTICA

Artículo 280.1. Quien, mediante engaño, cohecho, fuerza en las cosas o violencia o

intimidación en las personas, subrepticiamente u obrando de cualquier otro modo ilícito,

penetre o intente penetrar en locales que gozan del derecho de inviolabilidad diplomática,

incurre en sanción de privación de libertad de dos a cinco años.

2. Quien, sin estar autorizado, abra carta, telegrama, despacho, correspondencia o

cualquier otro envío relativo a documentación diplomática, es sancionado con privación

de libertad de uno a tres años.

3. El delito previsto en el apartado anterior se sanciona con independencia de los que

se cometan para su ejecución o en ocasión de ella.

CAPÍTULO XI.- JUEGOS ILÍCITOS

Artículo 281.1. Quien ejecute actividades como banquero, colector, apuntador o

promotor de juegos ilícitos es sancionado con privación de libertad de uno a tres años

o multa de trescientas a mil cuotas, o ambas.

2. En igual sanción incurre, quien utilice animales en la ejecución del juego ilícito y los

somete a maltratos físicos y mentales.

3. Si en los hechos previstos en el apartado 2, a los animales se le ocasionan lesiones

o la muerte como consecuencia de esa actividad, la sanción a imponer es de dos a cinco

años de privación de libertad o multa de quinientas a mil cuotas, o ambas.

4. Si el delito previsto en los apartados anteriores se comete por dos o más personas,

o utilizando a menores de dieciocho años la sanción es de privación de libertad de tres a

ocho años.

TÍTULO VIII.- DELITOS CONTRA EL NORMAL TRÁFICO MIGRATORIO

CAPÍTULO I.- ENTRADA ILEGAL EN EL TERRITORIO NACIONAL

Artículo 282.1. Quien, sin cumplir las formalidades legales o las disposiciones

migratorias, entre en el territorio nacional, incurre en sanción de privación de libertad de

uno a tres años o multa de trescientas a mil cuotas, o ambas.

2. Está exento de responsabilidad penal quien realiza el hecho descrito en el apartado

anterior en busca de asilo.

CAPÍTULO II.- SALIDA ILEGAL DEL TERRITORIO NACIONAL

Artículo 283.1. Quien, sin cumplir las formalidades legales, salga o realice actos

tendentes a salir del territorio nacional, incurre en sanción de privación de libertad de uno

a tres años o multa de trescientas a mil cuotas, o ambas.

2. La sanción a imponer es la de privación de libertad de tres a ocho años, si en la

realización de los hechos a que se refiere el apartado anterior su responsable:

a) Emplea violencia o intimidación en las personas o fuerza en las cosas; o

b) ejecuta tales acciones con habitualidad.

3. Los delitos previstos en los apartados anteriores se sancionan con independencia de

los que se cometan para su ejecución o en ocasión de ella.

Artículo 284.1. Quien organice, promueva o incite la salida ilegal de personas del

territorio nacional, incurre en sanción de privación de libertad de dos a cinco años.

2. Quien preste ayuda material, ofrezca información o facilite de cualquier modo la

salida ilegal de personas del territorio nacional, incurre en sanción de privación de

libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas.

CAPÍTULO III.- TRÁFICO DE PERSONAS

Artículo 285.1. Quien, sin estar legalmente facultado, con ánimo de lucro, organice,

facilite, incite o promueva la entrada o salida de personas del territorio nacional, con la

finalidad de que estas emigren a otro país, es sancionado con privación de libertad de

siete a quince años.

2. Si los hechos narrados en el apartado anterior se cometen por un funcionario público,

la sanción es de privación de libertad de ocho a veinte años.

3. Los hechos narrados en los apartados que anteceden se sancionan conforme se

establece en el apartado 2 del Artículo 286 de este Código de concurrir en ellos las

circunstancias aquí previstas.

Artículo 286.1. Quien penetre en el territorio nacional utilizando medio naval o aeronave

u otro medio de transporte, con la finalidad de realizar la salida ilegal de personas con

ánimo de lucro, incurre en sanción de privación de libertad de ocho a veinte años.

2. La sanción es de privación de libertad de diez a treinta años o privación perpetua de

libertad, cuando:

a) El hecho se efectúa portando un arma u otro instrumento idóneo para una agresión;

b) en la comisión del hecho, se emplea violencia o intimidación en las personas o

fuerza en las cosas;

c) en la comisión del hecho, se pone en peligro la vida de las personas o resultan

lesiones de la naturaleza prevista en los artículos 346 y 347 de este Código o la

muerte de alguna de estas;

d) entre las personas a transportar, se encuentra alguna que sea menor de dieciocho

años, o portadora de un trastorno mental que le impida gobernar o defender su

persona o bienes, o valerse, resistir o decidir por sí misma en función de sus reales

intereses; y

e) el hecho se comete por personas vinculadas a la delincuencia organizada

transnacional.

Artículo 287. Quien preste ayuda material, ofrezca información, colabore en la

organización o facilite de cualquier modo la comisión de alguno de los delitos previstos

en este capítulo, incurre en sanción de privación de libertad de tres a ocho años.

Artículo 288.1. Quien es objeto del tráfico de personas, solo responde penalmente por

los delitos que cometa en ocasión o como consecuencia de este, cuando:

a) Haya mostrado un papel activo o provocador en su ejecución; o

b) con el propósito de emigrar inste, procure, exhorte o de cualquier otra forma activa,

consciente y voluntaria, ejecute tales acciones antijurídicas.

2. A los declarados responsables de los delitos previstos en este capítulo, el tribunal les

puede imponer la sanción accesoria de confiscación de bienes.

TÍTULO IX.- DELITOS CONTRA LA INTEGRIDAD DE LAS TELECOMUNICACIONES,

LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN Y SUS SERVICIOS

CAPÍTULO I.- DELITOS CONTRA LA SEGURIDAD DE LAS TELECOMUNICACIONES,

LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN Y SUS SERVICIOS

Artículo 289. Quien, violando las medidas de seguridad informática legalmente

establecidas, haga uso de los medios informáticos y sus soportes de información,

programas y sistemas operativos o de aplicaciones u otras tecnologías de la información y

la comunicación, las telecomunicaciones y sus servicios, y afecte la seguridad de los

activos digitales, su confidencialidad, integridad y disponibilidad, incurre en sanción de

privación de libertad de seis meses a dos años o multa de doscientas a quinientas cuotas,

o ambas.

Artículo 290. Quien, sin la debida autorización, acceda o use un sistema informático,

soporte de información, programa de computación o base de datos, o cualquier otra

aplicación informática, o permita que otra persona lo haga, con el propósito de

apoderarse, utilizar, conocer, revelar o difundir la información que se almacene, transmita

o capture en o a través de estos, incurre en sanción de privación de libertad de uno a tres

años o multa de trescientas a mil cuotas, o ambas.

Artículo 291. Incurre en sanción de privación de libertad de seis meses a dos años

o multa de doscientas a quinientas cuotas, o ambas, quien, sin estar debidamente

autorizado:

a) Emplee equipos, medios tecnológicos o procedimientos que obstaculicen o

impidan acceder a la utilización lícita de los sistemas informáticos, o afecten la

transmisión o recepción de mensajes de auxilio o socorro, los servicios públicos o

la defensa y la seguridad nacional; y

b) utilice programas u otros dispositivos para explorar o monitorear las

telecomunicaciones, las tecnologías de la información y la comunicación y sus servicios,

con el propósito de detectar vulnerabilidades de la seguridad en ellas, interrumpir los

servicios u obtener información sobre su funcionamiento o los usuarios que la emplean.

Artículo 292. Incurre en sanción de privación de libertad de uno a tres años o multa

de trescientas a mil cuotas, o ambas, quien:

a) Realice cualquier acto con el propósito de vulnerar la seguridad de sistemas que

utilicen tecnologías de información y la comunicación, las telecomunicaciones y

sus servicios; y

b) preste servicios a tercero a sabiendas de que están destinados a lograr los fines

señalados en el inciso anterior.

Artículo 293.1. Quien, sin la debida autorización y con el propósito de provocar

daños o alguna alteración a un sistema informático o telemático, intercepte, manipule

o interfiera este, incurre en sanción de privación de libertad de seis meses a dos años o

multa de doscientos a quinientas cuotas, o ambas.

2. Se sanciona a privación de libertad de seis meses a un año o multa de cien a

trescientas cuotas o ambas a quien, conociendo la ilicitud del acto previsto en el

apartado anterior, o debiendo haberlo presumido, se beneficie de su resultado.

3. Si para ejecutar los actos previstos en el apartado 1 que antecede, se utilizan

programas u otros recursos o medios para la obtención ilegal de contraseñas, accesos u

otras aplicaciones informáticas similares, la sanción a imponer es de uno a tres años de

privación de libertad o multa de trescientas a mil cuotas, o ambas.

Artículo 294. Incurre en sanción de privación de libertad de dos a cinco años o

multa de quinientas a mil cuotas, o ambas, quien, con la intención de inutilizar total

o parcialmente tecnologías de la información y las comunicaciones, las

telecomunicaciones, su infraestructura, servicios y sistemas informáticos, produzca,

utilice, trafique, adquiera, distribuya, instale, introduzca o extraiga del territorio nacional

virus informáticos, códigos malignos u otras tecnologías de computación de efectos

dañinos para la seguridad de aquellos.

CAPÍTULO II.- DIFUSIÓN ILEGAL DE SEÑALES SATELITALES, TELEVISIVAS Y RADIALES,

SERVICIOS DE TELECOMUNICACIONES U OTROS SIMILARES

Artículo 295.1. Incurre en sanción de privación de libertad de tres a ocho años, quien,

sin estar legalmente autorizado, dirija, organice, distribuya, obtenga lucro o financie

la difusión de señales satelitales, televisivas o radiales u otros servicios públicos de

telecomunicaciones.

2. En igual sanción incurre quien comercialice o distribuya los medios, equipos o

tecnologías, o facilite las actividades relacionadas en el apartado anterior.

CAPÍTULO III.- DISPOSICIONES COMPLEMENTARIAS

Artículo 296.1. Los delitos previstos en este título se sancionan, según lo establecido en

cada caso, siempre que no constituyan otro de mayor entidad, así como con

independencia de los que se cometan para su ejecución o en ocasión de ella.

2. Si, como resultado de la comisión de un delito previsto en este título, se produce un

grave perjuicio, o se comete contra sistemas internacionales o de otro país, o se ponen en

riesgo el normal funcionamiento y desarrollo de sistemas, sectores y servicios vitales o

estratégicos para la defensa y la seguridad nacional o la información oficial clasificada, la

sanción puede incrementarse hasta el doble en sus límites mínimo y máximo.

3. Cuando el interviniente en los delitos previstos en este título se trate de un

funcionario, empleado u otra persona que tenga a su cargo la custodia, operación,

seguridad o mantenimiento del sistema, red, base de datos, programa informático o los

medios, equipos o tecnologías para la difusión de señales satelitales, televisivas o

radiales, la sanción establecida puede incrementarse hasta en la mitad en sus límites

mínimo y máximo.

4. A los declarados responsables de los delitos previstos en este Título se les puede

imponer la sanción accesoria de confiscación de bienes.

TÍTULO X.- DELITOS CONTRA EL ORDEN ECONÓMICO NACIONAL

CAPÍTULO I.- DELITOS CONTRA EL ORDEN ECONÓMICO

SECCIÓN PRIMERA.- Malversación

Artículo 297.1. Quien, teniendo por razón del cargo que desempeña la administración,

cuidado o disponibilidad de bienes de propiedad socialista de todo el pueblo,

cooperativa, de las organizaciones políticas, de masas o sociales, privada, mixta, de

instituciones y formas asociativas o personal al cuidado de una entidad económica, se

apropie de ellos o de sus efectos, para sí o para otra persona, o consienta que esta otra se

los apropie, incurre en sanción de privación de libertad de tres a ocho años.

2. Si los bienes apropiados son de considerable valor, la sanción es de privación de

libertad de ocho a veinte años.

3. Si los bienes apropiados son de limitado valor, la sanción es de privación de libertad

de uno a tres años o multa de trescientas a mil cuotas, o ambas.

4. Quien autorice u ordene el pago de salarios, dietas u otros emolumentos que

no corresponda abonar, por no haberse prestado el servicio, o lo abone en cantidades

superiores a lo establecido, incurre en sanción de privación de libertad de seis meses a

dos años o multa de doscientas a quinientas cuotas, o ambas.

5. Cuando los delitos a que se refiere este artículo se cometen por un funcionario o

empleado de una entidad cooperativa, privada, mixta, de instituciones y formas

asociativas no estatales, en perjuicio de la propia entidad, se procede si media denuncia

de la víctima o perjudicado, de su representante, o del fiscal cuando se afecte el interés

del Estado.

6. El tribunal puede rebajar hasta en dos tercios el límite mínimo de la sanción que se

señala en cada caso si, antes de la celebración del juicio oral, el responsable del delito:

a) Reintegra los bienes apropiados u otros de igual naturaleza o, mediante su gestión,

se logra dicho reintegro; o

b) abona su valor, cuando sea procedente, el que se cuantifica tomando como base el

precio minorista más alto a la población, si se trata de bienes que se expenden a esta; y

en los demás casos, calculado conforme a las reglas que establecen las disposiciones

relativas a la responsabilidad material para la entidad de que se trate.

7. Cuando el tribunal decide aplicar la regla de adecuación establecida en el apartado

anterior, sus efectos beneficiosos se pueden extender a los demás responsables que

conjuntamente hayan intervenido en el delito, aunque no hubieran contribuido al

reintegro de los bienes apropiados u otros de similar naturaleza, o al pago de su valor.

SECCIÓN SEGUNDA.-Actos en perjuicio de la actividad económica o de la contratación

Artículo 298.1. Incurre en sanción de privación de libertad de tres a ocho años quien,

con el propósito de afectar la economía o el crédito del Estado cubano, o a sabiendas de

que puede producirse ese resultado:

a) Altere informes o presente o utilice datos falsos sobre planes económicos;

b) incumpla las regulaciones establecidas para la gestión económica o para la ejecución,

control o liquidación del presupuesto del Estado, o las relativas al libramiento o la

utilización de documentos crediticios; y

c) incumpla las normas, procedimientos y regulaciones establecidas por el Estado, para

la realización de negociaciones, contrataciones comerciales o financieras.

2. Si, como consecuencia de los hechos previstos en el apartado anterior, se causa

un daño considerable o grave perjuicio, la sanción es de privación de libertad de ocho a

veinte años.

SECCIÓN TERCERA.- Libramiento de cheque sin provisión de fondo o con fondo

insuficiente

Artículo 299.1. Incurre en sanción de privación de libertad de uno a tres años o multa

de trescientas a mil cuotas o ambas, quien:

a) Libre un cheque sin provisión de fondos, con provisión insuficiente, o después de

haber retirado dicha provisión; y

b) libre un cheque retirando la provisión de fondos antes de que el cheque pueda

legalmente ser presentado al cobro o antes de haber anulado su expedición por

cualquiera de las formas que en derecho proceda.

2. Si en los hechos previstos en el apartado anterior, el responsable abona a la víctima o

perjudicado la cantidad correspondiente al cheque, antes de la celebración del juicio

oral, queda exento de sanción.

SECCIÓN CUARTA.- Insolvencia punible

Artículo 300.1. Incurre en sanción de privación de libertad de dos a cinco años:

a) El deudor que, para sustraerse al pago de sus obligaciones, se alce con sus bienes,

los oculte, simule enajenaciones o créditos, se traslade al extranjero o se oculte

sin dejar representante o bienes en cantidades suficientes para responder al

pago de sus deudas o realice cualquier otro acto de disposición patrimonial en

defraudación de los derechos de sus acreedores; y

b) quien sea declarado en quiebra, concurso o suspensión de pagos, cuando la

insolvencia sea causada o agravada intencionalmente por el deudor o por persona

que actúe en su nombre.

2. Quien, en procedimiento de quiebra, concurso o expediente de suspensión de pagos,

presente datos falsos relativos al estado financiero, con el fin de lograr la declaración de

aquellos, incurre en sanción de privación de libertad de uno a tres años.

3. Para adecuar la sanción, el tribunal tiene en cuenta la cuantía del perjuicio ocasionado

a los acreedores, así como el número y condición económica de estos.

SECCIÓN QUINTA.- Incumplimiento de obligaciones en entidades económicas

Artículo 301.1. Quien, a consecuencia de incumplir las obligaciones que le están

impuestas por razón del cargo, empleo, ocupación u oficio que desempeñe en una

entidad económica, en especial las obligaciones referidas con el cumplimiento de

normas o con la disciplina tecnológica, ocasione un daño considerable o grave perjuicio a

la actividad de producción o de prestación de servicios que en ella se realiza, o a sus

equipos, máquinas, maquinarias, herramientas y los demás medios técnicos, es

sancionado con privación de libertad de seis meses a dos años o multa de doscientas a

quinientas cuotas, o ambas.

2. Cuando los hechos previstos en este artículo se cometan en perjuicio de una persona

natural o jurídica no estatal, cualquiera que sea su forma de gestión económica, solo se

procede si media denuncia de la víctima o perjudicado, del representante de la entidad, o

del fiscal cuando se afecte el interés del Estado.

SECCIÓN SEXTA.- Incumplimiento de normas de seguridad en entidades económicas

Artículo 302.1. Quien, a consecuencia de incumplir alguna norma relativa a la seguridad

de los bienes pertenecientes a una entidad económica, o al cuidado de esta, dé lugar a

que se produzcan daños a dichos bienes, incurre en sanción de privación de libertad de

uno a tres años o multa de trescientas a mil cuotas, o ambas.

2. En igual sanción incurre quien dé lugar a que se produzca el hecho descrito en el

apartado anterior por no haber comunicado las normas de seguridad a quienes deban

cumplirlas, teniendo la obligación de hacerlo.

3. En los casos en que, por la naturaleza de la entidad resulten aplicables las

Disposiciones relativas a la responsabilidad material, las sanciones previstas en los

apartados anteriores solo se imponen cuando los daños ocasionados sean superiores a

la cuantía establecida por dicha legislación.

4. Cuando los hechos previstos en este artículo se cometan en perjuicio de una persona

natural o jurídica no estatal, o cualquiera que fuere su forma de gestión económica,

solo se procede si media denuncia del representante de la entidad que resulte víctima o

perjudicada, o del fiscal cuando se afecte el interés del Estado.

SECCIÓN SÉPTIMA.- Incumplimiento del deber de preservar los bienes de entidades económicas

Artículo 303.1. Quien, a consecuencia de incumplir las medidas a que está obligado

por razón del cargo, ocupación u oficio que desempeña en una entidad económica, para

impedir que se deterioren, corrompan, alteren, inutilicen, desaparezcan o sustraigan

materias primas, productos elaborados, frutos, equipos, máquinas, maquinarias,

herramientas, medios técnicos, recursos financieros o cualquier otro bien o sustancia

útil, ocasione un daño o perjuicio, incurre en sanción de privación de libertad de seis

meses a dos años o multa de doscientas a quinientas cuotas, o ambas.

2. Si los hechos previstos en el apartado anterior afectan bienes pertenecientes a las

reservas materiales o se producen graves perjuicios económicos a la entidad, la sanción

es de privación de libertad de uno a tres años o multa de trescientas a mil cuotas, o

ambas.

3. En los casos en que, por la naturaleza de la entidad, resulten aplicables las

Disposiciones relativas a la responsabilidad material, las sanciones previstas en el

apartado 1 solo se imponen cuando los daños ocasionados sean superiores a la cuantía

establecida por dicha legislación.

4. Cuando los hechos previstos en este artículo se cometan en perjuicio de una persona

natural o jurídica no estatal, o cualquiera que fuere su forma de gestión económica,

solo se procede si media denuncia del representante de la entidad que resulte víctima o

perjudicada, o del fiscal cuando se afecte el interés del Estado; no obstante, si el

denunciante desiste de su denuncia en forma expresa, mediante escrito, antes del inicio

del juicio, se archivan definitivamente las actuaciones, salvo que el fiscal, en

representación del interés del Estado, decida continuar el proceso.

SECCIÓN OCTAVA.- Ocultación u omisión de datos

Artículo 304.1. Se sanciona con privación de libertad de uno a tres años o multa de

trescientas a mil cuotas, o ambas, a quien:

a) Teniendo, por razón del cargo que desempeña en una entidad económica, la obligación

de suministrar a las autoridades, funcionarios, o empleados estatales competentes

informes o datos, a consecuencia de presentarlos ocultando, omitiendo o alterando

los verdaderos, ocasione perjuicios a la economía nacional;

b) a consecuencia de incumplir las obligaciones que le estén impuestas por razón del

cargo que desempeña en una entidad económica, respecto a la conservación de

documentos, legajos, papeles u otras fuentes de información, relacionados con los

controles de recursos materiales o financieros, dé lugar a su extravío, deterioro,

destrucción o cualquier otra circunstancia que impida su utilización; y

c) no proporcione a las autoridades competentes, teniendo la obligación de hacerlo

por razón del cargo que desempeña en una entidad económica, la información o

los elementos de comprobación suficientes acerca de la existencia o la utilización

de los recursos financieros o materiales bajo su custodia, cuando sea requerido en

forma legal.

2. Las sanciones previstas en el apartado anterior se imponen siempre que el hecho no

constituya un delito de mayor entidad.

SECCIÓN NOVENA.- Uso indebido de recursos financieros y materiales

Artículo 305.1. Quien, teniendo por razón del cargo que desempeña, la administración,

cuidado o disponibilidad de bienes de propiedad de una entidad económica, conceda o

reciba, sin la debida autorización, recursos materiales o financieros o los utilice para fines

públicos o sociales distintos a los que están destinados, incurre en sanción de privación

de libertad de seis meses a dos años o multa de doscientas a quinientas cuotas, o ambas.

2. Incurre en sanción de privación de libertad de uno a tres años o multa de trescientas a

mil cuotas o ambas, quien dilapide o dé lugar a que otro dilapide los recursos financieros

o materiales señalados en el apartado anterior.

3. En igual sanción que la prevista en el apartado anterior incurre quien, teniendo por

razón del cargo que desempeña el cuidado y la conservación de bienes pertenecientes

a las reservas materiales, concede, sin la debida autorización recursos materiales o los

utiliza para fines públicos o sociales distintos a los que están destinados.

4. Si, como consecuencia de los hechos previstos en los apartados anteriores, se

producen graves perjuicios, la sanción es de:

a) Privación de libertad de dos a cinco años o multa de quinientas a mil cuotas o ambas,

en el caso del apartado 1; y

b) privación de libertad de tres a ocho años, en los casos de los apartados 2 y 3.

5. Cuando los hechos previstos en este artículo se cometan en perjuicio de una persona

natural o jurídica no estatal, o cualquiera que fuere su forma de gestión económica,

solo se procede si media denuncia del representante de la entidad que resulte víctima o

perjudicada, o del fiscal cuando se afecte el interés del Estado.

SECCIÓN DÉCIMA.- Abuso en el ejercicio de cargo o empleo en entidad económica

Artículo 306.1. Se sanciona con privación de libertad de uno a tres años o multa de

trescientas a mil cuotas o ambas, a quien, prevaliéndose de las atribuciones que le están

conferidas por razón del cargo que desempeña en una entidad económica de producción

o de servicios:

a) Utilice o permita que otra persona utilice, en interés particular, los servicios de

trabajadores bajo su autoridad;

b) use o permita que otra persona use, en interés particular, materiales, implementos

o útiles pertenecientes a la entidad, empresa o unidad sin estar legalmente autorizado; y

c) obsequie, sin la debida autorización, productos, materiales u otros bienes de la

entidad, empresa o unidad, u ofrezca gratuitamente los servicios que estas presten.

2. Cuando los hechos previstos en este artículo se cometan en perjuicio de una persona

natural o jurídica no estatal, o cualquiera que fuere su forma de gestión económica,

solo se procede si media denuncia del representante de la entidad que resulte víctima o

perjudicada, o del fiscal cuando se afecte el interés del Estado.

SECCIÓN DECIMOPRIMERA.- Infracción de las normas de protección de los consumidores

Artículo 307. Se sanciona con privación de libertad de un año a tres años o multa de

trescientas a mil cuotas o ambas, a quien:

a) Venda, o ponga a la venta al público, artículos incompletos en su composición o

peso o deteriorados o en mal estado de conservación;

b) omita adoptar las medidas necesarias para evitar la sustracción, el extravío, el

deterioro o la destrucción de los bienes, o parte de ellos, que le entreguen los

usuarios del servicio a los efectos de su prestación;

c) cobre mercancías o servicios por encima del precio o tarifa aprobados por la

autoridad u organismo competente, o del precio pactado por las partes;

d) oculte mercancías al público o niegue injustificadamente los servicios que se presten

en la entidad; y

e) venda, ponga a la venta, tenga en su poder con el propósito de traficar elabore,

disponga para la exportación, exporte o importe un producto industrial o agrícola

con indicación de calidad o designación de marca que no corresponda al producto.

SECCIÓN DECIMOSEGUNDA.- Actividades económicas ilícitas

Artículo 308.1. Quien, con ánimo de lucro, realice cualquiera de las actividades

de producción, transformación o venta de mercancías o prestación de servicios

que esté prohibida expresamente por disposición legal o reglamentaria, incurre en

sanción de privación de libertad de seis meses a un año o multa de cien a trescientas

cuotas, o ambas.

2. Si para la realización de los hechos a que se refiere el apartado anterior utiliza mano de

obra, medios o materiales de procedencia ilícita, la sanción es de privación de libertad

de uno a tres años o multa de trescientas a mil cuotas, o ambas .

3. Quien, no obstante poseer la licencia correspondiente para realizar cualquiera de las

actividades de producción, transformación o venta de mercancías o prestación de

servicios no prohibidas expresamente por disposición legal o reglamentaria, con el fin de

obtener mayores ganancias, utilice medios o materiales de procedencia ilícita o para ello

emplee de mano de obra infringiendo las disposiciones legales respectivas, incurre en

sanción de privación de libertad de seis meses a dos años o multa de doscientas a

quinientas cuotas, o ambas.

Artículo 309. Quien, sin poseer la autorización correspondiente, preste dinero con

interés, incurre en sanción de privación de libertad de seis meses a dos años o multa de

doscientas a quinientas cuotas, o ambas.

SECCIÓN DECIMOTERCERA.- Especulación y acaparamiento

Artículo 310.1. Se sanciona con privación de libertad de uno a tres años o multa de

trescientas a mil cuotas o ambas, a quien adquiera para revender, ponga a la venta, o

venda productos o artículos de uso o consumo sujetos a regulación.

2. En igual sanción que la prevista en el apartado 1, incurre el funcionario o empleado

público que venda mercancías o productos a una persona, en cantidades evidente e

injustificadamente superiores a las requeridas para sus necesidades personales o

familiares, provocando afectaciones a la oferta de dichas mercancías o productos en la

red estatal de comercio minorista.

Artículo 311. Incurre en sanción de seis meses a dos años de privación de libertad

o multa de doscientas a quinientas cuotas o ambas, quien adquiera, retenga en su

poder o transporte mercancías o productos en cantidades evidente e injustificadamente

superiores a las requeridas para sus necesidades personales o familiares.

Artículo 312. Las sanciones previstas en los apartados anteriores se incrementan en

un tercio en sus límites mínimo y máximo, si los hechos a los que se refieren se cometen

aprovechándose de una situación de mayor demanda de los bienes, productos,

mercancías por motivo de calamidad pública cualquiera que sea su naturaleza, o por otra

situación excepcional.

SECCIÓN DECIMOCUARTA.- Contrabando

Artículo 313.1. Se sanciona con privación de libertad de uno a tres años o multa de

trescientas a mil cuotas, o ambas, a quien introduzca o intente introducir en el país

objetos o mercancías sin cumplir las disposiciones legales, si para ese fin:

a) Utiliza mecanismos fraudulentos o de ocultación de los objetos o mercancías a la

autoridad aduanal; o

b) se sirve de redes asociativas, creadas con el propósito de burlar las regulaciones y

mecanismos aduanales establecidos.

2. Incurre en igual sanción que la establecida en el apartado anterior, si los hechos

previstos en aquel se ejecutan con el propósito de extraer o intentar extraer objetos o

mercancías del país sin cumplir las disposiciones legales.

3. La sanción es de privación de libertad de dos a cinco años o multa de quinientas a mil

cuotas o ambas, si los hechos descritos en los apartados anteriores se realizan

vinculados a la delincuencia organizada transnacional.

Artículo 314. Quien, habitualmente se dedique a la adquisición, ocultación o cambio

de objetos o mercancías que, por su naturaleza o por las circunstancias de la transacción,

evidencian o hagan suponer racionalmente que han sido introducidos en el país con

infracción de las disposiciones legales, o intervenga en su enajenación o venta, incurre

en sanción de privación de libertad de seis meses a dos años o multa de doscientas a

quinientas cuotas, o ambas.

SECCIÓN DECIMOQUINTA.- Tráfico ilegal de moneda nacional, divisas, metales y piedras preciosas

Artículo 315.1. Se sanciona con privación de libertad de dos a cinco años o multa de

quinientas a mil cuotas, o ambas, a quien:

a) Exporte o importe moneda o valores públicos nacionales, con infracción de las

disposiciones legales;

b) exporte moneda extranjera o valores denominados en moneda extranjera, con

infracción de las disposiciones legales;

c) exporte oro, plata, platino u otros metales preciosos en lingotes, metales crudos o

manufacturados o en cualquier otra forma, o piedras preciosas, infringiendo las

disposiciones legales;

d) obtenga fondos pagaderos en el extranjero alegando causas falsas o utilizando

cualquier otro medio fraudulento, o los obtenga en exceso de las necesidades reales, o

los aplique a fines distintos a los invocados;

e) venda o, por cualquier medio ceda, trasmita o adquiera moneda, cheque, giro,

cheque de viajero o cualquier otro efecto de crédito análogo denominado en moneda

extranjera, infringiendo las disposiciones legales;

f) haga pagos a cuenta de otra persona contra reembolso en el extranjero o realice

cualquier otro servicio con análogo fin; y

g) haga operaciones de cambio en mercados negros de monedas nacionales o

extranjeras o por canales distintos a los legalmente establecidos.

2. Incurre en sanción de privación de libertad de seis meses a un año o multa de cien a

trescientas cuotas o ambas quien realice en el extranjero, por sí o por persona intermedia,

operaciones financieras sin previa autorización del órgano estatal competente.

3. Quien, con el propósito de traficarlos, exportarlos, venderlos o cederlos o transmitirlos

al margen de los mecanismos legales correspondientes, mantenga en su poder alhajas,

metales y piedras preciosas, incurre en sanción de privación de libertad de seis meses a

dos años o multa de doscientas a quinientas cuotas, o ambas.

SECCIÓN DECIMOSEXTA.- Sacrificio ilegal de ganado mayor y tráfico de sus carnes

Artículo 316.1. Quien sacrifique ganado mayor ajeno, es sancionado con privación de

libertad de cuatro a diez años.

2. Quien trafique carne de ganado mayor sacrificado ilegalmente, incurre en privación

de libertad de tres a ocho años.

3. El propietario o poseedor legal de ganado mayor que, sin autorización o causa que lo

justifique, lo sacrifique, o quien comercialice sus carnes, incurre en sanción de uno a tres

años de privación de libertad o multa de trescientas o mil cuotas, o ambas.

4. Se sanciona con privación de libertad de seis meses a un año o multa de cien a

trescientas cuotas o ambas, a quien, a sabiendas de su procedencia, adquiera carne de

ganado mayor sacrificado ilegalmente.

5. Si el hecho descrito en el apartado anterior consiste en adquirir carne de ganado

mayor sacrificado ilegalmente para suministrarla a centros de elaboración, producción,

comercio o venta de alimentos, se incurre en sanción de privación de libertad de uno a

tres años o multa de trescientas a mil cuotas, o ambas.

SECCIÓN DECIMOSÉPTIMA.- Otros actos contra recursos naturales económicos

Artículo 317.1. Incurre en sanción de privación de libertad de seis meses a dos años

o multa de doscientas a quinientas cuotas, o ambas, quien arroje objetos o sustancias

nocivas en cuencas fluviales o lacustres, criaderos de especies acuáticas, pozos,

canales, o en lugares destinados a abrevar ganado o las aves, y se cause la muerte o se

dañe la salud de las especies referidas.

2. En igual sanción Incurre, quien ejecute actividades de explotación minera sin

autorización legal o incumpliendo las regulaciones legales o técnicas establecidas.

3. Los hechos previstos en los apartados anteriores se sancionan como tales, siempre

que no constituyan un delito de mayor entidad.

SECCIÓN DECIMOCTAVA.- Disposición complementaria

Artículo 318. A los declarados responsables de los delitos previstos en el presente

Capítulo se les puede imponer, además, la sanción accesoria de confiscación de bienes.

CAPÍTULO II.- DELITOS CONTRA LA HACIENDA PÚBLICA

SECCIÓN PRIMERA.- Evasión fiscal

Artículo 319.1. Se sanciona con privación de libertad de uno a tres años o multa de

trescientas a mil cuotas, o ambas, a quien evada la obligación del pago de un impuesto,

tasa o contribución tributaria, o se niegue a satisfacerlas de manera total o parcial;

siempre que:

a) Sea firme la resolución o acto de la administración tributaria, mediante el cual se

constituyó en deudor y se determinó el monto del impuesto, tasa o contribución a pagar;

b) le haya sido exigido su pago, según los procedimientos tributarios y legales

establecidos; y

c) el plazo que se le concedió para satisfacer la obligación esté vencido.

2. Si, como consecuencia de los hechos previstos en el apartado anterior, se ocasiona

un grave perjuicio al presupuesto del Estado, la sanción es de privación de libertad de dos

a cinco años o multa de quinientas a mil cuotas, o ambas.

Artículo 320.1. Quien, directamente o mediante otra persona falsifique, oculte, altere

información con transcendencia tributaria o utilice cualquier otro ardid, con la intención

de evitar o impedir la real determinación de la deuda, o evadir el pago de impuestos,

tasas, contribuciones de carácter tributario, se sanciona con privación de libertad de dos

a cinco años o multa de quinientas a mil cuotas, o ambas.

2. Si, como consecuencia de los hechos previstos en el apartado anterior, se ocasiona

un grave perjuicio al presupuesto del Estado, la sanción es de privación de libertad de tres

a ocho años.

Artículo 321.1. Quien, por razón de su cargo tenga la obligación de registrar u

ofrecer información relacionada con la determinación de la deuda tributaria o su cobro,

intencionalmente oculte, omita o altere la verdadera información, es sancionado con

privación de libertad de dos a cinco años o multa de quinientas a mil cuotas o ambas,

siempre que el hecho no constituya un delito de mayor entidad.

2. Si, como consecuencia de los hechos previstos en el apartado anterior, se

ocasiona un grave perjuicio a la economía, la sanción es de privación de libertad de

tres a ocho años.

Artículo 322. Quien, intencionalmente, teniendo la responsabilidad de aportar total o

parcialmente al fisco cantidades retenidas o percibidas por concepto de impuestos,

tasas, contribuciones o cualquiera otra obligación tributaria, no lo haga, incurre en

sanción de privación de libertad de dos a cinco años de privación de libertad o multa de

quinientas a mil cuotas, o ambas.

Artículo 323.1. En los delitos previstos en los artículos 319 y 320 de este Código, se

procede si media denuncia del representante de la Oficina de Administración Tributaria.

2. Si el responsable satisface la deuda tributaria antes de concluir el juicio oral, el

tribunal puede, de acuerdo a las circunstancias del hecho y sus condiciones personales:

a) Archivar las actuaciones, siempre que en este caso no hayan sido utilizados

medios, métodos o procedimientos fraudulentos para evadir en todo o en parte la

responsabilidad tributaria, o para impedir, dificultar, retardar u obstruir las gestiones

de cobro de la Oficina de Administración Tributaria; o

b) rebajar libremente los límites mínimos y máximos de la sanción.

3. La sanción accesoria de confiscación de bienes puede imponerse a los declarados

responsables de los delitos previstos en esta sección.

SECCIÓN SEGUNDA.- Lavado de activos

Artículo 324.1. Incurre en sanción de privación de libertad de cinco a doce años,

quien adquiera, convierta, transfiera, utilice o tenga en su poder recursos, fondos, bienes,

derechos, acciones u otras formas de participación a ellos relativos, o intente realizar

estas operaciones, con el propósito de ocultar o disimular su origen ilícito, o con

conocimiento o debiendo conocer, o suponer racionalmente por la ocasión o

circunstancias de la operación, que proceden directa o indirectamente de cualquier

delito.

2. En igual sanción incurre quien encubra, oculte o impida la determinación real de la

naturaleza, el origen, la ubicación, el destino, el movimiento o propiedad verdadera de

recursos, fondos, bienes o derechos a ellos relativos, a sabiendas, o debiendo conocer o

suponer racionalmente, por la ocasión o circunstancia de la operación, que procedían de

los actos referidos en el apartado anterior.

3. Quien cometa los hechos previstos en los apartados anteriores, formando parte

de un grupo organizado o estructurado, o cuando estos constituyan actos asociados

a la corrupción o la delincuencia organizada transnacional o que dañen la flora o la

fauna especialmente protegida, incurre en sanción de privación de libertad de siete

a quince años.

4. Si los hechos referidos en los apartados que anteceden se cometen por ignorancia

inexcusable, la sanción es de dos a cinco años de privación de libertad.

5. Los hechos previstos en este artículo se sancionan con independencia del lugar de

ejecución del delito precedente y de que su responsable haya sido previamente juzgado y

sancionado.

6. Los delitos previstos en este artículo se sancionan con independencia de los

cometidos en ocasión de ellos.

7. La sanción accesoria de confiscación de bienes puede imponerse a los declarados

responsables de los hechos delictivos previstos en este artículo.

CAPÍTULO III.- DELITOS CONTRA LOS DERECHOS DEL TRABAJO Y LA SEGURIDAD SOCIAL

SECCIÓN PRIMERA.- Incumplimiento de normas de seguridad y salud en el trabajo

Artículo 325.1. El responsable directo de la aplicación o ejecución de las medidas

referentes a la seguridad y salud del trabajo que, a consecuencia de infringir, dentro del

ámbito de su competencia, las disposiciones establecidas al respecto, dé lugar a que se

produzca la muerte de algún trabajador, incurre en sanción de privación de libertad de

dos a cinco años.

2. Si, como consecuencia de la infracción a que se refiere el apartado anterior, se

producen a algún trabajador lesiones graves o graves perjuicios para su salud, la sanción

es de privación de libertad de seis meses a dos años o multa de doscientas a quinientas

cuotas, o ambas.

3. Quien, teniendo la obligación de ordenar las medidas de seguridad y salud del

trabajo a quienes deban cumplirlas, por no hacerlo, dé lugar a que se produzca la muerte

de un trabajador, incurre en sanción de privación de libertad de uno a tres años o multa de

trescientas a mil cuotas, o ambas.

4. Si, como consecuencia de la infracción a que se refiere el apartado anterior, se

producen lesiones graves o graves perjuicios para la salud a algún trabajador, la sanción

es de seis meses a un año o multa de cien a trescientas cuotas, o ambas.

SECCIÓN SEGUNDA.- Imposición indebida de medidas disciplinarias

Artículo 326. Quien, estando legítimamente autorizado para imponer medida disciplinaria

a los trabajadores o sin estarlo, la imponga por motivo de enemistad, venganza,

discriminación de cualquier tipo u otro fin malicioso, incurre en sanción de privación de

libertad de seis meses a un año o multa de cien a trescientas cuotas, o ambas.

SECCIÓN TERCERA.- Acoso laboral

Artículo 327.1. Quien afecte los derechos laborales de una persona con la que mantiene

una relación de trabajo o empleo, mediante su acoso directo o indirecto a través acciones

de aislamiento, amenazas, exigencias o con cualquier otro acto o medio potencialmente

capaz de producir dicho fin, incurre en sanción de privación de libertad de seis meses a

dos años o multa de doscientas a quinientas cuotas, o ambas.

2. La sanción es de privación de libertad de uno a tres años o multa de trescientas a mil

cuotas, o ambas, si en el hecho previsto en el apartado anterior:

a) Se provocan en la víctima efectos nocivos sobre su bienestar e integridad física o

mental;

b) la víctima es una persona menor de dieciocho años de edad, o en estado de

discapacidad mental o de otro tipo;

c) la víctima es subordinada del responsable del delito;

d) el delito se comete como consecuencia de la violencia de género, o por motivos

discriminatorios de cualquier tipo; y

e) se alcanza el propósito perseguido.

3. Las sanciones previstas en los apartados anteriores se imponen, siempre que el

hecho no constituya un delito de mayor gravedad.

SECCIÓN CUARTA.- Lesión maliciosa de los derechos del trabajo y la seguridad social

Artículo 328.1. Quien, como empleador de una entidad o su representante, por sí mismo

o mediante otro, realice acciones o adopte decisiones con el propósito de perjudicar,

suprimir o restringir los derechos del trabajo y la seguridad social que uno o varios de los

empleados de esta tengan reconocidos por las relaciones laborales, convenios colectivos

y disposiciones emitidas por el Estado, o para impedir que los ejerciten en todo o en parte,

incurre en sanción de privación de libertad de seis meses a dos años o multa de

doscientas a quinientas cuotas, o ambas.

2. En igual sanción prevista en el apartado anterior, incurre quien, como empleador de

una entidad o su representante, por sí mismo o mediante otro, adopte decisiones o

medidas de represalias de cualquier naturaleza contra uno o varios empleados de la

misma, como consecuencia de que estos hayan reclamado los derechos del trabajo y la

seguridad social que tengan reconocidos por las relaciones laborales, convenios

colectivos y disposiciones emitidas por el Estado.

3. Incurre en la misma sanción prevista en los apartados anteriores, quien cometa los

hechos que describen, por motivos discriminatorios de cualquier tipo.

4. Si los hechos descritos en los apartados anteriores son ejecutados con violencia o

intimidación, mediante engaño o abusando de una situación de necesidad o de

discapacidad mental o de otro tipo del empleado, la sanción a imponer es la de privación

de libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas.

5. La sanción a imponer es la de privación de libertad de dos a cinco años o multa de

quinientas a mil cuotas, o ambas, si los hechos previstos en los apartados 2 y 3 se

cometen por un funcionario público.

SECCIÓN QUINTA.- Empleo ilegal del trabajo de personas menores de edad

Artículo 329.1. Incurre en sanción de seis meses a dos años de privación de libertad o

multa de doscientas a quinientas cuotas, o ambas, quien emplee a una persona menor de

diecisiete años de edad en la realización de un trabajo o la prestación de un servicio, con

independencia de que la propia víctima o su representante legal o quien que lo tenga bajo

su guarda o cuidado, haya prestado su consentimiento para realizarlo o prestarlo.

2. En igual sanción que la dispuesta en el apartado anterior incurre quien:

a) Como representante legal de la persona menor de diecisiete años de edad o que

la tenga bajo su guarda o cuidado, haya prestado su consentimiento para que sea

empleada en la realización de un trabajo o la prestación de un servicio, o lo gestione o

facilite intencionalmente; y

b) se dedique a promover, gestionar o facilitar el empleo de personas menores de

diecisiete años de edad en la realización de un trabajo o la prestación de un servicio.

3. Los límites mínimo y máximo de la sanción establecida para los hechos previstos en

los apartados anteriores se incrementan en un tercio, si:

a) Son cometidos por funcionario o empleado público con responsabilidad específica

en las actividades del empleo en el trabajo, o está encargado de la custodia y cuidado

de la víctima en instituciones estatales dedicadas a ese fin, o de su educación, o se

dedica a la dirección de la niñez, la adolescencia y la juventud;

b) se ejecutan mediante redes asociativas creadas con ese propósito; y

c) resultan víctimas del empleo ilegal un grupo de tres o más personas menores de

diecisiete años de edad.

4. En los hechos previstos en los apartados anteriores no se exige responsabilidad penal,

cuando la persona menor de diecisiete años de edad fue empleada con la autorización

emitida en las circunstancias excepcionales definidas en la ley.

5. Las sanciones previstas en los apartados 1, 2 y 3 que anteceden se imponen, siempre

que el hecho no constituya un delito de mayor gravedad.

6. A las personas declaradas responsables de los delitos previstos en este artículo se les

imponen las sanciones accesorias siguientes:

a) A los empleadores privados, la de suspensión o cancelación definitiva de la

autorización, permiso o licencia para el ejercicio de actividades económicas u otras

de similar naturaleza; y

b) al funcionario o empleado público con responsabilidad específica en las actividades

del trabajo y la seguridad social, o encargado de la custodia y cuidado de la víctima

en instituciones estatales dedicadas a ese fin, o de su educación, o se dedica a la

dirección de la niñez, la adolescencia y la juventud, la de prohibición del ejercicio

de una profesión, cargo u oficio.

7. El tribunal puede imponer a las personas declaradas responsables de los delitos

previstos en este artículo, las sanciones accesorias siguientes:

a) Al representante legal de la persona menor de dieciocho años, la privación o

suspensión de la responsabilidad parental; y

b) la confiscación de bienes.

TÍTULO XI.- DELITOS CONTRA LA FE PÚBLICA

CAPÍTULO I.- FALSIFICACIÓN DE MONEDA

Artículo 330.1. Se sanciona con privación de libertad de cuatro a diez años a quien:

a) Fabrique moneda imitando la legítima de curso legal en la República de Cuba;

b) altere moneda legítima de curso legal en la República de Cuba para darle apariencia

de un valor superior al que en realidad tiene;

c) introduzca en la República de Cuba una u otra clase de monedas falsificadas o las

expenda o ponga en circulación; y

d) tenga en su poder monedas falsas que, por su número o cualquiera otra circunstancia,

están destinadas a la expedición o circulación.

2. Igual sanción se impone si el objeto del delito lo constituyen títulos de créditos

al portador emitidos por el Estado o sus organismos, así como las monedas y títulos

extranjeros.

CAPÍTULO II.- FALSIFICACIÓN DE SELLOS Y EFECTOS TIMBRADOS

Artículo 331. Se sanciona con privación de libertad de uno a tres años o multa de

trescientas a mil cuotas, o ambas, a quien:

a) Falsifique sellos o cuños, marcas o contraseñas que se usen en las entidades estatales

para identificar cualquier objeto o documento o como constancia de haberse

realizado cualquier acto, o lo introduzca en la República de Cuba;

b) falsifique sellos de correo o cualquier clase de efectos timbrados del Estado,

introduzca en la República de Cuba sellos falsificados o los expenda o ponga en

circulación;

c) haga desaparecer, por cualquier medio, de sellos de correos o efectos timbrados del

Estado, las señales de su inutilización legal; y

d) use, o adquiera para usar, cualquier sello o efecto falsos mencionados en este artículo,

o aquellos en que se hayan hecho desaparecer las señales de su inutilización legal.

CAPÍTULO III.- FALSIFICACIÓN DE DOCUMENTOS

SECCIÓN PRIMERA.- Falsificación de documentos públicos

Artículo 332.1. Se sanciona con privación de libertad de dos a cinco años a quien:

a) Confeccione, en todo o en parte, un documento público falso o altere uno legítimo;

b) contribuya a consignar en un documento público, datos, declaraciones o hechos

inexactos relativos al acto de que el documento es objeto;

c) intercale cualquier documento en protocolo, registro o libro oficial sin cumplir las

formalidades legales; y

d) en perjuicio del interés nacional o de una persona, suprima, oculte o destruya un

documento de la clase expresada.

2. Quien, con conocimiento de su falsedad, haga uso de un documento público

falsificado por otra persona, o se aproveche de él, o lo tenga en su poder para usarlo, es

sancionado con privación de libertad de uno a tres años.

3. La sanción a imponer es de privación de libertad de cinco a doce años, si:

a) Lo comete un funcionario o empleado público, con abuso de sus funciones; y

b) los hechos consisten en introducir, alterar, borrar o suprimir datos informáticos que

integran un documento bancario o de comercio, generando datos no auténticos, con

la intención de que sean percibidos o utilizado en el tráfico jurídico como legítimos.

4. Iguales sanciones se imponen, si el objeto del delito lo constituyen documentos

extranjeros de la naturaleza de los mencionados en este artículo.

SECCIÓN SEGUNDA.- Falsificación de documentos bancarios o de comercio

Artículo 333.1. Quien cometa falsedad de alguno de los modos que determina el

apartado 1 del Artículo 332 de este Código, en cheques, mandatos de pago o

cualesquiera otros documentos bancarios o de comercio, incurre en sanción de privación

de libertad de dos a cinco años.

2. Quien, con conocimiento de su falsedad, haga uso de un documento de la clase

expresada en el apartado anterior, o se aproveche de él, o lo tenga en su poder para

usarlo, es sancionado con privación de libertad de uno a tres años.

3. La sanción a imponer es de privación de libertad de cinco a doce años, si:

a) Lo comete un funcionario o empleado público, con abuso de sus funciones; y

b) los hechos consisten en introducir, alterar, borrar o suprimir datos informáticos que

integran un documento bancario o de comercio, generando datos no auténticos, con

la intención de que sean percibidos o utilizado en el tráfico jurídico como legítimos.

SECCIÓN TERCERA.- Falsificación del documento de identificación

Artículo 334.1. Quien cometa falsedad de alguno de los modos que determina

el apartado 1 del Artículo 332 de este Código, en el documento de identidad, incurre

en sanción de privación de libertad de seis meses a dos años o multa de doscientas a

quinientas cuotas, o ambas.

2. Quien, con conocimiento de su falsedad, haga uso de un documento de la clase

expresada en el apartado anterior, o se aproveche de él, o lo tenga en su poder para

usarlo, es sancionado con privación de libertad de seis meses a un año o multa de cien a

trescientas cuotas, o ambas.

3. Si el delito lo comete un funcionario o empleado público, con abuso de sus funciones,

incurre en sanción de privación de libertad de uno a tres años.

Artículo 335. Se sanciona con privación de libertad de seis meses a un año o multa de

cien a trescientas cuotas, o ambas, a quien:

a) Confeccione documento de identificación falso, correspondiente a un centro de

trabajo o estudio u organización política, de masas o social, o altere uno legítimo;

b) con conocimiento de su falsedad, use un documento de identificación de los

mencionados en el inciso anterior, falsificado por otro, o lo tenga en su poder;

c) tenga en su poder, sin motivo justificado, un documento de identidad legítimo,

perteneciente a otra persona;

d) facilite a otra persona, con el fin de que se identifique indebidamente, documento de

identidad legítimo, propio o ajeno;

e) presente a una autoridad o funcionario público un documento de identidad legítimo

fingiendo ser la persona a que este se refiere; e

f) identifique falsamente a otra persona ante autoridad o funcionario público.

SECCIÓN CUARTA.- Falsificación de despachos de los servicios postales y telegráficos

o de los transmitidos por las redes de comunicaciones

Artículo 336.1. Quien falsifique un despacho de los servicios postales y telegráficos

o de los transmitidos por las redes de comunicaciones, incurre en sanción de privación

de libertad de seis meses a dos años o multa de doscientas a quinientas cuotas, o ambas.

2. Quien, con conocimiento de su falsedad, haga uso de un documento de la clase

expresada en el apartado anterior, o se aproveche de él, o lo tenga en su poder para

usarlo, es sancionado con privación de libertad de seis meses a un año o multa de cien a

trescientas cuotas, o ambas.

3. Si el delito lo comete un funcionario o empleado público, con abuso de sus funciones,

incurre en sanción de privación de libertad de dos a cinco años.

SECCIÓN QUINTA.- Falsificación de certificados facultativos

Artículo 337.1. El facultativo que expida certificado falso de enfermedad o lesión, con

el fin de que alguien, indebidamente, obtenga un derecho o el disfrute de un beneficio o

se le exima del deber de prestar algún servicio público, incurre en sanción de privación de

libertad de seis meses a un año o multa de cien a trescientas cuotas, o ambas.

2. Si el delito se comete por precio o recompensa material de cualquier clase, la sanción

es de privación de libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas.

3. En iguales sanciones incurre, según el caso, el particular que confeccione o altere un

certificado de los que se señalan en los apartados anteriores y quien, con conocimiento

de su falsedad, haga uso de este.

SECCIÓN SEXTA.- Falsificación de pruebas de evaluación docente

Artículo 338. El funcionario o empleado público que intencionalmente consigne o

contribuya a consignar en certificación, registro de notas, exámenes, pruebas u otros

documentos de evaluación docente, datos o hechos inexactos relativos al acto del que

el documento es objeto, altere lo que se exponga en el mismo o entregue o realice

cualquier trámite en relación con el documento falso, incurre en sanción de privación

de libertad de seis meses a dos años o multa de doscientas a quinientas cuotas, o ambas.

SECCIÓN SÉPTIMA.- Falsificación de documento privado

Artículo 339. Se sanciona con privación de libertad de seis meses a un año o multa de

cien a trescientas cuotas, o ambas, a quien:

a) Habiendo formado en todo o en parte un documento privado falso o alterado uno

verdadero, en perjuicio de tercero, con ánimo de causárselo o con intención de lucro,

haga uso de él por sí o por tercera persona; y

b) sin tomar parte de la falsificación, haga uso del documento falso, a sabiendas, con

intención de lucro o en perjuicio de tercero.

SECCIÓN OCTAVA.- Falsificación de documentos usados oficialmente para la

distribución a la población de los artículos de uso y consumo sujetos a regulación

Artículo 340.1. El funcionario o empleado público que confeccione, en todo o en parte,

un documento falso de los que se usan oficialmente para la distribución a la población de

los artículos de uso o consumo sujetos a regulación, o altere uno legítimo, es sancionado

con privación de libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas.

2. Se sanciona con privación de libertad de seis meses a un año o multa de cien a

trescientas cuotas, o ambas, al funcionario o empleado público que:

a) Suplante, haga desaparecer o altere los datos o anotaciones consignados en los

documentos a los que se refiere el apartado anterior; y

b) consigne, a sabiendas, en un documento de los mencionados en este artículo,

declaraciones o hechos inexactos relativos al acto de que el documento es objeto.

3. El particular que cometa algunos de los delitos que se señalan en los apartados

anteriores, incurre en sanción de multa de cien a trescientas cuotas.

4. Se sanciona con privación de libertad de seis meses a un año o multa de cien a

trescientas cuotas, o ambas, a quien:

a) Sin participar en la falsificación de alguno de los documentos mencionados en el

apartado 1, haga uso del documento falso, a sabiendas de su falsedad; y

b) haga uso de alguno de los documentos legítimos reguladores de la distribución, en

perjuicio de la persona a quien pertenece.

SECCIÓN NOVENA.- Fabricación, introducción o tenencia de instrumentos destinados a

falsificar

Artículo 341.1. Quien fabrique o introduzca en el país cuños, prensas, marcas u otras

clases de útiles o instrumentos destinados a las falsificaciones que se tipifican en este

título, es sancionado con privación de libertad de dos a cinco años.

2. Se sanciona con privación de libertad de seis meses a un año o multa de cien a

trescientas cuotas o ambas, a quien tenga en su poder cualquiera de los útiles o

instrumentos que se señalan en el artículo anterior, y no dé descargo suficiente sobre su

adquisición, tenencia o conservación.

SECCIÓN DÉCIMA.- Disposiciones complementarias

Artículo 342.1. Está exento de responsabilidad penal quien cometa alguno de los

delitos previstos en este capítulo, para formar un medio de prueba de hechos verdaderos.

2. Los actos preparatorios de los delitos previstos en los artículos 330, 331, 332, 333 y

334, se sancionan conforme a lo dispuesto en el Artículo 77, todos de este Código.

3. A los declarados responsables por los delitos previstos en este título se les puede

imponer la sanción accesoria de confiscación de bienes.

TÍTULO XII.- DELITOS CONTRA LA VIDA Y LA INTEGRIDAD CORPORAL

CAPÍTULO I.- HOMICIDIO

Artículo 343. Quien mate a otra persona, incurre en sanción de privación de libertad

de diez a veinte años.

CAPÍTULO II.- ASESINATO

Artículo 344. Se sanciona con privación de libertad de veinte a treinta años, privación

perpetua de libertad o muerte a quien mate a otra persona concurriendo cualquiera de las

circunstancias siguientes:

a) Ejecutar el hecho mediante precio, recompensa o beneficio de cualquier clase, u

ofrecimiento o promesa de estos;

b) cometer el hecho utilizando medios, modos o formas que tiendan directa y

especialmente a asegurar su ejecución sin riesgo para la persona del agresor que

proceda de la defensa que pudiera hacer la víctima;

c) ejecutar el hecho contra una persona que notoriamente, por sus condiciones

personales o por las circunstancias en que se encuentra, no sea capaz de defenderse

adecuadamente;

d) cometer el delito por motivo de discriminación de cualquier tipo;

e) cometer el hecho después de haber sido advertido oficialmente por la autoridad

competente por su actuación violenta o agresiva contra la víctima, o hallándose

sujeto a alguna medida de distanciamiento o alejamiento de aquella;

f) aumentar deliberadamente el sufrimiento de la víctima, causándole otros males

innecesarios para la ejecución del delito;

g) obrar la persona con premeditación, o sea, cuando sus actos externos demuestran

que la idea del delito surgió en su mente con anterioridad suficiente para considerarlo

con serenidad y que, por el tiempo que medió entre el propósito y su realización,

esta se preparó previendo las dificultades que podían surgir y persistiendo en la

ejecución del hecho;

h) ejecutar el hecho a sabiendas de que, al mismo tiempo, se pone en peligro la vida de

otra u otras personas o que la víctima está embarazada;

i) realizar el hecho para preparar, facilitar, consumar u ocultar otro delito;

j) obrar por impulsos sádicos o de brutal perversidad;

k) haber privado ilegalmente de libertad a la víctima antes de darle muerte, o aprovechar

que esta ostenta la condición de prisionero en ocasión de un conflicto armado;

l) ejecutar el hecho contra la autoridad o sus agentes, cuando estos se hallen en el

ejercicio de sus funciones; y

m) cometer el hecho con motivo u ocasión o como consecuencia de estar ejecutando

un delito de robo con fuerza en las cosas, robo con violencia o intimidación en las

personas, corrupción de personas menores de edad, agresión sexual o tortura.

Artículo 345.1. Incurre en las mismas sanciones previstas en el artículo anterior, aunque

no concurra en el hecho alguna circunstancia de cualificación prevista en aquel, quien,

de propósito, mate a un ascendiente o descendiente, o a la persona con la que mantiene

una relación conyugal o de pareja de hecho afectiva, o en ocasión de esta relación.

2. También incurre en iguales sanciones que las previstas en el artículo anterior, quien

dé muerte a una mujer como consecuencia de la violencia de género.

3. Si el hecho se ejecuta por odio contra la víctima por motivo de su origen étnico, color

de la piel, religión, género, identidad de género u orientación sexual, quien lo comete

incurre en iguales sanciones que las previstas en el artículo que antecede.

4. La madre que, dentro de las setenta y dos horas posteriores al parto, mate al hijo,

para ocultar el hecho de haberlo concebido, incurre en sanción de privación de libertad

de cuatro a diez años.

CAPÍTULO III.- LESIONES

Artículo 346. Quien provoque lesiones graves que pongan en peligro inminente la

vida de la víctima, o dejen deformidad, incapacidad o cualquier otra secuela anatómica,

funcional o psíquica; incurre en sanción de privación de libertad de tres a ocho años.

Artículo 347. Quien, de propósito, ciegue, castre, inutilice para la procreación a otra

persona, o le cause la pérdida o la inutilidad de un órgano o las extremidades o

discapacidad mental permanente, incurre en sanción de privación de libertad de cuatro a

diez años.

Artículo 348. Quien cause lesiones corporales o dañe la salud de otra persona que

no provoquen las consecuencias señaladas en los artículos 346 y 347 de este Código,

requieren para su curación tratamiento médico, incurre en sanción de privación de

libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas.

Artículo 349. Quien, por cualquier medio o procedimiento, cause al producto de la

concepción una lesión que afecte gravemente su normal desarrollo, o le provoque una

secuela, incurre en sanción de privación de libertad de dos a cinco años.

Artículo 350.1. En los hechos previstos en los artículos 346, 347 y 348 de este Código,

los límites mínimos y máximos de la sanción se incrementan en un tercio, si:

a) Se cometen como consecuencia de la violencia de género o la violencia familiar

ejercida contra un ascendiente, descendiente o pariente hasta el cuarto grado de

consanguineidad o segundo de afinidad, o contra la persona con la que mantiene o

ha mantenido una relación conyugal o de pareja de hecho afectiva; y

b) se ejecutan por motivo de discriminación de sexo, género, orientación sexual,

identidad de género, edad, origen étnico, color de la piel, creencia religiosa,

discapacidad, origen nacional o territorial o cualquiera otra condición o circunstancia

personal que implique distinción lesiva a la dignidad humana.

2. Para adecuar la sanción en los delitos previstos en los artículos anteriores, el tribunal

tiene en cuenta, especialmente, el grado en que la intención del responsable coincide

con la naturaleza y entidad de las lesiones causadas.

CAPÍTULO IV.- RIÑA TUMULTUARIA

Artículo 351.1. Cuando en una riña, varias personas se acometen confusa y

tumultuariamente, y como consecuencia resulta la muerte de alguien, sin que se pueda

determinar su autor, se sanciona con privación de libertad de tres a ocho años a todos los

que hayan ejercido violencia sobre la víctima.

2. Si, de la riña tumultuaria descrita en el apartado anterior, resultan lesiones o secuelas

de las previstas en los artículos 346 y 347 de este Código, la sanción es de privación de

libertad de dos a cinco años.

3. Si, en la comisión de los hechos a los que se refieren los apartados anteriores no

pueden determinarse la identidad de las personas que hayan ejercido violencia sobre la

víctima, la sanción es:

a) De privación de libertad de dos a cinco años, en el caso del apartado 1; y

b) de privación de libertad de uno a tres años, en caso del apartado 2.

4. Para adecuar la sanción, el tribunal tiene en cuenta el grado de intervención que haya

tenido en la comisión del delito, cada una de las personas que tomaron parte en la riña.

CAPÍTULO V.- DISPARO DE ARMA DE FUEGO CONTRA DETERMINADA PERSONA

Artículo 352. Quien dispare un arma de fuego contra determinada persona, aunque no

se lesione a la víctima, se sanciona con privación de libertad de dos a cinco años,

siempre que el hecho no constituya un delito de mayor entidad.

CAPÍTULO VI.- AUXILIO AL SUICIDIO

Artículo 353. Quien preste auxilio, induzca a otra persona al suicidio o no evite el

hecho pudiendo hacerlo sin riesgo para sí, incurre en sanción de privación de libertad de

dos a cinco años.

CAPÍTULO VII.- ACTOS CONTRA LA ACTIVIDAD REPRODUCTIVA HUMANA

Artículo 354.1. Incurre en sanción de privación de libertad de dos a cinco años quien:

a) Practique reproducción asistida en una mujer, sin su consentimiento;

b) tratándose de un caso que requiera la autorización judicial previa, lleve a cabo la

reproducción asistida en una mujer, sin cumplir este requisito;

c) sin el consentimiento de la persona donante, utilice sus óvulos o espermatozoides, o

el producto de la fecundación con el fin de realizar una reproducción asistida;

d) fecunde óvulos humanos con cualquier fin distinto a la procreación; o

e) realice clonación humana.

2. Si los hechos previstos en el apartado anterior se realizan con ánimo de lucro o para

obtener cualquier beneficio o dádiva, para sí o para otra persona, se incurre en sanción de

privación de libertad de tres a ocho años.

3. Incurre en sanción de privación de libertad de seis meses a dos años, quien promueva

o gestione que una mujer se preste para procrear en favor de otra persona, a cambio

de algún tipo de remuneración, beneficio o dádiva para ella o un tercero.

4. Incurre en privación de libertad de seis meses a un año, la mujer que se preste para

procrear en favor de otra persona, a cambio de algún tipo de remuneración, beneficio o

dádiva en favor de ella o de tercero.

CAPÍTULO VIII.- ABORTO ILÍCITO

Artículo 355.1. Quien, fuera de las regulaciones establecidas, con autorización de la

grávida, cause el aborto o destruya de cualquier manera el producto de la concepción, es

sancionado con privación de libertad de seis meses a un año o multa de cien a

trescientas cuotas, o ambas.

2. La sanción es de privación de libertad de dos a cinco años, si el hecho previsto en

el apartado anterior:

a) Se comete por lucro;

b) se ejecuta fuera de las instituciones oficiales; o

c) se realiza por persona que no está habilitada para el ejercicio de la profesión de la

medicina.

Artículo 356.1. Quien, de propósito, cause el aborto o destruya de cualquier manera el

producto de la concepción, es sancionado:

a) Con privación de libertad de dos a cinco años, cuando, sin ejercer fuerza ni violencia

en la persona de la grávida, obra sin su consentimiento; y

b) con privación de libertad de tres a ocho años, si ejerce fuerza o violencia en la

persona de la grávida, o lo comete por motivo de discriminación de género.

2. Si en el hecho concurre algunas de las circunstancias previstas en el apartado 2 del

artículo anterior, la sanción es de privación de libertad de cuatro a diez años.

Artículo 357. Si, como consecuencia de los hechos previstos en los dos artículos

anteriores, resulta la muerte de la grávida y el hecho no constituya un delito de mayor

entidad, la sanción es de privación de libertad de cinco a doce años.

Artículo 358. Quien, por haber ejercido actos de fuerza, violencia o lesiones sobre la

grávida, ocasione el aborto o la destrucción del producto de la concepción, sin propósito

de causarlo, pero constándole el estado de embarazo de la mujer, incurre en sanción de

privación de libertad de uno a tres años, siempre que el hecho no constituya un delito

de mayor entidad.

Artículo 359. Quien, sin la debida prescripción facultativa, expenda o facilite una

sustancia abortiva o idónea para destruir el producto de la concepción, incurre en

privación de libertad de seis meses a un año o multa de cien a trescientas cuotas, o

ambas.

CAPÍTULO IX.- ABANDONO DE PERSONAS EN SITUACIÓN DE VULNERABILIDAD

POR DISCAPACIDAD, MINORÍA DE EDAD, ADULTEZ MAYOR O DESVALIDAS

Artículo 360.1. Quien, a riesgo de dañar la salud de una persona en situación de

Vulnerabilidad por discapacidad, minoría de edad o adultez mayor, por presentar una

Enfermedad que la mantenga desvalida, o por cualquier otro motivo análogo la abandone

O desatienda sus necesidades, siempre que esté legalmente obligado a cuidarla,

Mantenerla o alimentarla, incurre en sanción de privación de libertad de seis meses a dos

años o multa de doscientas a quinientas cuotas, o ambas.

2. Si, como consecuencia del abandono o desatención, se pone en peligro la vida de la

víctima o se le causa lesión o secuela del tipo previsto en los artículos 346 y 347 de este

Código, la sanción es de privación de libertad de dos a cinco años.

3. Si, como consecuencia del abandono o desatención, se ocasiona la muerte de la

víctima, la sanción es de privación de libertad de cinco a doce años.

4. Las sanciones previstas en los apartados anteriores se incrementan en un cuarto en

sus límites mínimo y máximo, si los hechos que describen se cometen en un centro o

institución encargada de la atención a personas en estado de discapacidad y estas

resultan víctimas del abandono o desatención.

5. Al padre o la madre que cometa el delito previsto en este artículo, el tribunal le

puede imponer la sanción accesoria de privación o suspensión de la responsabilidad

parental; o la remoción de la tutela al tutor, si la víctima es su tutelado; o la revocación de

la representación legal a quien ha sido designado para prestar apoyo intenso a la persona

en situación de discapacidad, si esta última es la víctima del hecho.

Artículo 361. Quien encuentre abandonada, en grave peligro, a una persona que, por

su edad o en estado de discapacidad, no puede valerse por sí misma, y no la presente a

la autoridad o la lleve a lugar seguro, incurre en sanción de privación de libertad de seis

meses a un año o multa de cien a trescientas cuotas, o ambas.

Artículo 362.1. Quien no socorra o preste el auxilio debido a una persona lesionada

o expuesta a un peligro que amenace su vida, su integridad corporal o su salud, sin que

ello implique un riesgo para sí, es sancionado con privación de libertad de seis meses a

un año o multa de cien a trescientas cuotas, o ambas.

2. Si el hecho se comete por quien tiene el deber de socorrer o auxiliar a la víctima, por

razón de su cargo o profesión, la sanción es de privación de libertad de seis meses a dos

años o multa de doscientas a quinientas cuotas, o ambas.

TÍTULO XIII.- DELITOS CONTRA LA DIGNIDAD HUMANA

CAPÍTULO I.- TRATA DE PERSONAS, PROXENETISMO Y OTRAS FORMAS DE EXPLOTACIÓN SEXUAL

SECCIÓN PRIMERA.- Trata de personas

Artículo 363.1. Quien promueva, organice, incite o ejecute la captación, transportación,

traslado, acogida o recepción de personas, utilizando amenaza, coacción, violencia,

engaño, o soborno, aprovechándose de una situación de vulnerabilidad de la víctima o

de su condición de género, o a través del pago a quien tiene autoridad sobre ella para

lograr su consentimiento, con la finalidad de que estas sean sometidas a explotación

laboral o sexual, trabajos forzosos u obligatorios, matrimonio forzado, adopción ilegal,

mendicidad, prácticas análogas a la esclavitud, la servidumbre, extracción de órganos o

la realización de otras actividades delictivas contrarias a la dignidad humana, incurre en

sanción de privación de libertad de siete a quince años.

2. La sanción es de privación de libertad de diez a treinta años o privación perpetua de

libertad, cuando en el hecho concurra alguna de las circunstancias siguientes:

a) Se comete por un funcionario público o por persona que por razón de su cargo o

vínculo con la víctima goza de ascendencia sobre ella;

b) cuando la víctima sea una persona menor de dieciocho años de edad o en estado de

discapacidad mental;

c) cuando resulten lesiones o secuelas del tipo previsto en los artículos 346 y 347 de

este Código, o la muerte de alguna persona;

d) si el hecho se comete por una persona que, al momento del hecho, tiene registrado

un antecedente penal por similar delito;

e) cuando el responsable del hecho lo realiza con habitualidad;

f) cuando se realiza a través de la entrada o salida de la víctima del territorio nacional; y

g) se comete vinculado a la delincuencia organizada transnacional.

3. Quien es objeto de la trata de personas, solo responde penalmente por los delitos que

cometa en ocasión o como consecuencia de esta, cuando:

a) Haya mostrado un papel activo o provocador en su ejecución; o

b) con el propósito de emigrar inste, procure, exhorte o de cualquier otra forma activa,

consciente y voluntaria, ejecute tales acciones antijurídicas.

SECCIÓN SEGUNDA.- Proxenetismo y otras formas de explotación sexual

Artículo 364.1. Incurre en sanción de privación de libertad de cuatro a diez años, quien:

a) Induzca a otra persona o, de cualquier modo, coopere o promueva a que otro ejerza

la prostitución o el comercio carnal;

b) directamente o mediante tercero, posea, dirija, administre, haga funcionar o financie,

de manera total o parcial, un local, establecimiento o vivienda, o parte de ellos, en

que se ejerza la prostitución, o cualquier otra forma de comercio carnal; y

c) obtenga, de cualquier modo, beneficios del ejercicio de la prostitución por parte de

otra persona, siempre que el hecho no constituya un delito de mayor entidad.

2. La sanción es de privación de libertad de ocho a veinte años cuando en los hechos a

que se refiere el apartado anterior concurra alguna de las circunstancias siguientes:

a) Si el responsable, por las funciones que desempeña, participa en actividades

relacionadas, de cualquier modo, con la protección de la salud pública, el

mantenimiento del orden público, la educación, el turismo, la dirección de

la juventud o la lucha contra la prostitución u otras formas de comercio carnal;

b) si en la ejecución del hecho se emplea amenaza, chantaje, coacción o abuso de

autoridad o se producen a la víctima lesiones o secuelas del tipo previsto en los

artículos 346 y 347 de este Código, siempre que la concurrencia de alguna de estas

circunstancias no constituya un delito de mayor gravedad;

c) si la víctima del delito es una persona que esté por cualquier motivo al cuidado del

responsable, o en estado de discapacidad mental;

d) cuando el responsable del delito lo realiza por la condición de género de la víctima;

e) si el hecho se ejecuta por una persona que, al momento del hecho, tiene registrado

un antecedente penal por similar delito; y

f) cuando el responsable de los hechos los realiza habitualmente.

3. La sanción es de privación de libertad de quince a treinta años o privación perpetua de

libertad, cuando el hecho se comete vinculado a la delincuencia organizada

transnacional.

CAPÍTULO II.- VENTA, COMPRA Y TRÁFICO DE PERSONAS MENORES DE EDAD

Artículo 365.1. Quien venda o transfiera a una persona menor de dieciocho años de

edad, a otra persona, a cambio de recompensa, compensación financiera o de otro tipo,

incurre en sanción de privación de libertad de dos a cinco años.

2. Se incurre en igual sanción que la prevista en el apartado anterior, si el hecho consiste

en adquirir o recibir en transferencia a un menor de dieciocho años de edad, entregando a

cambio de este algún tipo de recompensa, compensación financiera o de otro tipo.

3. Incurre en sanción de privación de libertad de tres a ocho años, quien sustraiga

o sustituya a una persona menor de dieciocho años de edad por otra, con ánimo de lucro

o para obtener cualquier otra ventaja o beneficio.

4. La sanción prevista en los apartados anteriores se incrementa en un tercio en su

límite mínimo y el máximo en la mitad, cuando concurra alguna de las circunstancias

siguientes:

a) Si se cometen actos fraudulentos con el propósito de engañar a las autoridades;

b) si es cometido por quien tiene a la víctima sujeta a su guarda y cuidado;

c) si la víctima se encuentra en estado de discapacidad;

d) cuando el responsable lo ejecuta por la condición de género de la víctima;

e) si es cometido por el funcionario o empleado de la institución que tiene a la persona

menor de dieciocho años bajo su guarda y cuidado;

f) si el hecho se ejecuta por personal que labora en la institución de salud en la que se

encuentre la persona menor de dieciocho años internado por cualquier motivo;

g) cuando el responsable de los hechos previstos en los apartados anteriores los realiza

con habitualidad;

h) si el propósito es trasladar a la víctima fuera del territorio nacional; y

i) se cometen vinculados a la delincuencia organizada transnacional.

5. Las sanciones previstas en este artículo se imponen siempre que los hechos no

constituyan un delito de mayor entidad.

CAPÍTULO III.- TRÁFICO DE ÓRGANOS HUMANOS

Artículo 366.1. Quien comercie, venda o trafique órganos humanos, incurre en sanción

de privación de libertad de cuatro a diez años.

2. En igual sanción que la prevista en el apartado anterior incurre, quien intervenga de

cualquier modo en la adquisición de órganos humanos con el propósito de ser destinados

a su comercio, venta o tráfico.

3. La sanción a imponer es la de privación de libertad de siete a quince años, si en

los hechos previstos en los apartados anteriores concurre alguna de las circunstancias

siguientes:

a) La víctima es desposeída del órgano bajo violencia, intimidación o engaño;

b) si se le causan a la víctima lesiones o secuelas del tipo previsto en los artículos 346

y 347 de este Código;

c) si, como consecuencia de la pérdida del órgano, la víctima queda con alguna secuela

anatómica, funcional, mental o de otro tipo;

d) la víctima es una persona con discapacidad mental que le impida defenderse,

valerse, resistir o decidir por sí misma en función de sus reales intereses;

e) se comete por un profesional de la medicina, o funcionario o empleado público; y

f) se ejecuta vinculado a la delincuencia organizada transnacional, o al tráfico

internacional de órganos humanos.

4. Los hechos previstos en los apartados anteriores se sancionan como tales, siempre

que no constituyan un delito de mayor gravedad.

CAPÍTULO IV.- DESAPARICIÓN FORZADA

Artículo 367.1. El funcionario público, autoridad o sus agentes que, con abuso de las

atribuciones inherentes a su cargo o con quebrantamiento de las formalidades legales

establecidas y con la intención de dejarla fuera del amparo de la ley, prive de su libertad a

una persona y no reconozca su detención o niegue información sobre su paradero, incurre

en sanción de privación de libertad de cuatro a diez años.

2. La sanción es de cinco a doce años de privación de libertad, si en el hecho

concurre alguna de las circunstancias previstas en los incisos a), b), c), d) y e) del

apartado 2 del Artículo 371 de este Código.

3. Si, como consecuencia del hecho, resulta la muerte de la víctima, siempre que este

resultado haya podido o debido preverse por el agente, la sanción es de privación de

libertad de siete a quince años.

4. Las sanciones previstas en este artículo se imponen siempre que los hechos no

constituyan un delito de mayor entidad.

CAPÍTULO V.- TORTURA Y OTROS TRATOS O PENAS CRUELES, INHUMANOS O

DEGRADANTES

Artículo 368.1. El funcionario público, autoridad, agente o auxiliar de esta o cualquier

otra persona en el ejercicio de funciones públicas, que intencionalmente le inflija

a una persona dolores o sufrimientos graves, ya sean físicos o mentales, la intimide o

coaccione, o la someta a cualquier otro procedimiento o condición que por su naturaleza,

duración o circunstancias signifique un trato o pena cruel, inhumano o degradante con

el fin de obtener de ella o de un tercero una confesión o información, para castigarla por

un acto que haya cometido o sospeche que ha cometido, o ejecute el hecho por cualquier

razón discriminatoria, incurre en sanción de privación de libertad de siete a quince años.

2. En igual sanción incurre la autoridad, funcionario público, sus agentes o auxiliares,

si el hecho ocurre a instigación suya o con su consentimiento.

3. Si como consecuencia de los hechos previstos en los apartados anteriores resultan

lesiones o secuelas del tipo previsto en los artículos 346 y 347 de este Código, o la

pérdida o disminución de las facultades mentales de conocimiento, discernimiento o

decisión de la víctima, la sanción es de privación de libertad de diez a veinte años.

4. Las sanciones previstas en este artículo se imponen siempre que los hechos no

constituyan un delito de mayor entidad.

CAPÍTULO VI.- TRABAJO FORZOSO U OBLIGATORIO

Artículo 369.1. Quien exija a otra persona la ejecución de un trabajo o la prestación

de un servicio, en contra de su voluntad para realizarlo o bajo la amenaza de provocarle a

ella o a un familiar o persona allegada una pena como consecuencia de su negativa para

ejecutarlo, incurre en sanción de privación de libertad de uno a tres años.

2. Si en los hechos previstos en el apartado anterior la víctima es una persona menor

de dieciocho años o en estado de discapacidad mental o de otro tipo, la sanción a

imponer será la de dos a cinco años de privación de libertad.

3. Las sanciones dispuestas en los apartados anteriores se imponen, con independencia

de las que correspondan por los delitos que se cometan para la ejecución de estos

hechos o en ocasión de ellos.

4. A los empleadores privados declarados responsables del delito previsto en este

artículo, se les impone la sanción accesoria de suspensión o cancelación definitiva de la

autorización, permiso o licencia para el ejercicio de actividades económicas u otras de

similar naturaleza.

5. El tribunal está facultado para declarar exentas de responsabilidad penal a las

víctimas de los hechos previstos en este artículo, por los delitos que se vean obligadas a

cometer en ocasión o como consecuencia del trabajo forzoso u obligatorio al que hayan

sido sometidas, o puede rebajar hasta la mitad los límites mínimos y máximos de la

sanción, en caso de haber sido declaradas responsables de dichos delitos.

6. A los efectos de lo previsto en el presente capítulo, no se considera trabajo forzoso u

obligatorio, cualquier labor o servicio que:

a) Se exija en virtud de las leyes sobre el servicio militar activo y que tenga un carácter

puramente militar;

b) forme parte de las obligaciones laborales o cívicas normales de los ciudadanos

cubanos cuando se encuentren en el territorio nacional;

c) se exija, en virtud de una sanción penal pronunciada por sentencia firme, que se

ejecute conforme a lo dispuesto en la Ley de Ejecución Penal;

d) se exija en casos de fuerza mayor derivada de una situación excepcional prevista en

la ley, cuyas circunstancias pongan en peligro o amenacen con poner en peligro la

vida o las condiciones normales de existencia de toda o parte de la población; y

e) deban ser realizados por los miembros de una comunidad en beneficio directo de

la misma, a condición de que la población o sus representantes directos tengan

derecho a pronunciarse sobre la necesidad de esas labores o servicios.

CAPÍTULO VII.- DISPOSICIONES COMPLEMENTARIAS

Artículo 370.1. A las personas declaradas responsables de los delitos previstos en este

Título, el tribunal les puede imponer la sanción accesoria de confiscación de bienes.

2. A los maestros o encargados de la educación o dirección de la infancia y la juventud

que sean declarados culpables de los delitos previstos en los artículos 363, 364 y 365 de

este Código, se les impone la sanción accesoria de prohibición permanente para el

ejercicio del magisterio o de cualquier otra función de dirección de la infancia y la

juventud.

3. En el caso del Artículo 365 de este Código, cuando los responsables cometan el

hecho valiéndose de sus funciones o empleo dentro del Sistema Nacional de Salud, se

les impone la sanción accesoria de prohibición permanente del ejercicio de profesión,

cargo u oficio.

4. A los ascendientes, tutores o guardadores que cometan cualquiera de los delitos

previstos en los artículos 363, 364 y 365 de este Código, en la persona de sus respectivos

descendientes, pupilos o menores de dieciocho años de edad a su cuidado, se les priva

definitivamente de los derechos derivados de la relación parental o tutelar.

5. En el caso del Artículo 366 de este Código, cuando el delito se comete por un

profesional de la medicina, al responsable que ostente esa titularidad se le impone la

sanción accesoria de prohibición permanente del ejercicio de la profesión médica, cargo

u oficio, respectivamente.

6. En el caso de los artículos 367, 368 y 369 de este Código, a la autoridad, funcionario

público, agente o auxiliar que incurra en este delito, se le impone además

preceptivamente por el tribunal la sanción accesoria de prohibición permanente para el

ejercicio del cargo, profesión o empleo.

TÍTULO XIV.- DELITOS CONTRA LOS DERECHOS INDIVIDUALES

CAPÍTULO I.- DELITOS CONTRA LA LIBERTAD PERSONAL

SECCIÓN PRIMERA.- Privación ilegal de libertad

Artículo 371.1. Quien, fuera de los casos y de las condiciones previstas en la ley,

prive a otra persona de su libertad, incurre en sanción de privación de libertad de dos a

cinco años.

2. La sanción es de privación de libertad de cuatro a diez años:

a) Si para la ejecución del hecho, se emplea violencia o resulta grave daño para la

salud, la dignidad o el patrimonio de la víctima o de familiares o personas allegadas

afectivamente a ella;

b) si se somete a la víctima a condiciones inhumanas;

c) si la persona privada de su libertad es menor de dieciocho años o mayor de sesenta

años de edad, en estado de discapacidad o mujer en estado de gestación;

d) si el hecho se comete por la condición de género de la víctima;

e) si el hecho se comete contra una autoridad o funcionario público con motivo de sus

funciones; y

f) si el hecho se realiza por un funcionario público, autoridad, sus agentes o auxiliares.

3. Si, como consecuencia del hecho, resulta la muerte de la víctima, siempre que este

resultado haya podido o debido preverse por el responsable, la sanción es de privación de

libertad de siete a quince años.

4. Si dentro de las veinticuatro horas de cometido el hecho, el responsable

Espontáneamente pone en libertad al detenido o privado de libertad, sin haberle causado

algún daño ni logrado el fin que se propuso, la sanción es:

a) De privación de libertad de seis meses a dos años o multa de doscientas a quinientas

cuotas o ambas, en el caso del apartado 1; y

b) de privación de libertad de dos a cinco años, en los casos del apartado 2.

Artículo 372.1. La autoridad o su agente que, dentro del plazo legal, no libere o no

ponga a disposición de la autoridad competente a un detenido, incurre en sanción

de privación de libertad de seis meses a dos años o multa de doscientas a quinientas

cuotas, o ambas.

2. En igual sanción incurre el funcionario público que, teniendo competencia, no deje

sin efecto una detención que no ha elevado a prisión provisional, dentro del plazo legal.

Artículo 373. La autoridad o su agente que, por negligencia inexcusable, no libere al

detenido o no lo ponga a disposición de la autoridad competente dentro del plazo legal,

incurre en sanción de privación de libertad de seis meses a un año o multa de cien a

trescientas cuotas, o ambas.

Artículo 374. La autoridad o su agente que prolongue indebidamente el cumplimiento

de una resolución en la que se disponga la libertad de un detenido, preso o sancionado,

incurre en privación de libertad de seis meses a un año o multa de cien a trescientas

cuotas, o ambas.

Artículo 375. Se sanciona con privación de libertad de seis meses a un año o multa

de cien a trescientas cuotas, o ambas, al jefe del establecimiento penitenciario o lugar de

internamiento que:

a) Reciba en calidad de imputado o acusado en prisión provisional o sancionado, a una

persona, a no ser por orden dictada por autoridad o tribunal competente; y

b) no conduzca ante la autoridad o tribunal a un detenido o preso, cuando haya sido

reclamado en virtud de una resolución dictada en un proceso de habeas corpus o

cualquier otra análoga.

SECCIÓN SEGUNDA.- Secuestro

Artículo 376.1. Quien, por venganza o con ánimo de lucro, prive a otra persona de su

libertad, incurre en sanción de privación de libertad de cuatro a diez años.

2. La sanción es de cinco a doce años de privación de libertad, si en el hecho concurre

alguna de las circunstancias previstas en el apartado 2 del Artículo 371 de este Código o

se comete contra familiares o personas allegadas de una autoridad o funcionario público,

para obligarlo a realizar o abstenerse de efectuar actos propios de su investidura.

3. Si como consecuencia del hecho resulta la muerte de la víctima, siempre que este

resultado haya podido o debido preverse por el responsable, la sanción es de privación de

libertad de siete a quince años.

4. Si el responsable pone en libertad espontáneamente a la persona secuestrada dentro

de las veinticuatro horas de cometido el hecho, sin haberle causado algún daño ni logrado

el fin que se propuso, la sanción es:

a) De privación de libertad de uno a tres años o multa de trescientas a mil cuotas o

ambas, en caso del apartado 1; y

b) de privación de libertad de tres a ocho años en los casos del apartado 2.

SECCIÓN TERCERA.- Amenazas

Artículo 377.1. Quien, verbal o extra verbalmente, mediante escrito o gestos, en su

presencia o de otra u otras personas, o a través de cualquier medio de comunicación,

amenace a otro con cometer un delito en su perjuicio o de su cónyuge o pareja de hecho

afectiva, algún pariente suyo o persona allegada afectivamente, que por las condiciones

y circunstancias en que se profiere sea capaz de infundir miedo a la víctima, incurre

en sanción de privación de libertad de seis meses a dos años o multa de doscientas a

quinientas cuotas, o ambas.

2. Si para cometer el hecho se emplea un arma de cualquier clase, o un instrumento o

medio idóneo para la agresión, la sanción es de uno a tres años de privación de libertad,

o multa de trescientas a mil cuotas, o ambas.

3. La sanción es de dos a cinco años de privación de libertad o multa de trescientas a

mil cuotas, o ambas, si el hecho previsto en este artículo se ejecuta como consecuencia

de la violencia de género o la violencia familiar, o por motivos discriminatorios de

cualquier tipo.

Artículo 378.1. Quien, fuera del caso previsto en el Artículo 420 de este Código,

amenace a otra persona con divulgar un hecho lesivo para su dignidad o su prestigio

público, o el de su cónyuge o pareja de hecho afectiva, pariente o persona allegada

afectivamente, para imponerle una determinada conducta, incurre en sanción de

privación de libertad de dos a cinco años.

2. La sanción es de privación de libertad de tres a ocho años, si el delito se ejecuta

por una o más personas actuando como miembros de un grupo organizado, o se ejecuta

como consecuencia de la violencia de género o la violencia familiar, o por motivos

discriminatorios de cualquier tipo, o del hecho resulta un grave perjuicio.

SECCIÓN CUARTA.- Coacción

Artículo 379.1. Quien, sin razón legítima, ejerza violencia sobre otra persona o

amenace en compelerla a que en el instante haga lo que no quiera, sea justa o injusta,

o a que tolere que otro lo haga, o para impedirle hacer lo que la ley no prohíbe, es

sancionado con privación de libertad de seis meses a dos años o multa de doscientas a

quinientas cuotas, o ambas.

2. Incurre en sanción de privación de libertad de seis meses a un año o multa de cien a

trescientas cuotas o ambas quien, por otros medios, impida a otra persona hacer lo que

la ley no prohíbe o a ejercer sus derechos.

3. Si los hechos descritos en los apartados anteriores se cometen como consecuencia de

la violencia de género o la violencia familiar, o por motivos discriminatorios de cualquier

tipo, o aprovechando la situación de discapacidad mental de la víctima, se sancionan:

a) Con privación de libertad de uno a tres años o multa de trescientas a mil cuotas, o

ambas, en el caso del apartado 1; y

b) con privación de libertad de seis meses a dos años o multa de doscientas a quinientas

cuotas, o ambas, en el caso del apartado 2.

CAPÍTULO II.- VIOLACIÓN DE DOMICILIO Y REGISTRO ILEGAL

SECCIÓN PRIMERA.- Violación de domicilio

Artículo 380.1. Quien, fuera de los casos autorizados por la ley, penetre en domicilio

ajeno sin la voluntad, expresa o tácita, del morador, o permanezca en él contra su

voluntad manifiesta, incurre en sanción de privación de libertad de seis meses a un año o

multa de cien a trescientas cuotas, o ambas.

2. Si el delito se ejecuta de noche, o en despoblado, o empleando violencia o

intimidación en las personas, o fuerza en las cosas, o usando armas de cualquier clase

o instrumentos o medios idóneos para la agresión, o con el concurso de dos o más

personas, o como consecuencia de la violencia de género o la violencia familiar, o por

motivos discriminatorios de cualquier tipo, la sanción es de privación de libertad de dos

a cinco años.

SECCIÓN SEGUNDA.- Registro ilegal

Artículo 381.1. Quien, sin autorización legal o sin cumplir las formalidades legales,

efectúe un registro en un domicilio, incurre en sanción de privación de libertad de seis

meses a un año o multa de cien a trescientas cuotas, o ambas.

2. Si el hecho se comete por enemistad, venganza u otro fin malicioso, o por motivo de

discriminación en cualquiera de sus manifestaciones contra la víctima, la sanción es

de privación de libertad de uno a tres años, o multa de trescientas a mil cuotas, o ambas.

CAPÍTULO III.-VIOLACIÓN Y REVELACIÓN DEL SECRETO DE LAS COMUNICACIONES

SECCIÓN PRIMERA.- Violación del secreto de las comunicaciones

Artículo 382.1. Quien, sin estar autorizado, abra o acceda a una carta, telegrama,

despacho, correspondencia, mensaje, correo electrónico o cualquier otra forma de

comunicación material o digital perteneciente a otro, es sancionado con privación de

libertad de seis meses a un año o multa de cien a trescientas cuotas, o ambas.

2. La sanción es de privación de libertad de seis meses a dos años o multa de doscientas

A quinientas cuotas, o ambas, si el hecho se comete:

a) Por un funcionario o empleado público, con abuso de su cargo; y

b) por motivo de enemistad, venganza u otro fin malicioso, o por motivo de discriminación

contra la víctima en cualquiera de sus manifestaciones.

SECCIÓN SEGUNDA.- Revelación del secreto de las comunicaciones

Artículo 383.1. Quien, con el propósito de perjudicar a otra persona o de procurar

para sí o para un tercero un beneficio, revele un secreto que conoce a través de carta,

telegrama, despacho, correspondencia, mensaje, correo electrónico o cualquier otra

forma de comunicación material o digital perteneciente a otro, es sancionado con

privación de libertad de seis meses a dos años o multa de doscientas a quinientas cuotas,

o ambas.

2. La sanción es de privación de libertad de uno a tres años o multa de trescientas a mil

cuotas, o ambas, si el hecho se comete:

a) Por un funcionario o empleado público, con abuso de su cargo; y

b) por motivo de enemistad, venganza u otro fin malicioso, o por motivo de discriminación

contra la víctima en cualquiera de sus manifestaciones.

CAPÍTULO IV.- DELITO CONTRA LA LIBRE EMISIÓN DEL PENSAMIENTO, CONCIENCIA Y

EXPRESIÓN

Artículo 384.1. Quien impida a otra persona el ejercicio del derecho de libertad de

pensamiento, conciencia y expresión, ejercitado conforme a lo dispuesto en la

Constitución de la República y las leyes, es sancionado con privación de libertad de seis

meses a un año o multa de cien a trescientas cuotas, o ambas.

2. Si el delito se comete por un funcionario público, con abuso de su cargo, la sanción

es de privación de libertad de seis meses a dos años o multa de doscientas a quinientas

cuotas, o ambas.

CAPÍTULO V.- DELITOS CONTRA LOS DERECHOS DE REUNIÓN, MANIFESTACIÓN,

ASOCIACIÓN, QUEJA Y PETICIÓN

Artículo 385.1. Se sanciona con privación de libertad de seis meses a un año o multa

de cien a trescientas cuotas, o ambas, a quien, con infracción de las disposiciones

legales:

a) Impida que una asociación con fines lícitos y pacíficos funcione o que una persona

pertenezca a ella;

b) impida la celebración de una reunión o manifestación con fines lícitos y pacíficos o

que una persona concurra a ella; e

c) impida u obstaculice que una persona dirija quejas y peticiones a las autoridades.

2. Si el delito se comete por un funcionario público, con abuso de su cargo, la sanción

es de privación de libertad de seis meses a dos años o multa de doscientas a quinientas

cuotas, o ambas.

CAPÍTULO VI.- DELITO CONTRA EL DERECHO DE PROPIEDAD

Artículo 386. El funcionario público que disponga la expropiación de bienes o

derechos de una persona, sin autorización legal o sin cumplir las formalidades legales, es

sancionado con privación de libertad de seis meses a un año o multa de cien a

trescientas cuotas, o ambas.

CAPÍTULO VII.- DELITO CONTRA LA LIBERTAD RELIGIOSA

Artículo 387.1. Quien impida o perturbe los actos o ceremonias de las instituciones

religiosas registradas o reconocidas, que se celebren con observancia de las

disposiciones legales, es sancionado con privación de libertad de seis meses a un año o

multa de cien a trescientas cuotas, o ambas.

2. Si el delito se comete por un funcionario público o autoridad pública, con abuso

de su cargo, la sanción es de privación de libertad de seis meses a dos años o multa de

doscientas a quinientas cuotas, o ambas.

CAPÍTULO VIII.- DELITO CONTRA EL DERECHO DE IGUALDAD

Artículo 388.1. Quien discrimine a otra persona o promueva o incite a la discriminación,

sea con manifestaciones y ánimo ofensivo de su edad, sexo, género, orientación sexual,

identidad de género, origen étnico, color de la piel, creencias religiosas, origen nacional

o territorial o discapacidad, o cualquier otra lesiva a la dignidad humana, o con acciones

para obstaculizarle o impedirle, por esos motivos, el ejercicio o disfrute de los derechos

de igualdad establecidos en la ley, incurre en sanción de privación de libertad de seis

meses a dos años o multa de doscientas a quinientas cuotas, o ambas.

2. Quien difunda ideas basadas en la superioridad u odio por el color de la piel o

cometa actos de violencia o incite a cometerlos contra cualquier grupo de personas de

otro color u origen étnico, incurre en sanción de privación de libertad de dos a cinco años

o multa de quinientas a mil cuotas, o ambas.

3. Incurre en igual sanción que la prevista en el apartado anterior, quien difunda ideas

o ejecute actos o incite a cometerlos contra cualquier persona o grupo de personas,

basado en relaciones de poder desiguales por motivo de género, con el fin de ejercer el

control de las víctimas a través de la fuerza o la violencia.

4. Las sanciones previstas en el apartado anterior se imponen siempre que los hechos

no constituyan un delito de mayor entidad.

CAPÍTULO IX.- DISPOSICIONES COMPLEMENTARIAS

Artículo 389.1. En los delitos de amenazas, coacción y violación de domicilio previstos

en los artículos 377, 378, 379 y 380 de este Código, se procede si media denuncia de la

víctima o perjudicado o de su representante, excepto cuando se trate de hechos que sean

consecuencia de la violencia de género o la violencia familiar.

2. Si la víctima o perjudicado o su representante desisten de su denuncia por escrito y

en forma expresa, antes del juicio oral, se archivan las actuaciones, excepto que concurra

alguna de las circunstancias siguientes:

a) Se compruebe que la denuncia fue retirada o desistida por haber sido constreñida la

voluntad de la víctima o perjudicado o de quien tiene el derecho a presentarla;

b) se afecte el interés social o estatal;

c) la víctima o perjudicado se halle incapacitado para ejercer sus derechos; y

d) se trate de un menor de dieciocho años que carezca de representante legal, o los

intereses de estos sean contrapuestos, en los cuales el fiscal puede sostener la

denuncia.

TÍTULO XV.- DELITOS CONTRA EL HONOR

CAPÍTULO I.- DIFAMACIÓN

Artículo 390.1. Quien, ante terceras personas, impute a otra una conducta, un hecho o

una característica, contrarios al honor, que puedan dañar su reputación social, rebajarlo

en la opinión pública o exponerlo a perder la confianza requerida para el desempeño de

su cargo, profesión o función social, es sancionado con privación de libertad de seis

meses a un año o multa de cien a trescientas cuotas, o ambas.

2. Incurre en sanción de privación de libertad de seis meses a dos años o multa de

doscientas a quinientas cuotas, o ambas, si los hechos previstos en el apartado anterior

se cometen por motivo de enemistad, venganza u otro fin malicioso o por motivos

discriminatorios.

3. En el caso previsto en el apartado 1 que antecede, el acusado no incurre en sanción

alguna si prueba que las imputaciones que hizo o que propagó eran ciertas, o que tenía

razones serias para creerlas, así como que obró, o que fundadamente creyó obrar, en

defensa de un interés socialmente justificado.

4. No se admite al acusado la prueba prevista en el apartado anterior, si manifiestamente

no tenía otro designio que denigrar a la víctima.

CAPÍTULO II.- CALUMNIA

Artículo 391.1. Quien, a sabiendas, divulgue hechos falsos que redunden en descrédito

de una persona, incurre en sanción de privación de libertad de seis meses a dos años o

multa de doscientas a quinientas cuotas, o ambas.

2. Se sancionan con privación de libertad de uno a tres años, o multa de trescientas a

mil cuotas, o ambas, si los hechos previstos en el apartado anterior se cometen:

a) Contra un grupo de personas por una determinada condición humana, o por motivos

discriminatorios; y

b) se divulgan en las redes sociales o medios de comunicación social en sus espacios

físico y digital.

3. Si ante el tribunal el responsable reconoce la falsedad de sus afirmaciones y se retracta

de ellas, la sanción es de privación de libertad de seis meses a un año o multa de

cien a trescientas cuotas, o ambas.

CAPÍTULO III.- INJURIA

Artículo 392.1. Quien, de propósito, por escrito o de palabra, por medio de dibujos,

gestos o actos, ofenda a otra persona en su honor, incurre en sanción de privación de

libertad de seis meses a un año o multa de cien a trescientas cuotas, o ambas.

2. Se sancionan con privación de libertad de uno a tres años, o multa de trescientas a

mil cuotas, o ambas, si los hechos previstos en el apartado anterior se cometen:

a) Contra un grupo de personas por una determinada condición humana, o por motivos

discriminatorios; y

b) se divulgan en las redes sociales o medios de comunicación social en sus espacios

físico y digital.

3. El tribunal puede prescindir de la sanción, si la injuria es debida al comportamiento

provocador de la víctima o víctimas, o si estas reaccionaron inmediatamente con otra

injuria o con un ataque contra la integridad corporal.

CAPÍTULO IV.- ACTOS CONTRA LA INTIMIDAD PERSONAL Y FAMILIAR, LA PROPIA

IMAGEN Y VOZ, IDENTIDAD DE OTRA PERSONA Y SUS DATOS

Artículo 393.1. Incurre en sanción de privación de libertad de seis meses a dos años

o multa de doscientas a quinientas cuotas o ambas, quien, sin el consentimiento de otra

persona y con el propósito de afectar su intimidad personal y familiar, su propia imagen y

voz, o identidad, obtenga, facilite, reproduzca, divulgue, transmita o mantenga en su

poder grabación o reproducción de sonido, foto o vídeo, mensajes o cualquier otra

información de carácter personal o familiar de aquella.

2. Se sanciona de igual forma prevista en el apartado anterior, si el hecho se refiere a

los datos personales de la víctima o a cualquier otra información relacionada con estos,

que consten protegidos en registros, ficheros, archivos y bases de datos, de los cuales

hayan sido recopilados u obtenidos con ese fin ilícito.

3. Los hechos previstos en el apartado anterior se sancionan con privación de libertad

de uno a tres años o multa de trescientas a mil cuotas, o ambas, cuando:

a) Sean cometidos por el responsable o la persona encargada de los registros, ficheros,

archivos y bases de datos en los que obren;

b) se ejecuten mediante precio, recompensa o beneficio patrimonial de cualquier tipo;

c) se realicen por enemistad, venganza u otro fin malicioso, o con el objetivo de acosar a

la víctima; y

d) si la reproducción, divulgación o transmisión se realiza en las redes sociales o

medios de comunicación social, tanto en sus espacios físico como digital.

4. Incurre en sanción de dos a cinco años de privación de libertad o multa de quinientas

a mil cuotas si se trata de datos personales, cuya utilización ilícita puede dar lugar a

discriminación en cualquiera de sus manifestaciones, o implique distinción lesiva a la

dignidad humana o conlleven un riesgo grave para la víctima, o esta fuera una persona menor de dieciocho años o en estado de discapacidad.

CAPÍTULO V.- DISPOSICIONES COMPLEMENTARIAS

Artículo 394.1. Los delitos de calumnia, injuria y actos contra la intimidad o la imagen,

voz, datos o identidad de la persona solo son perseguibles en virtud de querella de la

persona ofendida o de su representante legal cuando aquella sea menor de dieciocho

años o en estado de discapacidad mental; y en caso de muerte del ofendido, por su

cónyuge, pareja de hecho afectiva, los ascendientes o descendientes y los hermanos.

2. En los delitos previstos en el apartado anterior, cuando sean consecuencia de la

violencia de género o la violencia familiar, la querella puede ser promovida por el cónyuge

o pareja de hecho, pariente o persona allegada afectiva, siempre que se compruebe que

la persona legitimada tiene la voluntad constreñida para ejercitar su derecho a la acción

penal privada, debido a cualquier relación ilegítima de poder ejercida por el victimario.

3. En los delitos mencionados en el apartado 1 que antecede, cuando los hechos de

violencia de género o violencia familiar tienen repercusión pública, se puede proceder

además, por denuncia de cualquier persona, siempre que se compruebe que quienes

están facultados para establecer la querella o para formular la denuncia tienen la

voluntad constreñida por cualquier relación ilegítima de poder ejercida por el victimario.

4. La difamación requiere la denuncia de la parte ofendida; o si se refieren a una

persona fallecida o declarada ausente, el derecho a denunciar corresponde a su cónyuge,

pareja de hecho afectiva, los ascendientes o descendientes y los hermanos.

TÍTULO XVI.- DELITOS CONTRA LA LIBERTAD E INDEMNIDAD SEXUAL, LAS FAMILIAS Y EL

DESARROLLO INTEGRAL DE LAS PERSONAS MENORES DE EDAD

CAPÍTULO I.- DELITOS CONTRA LA LIBERTAD E INDEMNIDAD SEXUAL DE LAS PERSONAS

SECCIÓN PRIMERA.- Agresión sexual

Artículo 395.1. Quien, empleando fuerza, violencia o intimidación, tenga acceso

carnal con otra persona, sea por vía oral, anal o vaginal, incurre en sanción de privación

de libertad de siete a quince años.

2. En igual sanción se incurre, si el acceso con el empleo de fuerza, violencia o

Intimidación suficiente se realiza con dedos, objetos, cosas o animales, por vía vaginal o anal.

3. La misma sanción se impone a quien cometa los hechos descritos en los apartados

anteriores, contra una persona en estado de trastorno mental permanente o transitorio, o

privada de razón o de sentido o imposibilitada de resistir por cualquier causa, aun cuando

no concurran las circunstancias de la fuerza, violencia o intimidación a que se refieren.

4. La sanción es de privación de libertad de ocho a veinte años si, además de las

circunstancias concurrentes en los apartados que anteceden:

a) El hecho se ejecuta con el concurso de dos o más personas;

b) el responsable, para facilitar la consecución de su objetivo, se presenta vistiendo

uniforme de cualquier cuerpo armado del Estado o de los que habitualmente se

usan en el ejercicio de determinadas profesiones o actividades, o aparentando ser

funcionario público, o mostrando una orden o mandamiento falso de una autoridad;

c) el delito es consecuencia de la violencia de género o la violencia familiar, o por

motivos discriminatorios;

d) se comete el hecho por cualquier pariente de la víctima que no esté comprendido en

el inciso c) del apartado 5, o por una persona allegada afectivamente a la víctima;

e) la víctima es mayor de doce y menor de dieciocho años de edad;

f) se le ocasionan a la víctima lesiones o secuelas distintas a las referidas en el inciso e)

del apartado 5; y

g) para ejecutar el hecho, el responsable utiliza modos, medios o instrumentos

especialmente susceptibles de poner en peligro la vida o provocar lesiones graves a

la víctima.

5. La sanción es de privación de libertad de quince a treinta años o privación perpetua

de libertad, si:

a) El hecho se ejecuta por una persona que, al momento del hecho, tiene registrado un

antecedente penal por similar delito;

b) la fuerza, violencia o intimidación suficiente ejercidas revistan una naturaleza

particularmente degradante o vejatoria;

c) es cometido por un ascendiente, descendiente, hermano o afines en igual grado;

d) como consecuencia del mismo, resultan lesiones o secuelas graves para la víctima; y

e) el responsable conoce que es portador de una enfermedad de transmisión sexual.

6. En igual sanción que la prevista en el apartado anterior incurre quien tenga acceso

carnal con una persona menor de doce años de edad, aunque no concurran las

circunstancias previstas en los apartados que anteceden.

SECCIÓN SEGUNDA.- Abusos sexuales

Artículo 396.1. Quien, sin acceder o tener acceso carnal con otra persona por vía oral,

anal o vaginal, abuse sexualmente de esta, concurriendo cualquiera de las circunstancias

previstas en los apartados 1, 2 y 3 del Artículo 395 de este Código, incurre en sanción de

privación de libertad de seis meses a dos años o multa de doscientas a quinientas cuotas,

o ambas.

2. Si en el abuso sexual concurre alguna de las circunstancias a que se refiere el apartado

4 del Artículo 395 de este Código, la sanción es de privación de libertad de uno a tres años

o multa de trescientas a mil cuotas, o ambas.

3. Si en el abuso sexual concurre la circunstancia a que se refieren los apartados 5 y 6

del Artículo 395 de este Código, la sanción es de privación de libertad de dos a cinco

años, salvo que constituya un delito de mayor gravedad.

4. Si en el abuso sexual no concurre alguna de las circunstancias a que se refiere el

Artículo 395 de este Código, la sanción es de privación de libertad de seis meses a un año

o multa de cien a trescientas cuotas, o ambas.

SECCIÓN TERCERA.- Acoso y ultraje sexual

Artículo 397.1. Se sanciona con privación de libertad de seis meses a dos años o multa

de doscientas a quinientas cuotas o ambas, a quien, directamente o a través de cualquier

medio de comunicación, acose a otra persona con requerimientos sexuales para sí o para

un tercero.

2. La sanción es de uno a tres años de privación de libertad o multa de trescientas a mil

cuotas o ambas, si para ejecutar los actos previstos en el apartado anterior el comisor se

aprovecha:

a) De una situación de vulnerabilidad de la víctima;

b) del poder, autoridad o ascendencia que tiene sobre la víctima; y

c) de su superioridad laboral, docente o de otro tipo análogo respecto a la víctima,

anunciándole expresa o tácitamente la producción de un daño o perjuicio relacionado

con las legítimas expectativas que pueda tener en el ámbito de dicha relación de

superioridad, si rechaza la propuesta sexual.

3. En igual sanción que la prevista en el apartado anterior se incurre, si el hecho es

consecuencia de la violencia de género o la violencia familiar, o por cualquier motivo

discriminatorio.

4. Incurre en igual sanción que la prevista en el apartado 1 que antecede, quien realice

públicamente exhibiciones o actos sexuales, que solo deben ocurrir en la intimidad.

Artículo 398.1. La autoridad, funcionario o empleado público que proponga relaciones

sexuales a quien esté a su disposición, en concepto de detenido, recluido, o sancionado o

asegurado, o bajo su custodia, o al cónyuge o pareja de hecho, hijo, madre, hermano de

la persona en esa situación, o al cónyuge o pareja de hecho del hijo o hermano, incurre en

sanción de privación de libertad de dos a cinco años.

2. Si la proposición de relaciones sexuales se hace a quien tenga pleito civil, causa o

proceso, expediente o asunto de cualquier clase pendiente de resolución, trámite,

opinión o informe oficial, en los que la autoridad, el funcionario o empleado público

deben intervenir por razón de su cargo, la sanción es de privación de libertad de seis

meses a dos años o multa de doscientas a quinientas cuotas, o ambas.

Artículo 399.1. Quien produzca, oferte, comercie, procure a otro, difunda o transmita

en cualquier tipo de soporte o medio, publicaciones, imágenes, grabaciones u otros

objetos de carácter pornográficos, incurre en sanción de privación de libertad de uno a

tres años o multa de trescientas a mil cuotas, o ambas.

2. Si los hechos a que se refiere el párrafo anterior se realizan con pornografía de

personas menores de dieciocho años o en estado de discapacidad mental, la sanción a

imponer es de dos a cinco años de privación de libertad.

3. Incurre en sanción de privación de libertad de seis meses a un año o multa de

cien a trescientas cuotas, o ambas, quien, con cualquiera de los propósitos previstos en

el apartado 1, posea o tenga en su poder publicaciones, imágenes, grabaciones u otros

objetos en cualquier tipo de soporte que sea contentivo de pornografía de personas

menores de edad.

SECCIÓN CUARTA.- Estupro

Artículo 400. Quien tenga relación sexual con otra persona mayor de doce y menor

de dieciocho años de edad, empleando abuso de autoridad o engaño, incurre en privación

de libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas.

CAPÍTULO II.- INCESTO

Artículo 401.1. El ascendiente que tenga relaciones sexuales con el descendiente,

incurre en sanción de privación de libertad de dos a cinco años.

2. En el caso previsto en el apartado anterior, la sanción imponible al descendiente es

de seis meses a dos años de privación de libertad.

3. Los hermanos que tengan relaciones sexuales entre sí, incurren en sanción de

privación de libertad de seis meses a un año.

4. Las sanciones previstas en este artículo se imponen siempre que los hechos no

constituyan un delito de mayor entidad.

CAPÍTULO III.- DELITOS CONTRA EL DESARROLLO INTEGRAL DE LAS PERSONAS

MENORES DE EDAD

SECCIÓN PRIMERA.- Corrupción de personas menores de edad

Artículo 402.1. Quien utilice a una persona menor de dieciocho años en el ejercicio

de la prostitución o en la práctica de actos de corrupción, pornográficos u otros

previstos como delito en este Código, incurre en sanción de privación de libertad de siete

a quince años.

2. La sanción es de privación de libertad de quince a treinta años o privación perpetua

de libertad en los casos siguientes:

a) Si se emplea violencia o intimidación para el logro de sus propósitos;

b) si como consecuencia de los actos a que se refiere el apartado anterior, se ocasionan

lesiones o secuelas a la víctima;

c) si se utiliza más de una persona menor de dieciocho años para la realización de los

actos previstos en el apartado anterior;

d) si el hecho se realiza por quien tenga la responsabilidad parental de la víctima;

e) si la víctima es una persona menor de doce años de edad, o en situación de

discapacidad mental o privada de razón o de sentido o imposibilitada de resistir por

cualquier causa;

f) si el hecho se comete por la condición de género de la víctima; y

g) cuando el hecho se ejecuta por dos o más personas.

3. Quien induzca a una persona menor de dieciocho años a concurrir a lugar en que

se practiquen actos de corrupción, incurre en sanción de privación de libertad de tres a

ocho años.

4. La mera proposición de los actos previstos en los apartados 1 y 3 se sanciona con

privación de libertad de dos a cinco años.

5. En los casos de comisión de los delitos previstos en este artículo, se puede imponer

la sanción accesoria de confiscación de bienes.

Artículo 403. Se sanciona con privación de libertad de dos a cinco años, a quien:

a) Con noticias de que una persona menor de dieciocho años sujeta a su responsabilidad

parental se dedica al uso o consumo de drogas ilícitas o sustancias de efectos

similares, o se encuentra ejerciendo la prostitución, el comercio carnal o cualquiera

de los actos previstos en el artículo anterior, lo consienta o no lo impida o no ponga

el hecho en conocimiento de las autoridades;

b) ejecute actos sexuales en presencia de personas menores de dieciocho años; y

c) ofrezca, venda, suministre o facilite a una persona menor de dieciocho años, libros,

publicaciones, estampas, fotografías, películas, videos u otros objetos de carácter

pornográfico.

Artículo 404.1. Quien induzca o utilice a una persona menor de dieciocho años en

prácticas de mendicidad, incurre en sanción de privación de libertad de dos a cinco años

o multa de quinientas a mil cuotas, o ambas.

2. Si el hecho previsto en el apartado anterior se realiza por quien tenga la

Responsabilidad parental de la persona menor de dieciocho años, o aprovechándose de

su condición de género o si esta se encuentra en situación de discapacidad de cualquier

tipo, la sanción es de privación de libertad de tres a ocho años.

Artículo 405.1. Quien induzca a una persona menor de dieciocho años a participar

en juegos ilícitos o a ingerir habitualmente bebidas alcohólicas, incurre en sanción de

privación de libertad de dos a cinco años o multa de quinientas a mil cuotas, o ambas.

2. Si la inducción se dirige al uso o consumo de drogas ilícitas o sustancias de efectos

similares, la sanción es de privación de libertad de cinco a doce años.

Artículo 406. Quien, por su negligencia o descuido, dé lugar a que una persona menor

de dieciocho años sujeta a su responsabilidad parental, use o consuma drogas ilícitas o

sustancias de efectos similares, o ejerza la prostitución, el comercio carnal, o realice

actos pornográficos o corruptores, incurre en sanción de privación de libertad de dos a

cinco años o multa de quinientas a mil cuotas, o ambas.

SECCIÓN SEGUNDA.- Otros actos contrarios al desarrollo integral de las personas

menores de edad

Artículo 407.1. Quien no atienda o descuide la salud, educación, manutención o

asistencia de una persona menor de dieciocho años que tenga sujeta a su

responsabilidad parental, incurre en sanción de privación de libertad de seis meses a un

año o multa de cien a trescientas cuotas, o ambas.

2. La sanción a imponer es de uno a tres años de privación de libertad, si como

consecuencia de los hechos previstos en el apartado anterior se ocasionan a la víctima

graves perjuicios a su integridad corporal o psíquica.

3. En igual sanción incurre quien, habiendo sido privado de la responsabilidad

parental, no contribuye al sostenimiento de sus hijos, en las condiciones y por el término

establecido en la ley.

4. Quien induzca a una persona menor de dieciocho años a abandonar su hogar, faltar

a la escuela, rechazar el trabajo educativo inherente al sistema nacional de educación o a

incumplir sus deberes relacionados con el respeto y amor a la Patria, incurre en sanción

de privación de libertad de seis meses o un año o multa de cien a trescientas cuotas, o

ambas.

CAPÍTULO IV.- DISPOSICIONES COMPLEMENTARIAS

Artículo 408.1. En los delitos de agresión sexual, abusos sexuales e incesto se exige

para proceder la denuncia de la persona agraviada, su representante legal, su cónyuge

o pareja de hecho, ascendientes, hermanos, o persona que la tenga sujeta a su guarda y

cuidado.

2. En los casos que hayan trascendido públicamente, sean consecuencia de la violencia

de género o la violencia familiar, o se compruebe que quienes están facultados para

formularla tienen la voluntad constreñida por cualquier relación ilegítima de poder

ejercida por el victimario, cualquier persona puede formular la denuncia.

3. El fiscal puede formular la denuncia cuando se afecte el interés social o estatal,

la víctima o perjudicado se halle incapacitado para ejercer su derecho, o se trate de un

menor de dieciocho años que carezca de representante legal, o los intereses de estos

sean contrapuestos.

4. En el delito de estupro solo se procede por denuncia del representante legal de la

persona agraviada; no obstante, si el denunciante desiste de su denuncia, por escrito y en

forma expresa antes del juicio oral o verbalmente y dejando constancia en acta durante su

celebración, se archivan las actuaciones.

Artículo 409.1. A los maestros o encargados de la educación o dirección de la juventud y

al personal técnico o profesional de la salud que sean declarados culpables de alguno de

los delitos previstos en los artículos 395, 396, 397, 400, 401, 402, 403, 405 y 407 apartado

3, de este Código, se les impone la sanción accesoria de prohibición permanente para el

Ejercicio del magisterio o de cualquier otra función de dirección de la juventud y la de

Prohibición del ejercicio de una profesión, cargo u oficio.

2. A los ascendientes, responsables parentales, tutores y quienes sean titulares del

apoyo intenso de personas en situación de discapacidad que cometan los delitos

previstos en los artículos 395, 396, 397.2 incisos a) y b), 400, 401, 402, 403 y 404 apartado

2, de este Código, en la persona de sus respectivos descendientes, menores de edad,

pupilos o en situación de discapacidad, además de la sanción señalada en cada caso, se

les impone la accesoria prevista en el Artículo 43 de este Código.

3. En los delitos de agresión sexual y estupro el responsable es sancionado, además, a

reconocer la prole que resulte, si lo solicita la persona ofendida.

4. Al declarado responsable de alguno de los delitos previstos en este título puede

aplicársele la sanción accesoria establecida en el Artículo 44 de este Código, aun cuando

en el hecho no concurra abuso del cargo o negligencia en el cumplimiento de los deberes

y cualquiera que sea la profesión, cargo u oficio.

TÍTULO XVII.- DELITOS CONTRA LOS DERECHOS PATRIMONIALES

CAPÍTULO I.- HURTO

Artículo 410.1. Quien sustraiga una cosa mueble de ajena pertenencia, con ánimo de

lucro, incurre en sanción de privación de libertad de uno a tres años o multa de

trescientas a mil cuotas, o ambas.

2. La sanción es de privación de libertad de tres a ocho años, si el hecho:

a) Se comete en vivienda habitada hallándose presentes o no sus moradores;

b) se realiza con la utilización de personas menores de dieciocho años;

c) se ejecuta por dos o más personas actuando como miembros de un grupo organizado o

estructurado;

d) produce un grave perjuicio;

e) consiste en arrebatar la cosa de las manos o de encima de la persona perjudicada,

siempre que la víctima no sufra lesiones corporales de tipo alguno; y

f) es consecuencia de la violencia de género o la violencia familiar, o por motivos

discriminatorios de cualquier tipo.

3. En igual sanción a la prevista en el apartado anterior incurre quien, con ánimo de

lucro, sustraiga un vehículo de motor y se apodere de cualquiera de sus partes

componentes o de alguna de sus piezas.

Artículo 411.1. En el caso previsto en el apartado 1 del artículo anterior, si los bienes

sustraídos son de limitado valor, la sanción es de privación de libertad de seis meses a un

año o multa de cien a trescientas cuotas, o ambas.

2. En igual sanción se incurre, si los hechos a que se refiere el apartado anterior se

cometen penetrando en los espacios, patios, jardines cercados o azoteas de una vivienda

habitada, aun hallándose presentes sus moradores.

Artículo 412.1. Quien, aprovechando aglomeraciones públicas o cualquier otra

circunstancia propicia, sustraiga bienes, documentos o valores en cualquier cuantía,

que la víctima lleve consigo, incurre en sanción de privación de libertad de dos a

cinco años.

2. Si el hecho previsto en el apartado anterior se ejecuta por una persona que sea

reincidente en el mismo delito, la sanción es de privación de libertad de tres a ocho años.

CAPÍTULO II.- SUSTRACCIÓN DE ELECTRICIDAD, GAS, AGUA O FUERZA

Artículo 413. Quien sustraiga fluido eléctrico, gas, agua o fuerza, de instalación personal

o colectiva, es sancionado con privación de libertad de seis meses a un año o multa de

cien a trescientas cuotas, o ambas.

CAPÍTULO III.- SUSTRACCIÓN DE VEHÍCULOS DE MOTOR PARA USARLOS

Artículo 414.1. Quien sustraiga un vehículo de motor con el propósito de usarlo o de

que otra persona lo use temporalmente, es sancionado con privación de libertad de uno a

tres años o multa de trescientas a mil cuotas, o ambas.

2. La sanción es de privación de libertad de dos a cinco años o multa de quinientas

a mil cuotas, o ambas:

a) Si, como consecuencia del hecho o en ocasión del mismo, el vehículo sufre daños

considerables o resulta cualquier otro grave perjuicio; y

b) si el hecho se realiza por dos o más personas actuando como miembros de un

grupo organizado o estructurado, o con la intervención de personas menores de

dieciocho años.

CAPÍTULO IV

ROBO CON VIOLENCIA O INTIMIDACIÓN EN LAS PERSONAS

Artículo 415.1. Quien sustraiga una cosa mueble de ajena pertenencia, con ánimo de

lucro, empleando violencia o intimidación en las personas, incurre en sanción de

privación de libertad de siete a quince años.

2. En igual sanción incurre:

a) Quien sustraiga una cosa mueble de ajena pertenencia si, inmediatamente después

de cometido el hecho, emplea violencia o amenaza de inminente violencia sobre

una persona para retener la cosa sustraída o para lograr la impunidad del acto; y

b) si el hecho consiste en arrebatar las cosas de las manos o de encima de la persona

perjudicada, cuando, como consecuencia de la violencia ejercida, se dejan lesiones

corporales que no sean de la entidad prevista en los artículos 346, 347 y 348 de este

Código.

3. La sanción es de privación de libertad de ocho a veinte años cuando:

a) El hecho se ejecuta en vehículo de transporte público o de pasajeros, cuando este se

encuentre prestando dicho servicio;

b) si el responsable, para facilitar la consecución de su objetivo, se presenta vistiendo

uniforme de cualquier cuerpo armado del Estado o de los que habitualmente se

usan en el ejercicio de determinadas profesiones o actividades, o aparentando ser

funcionario público, o mostrando una orden o mandamiento falso de una autoridad;

c) en la ejecución del hecho o con ocasión del mismo se provocan lesiones corporales

de las previstas en el Artículo 348 de este Código;

d) el hecho se efectúa portando el ejecutante un arma de cualquier clase u otro

instrumento o medio idóneo para la agresión;

e) el delito se comete aprovechando que la víctima se encuentra en una situación

vulnerable que le impide gobernar y defender sus bienes e intereses adecuadamente; y

f) si el hecho se ejecuta por una persona que, al momento del hecho, tiene registrado

un antecedente penal por similar delito.

4. La sanción es de privación de libertad de quince a treinta años o privación perpetua

de libertad, cuando:

a) El hecho se comete en vivienda habitada;

b) en la ejecución del hecho o con ocasión del mismo se ocasionan lesiones graves de

la naturaleza prevista en los artículos 346 y 347 de este Código;

c) el hecho se realiza por dos o más personas actuando como miembros de un grupo

organizado o estructurado, o con la utilización de personas menores de dieciocho años;

d) se hace uso de un arma de fuego;

e) se priva de libertad a una persona; y

f) la violencia o intimidación se realiza en la persona de una autoridad o sus agentes

en el ejercicio de sus funciones o contra cualquier persona que se encuentre en la

prestación de los servicios de seguridad y protección.

CAPÍTULO V.- ROBO CON FUERZA EN LAS COSAS

Artículo 416.1. Se sanciona con privación de libertad de tres a ocho años a quien

sustraiga una cosa mueble de ajena pertenencia, con ánimo de lucro, concurriendo en el

hecho cualquiera de las circunstancias siguientes:

a) Entrar en el lugar o salir de él por una vía no destinada al efecto, o con escalamiento;

b) uso de llave falsa, o de la verdadera que hubiese sido sustraída o hallada, o de

ganzúa u otro instrumento análogo; a tales efectos, se consideran como llaves, las

tarjetas magnéticas o perforadas, los mandos o instrumentos de apertura a distancia y

las contraseñas, accesos u otras aplicaciones informáticas similares;

c) rompimiento de pared, techo o suelo, o fractura de puertas o ventanas, o de sus

cerraduras, aldabas o cierres;

d) fractura de armario u otra clase de muebles u objetos cerrados o sellados, o forzando

sus cerraduras, o su sustracción para fracturarlos o violentarlos en otro lugar, aun

cuando la fractura o violencia no llegue a consumarse;

e) inutilizar los sistemas de alarma o vigilancia; y

f) empleo de fuerza sobre la cosa misma.

2. La sanción es de privación de libertad de cuatro a diez años cuando el hecho:

a) Se comete en vivienda habitada no hallándose presente sus moradores;

b) se ejecuta por una persona que, al momento del hecho, tiene registrado un

antecedente penal por similar delito;

c) el responsable, para facilitar la consecución de su objetivo, se presenta vistiendo

uniforme de cualquier cuerpo armado del Estado o de los que habitualmente se

usan en el ejercicio de determinadas profesiones o actividades, o aparentando ser

funcionario público, o mostrando una orden o mandamiento falso de una autoridad;

d) se ejecuta aprovechando la inminencia u ocurrencia de un desastre, cualquiera que

sea su naturaleza; y

e) si los objetos sustraídos son de considerable valor.

3. La sanción es de privación de libertad de siete a quince años:

a) Si el hecho se comete en vivienda habitada hallándose presentes sus moradores; y

b) el hecho se realiza actuando como miembros de un grupo organizado o estructurado, o

con la utilización de personas menores de dieciocho años.

4. Los actos preparatorios del delito previsto en este artículo se sancionan conforme a

lo dispuesto en el Artículo 77 de este Código.

Artículo 417.1. En el caso previsto en el apartado 1 del artículo anterior, si los bienes

sustraídos son de limitado valor y las características del responsable lo permiten, la

sanción es de privación de libertad de uno a tres años o multa de trescientas a mil cuotas,

o ambas.

2. En igual sanción se incurre si el hecho a que se refiere el apartado anterior se comete

penetrando en los espacios, patios, jardines cercados o azoteas de una vivienda

habitada, aun hallándose presentes sus moradores, siempre que la sustracción se

cometa en los lugares mencionados.

CAPÍTULO VI.- FABRICACIÓN Y VENTA DE INSTRUMENTOS IDÓNEOS PARA EJECUTAR EL

DELITO DE ROBO

Artículo 418. Quien, sin ofrecer justificación suficiente, fabrique ganzúa u otro

instrumento idóneo para la ejecución del delito de robo, o venda o facilite estos a

otra persona, incurre en sanción de privación de libertad de seis meses a dos años o

multa de doscientas a quinientas cuotas, o ambas.

CAPÍTULO VII.- EXTORSIÓN Y CHANTAJE

SECCIÓN PRIMERA.- Extorsión

Artículo 419.1. Quien, con el propósito de obtener un beneficio patrimonial ilegítimo

para sí o para otra persona, y empleando violencia, intimidación o amenaza de cualquier

grave daño, obligue a una persona a entregar escritura o documento, o a contraer una

obligación, condonar una deuda o renunciar a algún derecho, incurre en sanción de

privación de libertad de tres a ocho años.

2. En igual sanción incurre quien intervenga en las negociaciones o exigencias que

se impongan a la víctima o perjudicado, o a otra persona relacionada con ella, para que se

entregue dinero o algún bien, como condición para el rescate o reintegro del que le haya

sido sustraído o retenido ilícitamente.

3. Los hechos previstos en los apartados anteriores se sancionan con privación de

libertad de cuatro a diez años, si resultan ser consecuencia de la violencia de género o la

violencia familiar, o se ejecutan por motivos discriminatorios de cualquier tipo.

SECCIÓN SEGUNDA.- Chantaje

Artículo 420.1. Quien amenace a otra persona con divulgar un hecho, cierto o incierto,

lesivo para su honor o prestigio público o el de su cónyuge o pareja de hecho,

ascendiente, descendiente, hermano o cualquier otro pariente allegado, para obligarla a

entregar dinero o bienes de cualquier clase o a realizar o abstenerse de realizar cualquier

acto en detrimento de su patrimonio, incurre en sanción de privación de libertad de dos a cinco años.

2. La sanción es de privación de libertad de tres a ocho años si el hecho:

a) Se ejecuta actuando como miembros de un grupo organizado o estructurado;

b) provoca un grave perjuicio; y

c) es consecuencia de la violencia de género o la violencia familiar, o se realiza por

motivo discriminatorio de cualquier tipo.

CAPÍTULO VIII.- USURPACIÓN, OCUPACIÓN O DISPOSICIÓN ILÍCITA DE BIENES

INMUEBLES

SECCIÓN PRIMERA.- Usurpación

Artículo 421.1. Quien ocupe o se apodere ilegalmente de un bien inmueble de ajena

pertenencia, incurre en sanción de seis meses a dos años o multa de doscientas a

quinientas cuotas, o ambas.

2. Los hechos previstos en el apartado anterior se sancionan con privación de

libertad de dos a cinco años o multa de quinientas a mil cuotas o ambas, si se ejecutan

empleando fuerza en las cosas, violencia o intimidación en las personas, o el hecho

sea consecuencia de la violencia de género o la violencia familiar, o por motivo

discriminatorio de cualquier tipo.

3. Las sanciones previstas en el apartado 2 que antecede se imponen siempre que los

hechos, no constituyan un delito de mayor entidad.

4. Cuando en la sentencia se disponga en concepto de responsabilidad civil, la

obligación del sancionado o de un tercero de restituir el bien inmueble, el tribunal

la ejecuta directamente y adopta las medidas necesarias para que sea desocupado y

entregado a la persona natural o jurídica correspondiente.

SECCIÓN SEGUNDA.- Ocupación o disposición ilícita de locales o viviendas

Artículo 422.1. Quien, en forma ilegal, ceda o reciba de otra persona, total o

parcialmente, un local para vivienda, incurre en sanción de privación de libertad de seis

meses a un año o multa de cien a trescientas cuotas, o ambas.

2. Si la cesión prevista en el apartado anterior se realiza mediante precio u otra ventaja,

la sanción es de privación de libertad de seis meses a dos años o multa de doscientas a

quinientas cuotas, o ambas.

3. Quien, con abuso de su cargo, asigne arbitrariamente una vivienda o local para

destinarlo a ese fin, a persona a la que no le corresponde, incurre en sanción de privación

de libertad de uno a tres años o multa de trescientas a mil cuotas, o ambas.

4. Las sanciones previstas en los apartados 2 y 3 que anteceden se imponen siempre

que los hechos no constituyan un delito de mayor entidad.

5. Cuando en la sentencia se disponga en concepto de responsabilidad civil, la obligación

del sancionado o de un tercero de restituir el bien inmueble, el tribunal la ejecuta

directamente y adopta las medidas necesarias para que sea desocupado y entregado a la

persona natural o jurídica correspondiente.

CAPÍTULO IX.- DEFRAUDACIONES

SECCIÓN PRIMERA.- Estafa

Artículo 423.1. Quien, con el propósito de obtener para sí o para otra persona, una

ventaja o un beneficio patrimonial ilegítimo, y empleando cualquier ardid o engaño

bastante o suficiente que induzca a error a la víctima, determine a esta a realizar o

abstenerse de realizar un acto en detrimento de sus bienes o los de un tercero, incurre

en sanción de privación de libertad de seis meses a un año o multa de cien a trescientas

cuotas, o ambas.

2. Si el responsable, para la ejecución del hecho, se aprovecha de las funciones

inherentes al cargo, empleo, ocupación u oficio que desempeña en una entidad

económica, la sanción es de privación de libertad de dos a cinco años.

3. La sanción es de privación de libertad de tres a ocho años, si:

a) El responsable del delito obtiene beneficio de considerable valor, sea para él como

para un tercero;

b) la víctima o perjudicado sufre un grave perjuicio en sus bienes;

c) el hecho es consecuencia de la violencia de género o la violencia familiar, o se

ejecuta por motivo discriminatorio de cualquier tipo;

d) el hecho se realiza por una o más personas actuando como miembros de un grupo

organizado o estructurado; y

e) para ejecutar el hecho se introducen, alteran, borran o suprimen datos informáticos,

o se interfiere de cualquier forma el funcionamiento de un sistema informático.

SECCIÓN SEGUNDA.- Apropiación indebida

Artículo 424.1. Quien, con el propósito de obtener una ventaja o un beneficio

patrimonial ilegítimo, para sí o para otra persona, se apropie o consienta que otro se

apropie de bienes que le hayan sido confiados por cualquier título que conlleve obligación

de entrega o devolución, incurre en sanción de privación de libertad de seis meses a un

año o multa de cien a trescientas cuotas, o ambas.

2. Si los bienes apropiados son de considerable valor, la sanción es de privación de

libertad de dos a cinco años o multa de quinientas a mil cuotas, o ambas.

3. Si el delito se comete por un conductor de vehículo de carga o persona

Responsabilizada con la transportación de bienes, la sanción es de:

a) Privación de libertad de uno a tres años o multa de trescientas a mil cuotas o ambas,

en el caso del apartado 1; y

b) privación de libertad de tres a ocho años, en el caso del apartado 2.

4. Cuando los bienes apropiados sean propiedad de una persona natural o jurídica

no estatal, cualquiera que sea su forma de gestión económica, solo se procede si media

denuncia de la víctima o perjudicado, del representante de la entidad, o del fiscal cuando

se afecte el interés del Estado.

5. Si el denunciante, en forma expresa, mediante escrito, desiste de su denuncia

antes del juicio oral o lo hace de forma verbal durante su celebración, se archivan las

actuaciones; salvo que el fiscal decida continuar el proceso en representación del interés

del Estado, o en hechos que sean consecuencia de la violencia de género o familiar, en

los que se compruebe que el desistimiento del denunciante no ha sido una decisión

voluntaria y libre.

CAPÍTULO X.- RECEPTACIÓN

Artículo 425.1. Quien, en interés propio o en beneficio de otro y sin haber tenido

intervención alguna en el delito, posea, utilice, cambie, adquiera u oculte bienes que, por

la persona que los presente, o la ocasión o circunstancias de la enajenación, evidencien o

hagan suponer racionalmente, que proceden de un delito, es sancionado con privación de

libertad de seis meses a un año o multa de cien a trescientas cuotas, o ambas.

2. En igual sanción incurre quien intervenga en la enajenación de los bienes

mencionados.

3. Si los bienes receptados son de considerable valor, por su número relativamente

cuantiosos, o han sido adquiridos, cambiados u ocultados con el propósito de traficar con

ellos, la sanción es de privación de libertad de seis meses a dos años o multa de

doscientas a quinientas cuotas, o ambas.

CAPÍTULO XI.- DAÑOS

Artículo 426.1. Quien destruya, deteriore o inutilice un bien de considerable valor

perteneciente a otra persona, o a causa del hecho se produce un grave perjuicio, incurre

en sanción de privación de libertad de uno a tres años o multa de trescientas a mil cuotas,

o ambas.

2. En los casos previstos en el apartado anterior se procede si media denuncia de la

víctima o perjudicado, de su representante, o del fiscal cuando se afecte el interés del

Estado.

3. Si el denunciante, en forma expresa, mediante escrito, desiste de su denuncia antes del

juicio oral o lo hace de forma verbal durante su celebración, se archivan las actuaciones;

salvo que el fiscal decida continuar el proceso en representación del interés del Estado, o

en hechos que sean consecuencia de la violencia de género o familiar, en los que se

compruebe que el desistimiento del denunciante no ha sido una decisión voluntaria y

libre.

4. La sanción es de dos a cinco años, si los daños causados a los bienes, cualquiera que

sea el valor de estos, se realizan:

a) Para impedir el libre ejercicio de la autoridad o en venganza o represalia de sus

determinaciones;

b) contra personas que hayan contribuido a la aplicación de las leyes o disposiciones

generales, o al enfrentamiento de actos de indisciplina que afecten la tranquilidad

ciudadana, el orden y la convivencia social; y

c) como consecuencia de la violencia de género o la violencia familiar, o por motivo

de discriminación en cualquiera de sus manifestaciones.

5. Quien, sin causa justificada, destruya, deteriore o inutilice bienes propios, que tienen

un valor para la familia o la colectividad, incurre en sanción de privación de libertad de

seis meses a un año o multa de cien a trescientas cuotas, o ambas.

CAPÍTULO XII.- DISPOSICIÓN COMPLEMENTARIA

Artículo 427. En los delitos previstos en este Título, el tribunal puede aplicar la sanción

accesoria de confiscación de bienes.

TÍTULO XVIII.- DELITOS CONTRA LA CREACIÓN INTELECTUAL

CAPÍTULO I.- DELITOS CONTRA LA CREACIÓN LITERARIA Y ARTÍSTICA

Artículo 428.1. Quien, de propósito, usurpe la condición de autor de una obra literaria o

artística o la condición de artista de una interpretación o ejecución de una obra, o

modifique sustancialmente estas, sin la autorización de su autor o artista o persona

autorizada, y cause un grave perjuicio al autor o al artista, incurre en sanción de privación

de libertad de seis meses a un año o multa de cien a trescientas cuotas, o ambas.

2. En igual sanción incurre quien, de propósito y de forma no autorizada, reproduzca,

distribuya, importe, exporte o almacene ejemplares de obras en cantidades o valor de

gran trascendencia económica, y cause un grave perjuicio a los titulares de los derechos

sobre las obras.

3. Los hechos previstos en los apartados anteriores se sancionan con privación de

libertad de seis meses a dos años o multa de doscientas a quinientas cuotas, o ambas, si:

a) Están vinculados con la delincuencia organizada transnacional u otras formas de

organización creadas para esos propósitos; o

b) se cometen a escala comercial y a través de medios o sistemas informáticos.

4. En los casos previstos en los apartados anteriores solo se procede si media denuncia

de la víctima o perjudicado; no obstante, si desiste de su denuncia, por escrito y, en forma

expresa, antes del juicio oral, o verbalmente durante su celebración dejando constancia

en acta, se archivan las actuaciones.

CAPÍTULO II.- DELITOS CONTRA LA PROPIEDAD INDUSTRIAL

Artículo 429.1. Incurre en sanción de privación de libertad de seis meses a dos años

o multa de doscientas a quinientas cuotas o ambas quien, sin la debida autorización,

fabrique o comercialice a escala comercial, mercancías o embalajes que contengan una

marca idéntica a la válidamente registrada o notoria para tales mercancías, o que no

pueda distinguirse en los aspectos esenciales de esa marca, siempre que se lesionen los

derechos del titular de la marca, otorgados de conformidad con la legislación vigente.

2. Incurre en igual sanción prevista en el apartado anterior, quien, sin la debida

autorización, revele, divulgue, registre o explote en el país o en el extranjero, una

invención o información no divulgada que deba permanecer en reserva y ocasione daños

y perjuicios a su poseedor legítimo.

TÍTULO XIX.- DELITOS CONTRA EL DESARROLLO DE LOS PROCESOS ELECTORALES

Y DE PARTICIPACIÓN DEMOCRÁTICA

CAPÍTULO I.- DISPOSICIONES GENERALES

Artículo 430.1. El presente título tiene como objeto sancionar los actos previstos como

delitos, que sean cometidos con el propósito de impedir o entorpecer que las elecciones,

consultas populares, plebiscitos, referendos y otros procesos de participación

democrática de que se trate, se ejecuten de acuerdo con lo establecido en la

Constitución de la República, la Ley Electoral, sus normas complementarias y las demás

disposiciones establecidas por el Consejo Electoral Nacional.

2. Las sanciones que se establecen en el presente título se imponen, siempre que el

hecho no constituya un delito de mayor entidad.

3. También se imponen estas sanciones, con independencia de las que resulten

aplicables a la persona responsable por los demás delitos que cometa con motivo o en

ocasión del hecho ilícito.

CAPÍTULO II.- DELITOS CONTRA LOS PROCESOS ELECTORALES Y DE PARTICIPACIÓN

DEMOCRÁTICA

Artículo 431.1. Incurre en sanción de privación de libertad de seis meses a un año

o multa de cien a trescientas cuotas, o ambas, quien, estando investido de funciones

oficiales en elecciones, consultas populares, plebiscitos, referendos y otros procesos de

participación democrática:

a) No entregue al consejo electoral u otra estructura electoral que corresponda,

los documentos previstos en la Ley Electoral, sus normas complementarias y

en las demás disposiciones emanadas del Consejo Electoral Nacional, con los

resultados de la votación o de la consulta popular;

b) inscriba o apruebe la inscripción en el registro electoral, de cualquier persona como

elector, sabiendo que no tiene derecho a ello;

c) no inscriba o no apruebe la inscripción en el registro electoral, de cualquier persona

como elector, sabiendo que tiene derecho a ello;

d) permita votar a cualquier persona, sabiendo que su voto no debe ser emitido;

e) se niegue a admitir el voto de cualquier persona que tenga derecho a ello;

f) permita a una persona votar por otra;

g) impida la publicidad y transparencia del escrutinio; y

h) altere los resultados de la votación.

2. Incurre en sanción de privación de libertad de seis meses a dos años o multa de

doscientas a quinientas cuotas o ambas, quien, estando investido de funciones oficiales

en elecciones, consultas populares, plebiscitos, referendos y otros procesos de

participación democrática:

a) Promueva o induzca la abstención entre las personas con derecho al voto activo;

b) incite a otras personas a cometer cualquiera de los ilícitos previstos en este

capítulo, o a que realicen manifestaciones o reuniones contrarias al normal

desarrollo de tales procesos;

c) después de haber sido sancionado como infractor electoral, persista en el irrespeto

hacia otras autoridades electorales o los candidatos durante el desarrollo de dichos

procesos; y

d) difunda, por cualquier medio, información falsa y expresiones que denigren a los

consejos u otras estructuras electorales y a sus autoridades.

3. Incurre en igual sanción que la prevista en el apartado 1 que antecede, quien:

a) Impida de cualquier manera que otra persona emita su voto;

b) obstruya o impida, por cualquier medio, la candidatura de una persona dentro del

proceso electoral de que se trate;

c) realice propaganda relativa al proceso eleccionario, consulta popular, plebiscito,

referendo u otro proceso de participación democrática, de manera contraria a la

permitida en la Ley Electoral y en las disposiciones que a ese efecto dicte el Consejo

Electoral Nacional, o haga campaña en favor de un candidato o de su propia persona

si fuera candidato;

d) imposibilite que los candidatos participen de conjunto en actos, conferencias, visitas

a centros de trabajo e intercambios de opiniones con los trabajadores, como vía para

ser conocidos personalmente por los electores;

e) promueva la candidatura de una persona ofreciendo dádivas, haciendo promesas o

compromisos de beneficios de cualquier tipo, o mediante engaño;

f) sustraiga, dañe o falsifique cualquier tipo de documentación que la Ley Electoral

establece como tal;

g) impida por cualquier medio la publicidad y transparencia del escrutinio;

h) promueva o induzca la abstención entre las personas con derecho al voto activo;

i) incite a otras personas a cometer cualquiera de los ilícitos previstos en este

capítulo, o a que realicen manifestaciones o reuniones contrarias al normal

desarrollo de las elecciones, consultas populares, plebiscitos, referendos y otros

procesos de participación democrática;

j) después de haber sido sancionado como infractor electoral, persista en el irrespeto

hacia otras autoridades electorales o los candidatos durante el desarrollo de dichos

procesos; y

k) difunda, por cualquier medio, información falsa y expresiones que denigren a los

consejos u otras estructuras electorales y a sus autoridades.

4. El límite mínimo y máximo de las sanciones previstas en los apartados anteriores se

incrementan en la mitad, cuando los hechos se cometan con el concurso de dos o más personas.

Artículo 432. Incurre en sanción de multa de cien a trescientas cuotas, quien:

a) Ejerza el voto en las elecciones, plebiscitos o referendos, a sabiendas de que está

privado del derecho a hacerlo; y

b) ejerza el voto por otra persona, o lo haga más de una vez en una misma elección,

plebiscito o referendo.

TÍTULO XX.- DISPOSICIONES COMPLEMENTARIAS

Artículo 433.1. Están exentos de responsabilidad con arreglo a este Código, y

sujetos solamente a la civil, por los hurtos, estafas, apropiaciones indebidas o daños que

recíprocamente se causen:

a) Los cónyuges o parejas de hecho, ascendientes, descendientes o afines en la misma

línea; y

b) los hermanos y cuñados.

2. La exención de responsabilidad establecida en este artículo no se aplica:

a) A los extraños que intervienen en el delito; y

b) cuando el hecho delictivo es consecuencia de la violencia de género o violencia

familiar, si se comprueba que la falta de denuncia o el desistimiento de la víctima o

perjudicado responde a un constreñimiento de su voluntad.

Artículo 434.1. La autoridad competente del Ministerio del Interior, puede advertir

oficialmente a quien de forma reiterada realice acciones que la hagan proclive a delinquir

o a quebrantar el orden social y constitucional.

2. La advertencia oficial se realiza, mediante acta en la que se hacen constar

expresamente las causas que la determinan, las previsiones que se le formulen y lo que al

respecto exprese la persona advertida, firmándose por esta y por el actuante.

3. La advertencia oficial solo produce los efectos que determina la ley.

DISPOSICIONES ESPECIALES

PRIMERA: El anexo relativo a las definiciones de términos y expresiones que se

emplean en el presente Código, forma parte integrante del mismo.

SEGUNDA: La Ley de Ejecución Penal y su reglamento determinan las formas de

ejecución de las sanciones y medidas de seguridad previstas en este Código, así como los

derechos y garantías de los sancionados y asegurados durante su cumplimiento.

TERCERA: El Consejo de Ministros, dentro de los noventa días posteriores a

la publicación del presente Código en la Gaceta Oficial de la República, propone

al Consejo de Estado el proyecto de decreto-ley para regular las atribuciones y

funcionamiento de la Caja de Resarcimientos, como entidad pública encargada de

hacer efectiva la responsabilidad civil derivada del delito, declarada en la sentencia.

CUARTA: El Tribunal Supremo, la Fiscalía General de la República y el Ministerio del

Interior adoptarán las medidas necesarias para la aplicación del principio de

Retroactividad de la ley penal, contenido en el Artículo 100 de la Constitución de la

República de Cuba.

QUINTA: El Ministerio de Finanzas y Precios emite las disposiciones normativas

requeridas, para regular los procedimientos y registros relacionados con los ingresos

monetarios a los fondos de la Caja de Resarcimientos del Ministerio de Justicia, de

las fuentes de financiamiento que se establecen en la presente Ley.

SEXTA: El Consejo de Gobierno del Tribunal Supremo Popular determina, en

cada caso, el alcance o la cuantía relativa a los términos considerable y limitado valor,

empleados en este Código.

DISPOSICIONES FINALES

PRIMERA: Se derogan, tal como se encuentran vigentes al tiempo de

promulgarse la presente: la Ley No. 62, de 29 de diciembre de 1987, ¨Código

Penal¨; los artículos 42, 43, 44, 45, 46, 47 y 48 de la Ley No. 22, de 15 de febrero

de 1979, “Ley de los Delitos Militares”; la Ley No. 87, de 15 de marzo de 1997;

la Ley No. 93, de 20 de diciembre de 2001, “Contra Actos de Terrorismo”; el

Decreto-Ley No. 150, de 6 de junio de 1994; el Decreto-Ley No. 175, de 17 de

junio de 1997; los artículos 1, 2, 3, 4, 5 y 6 del Decreto-Ley No. 310, de 29 de mayo

de 2013; el Decreto-Ley No. 316, de 7 de diciembre de 2013; los artículos 1, 2 y 3 del

Decreto-Ley No. 389, de 8 de octubre de 2019; y cualquiera otra disposición jurídica

que se oponga a lo establecido en esta Ley.

SEGUNDA: Esta Ley entra en vigor a partir de los noventa días de su publicación en

la Gaceta Oficial de la República de Cuba.

PUBLÍQUESE en la Gaceta Oficial de la República de Cuba.

DADA en la sala de sesiones de la Asamblea Nacional del Poder Popular, en La Habana, a

los 15 días del mes de mayo de 2022, “Año 64 de la Revolución”.

Juan Esteban Lazo Hernández, Presidente de la Asamblea Nacional del Poder Popular

Miguel Mario Díaz-Canel Bermúdez, Presidente de la República

ANEXO.-

DEFINICIONES DE TÉRMINOS Y EXPRESIONES

1. A los efectos de este Código, se entiende por:

a) Agentes auxiliares de la autoridad: los que ejecutan directamente las decisiones de esta;

b) apoyo intenso: el que se utiliza cuando la situación de discapacidad se hace tan

grave que afecta la voluntad y discernimiento de la persona, concediendo a la

persona nombrada para ejercerlo, la facultad de representación y sustitución de

la voluntad de la apoyada;

c) apoyo: aquellas formas de asistencia libremente elegidas por una persona para

facilitar el ejercicio de sus derechos, incluyendo la comunicación, la comprensión de

los actos jurídicos y las consecuencias de estos, y la manifestación e interpretación

de la voluntad de quien lo requiere; el apoyo no tiene facultades de representación,

salvo en los casos en que se establece expresamente por propia decisión de la

persona necesitada o así lo dispone el tribunal competente;

d) autoridad: la persona con facultades de mando y poder coactivo para hacer cumplir

las decisiones que garanticen el funcionamiento de la actividad en la que ejerce sus

facultades, dentro del marco legal establecido;

e) bienes: los activos de cualquier tipo, corporales o incorporales, muebles o inmuebles,

tangibles o intangibles y los documentos o instrumentos legales que acrediten la

propiedad u otros derechos sobre dichos activos;

f) comercio carnal: toda acción de estímulo o explotación de las relaciones sexuales

como actividad lucrativa;

g) documento bancario y de comercio: aquel que procede de operaciones de comercio,

incorporan un derecho patrimonial transmisibles por simple entrega o por endoso,

como los cheques y mandatos de pago a la orden librados en el marco de las operaciones

de comercio, así como el que deja constancia de las transacciones mercantiles y tenga

validez para hacer constar derechos u obligaciones que sirvan para demostrarlas,

sirviendo además para verificar las ventas y prestaciones de servicios que se efectúen

en el ámbito comercial, mediando operaciones de cobros y pagos;

h) documento privado: el firmado por una persona particular y los demás que carezcan

del carácter de público, o bancario y de comercio;

i) documento público: aquel autorizado por funcionario público competente con

las formalidades requeridas por la Ley; las certificaciones de estos documentos

expedidas en forma legal; los registros oficiales y las certificaciones de los asientos

que obren en los mismos expedidas por funcionarios que los tuvieron a su cargo;

las actuaciones judiciales y las certificaciones legalmente expedidas con vista de las

mismas;

j) domicilio o vivienda habitada: edificio o lugar cerrado o la parte de él que sirve

de morada a cualquier persona; así como las azoteas, espacios, patios y jardines

cercados, contiguos a ella o con acceso a su interior;

k) empleado público: la persona que, sin ser funcionario público, por las funciones

que desempeña está autorizada a actuar en nombre de instituciones que ejercen

funciones legislativas, ejecutivas o judiciales o, de empresa, unidad de producción o

servicio, órgano u organismo, que sean de carácter público, institución militar u

oficina del Estado;

l) espectro radioeléctrico: constituye un recurso de carácter escaso, limitado, inalienable,

imprescriptible e inembargable, sobre el cual el Estado ejerce su soberanía, y

no puede cederse en propiedad a personas naturales o jurídicas; se conforma por las

ondas radioeléctricas que se definen como las ondas electromagnéticas cuyo límite

superior de frecuencia se fija convencionalmente por debajo de 3000 GHz, y que se

propagan por el espacio sin guía artificial;

m) funcionario público: la persona que por razón del cargo que desempeña, de forma

permanente o temporal, remunerada u honoraria, ejerza funciones legislativas,

ejecutivas o judiciales, o que ocupe un cargo de dirección o que implique

responsabilidad administrativa, de custodia, control y conservación en empresa o

unidad de producción o servicio, órgano, organización u organismo, que sean de

carácter público, institución militar u oficina del Estado;

n) grupo estructurado: conjunto de dos a más personas que se conciertan para

la comisión inmediata de un delito, sin que sea necesario que se asignen a sus

miembros funciones formalmente definidas ni haya continuidad en la condición de

miembro o cuente con una estructura desarrollada;

ñ) grupo organizado: conjunto estructurado de tres o más personas que existe durante

cierto tiempo y que actúa concertadamente con el propósito de cometer uno o más

delitos, con el fin de obtener, directa o indirectamente, un beneficio económico o de

otro orden material;

o) juegos ilícitos: son aquellos que expresamente están proscritos por la ley o

carecen de autorización legal alguna, en los que media ánimo de lucro o interés

patrimonial de cualquier tipo, y la ganancia o la pérdida dependen de la suerte o

de otros factores ajenos a la voluntad de los intervinientes;

p) lesiones graves: las que ponen en peligro inminente la vida de la víctima, o dejan

deformidad, incapacidad o cualquier otra secuela anatómica, funcional o psíquica;

entendiendo en este caso como peligro inminente, tanto aquel que se manifiesta

desde el momento mismo o instantes después de la lesión, como el que aparece

en cualquier momento de la evolución de la lesión, aun si no fuera con inmediatez

temporal a esta;

q) medios de comunicación social: las plataformas que comparten contenidos de

interés público, a través de distintos formatos, canales y soportes;

r) pareja de hecho afectiva: persona que, junto a otra, forma una unión afectiva con

aptitud legal para ello, compartiendo un proyecto de vida en común, de carácter

singular, estable, notorio y duradero por un tiempo adecuado que haga razonable su

protección por el derecho penal;

s) peligro inminente: es aquel que se manifiesta desde el momento mismo o instantes

después de la lesión, como el que aparece en cualquier momento de la evolución

normal de la lesión, aun si no fuera con inmediatez temporal a esta;

t) personas allegadas afectivamente: aquellas que, teniendo o no vínculos de sangre

con otra, mantienen con la misma una estrecha relación afectiva y de comunicación

perdurable en el tiempo;

u) personas en estado de discapacidad: aquellas que por razón de su capacidad

funcional diferente (sensorial, cognitiva, físico-motora), de carácter temporal o

permanente, al interactuar con diversas barreras presentes en su entorno, tienen

impedida o restringida su participación plena y efectiva en la sociedad; en el caso de la

persona en estado de discapacidad mental toda persona que padezca un trastorno

mental que le impida, permanente o transitoriamente, gobernar o defender su persona o

bienes, o valerse, resistir o decidir por sí misma en función de sus reales intereses;

v) responsabilidad parental: conjunto de facultades, deberes y derechos que

corresponden a las madres y a los padres para el cumplimiento de su función de

asistencia, educación y cuidado de sus hijas e hijos menores de edad, que inciden

sobre su ámbito personal y patrimonial y que son ejercitados siempre en beneficio

del interés de estos últimos y de acuerdo con su capacidad, autonomía progresiva,

el libre desarrollo de su personalidad y su grado de madurez; el contenido de la

responsabilidad parental, que puede ser afectado por el tribunal penal, es el que

desarrolla la ley que rige la materia de las familias;

w) se consideran, también, empleados o funcionarios públicos: aquellas personas que,

en entidades extranjeras u organizaciones internacionales públicas, ejercen cargos o

funciones similares a las descritas en los incisos f) y g) cuando los hechos delictivos

se deriven de su relación con el Estado o sus instituciones, o los cometan en el curso

de negociaciones económicas, financiera o comerciales;

x) violencia de género: tipo de violencia muy particular, que tiene como base la cultura

patriarcal que se asienta en la desigualdad de poder entre el hombre y la mujer.

Como parte de ese dominio masculino, se ejerce la violencia como un mecanismo

de control; la misma se sustenta en estereotipos sexistas, generadores de prejuicios

que derivan en expresiones de discriminación por razón del sexo, el género, la

orientación sexual o la identidad de género; puede ser física, psicológica, sexual,

moral, simbólica, económica o patrimonial, e impacta negativamente en el disfrute de

los derechos, las libertades y en el bienestar integral de las personas; se presenta en

ámbitos familiares, laborales, escolares, políticos, culturales y en cualquier otro de la

sociedad; y su expresión más generalizada, frecuente y significativa es la que ocurre

contra las mujeres; y

y) violencia familiar: es la que se produce en el seno de la familia, ya sea dentro o fuera

del hogar; hace referencia a cualquier forma de abuso o maltrato que se da entre los

miembros de una familia, e implica un desequilibrio de poder que se ejerce desde el

más fuerte hacia el más débil, en las líneas fundamentales del género y la generación;

constituyen expresiones de violencia familiar el maltrato físico, psíquico, moral,

sexual, económico o patrimonial, ya sea por acción u omisión, directa o indirecta,

en el que agresores y víctimas mantienen o mantuvieron relaciones de pareja, y

la que se produce entre parientes, recibiendo igual tratamiento los hechos de esta

naturaleza ocurridos entre personas con relaciones de convivencia.

2. Para la determinación del contenido y alcance de las expresiones conceptuales que

se consignan en el Título II del Libro II de este Código, de los delitos de terrorismo, rigen

las precisiones que al respecto se formulan en la ley cubana y los tratados en vigor para la

República de Cuba; y en tal sentido se entiende por:

a) Aeronave en servicio: desde que el personal de tierra o la tripulación comienza las

operaciones previas a un determinado vuelo hasta veinticuatro horas después de

cualquier aterrizaje. El período en servicio se prolongará en cualquier caso por todo

el tiempo que la aeronave se encuentre en vuelo;

b) aeronave en vuelo: desde el momento en que se cierren todas las puertas externas

después del embarque hasta el momento en que se abra cualquiera de dichas puertas

para el desembarque; en caso de aterrizaje forzoso, se considerará que el vuelo

continúa hasta que las autoridades competentes se hagan cargo de la aeronave y de

las personas y bienes a bordo;

c) artefacto explosivo u otro artefacto mortífero: un arma o artefacto explosivo o

incendiario que obedezca al propósito de causar o pueda causar la muerte, graves

lesiones corporales o grandes daños materiales; o el arma o artefacto que obedezca

al propósito de causar o pueda causar la muerte o graves lesiones corporales o

grandes daños materiales mediante la emisión, la propagación o el impacto de

productos químicos tóxicos, agentes o toxinas de carácter biológico o sustancias

similares o radiaciones o material radioactivo;

d) explosivos: los productos explosivos comúnmente conocidos como explosivos

plásticos, incluidos los explosivos en forma de lámina-flexible o elástica;

e) fondos: los bienes de cualquier tipo, tangibles o intangibles, muebles o inmuebles,

con independencia de cómo se hubieran obtenido, y los documentos o instrumentos

legales, sea cual fuere su forma, incluida la forma electrónica o digital, que acrediten

la propiedad u otros derechos sobre dichos bienes, incluidos, sin que la enumeración

sea exhaustiva, créditos bancarios, cheques de viajero, cheques bancarios, giros,

acciones, títulos, obligaciones, letras de cambio y cartas de crédito;

f) fuerzas militares de un Estado: las fuerzas armadas de un Estado que estén

organizadas, entrenadas y equipadas con arreglo a la legislación nacional

primordialmente a los efectos de la defensa y la seguridad nacionales y las personas

que actúen en apoyo de esas fuerzas armadas que estén bajo su mando, control y

responsabilidad oficiales;

g) instalación de infraestructura: toda instalación de propiedad pública o privada que

se utilice para prestar o distribuir servicios al público, como los de abastecimiento

de agua, alcantarillado, energía, combustible o comunicaciones;

h) instalación pública o gubernamental: toda instalación o vehículo permanente o

provisional utilizado u ocupado por representantes de un Estado, miembros del

gobierno, del órgano legislativo o del judicial, funcionarios o empleados de una

entidad estatal o administrativa o funcionarios o empleados de una organización

intergubernamental a los efectos del desempeño de sus funciones oficiales;

i) lugar de uso público: las partes de todo edificio, terreno, vía pública, curso de agua u

otro emplazamiento que sea accesible o esté abierto al público de manera permanente,

periódica u ocasional, e incluye todo lugar comercial, empresarial, cultural, histórico,

educativo, religioso, gubernamental, de entretenimiento, recreativo o análogo que sea

accesible en tales condiciones o esté abierto al público;

j) medios navales: los buques, embarcaciones y artefactos navales a los que se refiere la

ley nacional, y los demás de cualquier otro tipo, no sujetos de manera permanente al

fondo marino, incluidos vehículos de sustentación dinámica, sumergible o flotante;

k) persona internacionalmente protegida: un jefe de Estado, incluso cada uno de los

miembros de un órgano colegiado cuando, de conformidad con la Constitución

respectiva, cumpla las funciones de jefe de Estado, un jefe de gobierno o un ministro

de Relaciones Exteriores, siempre que tal persona se encuentre en un Estado

extranjero, así como los miembros de su familia que lo acompañen; y cualquier

representante, funcionario o personalidad oficial de un Estado o cualquier funcionario,

personalidad oficial u otro agente de una organización intergubernamental que, en

el momento y en el lugar en que se cometa un delito contra él, sus locales oficiales,

su residencia particular o sus medios de transporte, tenga derecho, conforme al

derecho internacional, a una protección especial contra todo atentado a su persona,

libertad o dignidad, así como los miembros de su familia que formen parte de su

casa; y

l) plataforma fija: una isla artificial, instalación o estructura sujeta de manera

permanente al fondo marino con fines de exploración o explotación de los recursos

u otros fines de índole económica.

3. Para los términos y expresiones que se emplean en este Código, en lo concerniente

a las telecomunicaciones, las tecnologías de la información y la comunicación y sus

servicios, rigen las precisiones que al respecto se formulan en la ley cubana, los tratados

en vigor para la República de Cuba y en los glosarios técnicos especializados que están

reconocidos y aprobados por el Ministerio de Comunicaciones; y, en ausencia de las

anteriores, rigen las que generalmente se reconocen como válidas en la práctica en esa

materia.

23Sep/24

Ley 154/2022, de 16 de mayo de 2022 GOC-2022-1103-O122 “De los Derechos del Autor y del Artista Intérprete”

23 septiembre, 2024Cuba, Leyautor obra escrita, autor obra musical, Base de datos, Código abierto, Constitución República de Cuba, Contrato de creación de una obra por encargo, Contrato de edición, Contrato de representación y ejecución pública, Derecho Cubano, Derecho del Productor de fonograma, Derecho Informático Cuba, Derechos del Autor y del artísta intérprete, Director-realizador, Gestión Colectiva de Derechos, Legislación Cubana, Legislación Informática Cuba, Obra de colaboración periodistica, Programa y aplicación informática, Transmisión de titularidad, Utilización de la creación sin autorización y con remuneraciónJosé Cuervo

Ley 154/2022, de 16 de mayo de 2022 GOC-2022-1103-O122 “De los Derechos del Autor y del Artista Intérprete”.(Gaceta Oficial de la República de Cuba nº 122 Ordinaria de 5 de diciembre de 2022)

Ley 154/2022 “De los Derechos del Autor y del Artista Intérprete” (GOC-2022-1103-O122)

ASAMBLEA NACIONAL DEL PODER POPULAR

JUAN ESTEBAN LAZO HERNÁNDEZ, Presidente de la Asamblea Nacional del Poder Popular de la República de Cuba.

HAGO SABER: Que la Asamblea Nacional del Poder Popular, en su sesión de 16 mayo de 2022, correspondiente a la Quinta Sesión Extraordinaria de la Novena Legislatura, ha aprobado lo siguiente:

POR CUANTO: El Artículo 32 de la Constitución de la República de Cuba distingue la creación literaria y artística entre los postulados de la política educativa, científica y cultural del Estado; asimismo, en su Artículo 62, dispone el reconocimiento a las personas de los derechos derivados de la creación intelectual, conforme a la ley y los tratados internacionales, y el ejercicio de los derechos adquiridos por los creadores y titulares en correspondencia con la ley, en función de las políticas públicas.

POR CUANTO: La Ley 14 “Ley del Derecho de Autor”, de 28 de diciembre de 1977, y sus disposiciones complementarias, favorecieron la protección de los derechos de autor y la más amplia difusión de las creaciones de la ciencia, la técnica, la educación y de la cultura en general; no obstante, los cambios suscitados en el transcurso de estos años en los procesos de creación y difusión de sus resultados indican la necesidad de actualizar las normas en esta materia, y ampliar su alcance a otros creadores y sujetos también relevantes en esos procesos.

POR TANTO: La Asamblea Nacional del Poder Popular, en ejercicio de las atribuciones que le confiere el Artículo 108, inciso c), de la Constitución de la República de Cuba, acuerda aprobar la siguiente:

LEY nº 154 DE LOS DERECHOS DEL AUTOR Y DEL ARTISTA INTÉRPRETE

CAPÍTULO I.- DISPOSICIONES GENERALES

Artículo 1.1. La presente Ley regula el derecho de las personas sobre su creación literaria y artística, y el ejercicio de este.

2. A los efectos de esta Ley, la expresión creación intelectual literaria y artística comprende los campos de las bellas letras, del arte, el científico, el educacional, el periodístico, el comunicacional y el técnico.

Artículo 2. El ejercicio por los creadores y por otros titulares de los derechos reconocidos por la presente Ley se conjuga con el interés de la sociedad por su desarrollo, bajo el principio del más amplio acceso a la creación literaria y artística, y los demás consagrados en la Constitución de la República de Cuba.

Artículo 3. La protección que esta Ley establece surge por el acto mismo de la creación. Artículo 4. Lo dispuesto en esta Ley, en los casos de los extranjeros, se aplica conforme a lo establecido en la Constitución de la República de Cuba.

Artículo 5. Los derechos que esta Ley reconoce son independientes, compatibles y pueden ser invocados simultáneamente con:

a) Los demás derechos que la propia Ley establece;

b) los derechos de propiedad y otros que existan sobre el objeto material que contiene la creación; y

c) los derechos de propiedad industrial que puedan existir sobre la creación.

Artículo 6. El ejercicio del derecho sobre una creación relacionada en cualquier forma con la utilización de un bien o una manifestación del patrimonio cultural se rige, en lo que corresponda, por lo establecido en las disposiciones normativas sobre protección del patrimonio cultural.

CAPÍTULO II.- OBJETO, SUJETOS Y CONTENIDO DE LOS DERECHOS SOBRE LA CREACIÓN LITERARIA Y ARTÍSTICA

SECCIÓN PRIMERA.- Creaciones protegidas

Artículo 7. Esta Ley protege lo siguiente:

1. Las obras originales, expresadas o reproducibles por cualquier medio, comprendidas, entre otras:

a) La obra escrita y la oral;

b) la obra musical, con letra o sin ella;

c) la obra dramática y la dramático-musical, la coreográfica y la pantomímica, u otras de las artes escénicas;

d) la obra cinematográfica u otra audiovisual;

e) la obra de dibujo, diseño, pintura, grabado, escultura u otras de las artes visuales, así como sus bocetos;

f) el performance u otras formas de expresión del arte experimental;

g) la obra de arte aplicado, en la medida que la expresión de su contenido artístico pueda ser separado del carácter industrial de los objetos a los cuales estén incorporadas;

h) la obra fotográfica y la expresada por procedimiento análogo a la fotografía;

i) la obra arquitectónica y de ingeniería y su plano, maqueta, croquis, diseño o proyecto;

j) el mapa, gráfico y diseño topográfico y geográfico; y

k) el programa y aplicación informática.

2. La actuación, canto, baile u otra forma de interpretación o ejecución de una obra o una manifestación del patrimonio cultural.

Artículo 8. También, se protege en esta Ley las obras derivadas, en cuanto tenga de original y sin perjuicio, en su caso, del derecho del autor de la obra preexistente, tales como las siguientes:

a) La traducción, adaptación, versión y demás transformaciones de carácter creativo realizadas a partir de una obra original;

b) el arreglo musical;

c) el compendio y resumen; y

d) la colección de obras, la enciclopedia, la antología u otra compilación que por la selección o disposición de las materias constituya una creación original. Artículo 9 no son objeto de protección en esta Ley:

a) La idea en sí misma, que sirve de base para la creación de una obra;

b) el dato y el hecho en sí mismo;

c) el procedimiento, la fórmula, la solución, el sistema, el principio, el descubrimiento, la innovación, el algoritmo, el método de operación o concepto matemático en sí;

d) el texto oficial de orden legislativo, administrativo o judicial, ni su traducción oficial;

e) el discurso político y el pronunciado en debate judicial o parlamentario, ni su traducción oficial, sin perjuicio de la facultad exclusiva del autor a la compilación de estos; y

f) la noticia del día y del suceso que tiene carácter de simple información de prensa.

SECCIÓN SEGUNDA.- Creadores y otros titulares

Artículo 10.1. Se considera creador, a los efectos de esta Ley, a la persona natural que:

a) Crea una obra, y por ello ostenta la condición de autor; e

b) interpreta o ejecuta una obra, y por ello ostenta la condición de artista intérprete o ejecutante.

2. El director de escena y el director de orquesta tendrán los derechos reconocidos a los artistas en esta Ley.

3. Se reconoce la protección que la presente Ley concede a los creadores, a otras personas naturales o jurídicas, en los casos que expresamente esta Ley establece.

Artículo 11. Se presume creador, salvo prueba en contrario, a quien aparezca como tal en la obra o asociado a la interpretación, mediante su nombre, firma o signo que lo identifique.

Artículo 12. Si no se identifica claramente al autor, por haberse divulgado la obra en forma anónima o bajo seudónimo, el ejercicio de las facultades de carácter económico sobre esta corresponde a la persona natural o jurídica que la divulga, mientras aquel no revele su identidad.

Artículo 13.1. Si dos o más autores crean en colaboración una obra, las facultades de carácter económico sobre el resultado unitario de esta corresponden a todos ellos en la proporción que determinen; a falta de acuerdo entre ellos, se resuelve por métodos alternos de solución de conflictos o por la vía judicial.

2. Para divulgar y modificar la obra se requiere el consentimiento de todos los coautores; a falta de acuerdo entre ellos, se resuelve por métodos alternos de solución de conflictos o por la vía judicial.

3. Para utilizar la obra en forma diferente a la que fue divulgada originalmente se requiere el consentimiento de todos los coautores, pero una vez divulgada, ninguno de ellos puede variar su consentimiento para utilizarla en la forma que se divulgó.

4. Los coautores de la obra pueden explotar separadamente su aporte individual, a menos que ello perjudique la explotación de la obra en común o salvo pacto expreso en contrario.

Artículo 14.1. Si dos o más autores crean una obra bajo la coordinación o dirección de una persona natural o jurídica y dicha obra comprende la reunión de las contribuciones de cada cual sin atribuirse estas de manera separada, las facultades de carácter económico sobre ese conjunto único y autónomo corresponde a la persona que la coordina o dirige y la divulga bajo su nombre.

2. Salvo pacto en contrario, los autores conservan dichas facultades respecto a sus aportes, que pueden ser explotados de manera independiente, siempre que esto se haga de buena fe y no se perjudique injustificadamente la explotación de la obra colectiva.

Artículo 15.1. En la creación realizada bajo relación de empleo, asociada al cumplimiento del contenido de trabajo, las facultades de divulgación y de carácter económico sobre dicha creación corresponden al empleador y se ejercen según lo pactado en el contrato de trabajo.

2. Si el empleador recibe ingresos directamente asociados a la explotación comercial de la creación puede, según el caso, acordar con el creador una remuneración adicional, independiente del salario y proveniente de tales ingresos.

3. Los jefes de los órganos, organismos de la Administración Central del Estado y entidades nacionales, según corresponda, para sus respectivos ámbitos de competencia, regulan sobre dicha remuneración su cuantía y forma de pago.

SECCIÓN TERCERA.- Facultades de los creadores

Artículo 16. El derecho de los autores que reconoce esta Ley a quien crea una obra y el derecho que se le reconoce en la misma a los artistas intérpretes y ejecutantes respecto a sus prestaciones personales creativas, está integrado por las facultades de carácter moral y las facultades de carácter económico que en ella se establecen.

Artículo 17. Corresponden al autor las facultades de carácter moral siguientes:

a) Reivindicar el reconocimiento de su condición de autor, de modo que se acredite su nombre o seudónimo asociado a la creación;

b) decidir si la obra ha de ser divulgada, en qué forma y momento, y determinar, en su caso, si tal divulgación se hace con su nombre, bajo seudónimo o si se mantiene en el anonimato;

c) oponerse a cualquier deformación, mutilación u otra modificación, o a cualquier atentado contra su obra que cause perjuicio a su honor o a su reputación;

d) modificar su creación, respetando las facultades de terceros y las exigencias de la protección del Patrimonio Cultural; y

e) retirar la creación de la circulación o de sitio público, en cuyo caso indemniza al utilizador legítimo por los daños y perjuicios que ocasione; esta facultad no es ejercitable en detrimento de los intereses legítimos de otros creadores; si el autor decidiera reiniciar la explotación de la obra, tiene prioridad para ello quien era utilizador legítimo al momento de la retirada.

Artículo 18. Corresponden al artista intérprete o ejecutante las facultades de carácter moral siguientes:

a) Reivindicar el reconocimiento de su condición de artista, de modo que se acredite su nombre o seudónimo asociado a la creación, excepto cuando la omisión se justifique por la manera de utilizar la interpretación o ejecución;

b) oponerse a cualquier deformación, modificación, alteración o atentado contra su interpretación o ejecución, que suponga perjuicio a sus legítimos intereses o menoscabo a su reputación;

c) oponerse al doblaje de su interpretación en su propia lengua; y

d) retirar su creación de la circulación por cambios en sus convicciones, en cuyo caso indemniza al utilizador legítimo por los daños y perjuicios que ocasione; esta facultad no es ejercitable en detrimento de los intereses legítimos de otros creadores; si el creador decidiera reiniciar la explotación de la creación, tiene prioridad para ello el utilizador legítimo al momento de la retirada.

Artículo 19.1. A la muerte del creador, queda legitimada para la defensa de la condición de creador del fallecido, la integridad de sus creaciones, así como para decidir sobre la divulgación de creaciones póstumas, aquella persona natural o jurídica a quien el creador le haya confiado expresamente por disposición de última voluntad tales facultades; de no existir esta disposición, quedan legitimados para ello sus sucesores, siempre que no conste que el creador hubiera manifestado en vida su oposición expresa a que la creación sea divulgada.

2. De no existir acuerdo entre los sucesores, o entre estos y la persona designada en vida por el autor para el ejercicio de estas facultades, se resuelve por métodos alternos de solución de conflictos o por la vía judicial.

3. A falta de herederos o legatarios, tales facultades competen al Estado a través de la entidad que al efecto designe el Ministro de Cultura.

Artículo 20. Una creación es divulgada cuando se hace accesible por primera vez al público en cualquier forma, mediante su publicación editada, representación, interpretación o por cualquier otro medio.

Artículo 21.1. El autor de una obra arquitectónica no puede oponerse a las modificaciones que sea imprescindible introducir a esta después de su construcción, pero tiene preferencia para el estudio y realización de dichas modificaciones.

2. En todo caso, si las modificaciones de la obra se realizan sin el consentimiento del creador, este puede repudiar la paternidad sobre esta y oponerse a que se invoque en el futuro su nombre en el proyecto original.

Artículo 22. Corresponden al autor las facultades de carácter económico de autorizar o impedir lo siguiente:

a) La reproducción, directa o indirecta, mediante la obtención de copias de la creación, de su fijación o grabación y su distribución a través de la puesta a disposición del público mediante venta u otro medio de transmisión de la propiedad o la posesión;

b) la comunicación pública de la creación;

c) la transformación creativa de una obra preexistente, de la que se derive otra diferente, tales como la adaptación y la traducción; y

d) la puesta a disposición del público de su creación en redes informáticas de forma tal que cualquier persona puede acceder a la creación desde el lugar y en el momento que elija.

Artículo 23. Corresponden al artista intérprete o ejecutante las facultades de carácter económico de impedir, cuando se emprendan sin su autorización, lo siguiente:

a) La fijación de su creación no fijada;

b) la reproducción, directa o indirecta, mediante la obtención de copias de la fijación o grabación de su creación y su distribución a través de la puesta a disposición del público, de soportes materiales que contienen dicha creación, mediante venta u otro medio de transmisión de la propiedad o la posesión;

c) la comunicación pública de su creación, excepto cuando la interpretación o ejecución es transmitida por la radio o la televisión o se realiza a partir de una fijación previamente autorizada; y

d) la puesta a disposición del público de su creación en redes informáticas de forma tal que cualquier persona puede acceder a la creación desde el lugar y en el momento que elija.

Artículo 24. Las facultades de distribución previstas en el inciso a) del Artículo 22, y en el inciso b) del Artículo 23, de esta Ley, se extinguen para las sucesivas ventas del ejemplar o soporte, a partir de la primera.

Artículo 25. Son actos de comunicación pública, especialmente y de acuerdo con lo dispuesto en esta Ley:

a) La representación escénica y la ejecución pública de la creación dramática, dramático-musical y musical, y la recitación, narración, oratoria y disertación de obras escritas u orales, por cualquier medio o procedimiento;

b) la exhibición de la obra cinematográfica u otra creación audiovisual;

c) la difusión de la creación por la radio o la televisión, o su divulgación por cualquier otro medio que sirva para la difusión inalámbrica de signos, sonidos o imágenes;

d) la transmisión de la creación por cable, hilo, fibra óptica u otro medio análogo;

e) la retransmisión de la creación radiodifundida, por cualquiera de los medios citados en los incisos c) y d) de este Artículo, por la misma entidad emisora o una diferente de la de origen;

f) la comunicación pública, mediante cualquier instrumento idóneo, de la creación radiodifundida o transmitida;

g) la exposición pública de obras de arte o sus reproducciones; y

h) el acceso público a una base de datos, cuando esta constituye o incorpora creaciones protegidas.

Artículo 26. La autorización para retransmitir una creación comprende la transmisión por cable, cuando se realice simultánea e íntegramente por la entidad de origen y sin exceder la zona geográfica prevista en dicha autorización.

Artículo 27. No se considera pública la comunicación cuando se efectúe dentro de un ambiente privado o doméstico, sin estar asociada a la obtención de ingresos y siempre que no esté integrado o conectado a una red de difusión.

Artículo 28. Las facultades de carácter económico son independientes entre sí; la autorización para el ejercicio de una de estas no implica a las demás, salvo los casos regulados en esta Ley.

Artículo 29. El creador puede reunir y publicar en colección, escogida o completa, sus creaciones, cuyas facultades de carácter económico haya previamente transmitido, salvo pacto expreso en contrario.

Artículo 30. El propietario u otra persona que ostente derechos reales sobre el objeto material que contiene la creación no adquiere ninguna facultad respecto a dicha creación, a menos que el creador haya autorizado expresamente alguna de carácter económico.

Artículo 31. El propietario u otra persona que ostente derechos sobre el objeto material que contiene una obra de las artes visuales o de un manuscrito, adquiere, por este título, la facultad de exposición pública de la obra, aunque esta no haya sido divulgada, salvo que el creador la excluya expresamente en el acto de enajenación del original.

Artículo 32. El creador tiene el derecho de acceder al ejemplar único o raro de su creación, siempre que ello sea necesario para el ejercicio de cualquiera de las facultades establecidas en esta Ley, previo acuerdo con el propietario del ejemplar, e indemnización, en su caso, por los daños y perjuicios que por ello se pudieran ocasionar.

Artículo 33. La utilización de una creación, según se regula en esta Ley, conlleva el pago de una remuneración, que se fija por acuerdo con el titular de la creación o, en su caso, según las normas que establece la autoridad nacional competente.

Artículo 34.1. Corresponde al artista intérprete o ejecutante el derecho a obtener una remuneración equitativa por la comunicación pública y la puesta a disposición del público, en redes informáticas asociadas a la obtención de ingresos, de un fonograma publicado, de una reproducción de dicho fonograma o de una grabación audiovisual.

2. Quien realiza dichos actos, resulta obligado a efectuar esa remuneración a través de la organización de gestión colectiva de derechos que corresponda.

Artículo 35.1. Los creadores pueden renunciar expresa y voluntariamente a las facultades de carácter económico que ostenten sobre sus creaciones, pudiendo declarar que no se requiere de su autorización ni desean ser remunerados por la utilización de sus creaciones, o emitir una licencia abierta para el uso de estas con el alcance que considere.

2. El alcance de dicha declaración es compatible con el ejercicio de aquellas facultades que implican remuneración y se ejercen mediante gestión colectiva de derechos.

CAPÍTULO III.- DISPOSICIONES PARA DETERMINADAS CREACIONES

SECCIÓN PRIMERA.- Disposición general

Artículo 36. Para lo no regulado en este Capítulo se aplican las disposiciones de esta Ley, en lo que resulte pertinente a la creación en cuestión.

SECCIÓN SEGUNDA.- Obra audiovisual

Artículo 37. Sin perjuicio de los derechos que corresponden a los autores de las obras preexistentes sobre sus respectivas creaciones y salvo prueba en contrario, se consideran, fundamentalmente, coautores de la obra audiovisual, los siguientes:

a) El director-realizador;

b) el autor de la obra escrita, tales como el argumento, la adaptación, el guion, los diálogos; y

c) el autor de la obra musical, con letra o sin ella, creada expresamente para la obra audiovisual.

Artículo 38.1. Se presumen transmitidas en exclusiva a la persona natural o jurídica bajo cuya responsabilidad como productor se realiza la obra audiovisual, mediante con- trato y salvo pacto expreso en contrario, las facultades de reproducción, distribución, comunicación pública y puesta a disposición del público en redes informáticas, por el tiempo de duración establecido para estas facultades, todo ello sin perjuicio de los derechos a percibir remuneración, de los demás que corresponden a los creadores, así como de las limitaciones, que regula esta Ley.

2. Es productor de la obra audiovisual la persona natural o jurídica que realiza la coordinación y tiene la responsabilidad de su producción.

Artículo 39. Se presume que el autor o titular de la facultad de transformación de una obra preexistente transmite al productor de la obra audiovisual las facultades de carácter económico del Artículo 22, cuando autoriza dicha transformación, salvo pacto expreso en contrario.

Artículo 40.1. La remuneración a los creadores por la utilización de obras audiovisuales y a los de las obras preexistentes, en cada una de las modalidades de explotación transmitidas al productor, se determina en el respectivo contrato.

2. No obstante, en todo caso, los creadores tienen derecho a percibir un porcentaje de los ingresos por la exhibición pública de la obra audiovisual, cuando se proyecta en lugares públicos, mediante el cobro de un precio de entrada; dicha remuneración se exige a quienes exhiben públicamente la obra.

Artículo 41.1. Sin perjuicio de las facultades de carácter moral reconocidas al autor en el Artículo 17 de esta Ley, cuando el creador de la obra audiovisual no completare su aporte por cualquier causa no imputable al productor, este puede contratar con un tercero su conclusión; el creador inicialmente contratado conserva su derecho sobre la parte que quede incluida en la obra.

2. Se considera terminada la obra audiovisual cuando ha sido establecida la versión definitiva, de acuerdo con lo pactado entre el director-realizador y el productor.

3. Las facultades de carácter moral de los creadores solo pueden ser ejercidas sobre la versión definitiva de la obra audiovisual.

Artículo 42. Las disposiciones contenidas en esta Sección se aplican, en lo que corresponda, a las creaciones realizadas para la radio.

SECCIÓN TERCERA.- Obra de colaboración periodística

Artículo 43. La autorización para el uso de una obra de colaboración periodística en un medio de comunicación social, otorgada por un autor que la crea fuera del contenido de trabajo correspondiente a su empleo, solo confiere al medio el derecho a insertar la obra por primera vez, salvo pacto expreso en contrario.

SECCIÓN CUARTA.- Programa y aplicación informática

Artículo 44.1. Se protegen en esta Ley los programas y aplicaciones informáticas.

2. Dicha protección se otorga independientemente de que el programa y aplicación informática hayan sido incorporados en un dispositivo informático o no, y cualquiera sea la forma en que esté expresado, legible por el ser humano, como código fuente, o legible por máquina, como código objeto; ya sea sistema operativo o aplicativo, incluido el diagrama de flujo, plano, manual de uso y, en general, aquellos elementos que conformen su estructura, secuencia y organización.

3. Se protegen, además, las versiones sucesivas del programa y la aplicación informática, y los derivados de estos.

Artículo 45.1. El productor es el titular de las facultades de carácter económico sobre un programa y aplicación informática.

2. Se considera productor a la persona natural o jurídica bajo cuya responsabilidad se crea un programa y aplicación informática.

3. Se presume productor, salvo prueba en contrario, a la persona cuyo nombre conste como tal de forma usual en dicho programa y aplicación informática, o en sus copias.

Artículo 46.1. El productor o aquel que conste como titular de las facultades de carácter económico sobre un programa y aplicación informática adquiridas a través de alguna de las formas de transmisión reconocidas en la Ley, está legitimado para defender la integridad de la obra y decidir sobre su puesta en circulación.

2. El titular de las facultades de carácter económico sobre un programa y aplicación informática, está legitimado para impedir que terceras personas realicen sin su consentimiento versiones sucesivas del programa y la aplicación informática, y de los que se deriven de estos, salvo en los casos expresamente regulados en esta Ley.

Artículo 47.1. Las adaptaciones o transformaciones de un programa o aplicación informática, resultado de acciones amparadas en las limitaciones establecidas en esta Ley, pueden ser transferidas, siempre que medie autorización expresa del titular de las facultades respectivas.

2. Asimismo, las copias obtenidas al amparo de dichas limitaciones pueden ser transferidas si se hace conjuntamente con el programa que les sirvió de matriz.

Artículo 48. La introducción de un programa y aplicación informática en la memoria interna de un dispositivo informático, para efectos de su exclusivo uso personal, no constituye reproducción, a los efectos previstos en esta Sección.

Artículo 49. Es lícito, salvo acuerdo expreso en contrario, el aprovechamiento del programa y aplicación informática para su uso en varias estaciones de trabajo mediante la instalación de redes, estaciones de trabajo u otros procedimientos similares.

SECCIÓN QUINTA.- Programa y aplicación informática de código abierto

Artículo 50.1. El productor que otorga licencia para el uso de un programa o aplicación informática de código abierto garantiza al usuario el acceso al código fuente y lo faculta para usar dicho programa informático, de conformidad con lo establecido en la licencia.

2. El productor puede otorgar a los usuarios, entre otras, las facultades siguientes:

a) El uso del programa para cualquier propósito;

b) la inspección exhaustiva del funcionamiento del programa;

c) la modificación del programa para adaptarlo a cualquier necesidad;

d) la confección y distribución de copias;

e) la distribución de copias de sus versiones modificadas;

f) el manejo y almacenamiento de los datos en los que se conoce su estructura y se permite su modificación y acceso, no imponiéndosele ninguna restricción para su uso; y

g) el acceso a toda la información asociada al programa informático, lo que incluye la documentación y demás elementos técnicos diseñados para su entrega, necesarios para realizar la configuración, instalación y operación del programa y aplicación informática, y que se presentan en estándares de acceso abierto.

Artículo 51. Las obras derivadas de programas y aplicaciones informáticas de código abierto pueden ser programas informáticos de código propietario, siempre que aquello no esté prohibido en la licencia de la obra original.

Artículo 52. Se excluyen de la protección concedida en esta Sección, las formas estándares de desarrollo de programa y aplicación informática, y las creaciones malignas o dañinas que ocasionan o pueden ocasionar efectos nocivos en los sistemas informáticos.

SECCIÓN SEXTA.- Base de datos

Artículo 53.1. Se protege la base o compilación de datos o de otros materiales que, por razón de la originalidad en la selección o disposición de su contenido, tiene carácter creativo.

2. A los efectos de la presente Ley, y sin perjuicio de lo dispuesto en el apartado anterior, se consideran bases de datos las colecciones de obras, de datos o de otros elementos independientes dispuestos de manera sistemática o metódica y accesibles individualmente por medios electrónicos o de otra forma.

3. Dicha protección, según la presente Ley, no comprende los datos o la información recopilada en la base de datos en sí mismos, y se entiende sin perjuicio de cualquier derecho sobre estos y del derecho a acceder a la información pública que se garantiza por disposición legal.

Artículo 54. La protección reconocida a las bases de datos en virtud de la presente Ley no se aplica a los programas y aplicaciones informáticas utilizados en la fabricación o en el funcionamiento de bases de datos accesibles por medios electrónicos.

CAPÍTULO IV.- TRANSMISIÓN DE LA TITULARIDAD DE LAS FACULTADES DE CARÁCTER ECONÓMICO Y CONTRATOS DE UTILIZACIÓN DE LA CREACIÓN

SECCIÓN PRIMERA.- Transmisión de la titularidad de facultades de carácter económico

Artículo 55.1. Las facultades de carácter económico pueden transmitirse por actos inter vivos entre personas naturales o jurídicas, limitándose la transferencia a las modalidades de utilización convenidas, por el tiempo y los territorios determinados en el acto de transmisión.

2. Esos actos se consideran nulos cuando en ellos no se expresen las modalidades de utilización de la obra.

3. El alcance de la transmisión de estas facultades se limita a las modalidades de utilización y a los medios de difusión existentes o conocidos hasta la fecha de perfección del contrato.

Artículo 56.1. El acto de transmisión entre personas naturales o jurídicas se efectúa por escrito, y si en el mismo no se expresan el tiempo de duración ni el ámbito territorial de aplicación, estos quedan limitados a cinco años y al país en que el adquirente ejercite habitualmente su actividad.

2. Asimismo, si en el acto de transmisión no se expresa si esta es o no en exclusiva, se entiende que no lo es.

Artículo 57.1. No es válida la transmisión de facultades de carácter económico referida al conjunto o totalidad de la producción futura de un creador, sin perjuicio de lo prescrito respecto de las creaciones realizadas bajo relación de dependencia laboral o por encargo.

2. Es nula toda estipulación que comprometa al creador a no crear, por cualquier lapso de tiempo, determinado o indeterminado.

Artículo 58.1. La transmisión otorgada a título oneroso confiere a los titulares de los derechos correspondientes el derecho a obtener una remuneración proporcional a los ingresos económicos resultantes de la utilización de la creación.

2. No obstante el principio anterior, puede estipularse una remuneración de una cantidad fija para el autor en los casos siguientes:

a) Exista dificultad para determinar los ingresos, o su comprobación sea imposible o demasiado costosa;

b) la obra tenga carácter accesorio respecto de la finalidad o del soporte material a que se destine;

c) la obra, utilizada con otras, no constituya un elemento esencial de la creación intelectual en la que se integre;

d) se realice la primera o única edición de las obras no publicadas con anterioridad siguientes:

i. Diccionarios, antologías y enciclopedias;

ii. prólogos, anotaciones, introducciones y presentaciones;

iii. obras de contenido científico;

iv. trabajos de ilustración de una obra; y

v. ediciones populares a precios módicos;

e) las partes así lo acuerden.

Artículo 59.1 La transmisión de facultades de carácter económico con carácter de exclusividad atribuye al adquirente la facultad de explotar la creación con exclusión de otra persona, comprendido el que transmite.

2. También atribuye al adquirente, salvo pacto expreso en contrario, la facultad de otorgar autorizaciones no exclusivas a terceras personas.

3. Asimismo, le confiere al adquirente legitimación para actuar por sí mismo, sin menoscabo de la que corresponde al titular que transmite, o conjuntamente con este, para hacer valer las facultades transmitidas.

Artículo 60.1. El adquirente en exclusiva puede transmitir a otro sus facultades con el consentimiento previo y expreso del anterior titular.

2. Los adquirentes responden solidariamente frente al primer titular por las obligaciones de la transmisión.

3. Es necesario dicho consentimiento, aun cuando la transmisión se vaya a efectuar como consecuencia de la disolución o del cambio de titularidad de la persona jurídica a la que se transmiten.

Artículo 61.1. Las facultades adquiridas con carácter no exclusivo quedan limitadas a los términos de la transmisión, en concurrencia con otros posibles adquirentes y con el propio titular de estas; las facultades así adquiridas son intransmisibles, salvo en los supuestos previstos en el apartado tercero del artículo anterior.

2. Las licencias o autorizaciones no exclusivas otorgadas por las entidades de gestión colectiva para la utilización del repertorio que administran son, en todo caso, intransmisibles.

Artículo 62.1. Las facultades de carácter económico que esta Ley reconoce al creador se transmiten por causa de muerte a sus sucesores, conforme con la legislación vigente en materia civil, por el tiempo de duración que está previsto en la presente Ley y sin perjuicio de los derechos que correspondan a otras personas por actos jurídicos realizados en vida por el creador.

2. De no existir acuerdo para el ejercicio de estas facultades entre los sucesores, se resuelve por métodos alternos de solución de conflictos o por la vía judicial.

SECCIÓN SEGUNDA.- Disposiciones generales para los contratos

Artículo 63. Sin perjuicio de lo establecido en este Capítulo, las partes acuerdan en los contratos para la utilización de las creaciones, las estipulaciones siguientes:

a) La descripción de la obra;

b) la cantidad de reproducciones que comprende, en caso que corresponda;

c) el plazo para la puesta en circulación de las reproducciones;

d) la forma en que se remunera al creador o titular;

e) el tiempo por el que se transmiten los derechos;

f) carácter exclusivo o no de la transmisión y el término de esta;

g) el ámbito territorial; y

h) las modalidades de utilización convenidas.

SECCIÓN TERCERA.- Contrato de edición

Artículo 64. Por medio del contrato de edición, el autor o sus derechohabientes otorgan a la editorial su consentimiento, por un plazo determinado, para editar una obra y, si así se conviniere, la autorización para difundir la obra editada; la editorial se compromete a editar dicha obra, a difundirla, en su caso, y a abonar la remuneración correspondiente.

Artículo 65. El autor conserva el derecho de hacer las correcciones que estime pertinentes antes de que se acuerde la presentación final de la impresión.

Artículo 66.1. El derecho de editar separadamente varias obras del mismo autor no confiere a la editorial el derecho de editarlas en conjunto.

2. El derecho de editar el conjunto de obras del mismo autor no confiere a la editorial el derecho a editarlas por separado.

SECCIÓN CUARTA.- Contrato de representación y ejecución pública

Artículo 67. Por el contrato de representación o ejecución pública el autor de una obra dramática, dramático-musical, musical, coreográfica o pantomímica, o el titular de las facultades de carácter económico sobre esta, otorga a una persona natural o jurídica el derecho a representarla o ejecutarla públicamente a cambio de una remuneración convenida.

SECCIÓN QUINTA.- Contrato de creación de una obra por encargo

Artículo 68.1. Mediante el contrato de creación de una obra por encargo, una persona se compromete a crear una obra para otra persona y otorga su consentimiento para su utilización, en la forma y bajo las condiciones que en el contrato se estipulen.

2. Con el contrato se presumen transmitidas las facultades de carácter económico a la persona que encarga la creación, salvo pacto expreso en contrario.

CAPÍTULO V.- DERECHO DEL PRODUCTOR DE FONOGRAMA

Artículo 69. La persona natural o jurídica bajo cuya responsabilidad se fijan por primera vez los sonidos de una interpretación o ejecución, representación digital u otros sonidos en un fonograma, tiene, respecto a este, derecho a autorizar o prohibir la reproducción directa o indirecta de dicho fonograma.

CAPÍTULO VI.- LÍMITES DE LOS DERECHOS

SECCIÓN PRIMERA.- Disposiciones generales

Artículo 70. Si a la muerte o declaración de fallecimiento del creador, sus derechohabientes ejercen su derecho a la no divulgación en condiciones que vulneren los derechos de las personas a la educación y a la cultura, dispuestos en el Artículo 46 de la Constitución de la República de Cuba, a petición de instituciones públicas de carácter cultural o de cualquier otra persona que tenga un interés legítimo, se resuelve por métodos alternos de solución de conflictos o por la vía judicial.

Artículo 71. Son ilícitos la medida tecnológica y el acuerdo contractual que eludan los límites a las facultades de carácter económico, según se regula en la presente Ley.

SECCIÓN SEGUNDA.- Duración de las facultades de carácter económico

Artículo 72. Las facultades de carácter económico respecto a una obra duran la vida del autor y cincuenta años posteriores a su fallecimiento, a excepción de los casos previstos en esta Sección.

Artículo 73.1. Las facultades de carácter económico respecto a una obra anónima o seudónima duran cincuenta años posteriores a su divulgación, siempre que la utilización del seudónimo deje dudas acerca de la identidad del autor o esta no haya sido revelada.

2. Si antes del vencimiento del mencionado plazo el autor revela su identidad, la duración se atiene a lo dispuesto en los artículos 72 y 74, según sea el caso.

Artículo 74.1. En el caso de las obras reguladas en el Artículo 13, comprendidas las cinematográficas y otras audiovisuales, el plazo a que se refiere el Artículo 72 comienza a contarse a partir del fallecimiento del último coautor sobreviviente.

2. En el caso de obras reguladas en el Artículo 14, el plazo es de cincuenta años posteriores a su divulgación.

Artículo 75. Las facultades de carácter económico respecto a una obra fotográfica y de arte aplicado están protegidas durante veinticinco años, contados desde la realización de tales obras.

Artículo 76. Las facultades de carácter económico reconocidas a los artistas, intérpretes o ejecutantes tienen una duración de cincuenta años, contados a partir de que haya tenido lugar la interpretación o la ejecución.

Artículo 77. La duración de las facultades de carácter económico, en el caso de obras divulgadas por partes, volúmenes, entregas o fascículos, que no sean independientes, comienza a transcurrir cuando la obra es divulgada y se calcula por separado para cada elemento.

Artículo 78. Los derechos reconocidos a los productores de fonogramas tienen una duración de cincuenta años desde la divulgación de la fijación sonora.

Artículo 79. El derecho reconocido al productor de la grabación audiovisual que no constituye obra audiovisual, tiene una duración de cincuenta años desde la divulgación de la grabación.

Artículo 80. Las facultades de carácter económico reguladas en la presente Ley sobre el programa y la aplicación informática, tienen una duración de cincuenta años a partir de que se haya divulgado.

Artículo 81. Las facultades de carácter económico reguladas en la presente Ley sobre la base de datos, tienen una duración de veinte años a partir de que se haya puesto en circulación.

Artículo 82. La duración de las facultades de carácter económico establecida en esta Ley se calcula desde el día primero de enero del año siguiente al del fallecimiento del creador o al de la divulgación lícita de la obra, según el caso.

SECCIÓN TERCERA.- Utilización de las creaciones una vez concluidos los plazos de duración de las facultades de carácter económico

Artículo 83. Concluidos los plazos de duración de las facultades de carácter económico establecidas en esta Ley, las respectivas creaciones pueden ser utilizadas sin autorización ni remuneración alguna, pero debe mencionarse el nombre del creador y respetarse su integridad.

Artículo 84. La creación cuyo creador renuncia de manera absoluta a sus facultades de carácter económico puede ser utilizada sin autorización ni remuneración alguna, y sin perjuicio de las facultades morales del creador.

Artículo 85. El Ministro de Cultura puede disponer el abono de una contribución especial para el desarrollo cultural por el uso generalizado de determinadas creaciones, en los casos de los dos artículos anteriores, y cuyas facultades de carácter económico requieren de gestión colectiva, regulando su cuantía, forma de pago y principios de administración de la contribución recaudada.

SECCIÓN CUARTA.- Utilización de las creaciones sin autorización ni remuneración

Artículo 86.1. Es lícito y no requiere autorización ni remuneración alguna, pero sí referencia al nombre del creador, la utilización de:

a) Creaciones en formatos accesibles para personas en situación de discapacidad, en la medida que estas lo requieran;

b) conferencias, alocuciones y otras obras de la misma naturaleza, emitidas en público, cuando tal utilización esté justificada por el fin informativo que se persigue; sin embargo, se reserva a su autor el derecho exclusivo sobre la compilación de estas obras;

c) creaciones en actos oficiales organizados por las instituciones del Estado o en coordinación con estas;

d) creaciones en procedimientos oficiales de la administración pública, legislativos, judiciales o para fines de seguridad pública;

e) creaciones para su análisis, comentario o juicio crítico con fines de enseñanza o de investigación, en la medida justificada por el fin que se persiga, debiendo indicar la fuente y sin manifestar una explotación encubierta de la obra;

f) creaciones intelectuales, por cualquier medio, en la medida justificada por el fin que se persiga, a título de ilustración para la enseñanza, debiendo mencionar la fuente y referir al creador, si este figura en la fuente;

g) creaciones intelectuales, por cualquier medio, por parte de las bibliotecas, instituciones de enseñanza, de investigación, de documentación y archivo, museos u otros de actividad similar, incluido el préstamo público, todo ello en la medida de las necesidades de la actividad específica, comprendido el acceso a creaciones de su colección para ser consultadas gratuita y simultáneamente, en terminales de redes de la respectiva institución o para usuarios de esa institución bajo su control;

h) artículos de actualidad con fines informativos, en casos en los que no se hayan reservado expresamente e indicando claramente la fuente;

i) creaciones vistas u oídas en el curso de acontecimientos públicos que aparezcan en informaciones, reproducciones incidentales o noticias de actualidad, en la medida justificada por el fin de la actividad;

j) creaciones para la demostración momentánea en sitios de comercio, del funcionamiento de equipos reproductores, dispositivos informáticos o similares;

k) obras de artes plásticas con fines de anuncio de su exposición pública o venta;

l) creaciones en determinados establecimientos públicos, como hospitales, clínicas o policlínicos, sanatorios, centros de asistencia social, círculos infantiles, instalaciones o unidades militares no destinadas a la recreación, asilos de ancianos, residencias de estudiantes u otras destinadas al alojamiento de colectivos especiales o específicos, siempre que la utilización esté destinada a los internos de dichos establecimientos, o casas de cultura, en actividades no asociadas directa o indirectamente a la obtención de ingresos económicos y sin pago por la prestación artística;

m) creaciones que resulten de actividades académicas o de investigación, tales como trabajos de titulación, proyectos de ciencia, tecnología e innovación, artículos académicos u otros análogos, por las instituciones públicas, de manera no exclusiva ni comercial, sin perjuicio de la relación de dependencia que pueda existir y de la posibilidad que la institución comercialice la creación, previo acuerdo con el creador para su remuneración;

n) creaciones sustentadas con recursos materiales o financieros del presupuesto del Estado por las instituciones estatales para el cumplimiento de sus fines;

ñ) fragmentos de una creación con fines promocionales de finalidad social y de promoción cultural;

o) creaciones que contienen información acerca de medicamentos, vinculada a la utilización segura y eficaz de estos; y

p) creaciones, de manera accesoria, en procesos tecnológicos.

2. Es también lícito y no requiere autorización ni remuneración alguna, pero sí referencia al nombre del creador:

a) La cita tomada de una creación que haya sido lícitamente divulgada, en la medida justificada por el fin que se persiga, comprendidas las de artículos periodísticos y colecciones periódicas bajo la forma de revistas de prensa; en estos casos se menciona la fuente y el nombre del creador, si este figura en la fuente;

b) la exposición pública de obras de arte o sus reproducciones, lícitamente divulgadas, realizada esta con fines de difusión cultural, siempre que no se cobre la entrada o haya un beneficio económico directo a favor del organizador;

c) la comunicación pública de creaciones en actividades culturales no asociadas directa ni indirectamente a la obtención de ingresos económicos y sin pago por la prestación artística, solo en la medida del fin que se persiga;

d) la reproducción por algún medio, salvo el que implique contacto directo con su superficie, de una obra de arte de cualquier tipo expuesta en sitio público de libre acceso;

e) la realización, por parte de un organismo de radiodifusión y mediante sus propios equipos y para la utilización en sus propias emisiones, de grabaciones efímeras de una obra sobre la cual tenga derecho a radiodifundir, estando autorizada la conservación de esas grabaciones en razón de su documentación;

f) la sátira, la caricatura o la parodia de una obra lícitamente divulgada siempre que se ajuste a las reglas de estos géneros, mientras no implique el riesgo de confusión con esta, ni ocasione daño a la creación o a la reputación de algún creador y que no constituya una explotación encubierta de la obra; y

g) la reproducción de creaciones y la transformación de obras ya divulgadas, para la utilización personal y la comunicación en el ámbito familiar o privado.

3. En cuanto a un programa y aplicación informática de lícita circulación, es también lícito y no requiere autorización ni remuneración alguna:

a) Copiar, transformar o adaptar un programa y aplicación informática para su utilización, por el propietario u otro usuario legítimo, de un ejemplar, siempre que ello no implique su utilización con fines comerciales;

b) copiar, por el propietario u otro usuario legítimo, un ejemplar con fines de seguridad y archivo, destinado exclusivamente a sustituir la copia legítimamente obtenida, cuando esta ya no pueda utilizarse por daño o pérdida;

c) realizar actividades de ingeniería inversa sobre una copia legítimamente obtenida de un programa y aplicación informática, que se realicen con el único propósito de lograr la compatibilidad operativa entre programas o para fines de investigación y educativos; y

d) efectuar actividades sobre una copia legítimamente obtenida de un programa y aplicación informática con el único propósito de probar, verificar, investigar o corregir su funcionamiento o la seguridad de este u otros programas y aplicaciones informáticas, de la red o del dispositivo informático sobre el que se aplica.

4. Las utilizaciones referidas en este Artículo, según corresponda, pueden hacerse también mediante traducciones.

SECCIÓN QUINTA.- Utilización de la creación sin autorización y con remuneración

Artículo 87. Es lícito y no requiere autorización, pero sí remuneración:

a) La grabación sonora de una obra musical, con la letra, cuya grabación haya sido autorizada por el autor de esta última con efecto limitado al territorio nacional;

b) la comunicación pública de obras divulgadas por organismos de radiodifusión u otros medios fundamentales de comunicación social; y

c) la comunicación pública de obras en actividades culturales no asociadas directa ni indirectamente a la obtención de ingresos económicos, pero con pago por la prestación artística.

Artículo 88.1. Quien pretenda utilizar una creación cuyos derechos pudieran encontrarse vigentes conforme a los plazos de protección establecidos en esta Ley, pero cuyos legítimos titulares no están identificados, o de estarlo, no ha sido posible su localización, debe ejecutar y consignar todos los actos y gestiones razonables tendientes a la obtención de la autorización que corresponda del titular del derecho.

2. En caso de que el legítimo titular aparezca y justifique debidamente tal condición, puede ejercer acciones para reivindicar sus derechos.

SECCIÓN SEXTA.- Utilización de la creación con autorización de la autoridad nacional competente

Artículo 89. La autoridad nacional competente en materia de derechos sobre creaciones literarias y artísticas puede otorgar licencias no exclusivas e intransferibles, sin que impliquen remuneración y con efecto en el territorio nacional, por necesidad educacional, cultural, de investigación u otro uso social, en los casos siguientes:

a) Cuando una creación no se encuentre traducida al idioma oficial del país, tal traducción no se encuentre disponible en el mercado nacional y hayan transcurrido tres años de haberse publicado la obra;

b) cuando una obra literaria o artística no se encuentre disponible en el mercado nacional y hayan transcurrido desde su publicación en cualquier forma:

i. Tres años en las obras de contenido científico o tecnológico;

ii. cinco años en las obras de contenido general; o

iii.siete años en las obras del campo de la imaginación, tales como novelas, poéticas, dramáticas y musicales, y para los libros de arte.

c) cuando una obra o grabación audiovisual, necesaria para la enseñanza, no se encuentre disponible o accesible en el mercado nacional y haya transcurrido un año desde su difusión en cualquier medio o formato.

CAPÍTULO VII.- GESTIÓN COLECTIVA DE DERECHOS

Artículo 90. La gestión colectiva de los derechos protegidos por esta Ley que así lo requieran se ejerce por organizaciones estatales creadas al efecto, sin fines de lucro, con personalidad jurídica y patrimonio propios.

Artículo 91. El Ministro de Cultura constituye dichas organizaciones y regula su funcionamiento.

Artículo 92. Las organizaciones de gestión colectiva de derechos sobre creaciones protegidas por esta Ley están legitimadas en los términos que resulten de la disposición que las constituye, para ejercer las facultades confiadas a su gestión y hacerlas valer en toda clase de procedimientos, se presume para ello que las facultades ejercidas les han sido encomendadas, directa o indirectamente, por sus propios titulares.

CAPÍTULO VIII.- AUTORIDAD NACIONAL COMPETENTE

Artículo 93.1. El Ministerio de Cultura se encarga de proponer y, una vez aprobada, ejecutar y controlar la política del Estado y el Gobierno en cuanto a la protección de la creación literaria y artística.

2. El Ministro de Cultura establece las disposiciones y tarifas con arreglo a las cuales se remunera por la utilización de las creaciones protegidas en esta Ley y de las producciones que en esta se regulan.

Artículo 94. Para el cumplimiento de lo dispuesto en el artículo anterior, el Ministerio de Cultura cuenta con una entidad adscrita, con personalidad jurídica propia, que actúa como autoridad nacional competente, de acuerdo con las funciones que para ello se le aprueban.

CAPÍTULO IX.- REGISTRO DE CREACIONES LITERARIAS Y ARTÍSTICAS

Artículo 95. El Registro de Creaciones Literarias y Artísticas tiene carácter público y único en todo el territorio nacional, y está a cargo de la unidad organizativa dispuesta por el Ministerio de Cultura.

Artículo 96. Pueden ser objeto de inscripción en el Registro las creaciones literarias y artísticas que protege esta Ley, así como los actos y contratos referidos a los derechos sobre tales creaciones.

Artículo 97. El acto de inscripción en el Registro es facultativo y su implementación no contraviene lo establecido en el Artículo 3 de esta Ley.

DISPOSICIONES ESPECIALES

PRIMERA: El creador u otro titular del derecho reconocido en esta Ley que resulte afectado por la infracción de cualquiera de las facultades que esta comprende, y el usuario perjudicado por la vulneración del derecho a acceder a las creaciones, al amparo de los límites establecidos por esta Ley, disponen, para hacerlos valer, de los procedimientos establecidos por la legislación procesal vigente.

SEGUNDA: La infracción de los derechos reconocidos en esta Ley que constituya delito se sanciona según lo establecido en la legislación penal.

DISPOSICIÓN TRANSITORIA

ÚNICA. Los efectos de esta Ley, sin perjuicio de los derechos adquiridos bajo las leyes anteriores, alcanzan:

a) A las obras, interpretaciones o ejecuciones y producciones que al día de su entrada en vigor, no hubiesen transcurridos los plazos de duración de los derechos que les corresponda; y

b) a las obras que, aun transcurridos los plazos de duración de los derechos, son recuperados por los autores o por sus sucesores, por ser mayores los regulados en esta Ley.

DISPOSICIONES FINALES

PRIMERA: El Gobierno de la República de Cuba puede adoptar las medidas que requiera, conforme a los tratados internacionales suscritos por el Estado cubano, en relación con la aplicación de lo dispuesto en esta Ley, para la protección de intereses esenciales de su seguridad; promover el interés público en sectores de importancia vital en aras de su desarrollo socioeconómico y tecnológico, y en situaciones en que deba enfrentar medidas unilaterales, discriminatorias, arbitrarias o injustificadas, tomadas por otro Estado, contrarias a los principios del Derecho Internacional y de modo que se anulen o menoscaben derechos de personas jurídicas o naturales cubanas en dicho Estado u otro.

SEGUNDA: El Ministro de Cultura queda encargado de dictar las disposiciones nece sarias para el mejor cumplimiento de lo establecido en esta Ley.

TERCERA: Se derogan la Ley 14 “Ley del Derecho de Autor”, de 28 de diciembre de 1977; el Decreto-Ley 156, de 28 de septiembre de 1994; la Resolución 23, de 15 de mayo de 2020, del Ministro de Cultura, y cuantas otras disposiciones legales o reglamentarias se opongan a lo dispuesto en esta Ley.

CUARTA: La presente Ley entra en vigor a los 90 días posteriores a la fecha de su publicación en la Gaceta Oficial de la República de Cuba.

PUBLÍQUESE en la Gaceta Oficial de la República de Cuba.

DADA en la Sala de Sesiones de la Asamblea Nacional del Poder Popular, Palacio de las Convenciones, en La Habana, a los 16 días del mes de mayo de 2022, “Año 64 de la Revolución”.

Juan Esteban Lazo Hernández Presidente de la Asamblea Nacional del Poder Popular

Miguel Mario Díaz-Canel Bermúdez, Presidente de la República

21Sep/24

Recomendación de la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura (UNESCO) de 23 de noviembre de 2021

21 septiembre, 2024Recomendación, UNESCOConvención Derechos Niño, Declaración Universas Derechos Humanos, Naciones Unidas, Pacto Internacional Derechos Economicos, Pacto Internacional Derechos Viviles y POliticos, Sociales y Culturales, UNESCOJosé Cuervo

Recomendación de la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura (UNESCO) de 23 de noviembre de 2021, sobre la ética de la inteligencia artificial, aprobada por la Conferencia General de la UNESCO en su 41.º período de sesiones

PREÁMBULO

La Conferencia General de la Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura (UNESCO), reunida en París del 9 al 24 de noviembre de 2021, en su 41ª reunión,

Reconociendo las repercusiones positivas y negativas profundas y dinámicas de la inteligencia artificial (IA) en las sociedades, el medio ambiente, los ecosistemas y las vidas humanas, en particular en la mente humana, debido en parte a las nuevas formas en que su utilización influye en el pensamiento, las interacciones y la adopción de decisiones de los seres humanos y afecta a la educación, las ciencias sociales y humanas, las ciencias exactas y naturales, la cultura y la comunicación y la información,

Recordando que, con arreglo a su Constitución, la UNESCO se propone contribuir a la paz y a la seguridad estrechando, mediante la educación, la ciencia, la cultura y la comunicación y la información, la colaboración entre las naciones, a fin de asegurar el respeto universal a la justicia, a la ley, a los derechos humanos y a las libertades fundamentales que se reconocen a todos los pueblos del mundo,

Convencida de que la Recomendación que aquí se presenta, en su calidad de instrumento normativo elaborado mediante un enfoque mundial, basado en el derecho internacional y centrado en la dignidad humana y los derechos humanos, así como en la igualdad de género, la justicia social y económica y el desarrollo, el bienestar físico y mental, la diversidad, la interconexión, la inclusión y la protección del medio ambiente y de los ecosistemas, puede dar una orientación responsable a las tecnologías de la IA,

Guiada por los propósitos y principios de la Carta de las Naciones Unidas,

Considerando que las tecnologías de la IA pueden ser de gran utilidad para la humanidad y que todos los países pueden beneficiarse de ellas, pero que también suscitan preocupaciones éticas fundamentales, por ejemplo, en relación con los sesgos que pueden incorporar y exacerbar, lo que puede llegar a provocar discriminación, desigualdad, brechas digitales y exclusión y suponer una amenaza para la diversidad cultural, social y biológica, así como generar divisiones sociales o económicas; la necesidad de transparencia e inteligibilidad del funcionamiento de los algoritmos y los datos con los que han sido entrenados; y su posible impacto en, entre otros, la dignidad humana, los derechos humanos y las libertades fundamentales, la igualdad de género, la democracia, los procesos sociales, económicos, políticos y culturales, las prácticas científicas y de ingeniería, el bienestar animal y el medio ambiente y los ecosistemas,

Reconociendo también que las tecnologías de la IA pueden agravar las divisiones y desigualdades existentes en el mundo, dentro de los países y entre ellos, y que es preciso defender la justicia, la confianza y la equidad para que ningún país y ninguna persona se queden atrás, ya sea mediante el acceso equitativo a las tecnologías de la IA y el disfrute de los beneficios que aportan o mediante la protección contra sus consecuencias negativas, reconociendo al mismo tiempo las diferentes circunstancias de los distintos países y respetando el deseo de algunas personas de no participar en todos los avances tecnológicos,

Consciente de que todos los países se enfrentan a una aceleración del uso de las tecnologías de la información y la comunicación y las tecnologías de la IA, así como a una necesidad cada vez mayor de alfabetización mediática e informacional, y de que la economía digital presenta importantes desafíos sociales, económicos y ambientales y ofrece oportunidades de compartir los beneficios, especialmente para los países de ingreso mediano bajo, incluidos, entre otros, los países menos adelantados (PMA), los países en desarrollo sin litoral (PDSL) y los pequeños Estados insulares en desarrollo (PEID), que requieren el reconocimiento, la protección y la promoción de las culturas, los valores y los conocimientos endógenos a fin de desarrollar economías digitales sostenibles,

Reconociendo además que las tecnologías de la IA pueden ser beneficiosas para el medio ambiente y los ecosistemas y que, para que esos beneficios se materialicen, no deberían pasarse por alto, sino tenerse en cuenta, los posibles daños y las repercusiones negativas que pueden ocasionar en el medio ambiente y los ecosistemas,

Observando que el hecho de tener en cuenta los riesgos y las preocupaciones éticas no debería obstaculizar la innovación y el desarrollo, sino más bien ofrecer nuevas oportunidades y estimular una investigación y una innovación realizadas de manera ética que afiancen las tecnologías de la IA en los derechos humanos y las libertades fundamentales, los valores, los principios y la reflexión moral y ética,

Recordando también que en noviembre de 2019 aprobó, en su 40ª reunión, la resolución 40 C/37, en la que encargó a la Directora General que “[preparara] un instrumento normativo internacional sobre la ética de la inteligencia artificial (IA) en forma de recomendación”, que se le presentaría en su 41ª reunión en 2021,

Reconociendo que el desarrollo de las tecnologías de la IA requiere un incremento proporcional de la educación en materia de datos y de la alfabetización mediática e informacional, así como el acceso a fuentes de información independientes, pluralistas y fidedignas, en particular en el marco de los esfuerzos destinados a atenuar los riesgos de información errónea, desinformación y discurso de odio, así como los daños causados por el uso indebido de los datos personales,

Observando también que el marco normativo para las tecnologías de la IA y sus implicaciones sociales se fundamenta en los marcos jurídicos internacionales y nacionales, los derechos humanos y las libertades fundamentales, la ética, la necesidad de acceder a los datos, la información y los conocimientos, la libertad de investigación e innovación y el bienestar de los seres humanos, del medio ambiente y de los ecosistemas, y conecta los valores y principios éticos con los retos y oportunidades vinculados a las tecnologías de la IA, sobre la base de un entendimiento común y unos objetivos compartidos,

Reconociendo también que los valores y principios éticos pueden ayudar a elaborar y aplicar medidas de política y normas jurídicas basadas en los derechos, proporcionando orientación con miras al rápido desarrollo tecnológico,

Convencida también de que las normas éticas aceptadas mundialmente para las tecnologías de la IA, que respetan plenamente el derecho internacional, en particular el derecho de los derechos humanos, pueden desempeñar una función esencial en la elaboración de normas relacionadas con la IA en todo el mundo,

Teniendo presentes la Declaración Universal de Derechos Humanos (1948), los instrumentos del marco internacional de derechos humanos, entre ellos la Convención sobre el Estatuto de los Refugiados (1951), el Convenio sobre la Discriminación (Empleo y Ocupación) (1958), la Convención Internacional sobre la Eliminación de Todas las Formas de Discriminación Racial (1965), el Pacto Internacional de Derechos Civiles y Políticos (1966), el Pacto Internacional de Derechos Económicos, Sociales y Culturales (1966), la Convención sobre la Eliminación de Todas las Formas de Discriminación contra la Mujer (1979), la Convención sobre los Derechos del Niño (1989), la Convención sobre los Derechos de las Personas con Discapacidad (2006), la Convención relativa a la Lucha contra las Discriminaciones en la Esfera de la Enseñanza (1960) y la Convención sobre la Protección y Promoción de la Diversidad de las Expresiones Culturales (2005), así como cualesquiera otros instrumentos, recomendaciones y declaraciones internacionales pertinentes,

Tomando nota de la Declaración sobre el Derecho al Desarrollo (1986); de la Declaración sobre las Responsabilidades de las Generaciones Actuales para con las Generaciones Futuras (1997); de la Declaración Universal sobre Bioética y Derechos Humanos (2005); de la Declaración de las Naciones Unidas sobre los Derechos de los Pueblos Indígenas (2007); de la resolución de la Asamblea General de las Naciones Unidas sobre el examen de la Cumbre Mundial sobre la Sociedad de la Información (A/RES/70/125) (2015); de la resolución de la Asamblea General de las Naciones Unidas titulada “Transformar nuestro mundo: la Agenda 2030 para el Desarrollo Sostenible” (A/RES/70/1) (2015); de la Recomendación relativa a la Preservación del Patrimonio Documental, comprendido el Patrimonio Digital, y el Acceso al mismo (2015); de la Declaración de Principios Éticos en relación con el Cambio Climático (2017); de la Recomendación sobre la Ciencia y los Investigadores Científicos (2017); de los indicadores sobre la universalidad de Internet (aprobados en 2018 por el Programa Internacional para el Desarrollo de la Comunicación de la UNESCO), incluidos los principios ROAM (aprobados por la Conferencia General de la UNESCO en 2015); de la resolución del Consejo de Derechos Humanos sobre “El derecho a la privacidad en la era digital” (A/HRC/RES/42/15) (2019); y de la resolución del Consejo de Derechos Humanos titulada “Las tecnologías digitales nuevas y emergentes y los derechos humanos” (A/HRC/RES/41/11) (2019),

Haciendo hincapié en que debe prestarse atención específica a los países de ingreso mediano bajo, incluidos, entre otros, los PMA, los PDSL y los PEID, ya que, aunque tienen su propia capacidad, han estado insuficientemente representados en el debate sobre la ética de la IA, lo que suscita la preocupación de que se descuiden los conocimientos locales, el pluralismo cultural, los sistemas de valores y las exigencias de equidad mundial para gestionar las repercusiones positivas y negativas de las tecnologías de la IA,

Consciente también de que existen numerosas políticas en el plano nacional, así como otros marcos e iniciativas elaborados por las entidades pertinentes de las Naciones Unidas, por organizaciones intergubernamentales, incluidas organizaciones regionales, así como las del sector privado, y por organizaciones profesionales, organizaciones no gubernamentales y de la comunidad científica, relacionados con la ética y la regulación de las tecnologías de la IA,

Convencida además de que las tecnologías de la IA pueden aportar importantes beneficios, pero que su consecución también puede hacer aumentar la tensión en lo que respecta a la innovación, el acceso asimétrico a los conocimientos y las tecnologías, en particular la insuficiente educación digital y cívica que limita la capacidad del público para participar en los temas relacionados con la IA, así como las barreras al acceso a la información y las brechas en cuanto a las capacidades humanas e institucionales, los obstáculos al acceso a la innovación tecnológica y la falta de infraestructura física y digital y de marcos reguladores adecuados, en particular los relativos a los datos, problemas todos ellos que deben ser abordados,

Subrayando que es necesario fortalecer la cooperación y la solidaridad mundiales, en particular mediante el multilateralismo, para facilitar el acceso equitativo a las tecnologías de la IA y hacer frente a los desafíos que estas plantean en culturas y sistemas éticos diversos e interconectados, para reducir la posibilidad de usos indebidos, para aprovechar todo el potencial que la IA puede aportar, especialmente en el ámbito del desarrollo, y para garantizar que las estrategias nacionales en materia de IA se guíen por principios éticos,

Teniendo plenamente en cuenta que el rápido desarrollo de las tecnologías de la IA complica su aplicación y gobernanza éticas, así como el respeto y la protección de la diversidad cultural, y puede perturbar las normas y los valores éticos locales y regionales,

1. Aprueba la presente Recomendación sobre la Ética de la Inteligencia Artificial en este día veintitrés de noviembre de 2021;

2. Recomienda que los Estados Miembros apliquen, de manera voluntaria, las disposiciones de la presente Recomendación mediante la adopción de las medidas adecuadas, en particular las medidas legislativas o de otra índole que puedan ser necesarias, de acuerdo con la práctica constitucional y las estructuras de gobierno de cada Estado, con el fin de dar efecto en sus respectivas jurisdicciones a los principios y normas enunciados en la Recomendación, de conformidad con el derecho internacional, incluido el derecho internacional de los derechos humanos;

3. Recomienda también a los Estados Miembros que hagan partícipes a todas las partes interesadas, incluidas las empresas, para asegurarse de que desempeñan sus respectivas funciones en la aplicación de la presente Recomendación y que señalen la Recomendación a la atención de las autoridades, organismos, organizaciones universitarias y de investigación, instituciones y organizaciones de los sectores público, privado y de la sociedad civil que participan en las tecnologías de la IA, para que el desarrollo y la utilización de esas tecnologías se guíen tanto por una investigación científica sólida como por un análisis y una evaluación éticos.

I. ÁMBITO DE APLICACIÓN

1. La presente Recomendación trata de las cuestiones éticas relacionadas con el ámbito de la inteligencia artificial en la medida en que competen al mandato de la UNESCO. Aborda la ética de la IA como una reflexión normativa sistemática, basada en un marco integral, global, multicultural y evolutivo de valores, principios y acciones interdependientes, que puede guiar a las sociedades a la hora de afrontar de manera responsable los efectos conocidos y desconocidos de las tecnologías de la IA en los seres humanos, las sociedades y el medio ambiente y los ecosistemas, y les ofrece una base para aceptar o rechazar las tecnologías de la IA. Considera la ética como una base dinámica para la evaluación y la orientación normativas de las tecnologías de la IA, tomando como referencia la dignidad humana, el bienestar y la prevención de daños y apoyándose en la ética de la ciencia y la tecnología.

2. La presente Recomendación no pretende proporcionar una única definición de la IA, ya que tal definición tendría que cambiar con el tiempo en función de los avances tecnológicos. Su objetivo es más bien abordar las características de los sistemas de IA que tienen una importancia ética central. Por tanto, la presente Recomendación considera los sistemas de IA sistemas capaces de procesar datos e información de una manera que se asemeja a un comportamiento inteligente, y abarca generalmente aspectos de razonamiento, aprendizaje, percepción, predicción, planificación o control. Tres elementos ocupan un lugar central en este enfoque:

(a) los sistemas de IA son tecnologías de procesamiento de la información que integran modelos y algoritmos que producen una capacidad para aprender y realizar tareas cognitivas, dando lugar a resultados como la predicción y la adopción de decisiones en entornos materiales y virtuales. Los sistemas de IA están diseñados para funcionar con diferentes grados de autonomía, mediante la modelización y representación del conocimiento y la explotación de datos y el cálculo de correlaciones. Pueden incluir varios métodos, como, por ejemplo, aunque no exclusivamente:

i) el aprendizaje automático, incluido el aprendizaje profundo y el aprendizaje de refuerzo;

ii) el razonamiento automático, incluidas la planificación, la programación, la representación del conocimiento y el razonamiento, la búsqueda y la optimización.

Los sistemas de IA pueden utilizarse en los sistemas ciberfísicos, incluidos la Internet de las cosas, los sistemas robóticos, la robótica social y las interfaces entre seres humanos y ordenadores, que comportan el control, la percepción, el procesamiento de los datos recogidos por sensores y el funcionamiento de los actuadores en el entorno en que operan los sistemas de IA;

b) las cuestiones éticas relativas a los sistemas de IA atañen a todas las etapas del ciclo de vida de estos sistemas, que aquí se entiende que van desde la investigación, la concepción y el desarrollo hasta el despliegue y la utilización, pasando por el mantenimiento, el funcionamiento, la comercialización, la financiación, el seguimiento y la evaluación, la validación, el fin de la utilización, el desmontaje y la terminación. Además, los actores de la IA pueden definirse como todo actor que participe en al menos una etapa del ciclo de vida del sistema de IA y pueden ser tanto personas físicas como jurídicas, por ejemplo, investigadores, programadores, ingenieros, especialistas en datos, usuarios finales, empresas, universidades y entidades públicas y privadas, entre otros;

c) los sistemas de IA plantean nuevos tipos de cuestiones éticas que incluyen, aunque no exclusivamente, su impacto en la adopción de decisiones, el empleo y el trabajo, la interacción social, la atención de la salud, la educación, los medios de comunicación, el acceso a la información, la brecha digital, la protección del consumidor y de los datos personales, el medio ambiente, la democracia, el estado de derecho, la seguridad y el mantenimiento del orden, el doble uso y los derechos humanos y las libertades fundamentales, incluidas la libertad de expresión, la privacidad y la no discriminación. Además, surgen nuevos desafíos éticos por el potencial de los algoritmos de la IA para reproducir y reforzar los sesgos existentes, lo que puede exacerbar las formas ya existentes de discriminación, los prejuicios y los estereotipos. Algunas de estas cuestiones tienen que ver con la capacidad de los sistemas de IA para realizar tareas que antes solo podían hacer los seres vivos y que, en algunos casos, incluso se limitaban solo a los seres humanos. Estas características otorgan a los sistemas de IA una función nueva y determinante en las prácticas y la sociedad humanas, así como en su relación con el medio ambiente y los ecosistemas, creando un nuevo contexto para que los niños y los jóvenes crezcan, desarrollen una comprensión del mundo y de sí mismos, comprendan críticamente los medios de comunicación y la información y aprendan a tomar decisiones. A largo plazo, los sistemas de IA podrían disputar al ser humano el sentido especial de la experiencia y la capacidad de actuar que le son propios, lo que plantearía nuevas inquietudes sobre la autocomprensión, la interacción social, cultural y ambiental, la autonomía, la capacidad de actuar, el valor y la dignidad del ser humano, entre otras.

3. En la presente Recomendación se presta especial atención a las repercusiones éticas más amplias de los sistemas de IA en las principales esferas de competencia de la UNESCO ―la educación, la ciencia, la cultura y la comunicación y la información―, examinadas en el estudio preliminar sobre la ética de la inteligencia artificial elaborado en 2019 por la Comisión Mundial de Ética del Conocimiento Científico y la Tecnología (COMEST) de la UNESCO:

a) la educación, porque vivir en sociedades en proceso de digitalización exige nuevas prácticas educativas, una reflexión ética, un pensamiento crítico, prácticas de concepción responsables y nuevas competencias, dadas las implicaciones para el mercado laboral, la empleabilidad y la participación cívica;

b) la ciencia, en el sentido más amplio, que abarca todos los ámbitos académicos desde las ciencias exactas y naturales y las ciencias médicas hasta las ciencias sociales y humanas, ya que las tecnologías de la IA aportan nuevas capacidades y enfoques de investigación, influyen en nuestra concepción de la comprensión y la explicación científicas y crean una nueva base para la adopción de decisiones;

c) la identidad y la diversidad culturales, ya que las tecnologías de la IA pueden enriquecer las industrias culturales y creativas, pero también pueden dar lugar a una mayor concentración de la oferta de contenidos, los datos, los mercados y los ingresos de la cultura en manos de unos pocos actores, lo que puede tener consecuencias negativas para la diversidad y el pluralismo de las lenguas, los medios de comunicación, las expresiones culturales, la participación y la igualdad;

d) la comunicación y la información, ya que las tecnologías de la IA desempeñan una función cada vez más importante en el procesamiento, la estructuración y el suministro de información; las cuestiones del periodismo automatizado y del suministro algorítmico de noticias y la moderación y la conservación de contenidos en los medios sociales y los buscadores son solo algunos ejemplos que plantean cuestiones relacionadas con el acceso a la información, la desinformación, la información errónea, el discurso de odio, la aparición de nuevas formas de narrativa social, la discriminación, la libertad de expresión, la privacidad y la alfabetización mediática e informacional, entre otras.

4. La presente Recomendación se dirige a los Estados Miembros, tanto en su calidad de actores de la IA como de autoridades responsables de la elaboración de marcos jurídicos y reguladores a lo largo de todo el ciclo de vida de los sistemas de IA, así como de la promoción de la responsabilidad empresarial. También proporciona orientación ética a todos los actores de la IA, incluidos los sectores público y privado, al sentar las bases para una evaluación del impacto ético de los sistemas de IA a lo largo de su ciclo de vida.

II. FINES Y OBJETIVOS

5. La presente Recomendación tiene por objeto servir de base para poner los sistemas de IA al servicio de la humanidad, las personas, las sociedades y el medio ambiente y los ecosistemas, así como para prevenir daños. Aspira también a estimular la utilización de los sistemas de IA con fines pacíficos.

6. Además de los marcos éticos relativos a la IA existentes en todo el mundo, la presente Recomendación pretende aportar un instrumento normativo aceptado mundialmente que no solo se centre en la articulación de valores y principios, sino también en su aplicación práctica, mediante recomendaciones de política concretas, haciendo especial hincapié en la inclusión, las cuestiones de igualdad de género y la protección del medio ambiente y los ecosistemas.

7. Dado que la complejidad de las cuestiones éticas que rodean a la IA exige la cooperación de múltiples partes interesadas en los diversos niveles y sectores de las comunidades internacionales, regionales y nacionales, la presente Recomendación tiene por objeto permitir que las partes interesadas asuman una responsabilidad compartida basada en un diálogo mundial e intercultural.

8. Los objetivos de la presente Recomendación son los siguientes:

a) proporcionar un marco universal de valores, principios y acciones para orientar a los Estados en la formulación de sus leyes, políticas u otros instrumentos relativos a la IA, de conformidad con el derecho internacional;

b) orientar las acciones de las personas, los grupos, las comunidades, las instituciones y las empresas del sector privado a fin de asegurar la incorporación de la ética en todas las etapas del ciclo de vida de los sistemas de IA;

c) proteger, promover y respetar los derechos humanos y las libertades fundamentales, la dignidad humana y la igualdad, incluida la igualdad de género; salvaguardar los intereses de las generaciones presentes y futuras; preservar el medio ambiente, la biodiversidad y los ecosistemas; y respetar la diversidad cultural en todas las etapas del ciclo de vida de los sistemas de IA;

d) fomentar el diálogo multidisciplinario y pluralista entre múltiples partes interesadas y la concertación sobre cuestiones éticas relacionadas con los sistemas de IA;

e) promover el acceso equitativo a los avances y los conocimientos en el ámbito de la IA y el aprovechamiento compartido de los beneficios, prestando especial atención a las necesidades y contribuciones de los países de ingreso mediano bajo, incluidos los PMA, los PDSL y los PEID.

III. VALORES Y PRINCIPIOS

9. Los valores y principios que figuran a continuación deberían ser respetados por todos los actores durante el ciclo de vida de los sistemas de IA, en primer lugar, y, cuando resulte necesario y conveniente, ser promovidos mediante modificaciones de las leyes, los reglamentos y las directrices empresariales existentes y la elaboración de otros nuevos. Todo ello debe ajustarse al derecho internacional, en particular la Carta de las Naciones Unidas y las obligaciones de los Estados Miembros en materia de derechos humanos, y estar en consonancia con los objetivos de sostenibilidad social, política, ambiental, educativa, científica y económica acordados internacionalmente, como los Objetivos de Desarrollo Sostenible (ODS) de las Naciones Unidas.

10. Los valores desempeñan una importante función como ideales que motivan la orientación de las medidas de política y las normas jurídicas. Mientras que el conjunto de valores que se enuncian a continuación inspira, por tanto, un comportamiento deseable y representa los fundamentos de los principios, los principios, por su parte, revelan los valores subyacentes de manera más concreta, de modo que estos últimos puedan aplicarse más fácilmente en las declaraciones de política y las acciones.

11. Si bien todos los valores y principios que se enuncian a continuación son deseables en sí mismos, en cualquier contexto práctico, puede haber tensiones entre ellos. En cualquier situación, será necesaria una evaluación del contexto para gestionar estas posibles tensiones, teniendo en cuenta el principio de proporcionalidad y de conformidad con los derechos humanos y las libertades fundamentales. En todos los casos, toda posible limitación de los derechos humanos y las libertades fundamentales ha de tener una base jurídica y ser razonable, necesaria y proporcional, así como conforme a las obligaciones de los Estados con arreglo al derecho internacional. Para elegir de manera juiciosa entre esas posibilidades, será necesario por lo general colaborar con una amplia gama de partes interesadas apropiadas, haciendo uso del diálogo social, así como de la deliberación ética, la diligencia debida y la evaluación del impacto.

12. La fiabilidad y la integridad del ciclo de vida de los sistemas de IA son esenciales para velar por que las tecnologías de la IA estén al servicio del bien de la humanidad, las personas, las sociedades y el medio ambiente y los ecosistemas, y encarnen los valores y principios enunciados en la presente Recomendación. Las personas deberían tener buenas razones para confiar en que los sistemas de IA pueden aportar beneficios individuales y compartidos, al tiempo que se adoptan medidas adecuadas para atenuar los riesgos. Un requisito esencial para la fiabilidad es que, a lo largo de su ciclo de vida, los sistemas de IA estén sujetos a un seguimiento exhaustivo por las partes interesadas pertinentes, según corresponda. Dado que la fiabilidad resulta de la aplicación de los principios expuestos en este documento, todas las medidas políticas propuestas en la presente Recomendación están dirigidas a promover la fiabilidad en todas las etapas del ciclo de vida de los sistemas de IA.

III.1 VALORES

Respeto, protección y promoción de los derechos humanos, las libertades fundamentales y la dignidad humana

13. La dignidad inviolable e intrínseca de cada ser humano constituye la base del sistema universal, indivisible, inalienable, interdependiente e interrelacionado de derechos humanos y libertades fundamentales. Por consiguiente, el respeto, la protección y la promoción de la dignidad humana y de los derechos establecidos por el derecho internacional, en particular el derecho internacional de los derechos humanos, son esenciales a lo largo del ciclo de vida de los sistemas de IA. La dignidad humana tiene que ver con el reconocimiento del valor intrínseco e igual de cada ser humano, con independencia de su raza, color, ascendencia, género, edad, idioma, religión, opiniones políticas, origen nacional, étnico o social, condición económica o social de nacimiento, discapacidad o cualquier otro motivo.

14. Ningún ser humano ni comunidad humana debería sufrir daños o sometimiento, ya sean de carácter físico, económico, social, político, cultural o mental, durante ninguna etapa del ciclo de vida de los sistemas de IA. A lo largo de su ciclo de vida, los sistemas de IA deberían mejorar la calidad de vida de los seres humanos, dejando a las personas o los grupos la tarea de definir el concepto de “calidad de vida”, siempre que como resultado de esa definición no se produzca ninguna violación o abuso de los derechos humanos y las libertades fundamentales ni de la dignidad de las personas.

15. Las personas pueden interactuar con los sistemas de IA a lo largo de su ciclo de vida y recibir su asistencia, por ejemplo, para el cuidado de las personas vulnerables o en situación de vulnerabilidad, incluidos, entre otros, los niños, las personas de edad, las personas con discapacidad o los enfermos. En el marco de esas interacciones, las personas nunca deberían ser cosificadas, su dignidad no debería ser menoscabada de ninguna otra manera, y sus derechos humanos y libertades fundamentales nunca deberían ser objeto de violación o abusos.

16. Los derechos humanos y las libertades fundamentales han de ser respetados, protegidos y promovidos a lo largo del ciclo de vida de los sistemas de IA. Los gobiernos, el sector privado, la sociedad civil, las organizaciones internacionales, las comunidades técnicas y las universidades deben respetar los instrumentos y marcos de derechos humanos en sus intervenciones en los procesos que rodean el ciclo de vida de los sistemas de IA. Es necesario que las nuevas tecnologías proporcionen nuevos medios para promover, defender y ejercer los derechos humanos, y no para vulnerarlos.

Prosperidad del medio ambiente y los ecosistemas

17. La prosperidad del medio ambiente y los ecosistemas debería ser reconocida, protegida y promovida a lo largo del ciclo de vida de los sistemas de IA. Además, el medio ambiente y los ecosistemas son una necesidad existencial para que la humanidad y los demás seres vivos puedan disfrutar de los beneficios derivados de los avances de la IA.

18. Todos los actores que participan en el ciclo de vida de los sistemas de IA deben respetar el derecho internacional y las leyes, normas y prácticas nacionales aplicables, como la precaución, concebidas para la protección y la restauración del medio ambiente y los ecosistemas y para el desarrollo sostenible. Deberían reducir el impacto ambiental de los sistemas de IA, en particular, aunque no exclusivamente, su huella de carbono, para asegurar la minimización del cambio climático y los factores de riesgo ambiental, y prevenir la explotación, la utilización y la transformación no sostenibles de los recursos naturales que contribuyen al deterioro del medio ambiente y a la degradación de los ecosistemas.

Garantizar la diversidad y la inclusión

19. El respeto, la protección y la promoción de la diversidad y la inclusión deberían garantizarse a lo largo del ciclo de vida de los sistemas de IA, de conformidad con el derecho internacional, en particular el derecho de los derechos humanos. Para ello se podría promover la participación activa de todas las personas o grupos, con independencia de su raza, color, ascendencia, género, edad, idioma, religión, opiniones políticas, origen nacional, étnico o social, condición económica o social de nacimiento, discapacidad o cualquier otro motivo.

20. La diversidad de las elecciones de estilo de vida, creencias, opiniones, expresiones o experiencias personales, incluida la utilización opcional de sistemas de IA y la concepción conjunta de estas arquitecturas, no debería restringirse durante ninguna etapa del ciclo de vida de dichos sistemas.

21. Además, habría que esforzarse, principalmente mediante la cooperación internacional, por paliar la falta de infraestructura, educación y competencias tecnológicas necesarias, así como de marcos jurídicos, que afecta a algunas comunidades, en particular en los países de ingreso mediano bajo, los PMA, los PDSL y los PEID, y no aprovecharse nunca de esa situación.

Vivir en sociedades pacíficas, justas e interconectadas

22. Los actores de la IA deberían propiciar sociedades pacíficas y justas, sobre la base de un futuro interconectado en beneficio de todos, compatibles con los derechos humanos y las libertades fundamentales, y participar en su construcción. El valor de vivir en sociedades pacíficas y justas apunta al potencial de los sistemas de IA para contribuir a lo largo de su ciclo de vida a la interconexión de todas las criaturas vivas entre sí y con el medio natural.

23. La noción de interconexión de los seres humanos se basa en el conocimiento de que cada uno de ellos pertenece a un todo más amplio, que prospera cuando todas las partes que lo constituyen pueden progresar. Vivir en sociedades pacíficas, justas e interconectadas requiere un vínculo orgánico, inmediato y no calculado de solidaridad, caracterizado por una búsqueda permanente de relaciones pacíficas, tendentes al cuidado de los demás y del medio natural en el sentido más amplio del término.

24. Este valor exige que se promuevan la paz, la inclusión y la justicia, la equidad y la interconexión durante el ciclo de vida de los sistemas de IA, en la medida en que los procesos de dicho ciclo de vida no deberían segregar ni cosificar a los seres humanos y las comunidades ni mermar su libertad, su autonomía de decisión y su seguridad, así como tampoco dividir y enfrentar entre sí a las personas y los grupos ni amenazar la coexistencia entre los seres humanos, los demás seres vivos y el medio natural.

III.2 PRINCIPIOS

Proporcionalidad e inocuidad

25. Debería reconocerse que las tecnologías de la IA no garantizan necesariamente, por sí mismas, la prosperidad de los seres humanos ni del medio ambiente y los ecosistemas. Además, ninguno de los procesos relacionados con el ciclo de vida de los sistemas de IA podrá ir más allá de lo necesario para lograr propósitos u objetivos legítimos, y esos procesos deberían ser adecuados al contexto. En caso de que pueda producirse cualquier daño para los seres humanos, los derechos humanos y las libertades fundamentales, las comunidades y la sociedad en general, o para el medio ambiente y los ecosistemas, debería garantizarse la aplicación de procedimientos de evaluación de riesgos y la adopción de medidas para impedir que ese daño se produzca.

26. La decisión de utilizar sistemas de IA y la elección del método de IA deberían justificarse de las siguientes maneras: a) el método de IA elegido debería ser adecuado y proporcional para lograr un objetivo legítimo determinado; b) el método de IA elegido no debería vulnerar los valores fundamentales enunciados en el presente documento, en particular, su utilización no debe constituir una violación o un abuso de los derechos humanos; y c) el método de IA elegido debería ser adecuado al contexto y basarse en fundamentos científicos rigurosos. En los casos en que se entienda que las decisiones tienen un impacto irreversible o difícil de revertir o que pueden implicar decisiones de vida o muerte, la decisión final debería ser adoptada por un ser humano. En particular, los sistemas de IA no deberían utilizarse con fines de calificación social o vigilancia masiva.

Seguridad y protección

27. Los daños no deseados (riesgos de seguridad) y las vulnerabilidades a los ataques (riesgos de protección) deberían ser evitados y deberían tenerse en cuenta, prevenirse y eliminarse a lo largo del ciclo de vida de los sistemas de IA para garantizar la seguridad y la protección de los seres humanos, del medio ambiente y de los ecosistemas. La seguridad y la protección de la IA se propiciarán mediante el desarrollo de marcos de acceso a los datos que sean sostenibles, respeten la privacidad y fomenten un mejor entrenamiento y validación de los modelos de IA que utilicen datos de calidad.

Equidad y no discriminación

28. Los actores de la IA deberían promover la justicia social, salvaguardar la equidad y luchar contra todo tipo de discriminación, de conformidad con el derecho internacional. Ello supone adoptar un enfoque inclusivo para garantizar que los beneficios de las tecnologías de la IA estén disponibles y sean accesibles para todos, teniendo en cuenta las necesidades específicas de los diferentes grupos de edad, los sistemas culturales, los diferentes grupos lingüísticos, las personas con discapacidad, las niñas y las mujeres y las personas desfavorecidas, marginadas y vulnerables o en situación de vulnerabilidad. Los Estados Miembros deberían esforzarse por promover un acceso inclusivo para todos, incluidas las comunidades locales, a sistemas de IA con contenidos y servicios adaptados al contexto local, y respetando el multilingüismo y la diversidad cultural. Los Estados Miembros deberían esforzarse por reducir las brechas digitales y garantizar el acceso inclusivo al desarrollo de la IA y la participación en él. En el plano nacional, los Estados Miembros deberían promover la equidad entre las zonas rurales y urbanas y entre todas las personas, con independencia de su raza, color, ascendencia, género, edad, idioma, religión, opiniones políticas, origen nacional, étnico o social, condición económica o social de nacimiento, discapacidad o cualquier otro motivo, en lo que respecta al acceso al ciclo de vida de los sistemas de IA y la participación en él. En el plano internacional, los países más avanzados tecnológicamente tienen la responsabilidad de ser solidarios con los menos avanzados para garantizar que los beneficios de las tecnologías de la IA se compartan de manera que, para estos últimos, el acceso al ciclo de vida de los sistemas de IA y la participación en él contribuyan a un orden mundial más equitativo en lo que respecta a la información, la comunicación, la cultura, la educación, la investigación y la estabilidad socioeconómica y política.

29. Los actores de la IA deberían hacer todo lo razonablemente posible por reducir al mínimo y evitar reforzar o perpetuar aplicaciones y resultados discriminatorios o sesgados a lo largo del ciclo de vida de los sistemas de IA, a fin de garantizar la equidad de dichos sistemas. Debería disponerse de un recurso efectivo contra la discriminación y la determinación algorítmica sesgada.

30. Además, es necesario abordar las brechas digital y de conocimientos dentro de los países y entre ellos a lo largo del ciclo de vida de los sistemas de IA, en particular en lo que respecta al acceso y la calidad del acceso a la tecnología y los datos, de conformidad con los marcos jurídicos nacionales, regionales e internacionales pertinentes, así como en lo referente a la conectividad, los conocimientos y las competencias y a la participación significativa de las comunidades afectadas, de manera que todas las personas sean tratadas equitativamente.

Sostenibilidad

31. El desarrollo de sociedades sostenibles depende del logro de un complejo conjunto de objetivos relacionados con distintas dimensiones humanas, sociales, culturales, económicas y ambientales. La llegada de las tecnologías de la IA puede beneficiar los objetivos de sostenibilidad o dificultar su consecución, dependiendo de la forma en que se apliquen en países con diferentes niveles de desarrollo. Por consiguiente, la evaluación continua de los efectos humanos, sociales, culturales, económicos y ambientales de las tecnologías de la IA debería llevarse a cabo con pleno conocimiento de las repercusiones de dichas tecnologías en la sostenibilidad como un conjunto de metas en constante evolución en toda una serie de dimensiones, como las que se definen actualmente en los Objetivos de Desarrollo Sostenible (ODS) de las Naciones Unidas.

Derecho a la intimidad y protección de datos

32. La privacidad, que constituye un derecho esencial para la protección de la dignidad, la autonomía y la capacidad de actuar de los seres humanos, debe ser respetada, protegida y promovida a lo largo del ciclo de vida de los sistemas de IA. Es importante que los datos para los sistemas de IA se recopilen, utilicen, compartan, archiven y supriman de forma coherente con el derecho internacional y acorde con los valores y principios enunciados en la presente Recomendación, respetando al mismo tiempo los marcos jurídicos nacionales, regionales e internacionales pertinentes.

33. Deberían establecerse en los planos nacional o internacional, de acuerdo con un enfoque de múltiples partes interesadas, marcos de protección de datos y mecanismos de gobernanza adecuados, protegidos por los sistemas judiciales y aplicados a lo largo del ciclo de vida de los sistemas de IA. Los marcos de protección de datos y todo mecanismo conexo deberían tomar como referencia los principios y normas internacionales de protección de datos relativos a la recopilación, la utilización y la divulgación de datos personales y al ejercicio de sus derechos por parte de los interesados, garantizando al mismo tiempo un objetivo legítimo y una base jurídica válida para el tratamiento de los datos personales, incluido el consentimiento informado.

34. Los sistemas algorítmicos requieren evaluaciones adecuadas del impacto en la privacidad, que incluyan también consideraciones sociales y éticas de su utilización y un empleo innovador del enfoque de privacidad desde la etapa de concepción. Los actores de la IA deben asumir la responsabilidad de la concepción y la aplicación de los sistemas de IA de manera que se garantice la protección de la información personal durante todo el ciclo de vida del sistema de IA.

Supervisión y decisión humanas

35. Los Estados Miembros deberían velar por que siempre sea posible atribuir la responsabilidad ética y jurídica, en cualquier etapa del ciclo de vida de los sistemas de IA, así como en los casos de recurso relacionados con sistemas de IA, a personas físicas o a entidades jurídicas existentes. La supervisión humana se refiere, por tanto, no solo a la supervisión humana individual, sino también a la supervisión pública inclusiva, según corresponda.

36. Puede ocurrir que, en algunas ocasiones, los seres humanos decidan depender de los sistemas de IA por razones de eficacia, pero la decisión de ceder el control en contextos limitados seguirá recayendo en los seres humanos, ya que estos pueden recurrir a los sistemas de IA en la adopción de decisiones y en la ejecución de tareas, pero un sistema de IA nunca podrá reemplazar la responsabilidad final de los seres humanos y su obligación de rendir cuentas. Por regla general, las decisiones de vida o muerte no deberían cederse a los sistemas de IA.

Transparencia y explicabilidad

37. La transparencia y la explicabilidad de los sistemas de IA suelen ser condiciones previas fundamentales para garantizar el respeto, la protección y la promoción de los derechos humanos, las libertades fundamentales y los principios éticos. La transparencia es necesaria para que los regímenes nacionales e internacionales pertinentes en materia de responsabilidad funcionen eficazmente. La falta de transparencia también podría mermar la posibilidad de impugnar eficazmente las decisiones basadas en resultados producidos por los sistemas de IA y, por lo tanto, podría vulnerar el derecho a un juicio imparcial y a un recurso efectivo, y limita los ámbitos en los que estos sistemas pueden utilizarse legalmente.

38. Si bien hay que hacer todo lo posible por aumentar la transparencia y la explicabilidad de los sistemas de IA, incluidos los que tienen un efecto extraterritorial, a lo largo de su ciclo de vida para respaldar la gobernanza democrática, el grado de transparencia y explicabilidad debería ser siempre adecuado al contexto y al efecto, ya que puede ser necesario encontrar un equilibrio entre la transparencia y la explicabilidad y otros principios como la privacidad, la seguridad y la protección. Las personas deberían estar plenamente informadas cuando una decisión se basa en algoritmos de IA o se toma a partir de ellos, en particular cuando afecta a su seguridad o a sus derechos humanos; en esas circunstancias, deberían tener la oportunidad de solicitar explicaciones e información al actor de la IA o a las instituciones del sector público correspondientes. Además, las personas deberían poder conocer los motivos por los que se ha tomado una decisión que afecta a sus derechos y libertades y tener la posibilidad de presentar alegaciones a un miembro del personal de la empresa del sector privado o de la institución del sector público habilitado para revisar y enmendar la decisión. Los actores de la IA deberían informar a los usuarios cuando un producto o servicio se proporcione directamente o con la ayuda de sistemas de IA de manera adecuada y oportuna.

39. Desde un punto de vista sociotécnico, una mayor transparencia contribuye a crear sociedades más pacíficas, justas, democráticas e inclusivas. Posibilita un escrutinio público que puede reducir la corrupción y la discriminación, y también puede ayudar a detectar y prevenir los efectos negativos sobre los derechos humanos. La transparencia tiene como objetivo proporcionar información adecuada a los respectivos destinatarios para permitir su comprensión y fomentar la confianza. En el caso específico de los sistemas de IA, la transparencia puede permitir a las personas comprender cómo se implementa cada etapa de un sistema de IA, en función del contexto y la sensibilidad del sistema en cuestión. También puede proporcionar información sobre los factores que influyen en una predicción o decisión específicas, y sobre la existencia o no de garantías adecuadas (como medidas de seguridad o de equidad). En los casos de amenazas graves con repercusiones adversas para los derechos humanos, la transparencia puede requerir también que se compartan códigos o conjuntos de datos.

40. La explicabilidad supone hacer inteligibles los resultados de los sistemas de IA y facilitar información sobre ellos. La explicabilidad de los sistemas de IA también se refiere a la inteligibilidad de la entrada, salida y funcionamiento de cada componente algorítmico y la forma en que contribuye a los resultados de los sistemas. Así pues, la explicabilidad está estrechamente relacionada con la transparencia, ya que los resultados y los subprocesos que conducen a ellos deberían aspirar a ser comprensibles y trazables, apropiados al contexto. Los actores de la IA deberían comprometerse a velar por que los algoritmos desarrollados sean explicables. En el caso de las aplicaciones de IA cuyo impacto en el usuario final no es temporal, fácilmente reversible o de bajo riesgo, debería garantizarse que se proporcione una explicación satisfactoria con toda decisión que haya dado lugar a la acción tomada, a fin de que el resultado se considere transparente.

41. La transparencia y la explicabilidad están estrechamente relacionadas con las medidas adecuadas de responsabilidad y rendición de cuentas, así como con la fiabilidad de los sistemas de IA.

Responsabilidad y rendición de cuentas

42. Los actores de la IA y los Estados Miembros deberían respetar, proteger y promover los derechos humanos y las libertades fundamentales, y deberían también fomentar la protección del medio ambiente y los ecosistemas, asumiendo su responsabilidad ética y jurídica respectiva, de conformidad con el derecho nacional e internacional, en particular las obligaciones de los Estados Miembros en materia de derechos humanos, y con las directrices éticas establecidas durante todo el ciclo de vida de los sistemas de IA, incluso con respecto a los actores de la IA dentro de su territorio y bajo su control efectivos. La responsabilidad ética y la obligación de rendir cuentas de las decisiones y las acciones basadas de alguna manera en un sistema de IA siempre deberían ser atribuibles, en última instancia, a los actores de la IA conforme a la función que tengan en el ciclo de vida del sistema de IA.

43. Deberían elaborarse mecanismos adecuados de supervisión, evaluación del impacto, auditoría y diligencia debida, incluso en lo que se refiere a la protección de los denunciantes de irregularidades, para garantizar la rendición de cuentas respecto de los sistemas de IA y de su impacto a lo largo de su ciclo de vida. Dispositivos tanto técnicos como institucionales deberían garantizar la auditabilidad y la trazabilidad (del funcionamiento) de los sistemas de IA, en particular para intentar solucionar cualquier conflicto con las normas relativas a los derechos humanos y las amenazas al bienestar del medio ambiente y los ecosistemas.

Sensibilización y educación

44. La sensibilización y la comprensión del público respecto de las tecnologías de la IA y el valor de los datos deberían promoverse mediante una educación abierta y accesible, la participación cívica, las competencias digitales y la capacitación en materia de ética de la IA, la alfabetización mediática e informacional y la capacitación dirigida conjuntamente por los gobiernos, las organizaciones intergubernamentales, la sociedad civil, las universidades, los medios de comunicación, los dirigentes comunitarios y el sector privado, y teniendo en cuenta la diversidad lingüística, social y cultural existente, a fin de garantizar una participación pública efectiva, de modo que todos los miembros de la sociedad puedan adoptar decisiones informadas sobre su utilización de los sistemas de IA y estén protegidos de influencias indebidas.

45. El aprendizaje sobre el impacto de los sistemas de IA debería incluir el aprendizaje sobre los derechos humanos y las libertades fundamentales, a través de ellos y para ellos, lo que significa que el enfoque y la comprensión de los sistemas de IA deberían basarse en el impacto de estos sistemas en los derechos humanos y el acceso a esos derechos, así como en el medio ambiente y los ecosistemas.

Gobernanza y colaboración adaptativas y de múltiples partes interesadas

46. En la utilización de datos deben respetarse el derecho internacional y la soberanía nacional. Esto significa que los Estados, en cumplimiento del derecho internacional, pueden regular los datos generados dentro de sus territorios o que pasan por ellos y adoptar medidas para la regulación efectiva de los datos, en particular su protección, sobre la base del respeto del derecho a la privacidad, de conformidad con el derecho internacional y otras normas relativas a los derechos humanos.

47. La participación de las diferentes partes interesadas a lo largo del ciclo de vida de los sistemas de IA es necesaria para garantizar enfoques inclusivos de la gobernanza de la IA, de modo que los beneficios puedan ser compartidos por todos, y para contribuir al desarrollo sostenible. Entre las partes interesadas figuran, entre otros, los gobiernos, las organizaciones intergubernamentales, la comunidad técnica, la sociedad civil, los investigadores y los círculos universitarios, los medios de comunicación, los responsables de la educación, los encargados de formular políticas, las empresas del sector privado, las instituciones de derechos humanos y los organismos de fomento de la igualdad, los órganos de vigilancia de la lucha contra la discriminación y los grupos de jóvenes y niños. Convendría adoptar normas abiertas y garantizar la interoperabilidad para facilitar la colaboración. Deberían adoptarse medidas para tener en cuenta los cambios en las tecnologías y la aparición de nuevos grupos de partes interesadas y para permitir una participación significativa de las personas, las comunidades y los grupos marginados y, si procede, en el caso de los pueblos indígenas, el respeto de su autonomía en la gestión de sus datos.

IV. ÁMBITOS DE ACCIÓN POLÍTICA

48. Las acciones políticas que se describen en los siguientes ámbitos de actuación ponen en práctica los valores y principios enunciados en la presente Recomendación. La principal acción consiste en que los Estados Miembros establezcan medidas eficaces, por ejemplo marcos o mecanismos normativos, y velen por que otras partes interesadas, como las empresas del sector privado, las instituciones universitarias y de investigación y la sociedad civil, se adhieran a ellas, sobre todo alentando a todas las partes interesadas a que elaboren instrumentos de evaluación del impacto en los derechos humanos, el estado de derecho, la democracia y la ética, así como instrumentos de diligencia debida, de conformidad con las orientaciones, incluidos los Principios Rectores sobre las Empresas y los Derechos Humanos de las Naciones Unidas. El proceso de elaboración de esas políticas o mecanismos debería incluir a todas las partes interesadas y tener en cuenta las circunstancias y prioridades de cada Estado Miembro. La UNESCO puede ser un asociado y apoyar a los Estados Miembros en la elaboración, así como en el seguimiento y la evaluación, de los mecanismos de política.

49. La UNESCO reconoce que los Estados Miembros se encontrarán en diferentes estadios de preparación para aplicar la presente Recomendación, desde los puntos de vista científico, tecnológico, económico, educativo, jurídico, regulador, de infraestructura, social y cultural, entre otros. Cabe señalar que, aquí, el “estadio de preparación” es un estado dinámico. Por consiguiente, a fin de posibilitar la aplicación efectiva de la presente Recomendación, la UNESCO: 1) elaborará una metodología de evaluación del estadio de preparación para ayudar a los Estados Miembros interesados a determinar su situación en momentos concretos de su trayectoria de preparación a través de un conjunto de dimensiones; y 2) garantizará el apoyo a los Estados Miembros interesados en lo que respecta a la elaboración de una metodología de la UNESCO para la evaluación del impacto ético de las tecnologías de la IA y el intercambio de mejores prácticas, directrices de evaluación y otros mecanismos y trabajo analítico.

ÁMBITO DE ACTUACIÓN 1: EVALUACIÓN DEL IMPACTO ÉTICO

50. Los Estados Miembros deberían establecer marcos de evaluación del impacto, como evaluaciones del impacto ético, para determinar y analizar los beneficios, los problemas y los riesgos de los sistemas de IA, así como medidas adecuadas de prevención, atenuación y seguimiento de los riesgos, entre otros mecanismos de garantía. Esas evaluaciones del impacto deberían revelar las repercusiones en los derechos humanos y las libertades fundamentales, en particular, aunque no exclusivamente, los derechos de las personas marginadas y vulnerables o en situación de vulnerabilidad, los derechos laborales, el medio ambiente y los ecosistemas, así como las consecuencias éticas y sociales, y facilitar la participación ciudadana, de conformidad con los valores y principios enunciados en la presente Recomendación.

51. Los Estados Miembros y las empresas del sector privado deberían desarrollar mecanismos de diligencia debida y supervisión para determinar, prevenir y atenuar los riesgos y rendir cuentas de la forma en que abordan el impacto de los sistemas de IA en el respeto de los derechos humanos, el estado de derecho y las sociedades inclusivas. Los Estados Miembros deberían también poder evaluar los efectos socioeconómicos de los sistemas de IA en la pobreza y velar por que la brecha entre los ricos y los pobres, así como la brecha digital entre los países y dentro de ellos, no aumenten con la adopción masiva de tecnologías de la IA en la actualidad y en el futuro. Para ello, en particular, deberían aplicarse protocolos de transparencia ejecutables, que correspondan al acceso a la información, incluida la información de interés público en poder de entidades privadas. Los Estados Miembros, las empresas del sector privado y la sociedad civil deberían investigar los efectos sociológicos y psicológicos de las recomendaciones basadas en la IA sobre los seres humanos en lo que respecta a su autonomía de decisión. Los sistemas de IA considerados riesgos potenciales para los derechos humanos deberían ser ampliamente probados por los actores de la IA, incluso en condiciones reales si es necesario, en el marco de la evaluación del impacto ético, antes de sacarlos al mercado.

52. Los Estados Miembros y las empresas deberían aplicar medidas adecuadas para vigilar todas las etapas del ciclo de vida de los sistemas de IA en el marco de la evaluación del impacto ético, incluidos el funcionamiento de los algoritmos utilizados para la adopción de decisiones, los datos y los actores de la IA que participan en el proceso, especialmente en los servicios públicos y en los casos en que se necesita una interacción directa con el usuario final. Las obligaciones de los Estados Miembros en materia de derechos humanos deberían formar parte de los aspectos éticos de las evaluaciones de los sistemas de IA.

53. Los gobiernos deberían adoptar un marco regulador que establezca un procedimiento para que las autoridades públicas, en particular, lleven a cabo evaluaciones del impacto ético de los sistemas de IA a fin de anticipar las repercusiones, atenuar los riesgos, evitar las consecuencias perjudiciales, facilitar la participación de los ciudadanos y hacer frente a los desafíos sociales. La evaluación también debería establecer mecanismos de supervisión adecuados, como la auditabilidad, la trazabilidad y la explicabilidad, que permitan evaluar los algoritmos, los datos y los procesos de concepción, así como incluir un examen externo de los sistemas de IA. Las evaluaciones del impacto ético deberían ser transparentes y abiertas al público, cuando proceda. También deberían ser multidisciplinarias, multiculturales, pluralistas e inclusivas y contar con múltiples partes interesadas. Se debería exigir a las autoridades públicas que supervisen los sistemas de IA que hayan implantado o desplegado, mediante la introducción de mecanismos e instrumentos adecuados.

ÁMBITO DE ACTUACIÓN 2: GOBERNANZA Y ADMINISTRACIÓN ÉTICAS

54. Los Estados Miembros deberían velar por que los mecanismos de gobernanza de la IA sean inclusivos, transparentes, multidisciplinarios y multilaterales (lo que incluye la posibilidad de atenuar y reparar daños más allá de las fronteras) y cuenten con múltiples partes interesadas. En particular, la gobernanza debería incluir aspectos de previsión y dispositivos eficaces de protección, seguimiento de los efectos, aplicación y reparación.

55. Los Estados Miembros deberían velar por que se investiguen y reparen los daños causados mediante sistemas de IA, estableciendo mecanismos de aplicación estrictos y medidas correctivas, a fin de asegurarse de que los derechos humanos, las libertades fundamentales y el estado de derecho son respetados en el mundo digital y en el mundo físico. Entre esos mecanismos y medidas deberían figurar mecanismos de reparación aportados por empresas de los sectores público y privado. Con ese fin, debería promoverse la auditabilidad y la trazabilidad de los sistemas de IA. Además, los Estados Miembros deberían reforzar sus capacidades institucionales para cumplir con este compromiso y deberían colaborar con investigadores y otras partes interesadas para investigar, prevenir y minimizar todo uso potencialmente malicioso de los sistemas de IA.

56. Se alienta a los Estados Miembros a que elaboren estrategias nacionales y regionales en materia de IA y consideren la posibilidad de adoptar formas de gobernanza “blanda”, por ejemplo, un mecanismo de certificación para los sistemas de IA y el reconocimiento mutuo de su certificación, con arreglo a la sensibilidad del ámbito de aplicación y al impacto previsto en los derechos humanos, el medio ambiente y los ecosistemas, así como otras consideraciones éticas establecidas en la presente Recomendación. Dicho mecanismo podría incluir diferentes niveles de auditoría de los sistemas, los datos y el cumplimiento de las directrices éticas y de los requisitos de procedimiento teniendo en cuenta los aspectos éticos. Al mismo tiempo, no debería obstaculizar la innovación ni poner en situación de desventaja a las pequeñas y medianas empresas o las empresas incipientes, la sociedad civil y las organizaciones científicas y de investigación como resultado de una carga administrativa excesiva. Ese mecanismo también debería incluir un componente de seguimiento periódico para garantizar la solidez del sistema de IA y el mantenimiento de su integridad y su cumplimiento de las directrices éticas durante todo su ciclo de vida, exigiendo una nueva certificación si fuera necesario.

57. Los Estados Miembros y las autoridades públicas deberían realizar una autoevaluación transparente de los sistemas de IA existentes y propuestos, en la cual se debería analizar, en particular, si la adopción de la IA es apropiada y, en caso afirmativo, realizar una nueva evaluación para establecer cuál es el método adecuado, así como una evaluación para determinar si dicha adopción daría lugar a violaciones o abusos de las obligaciones de los Estados Miembros en materia de derechos humanos y, si así fuera, prohibir su utilización.

58. Los Estados Miembros deberían alentar a las entidades públicas, las empresas del sector privado y las organizaciones de la sociedad civil a que incorporen a diferentes partes interesadas a su gobernanza en materia de IA y consideren la posibilidad de añadir una función de responsable independiente de la ética de la IA o algún otro mecanismo para supervisar las actividades relacionadas con la evaluación del impacto ético, las auditorías y el seguimiento continuo, así como para garantizar la orientación ética de los sistemas de IA. Se alienta a los Estados Miembros, las empresas del sector privado y las organizaciones de la sociedad civil a que, con el respaldo de la UNESCO, creen una red de responsables independientes de la ética de la IA para apoyar este proceso en los planos nacional, regional e internacional.

59. Los Estados Miembros deberían fomentar el desarrollo y la accesibilidad de un ecosistema digital para el desarrollo ético e inclusivo de los sistemas de IA en el plano nacional, en particular con miras a reducir las diferencias de acceso durante el ciclo de vida de los sistemas de IA, contribuyendo al mismo tiempo a la colaboración internacional. Ese ecosistema incluiría, en particular, tecnologías e infraestructuras digitales y mecanismos para compartir los conocimientos en materia de IA, según proceda.

60. Los Estados Miembros deberían establecer mecanismos, en colaboración con las organizaciones internacionales, las empresas transnacionales, las instituciones universitarias y la sociedad civil, para garantizar la participación activa de todos los Estados Miembros, especialmente los países de ingreso mediano bajo, en particular los PMA, los PDSL y los PEID, en los debates internacionales sobre la gobernanza de la IA. Esto puede hacerse mediante la provisión de fondos, garantizando la participación regional en condiciones de igualdad, o mediante cualquier otro mecanismo. Además, para velar por que los foros sobre la IA sean inclusivos, los Estados Miembros deberían facilitar los desplazamientos de los actores de la IA dentro y fuera de su territorio, especialmente los de los países de ingreso mediano bajo, en particular los PMA, los PDSL y los PEID, para que puedan participar en esos foros.

61. Las modificaciones de la legislación nacional existente o la elaboración de una nueva legislación nacional en materia de sistemas de IA deben ajustarse a las obligaciones de los Estados Miembros en materia de derechos humanos y promover los derechos humanos y las libertades fundamentales a lo largo del ciclo de vida de esos sistemas. La promoción de los derechos humanos y las libertades fundamentales también debería adoptar la forma de iniciativas de gobernanza, buenos ejemplos de prácticas de colaboración en relación con los sistemas de IA y directrices técnicas y metodológicas nacionales e internacionales a medida que avancen las tecnologías de la IA. En sus prácticas relativas a los sistemas de IA, diversos sectores, incluido el privado, deben respetar, proteger y promover los derechos humanos y las libertades fundamentales utilizando los instrumentos existentes y nuevos en combinación con la presente Recomendación.

62. Los Estados Miembros que adquieran sistemas de IA para casos de utilización sensible en materia de derechos humanos, como la aplicación de la ley, la asistencia social, el empleo, los medios de comunicación y los proveedores de información, la atención de la salud y el sistema judicial independiente, deberían prever mecanismos para vigilar el impacto social y económico de dichos sistemas mediante autoridades de supervisión adecuadas, como autoridades independientes de protección de datos, una supervisión sectorial y organismos públicos encargados de la supervisión.

63. Los Estados Miembros deberían reforzar la capacidad del poder judicial para adoptar decisiones relacionadas con los sistemas de IA en el marco del estado de derecho y de conformidad con el derecho y las normas internacionales, en particular en lo que respecta a la utilización de los sistemas de IA en sus deliberaciones, velando al mismo tiempo por que se respete el principio de la supervisión humana. En caso de que los sistemas de IA sean utilizados por el poder judicial, se necesitan suficientes salvaguardias para garantizar, entre otras cosas, la protección de los derechos humanos fundamentales, el estado de derecho, la independencia judicial y el principio de supervisión humana, así como para asegurar un desarrollo y una utilización de los sistemas de IA en el poder judicial que sean fiables, orientados al interés público y centrados en el ser humano.

64. Los Estados Miembros deberían velar por que los gobiernos y las organizaciones multilaterales desempeñen una función de liderazgo para garantizar la seguridad y la protección de los sistemas de IA, con la participación de múltiples partes interesadas. En concreto, los Estados Miembros, las organizaciones internacionales y otros órganos pertinentes deberían elaborar normas internacionales que describan niveles de seguridad y transparencia mensurables y comprobables, de modo que se puedan evaluar objetivamente los sistemas y determinar los niveles de cumplimiento. Además, los Estados Miembros y las empresas deberían apoyar continuamente la investigación estratégica sobre los posibles riesgos de seguridad y protección de las tecnologías de la IA y deberían alentar la investigación sobre la transparencia y la explicabilidad, la inclusión y los conocimientos de esas tecnologías asignando fondos adicionales a esas esferas para diferentes ámbitos y en diferentes niveles, como el lenguaje técnico y natural.

65. Los Estados Miembros deberían aplicar políticas destinadas a garantizar que las acciones de los actores de la IA se ajusten al derecho, las normas y los principios internacionales de derechos humanos durante todo el ciclo de vida de los sistemas de IA, tomando plenamente en consideración al mismo tiempo las diversidades culturales y sociales existentes, en particular las costumbres locales y las tradiciones religiosas, con el debido respeto a la primacía y la universalidad de los derechos humanos.

66. Los Estados Miembros deberían establecer mecanismos para exigir a los actores de la IA que revelen y combatan toda clase de estereotipos en los resultados de los sistemas y datos de IA, ya sean deliberados o por negligencia, y que velen por que los conjuntos de datos de entrenamiento para los sistemas de IA no fomenten las desigualdades culturales, económicas o sociales, los prejuicios, la propagación de desinformación y de información falsa y la vulneración de la libertad de expresión y del acceso a la información. Debería prestarse especial atención a las regiones donde los datos son escasos.

67. Los Estados Miembros deberían aplicar políticas para promover y aumentar la diversidad y la inclusión en los equipos de desarrollo de la IA y los conjuntos de datos de entrenamiento, de modo que estos sean un reflejo de su población, así como para velar por la igualdad de acceso a las tecnologías de la IA y sus beneficios, en particular para los grupos marginados, tanto de zonas rurales como urbanas.

68. Los Estados Miembros deberían elaborar, examinar y adaptar, según proceda, marcos reguladores para alcanzar la rendición de cuentas y la responsabilidad por el contenido y los resultados de los sistemas de IA en las diferentes etapas de su ciclo de vida. Cuando sea necesario, los Estados Miembros deberían introducir marcos de responsabilidad o aclarar la interpretación de los marcos existentes para garantizar la atribución de la responsabilidad por los resultados y el funcionamiento de los sistemas de IA. Además, al elaborar los marcos reguladores, los Estados Miembros deberían tener en cuenta, en particular, que la responsabilidad y la rendición de cuentas deben recaer siempre en última instancia en personas físicas o jurídicas y que no se debe otorgar personalidad jurídica a los propios sistemas de IA. Para lograrlo, esos marcos reguladores deberían ajustarse al principio de la supervisión humana y establecer un enfoque global centrado en los actores de la IA y los procesos tecnológicos que intervienen en las diferentes etapas del ciclo de vida de los sistemas de IA.

69. A fin de establecer normas cuando no las haya, o de adaptar los marcos jurídicos existentes, los Estados Miembros deberían contar con todos los actores de la IA (incluidos, entre otros, investigadores, representantes de la sociedad civil y de los organismos encargados de hacer cumplir la ley, aseguradores, inversores, fabricantes, ingenieros, abogados y usuarios). Las normas pueden evolucionar hasta convertirse en mejores prácticas, leyes y reglamentos. Se alienta además a los Estados Miembros a que utilicen mecanismos como los prototipos de políticas y los entornos de pruebas reguladores para acelerar la formulación de leyes, reglamentos y políticas, incluidas sus revisiones periódicas, acordes con el rápido desarrollo de las nuevas tecnologías y garantizar que las leyes y los reglamentos se puedan poner a prueba en un entorno seguro antes de su aprobación oficial. Los Estados Miembros deberían apoyar a los gobiernos locales en la formulación de políticas, reglamentos y leyes locales que estén en consonancia con los marcos jurídicos nacionales e internacionales.

70. Los Estados Miembros deberían establecer requisitos claros de transparencia y explicabilidad de los sistemas de IA para ayudar a garantizar la fiabilidad de dichos sistemas durante todo su ciclo de vida. Esos requisitos deberían abarcar la concepción y la aplicación de mecanismos de evaluación del impacto que tengan en cuenta la naturaleza del ámbito de aplicación, la utilización prevista, los destinatarios y la viabilidad de cada sistema de IA en particular.

ÁMBITO DE ACTUACIÓN 3: POLÍTICA DE DATOS

71. Los Estados Miembros deberían procurar elaborar estrategias de gobernanza de datos que garanticen la evaluación continua de la calidad de los datos de entrenamiento para los sistemas de IA, en particular la idoneidad de los procesos de recopilación y selección de datos, y que prevean medidas adecuadas de seguridad y protección de los datos, así como mecanismos de retroalimentación para aprender de los errores y compartir las mejores prácticas entre todos los actores de la IA.

72. Los Estados Miembros deberían establecer salvaguardias adecuadas para proteger el derecho a la privacidad, de conformidad con el derecho internacional, en particular respondiendo a preocupaciones como la vigilancia. Los Estados Miembros deberían, entre otras medidas, adoptar o aplicar marcos legislativos que proporcionen una protección adecuada, conforme al derecho internacional. Los Estados Miembros deberían alentar enérgicamente a todos los actores de la IA, incluidas las empresas, a que cumplan las normas internacionales vigentes y, en particular, a que realicen evaluaciones adecuadas del impacto en la privacidad, como parte de las evaluaciones del impacto ético, que tengan en cuenta las repercusiones socioeconómicas más amplias del tratamiento previsto de los datos, y a que apliquen el principio de protección de la privacidad desde la concepción de sus sistemas. La privacidad debería ser respetada, protegida y promovida a lo largo del ciclo de vida de los sistemas de IA.

73. Los Estados Miembros deberían velar por que las personas conserven sus derechos sobre sus datos personales y estén protegidas por un marco que prevea, en particular: la transparencia; salvaguardias adecuadas para el tratamiento de datos sensibles; un nivel adecuado de protección de los datos; planes y mecanismos de rendición de cuentas eficaces y significativos; el pleno disfrute de los derechos de los interesados y la posibilidad de acceder a los datos personales en los sistemas de IA y de borrarlos, excepto en determinadas circunstancias, de conformidad con el derecho internacional; un nivel adecuado de protección que cumpla plenamente la legislación en materia de protección de datos cuando estos se utilicen con fines comerciales —por ejemplo, para permitir la publicidad con fines específicos— o sean transferidos al extranjero; y una supervisión eficaz e independiente en el marco de un mecanismo de gobernanza de los datos que permita a las personas mantener el control de sus datos personales y promueva los beneficios de la libre circulación de información a nivel internacional, incluido el acceso a los datos.

74. Los Estados Miembros deberían establecer sus políticas de datos o marcos equivalentes, o reforzar las políticas y marcos existentes, para garantizar la seguridad total de los datos personales y los datos sensibles que, de ser divulgados, puedan causar daños, lesiones o dificultades excepcionales a las personas. Cabe citar como ejemplos los datos relativos a infracciones, procesos penales y condenas, así como a las medidas de seguridad conexas; los datos biométricos, genéticos y de salud; y los datos personales como los relativos a la raza, el color, la ascendencia, el género, la edad, el idioma, la religión, las opiniones políticas, el origen nacional, étnico o social, la condición económica o social de nacimiento, la discapacidad o cualquier otra característica.

75. Los Estados Miembros deberían promover los datos abiertos. A este respecto, los Estados Miembros deberían considerar la posibilidad de revisar sus políticas y marcos reguladores, particularmente en lo que respecta al acceso a la información y el gobierno abierto, para reflejar los requisitos específicos de la IA y promover mecanismos, como repositorios abiertos de datos y códigos fuente públicos o de financiación pública y fideicomisos de datos, a fin de apoyar el intercambio seguro, equitativo, legal y ético de datos, entre otros.

76. Los Estados Miembros deberían promover y facilitar el uso de conjuntos de datos sólidos y de calidad para el entrenamiento, el desarrollo y la utilización de los sistemas de IA y ejercer vigilancia al supervisar su recopilación y utilización. Esto podría suponer, si es posible y factible, invertir en la creación de conjuntos de datos de excelencia, incluidos conjuntos de datos abiertos y fiables, que sean diversos, establecidos sobre una base jurídica válida, en particular con el consentimiento de los interesados, cuando así lo exija la ley. Debería alentarse la elaboración de normas para anotar los conjuntos de datos, incluido el desglose de datos por género y otros criterios, de manera que pueda determinarse fácilmente cómo se recopila un conjunto de datos y qué propiedades tiene.

77. Como también se sugiere en el informe del Panel de Alto Nivel sobre la Cooperación Digital del Secretario General de las Naciones Unidas, los Estados Miembros, con el apoyo de las Naciones Unidas y la UNESCO, deberían adoptar un enfoque de patrimonio digital común respecto a los datos, cuando proceda, aumentar la interoperabilidad de los instrumentos y conjuntos de datos, así como las interfaces de los sistemas que albergan datos, y alentar a las empresas del sector privado a que compartan con todas las partes interesadas los datos que recopilan, en beneficio de la investigación, la innovación o el interés público, según proceda. También deberían promover las iniciativas públicas y privadas para crear plataformas de colaboración destinadas a compartir datos de calidad en espacios de datos fiables y seguros.

ÁMBITO DE ACTUACIÓN 4: DESARROLLO Y COOPERACIÓN INTERNACIONAL

78. Los Estados Miembros y las empresas transnacionales deberían dar prioridad a la ética de la IA, incluyendo debates sobre cuestiones éticas relacionadas con la IA en los foros internacionales, intergubernamentales y de múltiples partes interesadas pertinentes.

79. Los Estados Miembros deberían velar por que la utilización de la IA en esferas relacionadas con el desarrollo, como la educación, la ciencia, la cultura, la comunicación y la información, la atención sanitaria, la agricultura y el suministro de alimentos, el medio ambiente, la gestión de recursos naturales y de infraestructuras y la planificación y el crecimiento económicos, entre otras, respete los valores y principios enunciados en la presente Recomendación.

80. Los Estados Miembros deberían procurar, por conducto de organizaciones internacionales, establecer plataformas de cooperación internacional en el ámbito de la IA para el desarrollo, en particular aportando competencias técnicas, financiación, datos, conocimientos del sector e infraestructura y facilitando la colaboración entre múltiples partes interesadas para hacer frente a los problemas complejos en materia de desarrollo, especialmente para los países de ingreso mediano bajo, en particular los PMA, los PDSL y los PEID.

81. Los Estados Miembros deberían procurar promover la colaboración internacional en materia de investigación e innovación en IA, especialmente en centros y redes de investigación e innovación que promuevan una mayor participación y liderazgo de los investigadores procedentes de países de ingreso mediano bajo y otros países, en particular de PMA, PDSL y PEID.

82. Los Estados Miembros deberían promover las investigaciones sobre la ética de la IA recurriendo a organizaciones internacionales e instituciones de investigación, así como a empresas transnacionales, que puedan servir de base para la utilización ética de los sistemas de IA por entidades públicas y privadas, incluidas las investigaciones sobre la aplicabilidad de marcos éticos específicos en culturas y contextos concretos y sobre las posibilidades de elaborar soluciones tecnológicamente viables de conformidad con esos marcos.

83. Los Estados Miembros deberían alentar la cooperación y la colaboración internacionales en el ámbito de la IA para salvar las divisiones geotecnológicas. Deberían realizarse intercambios y consultas de carácter tecnológico entre los Estados Miembros y su población, entre los sectores público y privado y entre los países más y menos avanzados tecnológicamente, respetando plenamente el derecho internacional.

ÁMBITO DE ACTUACIÓN 5: MEDIO AMBIENTE Y ECOSISTEMAS

84. Los Estados Miembros y las empresas deberían evaluar el impacto ambiental directo e indirecto de los sistemas de IA a lo largo de su ciclo de vida, en particular, aunque no exclusivamente, su huella de carbono, su consumo de energía y el impacto ambiental de la extracción de las materias primas necesarias para la fabricación de tecnologías de la IA, y reducir el impacto ambiental de los sistemas de IA y las infraestructuras de datos. Los Estados Miembros deberían asegurar el cumplimiento de las leyes, políticas y prácticas ambientales por parte de todos los actores de la IA.

85. Los Estados Miembros deberían establecer incentivos, cuando sea necesario y apropiado, para garantizar la elaboración y adopción de soluciones basadas en los derechos y en la ética de la IA en favor de la resiliencia ante el riesgo de desastres; la vigilancia, protección y regeneración del medio ambiente y los ecosistemas; y la preservación del planeta. Esos sistemas de IA deberían contar, durante todo su ciclo de vida, con la participación de las comunidades locales e indígenas y apoyar enfoques del tipo de economía circular y modalidades de consumo y producción sostenibles. Por ejemplo, los sistemas de IA podrían utilizarse, cuando sea necesario y apropiado, para:

a) apoyar la protección, el seguimiento y la gestión de los recursos naturales;

b) apoyar la predicción, la prevención, el control y la atenuación de los problemas relacionados con el clima;

c) favorecer un ecosistema alimentario más eficiente y sostenible;

d) contribuir a acelerar el acceso a la energía sostenible y su adopción a gran escala;

e) facilitar y promover la incorporación de infraestructuras sostenibles, modelos empresariales sostenibles y financiación sostenible al servicio del desarrollo sostenible;

f) detectar los contaminantes o prever los niveles de contaminación y, de ese modo, ayudar a las partes interesadas pertinentes a definir, planificar y poner en marcha intervenciones específicas para prevenir y reducir la contaminación y la exposición.

86. Al elegir un método de IA, dada la gran necesidad potencial de datos o recursos de algunos de ellos y su consiguiente impacto en el medio ambiente, los Estados Miembros deberían velar por que los actores de la IA, de conformidad con el principio de proporcionalidad, favorezcan los métodos de IA eficientes en cuanto a datos, energía y recursos. Deberían establecerse requisitos destinados a garantizar que se disponga de pruebas adecuadas para demostrar que una aplicación de IA tendrá el efecto deseado, o que dicha aplicación cuenta con garantías que permitan justificar su utilización. Si esto no es posible, deberá privilegiarse el principio de precaución y, en los casos en que haya impactos negativos desproporcionados en el medio ambiente, no debería utilizarse la IA.

ÁMBITO DE ACTUACIÓN 6: GÉNERO

87. Los Estados Miembros deberían velar por que se optimice plenamente el potencial de las tecnologías digitales y la inteligencia artificial para contribuir a lograr la igualdad de género, y han de asegurarse de que no se conculquen los derechos humanos y las libertades fundamentales de las niñas y las mujeres, ni su seguridad e integridad, en ninguna etapa del ciclo de vida de los sistemas de IA. Además, la evaluación del impacto ético debería incluir una perspectiva transversal de género.

88. Los Estados Miembros deberían asignar fondos específicos de sus presupuestos públicos a la financiación de planes con perspectiva de género, velar por que las políticas digitales nacionales incluyan un plan de acción en materia de género y elaborar políticas pertinentes, por ejemplo, sobre la educación laboral, destinadas a apoyar a las niñas y las mujeres para que no queden excluidas de la economía digital impulsada por la IA. Deberían considerarse y realizarse inversiones especiales para ofrecer programas específicos y un lenguaje que respete la igualdad de género, a fin de ampliar las oportunidades de participación de las niñas y las mujeres en la ciencia, la tecnología, la ingeniería y las matemáticas (CTIM), incluidas las disciplinas relacionadas con las tecnologías de la información y la comunicación (TIC), y mejorar la preparación, la empleabilidad, el desarrollo de las perspectivas de carrera en condiciones de igualdad y el crecimiento profesional de las niñas y las mujeres.

89. Los Estados Miembros deberían velar por que se aproveche el potencial de los sistemas de IA para impulsar el logro de la igualdad de género. Deberían asegurarse de que estas tecnologías no exacerben las ya amplias brechas que existen entre los géneros en varios ámbitos del mundo analógico, sino que, al contrario, las eliminen. Entre estas brechas cabe citar la disparidad salarial entre hombres y mujeres; su representación desigual en ciertas profesiones y actividades; la falta de representación en los puestos directivos superiores, las juntas directivas o los equipos de investigación en el campo de la IA; la brecha educativa; las desigualdades en el acceso, la adopción, la utilización y la asequibilidad de la tecnología digital y de la IA; y la distribución desigual del trabajo no remunerado y de las responsabilidades de cuidado en nuestras sociedades.

90. Los Estados Miembros deberían velar por que los estereotipos de género y los sesgos discriminatorios no se trasladen a los sistemas de IA, sino que se detecten y corrijan de manera proactiva. Es preciso esforzarse por evitar el efecto negativo combinado de las brechas tecnológicas para lograr la igualdad de género y prevenir la violencia contra las niñas y las mujeres, así como contra los grupos insuficientemente representados, que puede manifestarse en forma de hostigamiento, acoso o trata, incluso en línea.

91. Los Estados Miembros deberían alentar la iniciativa empresarial, la participación y el compromiso de las mujeres en todas las etapas del ciclo de vida de los sistemas de IA, ofreciendo y promoviendo incentivos económicos y reguladores, entre otros estímulos y planes de apoyo, así como políticas encaminadas a lograr una participación equilibrada de hombres y mujeres en la investigación en IA en las universidades y la representación de género en los puestos directivos superiores, las juntas directivas y los equipos de investigación de las empresas digitales y de IA. Los Estados Miembros deberían garantizar que los fondos públicos (para innovación, investigación y tecnologías) se destinen a programas y empresas inclusivos, con un claro equilibrio de género, y que se alienten igualmente los fondos privados mediante principios de acción afirmativa. Deberían elaborarse y aplicarse políticas que favorezcan los entornos libres de acoso, alentando al mismo tiempo la transferencia de las mejores prácticas sobre la forma de promover la diversidad durante el ciclo de vida de los sistemas de IA.

92. Los Estados Miembros deberían promover la diversidad de género en la investigación en IA en el mundo universitario y la industria, ofreciendo incentivos a las niñas y las mujeres para que se incorporen a este campo, estableciendo mecanismos para luchar contra los estereotipos de género y el acoso en la comunidad de investigadores en IA y alentando a las entidades universitarias y privadas a que compartan las mejores prácticas sobre la forma de potenciar la diversidad de género.

93. La UNESCO puede ayudar a compilar un repositorio de mejores prácticas para incentivar la participación de las niñas, las mujeres y los grupos insuficientemente representados en todas las etapas del ciclo de vida de los sistemas de IA.

ÁMBITO DE ACTUACIÓN 7: CULTURA

94. Se alienta a los Estados Miembros a que incorporen sistemas de IA, cuando proceda, a la preservación, el enriquecimiento, la comprensión, la promoción, la gestión y la accesibilidad del patrimonio cultural material, documental e inmaterial, incluidas las lenguas en peligro y las lenguas y conocimientos indígenas, por ejemplo, introduciendo o actualizando programas educativos relacionados con la aplicación de los sistemas de IA en esas esferas, cuando sea apropiado, y asegurando un enfoque participativo, dirigidos a las instituciones y al público.

95. Se alienta a los Estados Miembros a que examinen y aborden las repercusiones de los sistemas de IA en la cultura, especialmente de las aplicaciones de procesamiento del lenguaje natural (PLN), como la traducción automática y los asistentes de voz, en los matices del lenguaje y la expresión humanos. Esas evaluaciones deberían contribuir a la elaboración y aplicación de estrategias que maximicen los beneficios de esos sistemas reduciendo las desigualdades culturales y mejorando la comprensión humana, así como haciendo frente a las repercusiones negativas, como una menor utilización, que podría conducir a la desaparición de lenguas en peligro, dialectos locales y variaciones tonales y culturales asociadas con el lenguaje y la expresión humanos.

96. Los Estados Miembros deberían promover la educación en IA y la capacitación digital de los artistas y los profesionales creativos, a fin de que puedan evaluar la idoneidad de las tecnologías de la IA para utilizarlas en su profesión y contribuir a la concepción y aplicación de tecnologías de la IA adecuadas, ya que estas tecnologías se emplean actualmente para crear, producir, distribuir, difundir y consumir una variedad de bienes y servicios culturales, teniendo en cuenta la importancia de preservar el patrimonio cultural, la diversidad y la libertad artística.

97. Los Estados Miembros deberían promover el conocimiento y la evaluación de los instrumentos de IA entre las industrias culturales locales y las pequeñas y medianas empresas que trabajan en el ámbito de la cultura, a fin de evitar el riesgo de concentración en el mercado cultural.

98. Los Estados Miembros deberían contar con las empresas tecnológicas y otras partes interesadas para promover una oferta diversa de expresiones culturales y un acceso plural a ellas y, en particular, para garantizar que la recomendación algorítmica aumente la notoriedad de los contenidos locales y la posibilidad de descubrirlos.

99. Los Estados Miembros deberían promover nuevas investigaciones en la intersección entre la IA y la propiedad intelectual, por ejemplo, para determinar si hay que proteger con derechos de propiedad intelectual las obras creadas mediante tecnologías de la IA y la manera de hacerlo. Los Estados Miembros también deberían evaluar cómo afectan las tecnologías de la IA a los derechos o los intereses de los titulares de derechos de propiedad intelectual cuyas obras se utilizan para investigar, desarrollar, entrenar o implantar aplicaciones de IA.

100. Los Estados Miembros deberían alentar a los museos, las galerías, las bibliotecas y los archivos de ámbito nacional a que utilicen sistemas de IA para realzar sus colecciones y enriquecer sus bibliotecas, bases de datos y bases de conocimientos, ofreciendo al mismo tiempo acceso a sus usuarios.

ÁMBITO DE ACTUACIÓN 8: EDUCACIÓN E INVESTIGACIÓN

101. Los Estados Miembros deberían colaborar con organizaciones internacionales, instituciones educativas y entidades privadas y no gubernamentales para impartir al público de todos los países, a todos los niveles, conocimientos adecuados en materia de IA, a fin de empoderar a la población y reducir las brechas digitales y las desigualdades en el acceso a la tecnología digital resultantes de la adopción a gran escala de sistemas de IA.

102. Los Estados Miembros deberían promover la adquisición de “competencias previas” para la educación en materia de IA, como la alfabetización básica, la aritmética elemental, las competencias digitales y de codificación y la alfabetización mediática e informacional, así como el pensamiento crítico y creativo, el trabajo en equipo, la comunicación, las aptitudes socioemocionales y las competencias en materia de ética de la IA, especialmente en los países y en las regiones o zonas dentro de los países en que existen lagunas notables en la enseñanza de esas competencias.

103. Los Estados Miembros deberían promover programas generales de sensibilización sobre los avances de la IA, en particular sobre los datos y las oportunidades que ofrecen y los retos que plantean las tecnologías de la IA, el impacto de los sistemas de IA en los derechos humanos, incluidos los derechos de los niños, y sus repercusiones. Estos programas deberían ser accesibles tanto a los grupos técnicos como a los no técnicos.

104. Los Estados Miembros deberían alentar las iniciativas de investigación sobre la utilización responsable y ética de las tecnologías de la IA en la enseñanza, la formación de docentes y el aprendizaje electrónico, entre otras cuestiones, a fin de aumentar las oportunidades y atenuar los problemas y los riesgos existentes en este ámbito. Esas iniciativas deberían ir acompañadas de una evaluación adecuada de la calidad de la educación y de las repercusiones que la utilización de las tecnologías de la IA tiene para los educandos y los docentes. Los Estados Miembros deberían también velar por que las tecnologías de la IA empoderen a los educandos y los docentes y mejoren su experiencia, teniendo presente que los aspectos relacionales y sociales y el valor de las formas tradicionales de educación son fundamentales en las relaciones entre docentes y educandos y entre los propios educandos y deberían tenerse en cuenta al examinar la adopción de las tecnologías de la IA en la educación. Los sistemas de IA utilizados en el aprendizaje deberían estar sujetos a requisitos estrictos en materia de supervisión, evaluación de las capacidades o predicción de los comportamientos de los educandos. La IA debería apoyar el proceso de aprendizaje sin reducir las capacidades cognitivas y sin recabar información sensible, respetando las normas pertinentes en materia de protección de los datos personales. Los datos facilitados para adquirir conocimientos, recopilados durante las interacciones del educando con el sistema de IA, no deben ser objeto de uso indebido, apropiación indebida o explotación delictiva, incluidos los fines comerciales.

105. Los Estados Miembros deberían promover la participación y el liderazgo de las niñas y las mujeres, las personas de diversos orígenes étnicos y culturas, las personas con discapacidad, las personas marginadas y vulnerables o en situación de vulnerabilidad y las minorías, así como de todas aquellas personas que no gocen plenamente de los beneficios de la inclusión digital, en los programas de educación en materia de IA en todos los niveles, así como el seguimiento y el intercambio con otros Estados Miembros de las mejores prácticas en este ámbito.

106. Los Estados Miembros deberían elaborar, de conformidad con sus tradiciones y programas de educación nacionales, planes de estudios sobre la ética de la IA para todos los niveles y promover la colaboración cruzada entre la enseñanza de competencias técnicas de IA y los aspectos humanísticos, éticos y sociales de la educación en IA. Deberían elaborarse cursos en línea y recursos digitales de enseñanza de la ética de la IA en las lenguas locales, incluidas las lenguas indígenas, y tenerse en cuenta la diversidad de los entornos, velando especialmente por la accesibilidad de los formatos para las personas con discapacidad.

107. Los Estados Miembros deberían promover y apoyar las investigaciones sobre la IA, en particular las investigaciones sobre la ética de la IA, por ejemplo mediante inversiones en este tipo de investigaciones o creando incentivos para que los sectores público y privado inviertan en este ámbito, reconociendo que las investigaciones contribuyen de manera significativa al desarrollo y la mejora ulteriores de las tecnologías de la IA con miras a promover el derecho internacional y los valores y principios enunciados en la presente Recomendación. Los Estados Miembros también deberían promover públicamente las mejores prácticas de los investigadores y las empresas que desarrollan la IA de forma ética y cooperar con ellos.

108. Los Estados Miembros deberían velar por que los investigadores en IA reciban formación en ética de la investigación y exigirles que tengan en cuenta consideraciones éticas en sus concepciones, productos y publicaciones, especialmente en los análisis de los conjuntos de datos que utilizan, la forma en que estos se anotan y la calidad y el alcance de los resultados, así como las posibles aplicaciones.

109. Los Estados Miembros deberían alentar a las empresas del sector privado a que faciliten el acceso de la comunidad científica a sus datos para la investigación, especialmente en los países de ingreso mediano bajo, en particular en los PMA, los PDSL y los PEID. Este acceso debería ser conforme a las normas pertinentes en materia de respeto de la privacidad y protección de datos.

110. Para asegurar una evaluación crítica de las investigaciones en IA y un seguimiento adecuado de los posibles usos indebidos o efectos adversos, los Estados Miembros deberían velar por que cualquier evolución futura relacionada con las tecnologías de la IA se base en investigaciones científicas rigurosas e independientes y promover la investigación interdisciplinaria en IA mediante la inclusión de disciplinas distintas de la ciencia, la tecnología, la ingeniería y las matemáticas (CTIM), como los estudios culturales, la educación, la ética, las relaciones internacionales, el derecho, la lingüística, la filosofía, las ciencias políticas, la sociología y la psicología.

111. Reconociendo que las tecnologías de la IA ofrecen grandes oportunidades para contribuir al avance de los conocimientos y las prácticas científicos, especialmente en las disciplinas tradicionalmente basadas en modelos, los Estados Miembros deberían alentar a las comunidades científicas a ser conscientes de los beneficios, los límites y los riesgos de su utilización, por ejemplo, intentando garantizar que las conclusiones extraídas de los enfoques, modelos y tratamientos basados en los datos sean sólidas y consistentes. Además, los Estados Miembros deberían celebrar y apoyar la función de la comunidad científica en la contribución a las políticas y en la concienciación respecto de los puntos fuertes y débiles de las tecnologías de la IA.

ÁMBITO DE ACTUACIÓN 9: COMUNICACIÓN E INFORMACIÓN

112. Los Estados Miembros deberían utilizar los sistemas de IA para mejorar el acceso a la información y el conocimiento. Para ello, pueden, por ejemplo, apoyar a los investigadores, las universidades, los periodistas, el público en general y los desarrolladores, a fin de mejorar la libertad de expresión, las libertades académicas y científicas y el acceso a la información, así como aumentar la divulgación proactiva de los datos y la información oficiales.

113. Los Estados Miembros deberían garantizar que los actores de la IA respeten y promuevan la libertad de expresión y el acceso a la información en lo que respecta a la generación, moderación y conservación automáticas de contenidos. Marcos adecuados, incluso reglamentarios, deberían propiciar la transparencia de los operadores de comunicación e información en línea, velar por que los usuarios tengan acceso a puntos de vista diversos y prever procesos de notificación rápida a los usuarios sobre los motivos de la eliminación u otro tratamiento de los contenidos, así como mecanismos de recurso que permitan a los usuarios solicitar reparación.

114. Los Estados Miembros deberían invertir en competencias digitales y de alfabetización mediática e informacional y promoverlas, a fin de reforzar el pensamiento crítico y las competencias necesarias para comprender el uso y las implicaciones de los sistemas de IA, con miras a atenuar y contrarrestar la desinformación, la información errónea y el discurso de odio. Una mejor comprensión y evaluación de los efectos tanto positivos como potencialmente perjudiciales de los sistemas de recomendación debería formar parte de esos esfuerzos.

115. Los Estados Miembros deberían crear entornos propicios para que los medios de comunicación tengan los derechos y recursos necesarios para informar eficazmente sobre las ventajas y los inconvenientes de los sistemas de IA, y también alentar a los medios de comunicación a que hagan un uso ético de estos sistemas en su trabajo.

ÁMBITO DE ACTUACIÓN 10: ECONOMÍA Y TRABAJO

116. Los Estados Miembros deberían evaluar y abordar el impacto de los sistemas de IA en los mercados de trabajo y sus consecuencias en las necesidades educativas en todos los países y, más concretamente, en los países cuya economía requiere mucha mano de obra. Para ello puede ser preciso introducir una gama más amplia de competencias “básicas” e interdisciplinarias en todos los niveles educativos, a fin de dar a los trabajadores actuales y a las nuevas generaciones una oportunidad equitativa de encontrar empleo en un mercado en rápida evolución y para asegurar que sean conscientes de los aspectos éticos de los sistemas de IA. Junto a las competencias técnicas especializadas, así como a las tareas poco especializadas, deberían enseñarse competencias como “aprender a aprender”, comunicación, pensamiento crítico, trabajo en equipo, empatía y la capacidad de transferir los conocimientos propios a diversos ámbitos. Es fundamental actuar con transparencia con respecto a las competencias de las que existe demanda y actualizar los planes de estudios en torno a ellas.

117. Los Estados Miembros deberían apoyar los acuerdos de colaboración entre los gobiernos, las instituciones universitarias, las instituciones de enseñanza y formación profesional, la industria, las organizaciones de trabajadores y la sociedad civil a fin de reducir la brecha en cuanto a las competencias exigidas para adecuar los programas y estrategias de capacitación a las futuras implicaciones del trabajo y a las necesidades de la industria, incluidas las pequeñas y medianas empresas. Deberían promoverse enfoques de enseñanza y aprendizaje de la IA basados en proyectos, facilitando las asociaciones de colaboración entre las instituciones públicas, las empresas del sector privado, las universidades y los centros de investigación.

118. Los Estados Miembros deberían colaborar con empresas del sector privado, organizaciones de la sociedad civil y otras partes interesadas, incluidos trabajadores y sindicatos, para garantizar una transición equitativa a los empleados en situación de riesgo. Esto supone poner en marcha programas de perfeccionamiento y reconversión profesional, encontrar mecanismos eficaces para retener a los empleados durante esos periodos de transición y explorar programas de protección social para aquellos que no puedan reconvertirse. Los Estados Miembros deberían elaborar y aplicar programas para analizar los problemas detectados y darles respuesta, entre los que podrían figurar el perfeccionamiento y la reconversión profesional, el fortalecimiento de la protección social, la aplicación de políticas e intervenciones sectoriales proactivas y la introducción de ventajas fiscales y nuevas formas de tributación. Los Estados Miembros deberían garantizar que haya suficiente financiación pública para apoyar estos programas. Las reglamentaciones pertinentes, como los regímenes fiscales, deberían examinarse cuidadosamente y modificarse, si es necesario, para contrarrestar las consecuencias del desempleo causado por la automatización basada en la IA.

119. Los Estados Miembros deberían alentar y apoyar a los investigadores para que analicen el impacto de los sistemas de IA en el entorno laboral local con miras a anticipar las tendencias y los desafíos futuros. Estos estudios deberían tener un enfoque interdisciplinario y examinar el impacto de los sistemas de IA en los sectores económico, social y geográfico, así como en las interacciones entre seres humanos y robots y entre los propios seres humanos, a fin de asesorar sobre las mejores prácticas de reconversión y reasignación profesionales.

120. Los Estados Miembros deberían adoptar las medidas adecuadas para garantizar la competitividad de los mercados y la protección de los consumidores, considerando posibles medidas y mecanismos en los planos nacional, regional e internacional, a fin de impedir los abusos de posición dominante en el mercado, incluidos los monopolios, en relación con los sistemas de IA durante su ciclo de vida, ya se trate de datos, investigación, tecnología o mercados. Los Estados Miembros deberían prevenir las desigualdades resultantes, evaluar los mercados correspondientes y promover mercados competitivos. Se debería prestar la debida atención a los países de ingreso mediano bajo, en particular a los PMA, los PDSL y los PEID, que están más expuestos y son más vulnerables a la posibilidad de que se produzcan abusos de posición dominante en el mercado, como consecuencia de la falta de infraestructuras, capacidad humana y reglamentación, entre otros factores. Los actores de la IA que desarrollen sistemas de IA en países que hayan establecido o adoptado normas éticas en materia de IA deberían respetar estas normas cuando exporten estos productos, desarrollen sus sistemas de IA o los apliquen en países donde no existan dichas normas, respetando al mismo tiempo el derecho internacional y las leyes, normas y prácticas nacionales aplicables de estos países.

ÁMBITO DE ACTUACIÓN 11: SALUD Y BIENESTAR SOCIAL

121. Los Estados Miembros deberían esforzarse por emplear sistemas eficaces de IA para mejorar la salud humana y proteger el derecho a la vida, en particular atenuando los brotes de enfermedades, al tiempo que desarrollan y mantienen la solidaridad internacional para hacer frente a los riesgos e incertidumbres relacionados con la salud en el plano mundial, y garantizar que su despliegue de sistemas de IA en el ámbito de la atención de la salud sea conforme al derecho internacional y a sus obligaciones en materia de derechos humanos. Los Estados Miembros deberían velar por que los actores que participan en los sistemas de IA relacionados con la atención de la salud tengan en cuenta la importancia de las relaciones del paciente con su familia y con el personal sanitario.

122. Los Estados Miembros deberían garantizar que el desarrollo y el despliegue de los sistemas de IA relacionados con la salud en general y con la salud mental en particular —prestando la debida atención a los niños y los jóvenes— estén regulados, de modo que esos sistemas sean seguros, eficaces, eficientes y probados desde el punto de vista científico y médico y faciliten la innovación y el progreso médico con base empírica. Además, en el ámbito conexo de las intervenciones de salud digital, se alienta encarecidamente a los Estados Miembros a que hagan participar activamente a los pacientes y sus representantes en todas las etapas pertinentes del desarrollo del sistema.

123. Los Estados Miembros deberían prestar particular atención a la regulación de las soluciones de predicción, detección y tratamiento médicos en las aplicaciones de la IA, mediante:

a) la supervisión para minimizar y atenuar los sesgos;

b) la inclusión del profesional, el paciente, el cuidador o el usuario del servicio en el equipo en calidad de “experto en la materia” en todas las etapas pertinentes al elaborar los algoritmos;

c) una debida atención a la privacidad, dado que quizá sea necesaria una vigilancia médica, y el cumplimiento de todos los requisitos nacionales e internacionales pertinentes en materia de protección de datos;

d) mecanismos eficaces para que las personas cuyos datos personales se están analizando sepan de la utilización y el análisis de sus datos y den su consentimiento informado al respecto, sin impedir el acceso a la atención de la salud;

e) la garantía de que el cuidado humano y la decisión final sobre el diagnóstico y el tratamiento correspondan siempre a seres humanos, reconociendo al mismo tiempo que los sistemas de IA también pueden ayudarlos en su trabajo;

f) el examen, cuando sea necesario, de los sistemas de IA por un comité de investigación ética antes de su uso clínico.

124. Los Estados Miembros deberían realizar investigaciones sobre los efectos y la regulación de los posibles daños de los sistemas de IA para la salud mental, tales como un aumento de la depresión, la ansiedad, el aislamiento social, el desarrollo de adicciones, el tráfico, la radicalización y la información errónea, entre otros.

125. Los Estados Miembros deberían elaborar directrices sobre las interacciones entre seres humanos y robots y sus repercusiones en las relaciones entre seres humanos, basadas en la investigación y orientadas al desarrollo futuro de robots, y prestando especial atención a la salud mental y física de los seres humanos. Debería prestarse particular atención al uso de robots en la atención de la salud, en la atención a las personas de edad y las personas con discapacidad y en el ámbito de la educación, así como a los robots para uso infantil y para usos lúdicos, conversacionales y de compañía para niños y adultos. Además, deberían utilizarse las tecnologías de la IA para mejorar la seguridad y el uso ergonómico de los robots, en particular en entornos de trabajo en los que intervienen robots y seres humanos. Debería prestarse especial atención a la posibilidad de utilizar la IA para manipular los sesgos cognitivos humanos y hacer un mal uso de ellos.

126. Los Estados Miembros deberían velar por que las interacciones entre seres humanos y robots se ajusten a los mismos valores y principios que se aplican a cualquier otro sistema de IA, lo que incluye los derechos humanos y las libertades fundamentales, la promoción de la diversidad y la protección de las personas vulnerables o en situación de vulnerabilidad. Las cuestiones éticas relativas a los sistemas basados en la IA utilizados en las neurotecnologías y las interfaces cerebro-ordenador deberían tenerse en cuenta a fin de preservar la dignidad y la autonomía humanas.

127. Los Estados Miembros deberían velar por que los usuarios puedan determinar fácilmente si interactúan con un ser vivo o con un sistema de IA que imita las características humanas o animales y puedan rechazar eficazmente dicha interacción y solicitar la intervención humana.

128. Los Estados Miembros deberían aplicar políticas de sensibilización sobre la antropomorfización de las tecnologías de la IA y las tecnologías que reconocen e imitan las emociones humanas, especialmente en el lenguaje utilizado para referirse a ellas, y evaluar las manifestaciones, las implicaciones éticas y las posibles limitaciones de esa antropomorfización, en particular en el contexto de la interacción entre robots y seres humanos y, especialmente, cuando se trate de niños.

129. Los Estados Miembros deberían alentar y promover la investigación colaborativa sobre los efectos de la interacción a largo plazo de las personas con los sistemas de IA, prestando especial atención a las consecuencias psicológicas y cognitivas que estos sistemas pueden tener en los niños y los jóvenes. Para ello deberían utilizarse múltiples normas, principios, protocolos, enfoques disciplinarios y un análisis de la modificación de las conductas y los hábitos, así como una cuidadosa evaluación de los impactos culturales y sociales posteriores. Además, los Estados Miembros deberían alentar la investigación sobre el efecto de las tecnologías de la IA en el desempeño del sistema sanitario y los resultados en materia de salud.

130. Los Estados Miembros, así como todas las partes interesadas, deberían establecer mecanismos para hacer participar de manera significativa a los niños y los jóvenes en las conversaciones, los debates y la adopción de decisiones sobre las repercusiones de los sistemas de IA en sus vidas y su futuro.

V. SEGUIMIENTO Y EVALUACIÓN

131. Los Estados Miembros, de acuerdo con sus circunstancias, estructuras de gobierno y disposiciones constitucionales específicas, deberían velar por el seguimiento y la evaluación de las políticas, los programas y los mecanismos relativos a la ética de la IA de forma creíble y transparente mediante una combinación de enfoques cuantitativos y cualitativos. La UNESCO puede contribuir a apoyar a los Estados Miembros mediante:

a) la elaboración de una metodología de la UNESCO de evaluación del impacto ético de las tecnologías de la IA basada en una investigación científica rigurosa y fundamentada en el derecho internacional de los derechos humanos, orientaciones para su aplicación en todas las etapas del ciclo de vida de los sistemas de IA y materiales de desarrollo de las capacidades para apoyar la labor de los Estados Miembros dirigida a capacitar a funcionarios públicos, responsables de formular políticas y otros actores pertinentes de la IA en la metodología de la evaluación del impacto ético;

b) la elaboración de una metodología de la UNESCO de evaluación del estadio de preparación para ayudar a los Estados Miembros a determinar su situación en momentos concretos de su trayectoria de preparación a través de un conjunto de dimensiones;

c) la elaboración de una metodología de la UNESCO para evaluar ex ante y ex post la eficacia y la eficiencia de las políticas y los incentivos relacionados con la ética de la IA con respecto a objetivos definidos;

d) el fortalecimiento del análisis, basado en investigaciones y pruebas, de las políticas relativas a la ética de la IA y la presentación de informes a este respecto;

e) la recopilación y difusión de información sobre los avances y las innovaciones, informes de investigación, publicaciones científicas, datos y estadísticas relativos a las políticas sobre la ética de la IA, en particular mediante las iniciativas existentes, a fin de apoyar el intercambio de mejores prácticas y el aprendizaje mutuo y de impulsar la aplicación de la presente Recomendación.

132. Los procesos de seguimiento y evaluación deberían asegurar una amplia participación de todas las partes interesadas, entre ellas, aunque no exclusivamente, las personas vulnerables o en situación de vulnerabilidad. Se debería garantizar la diversidad social, cultural y de género, con miras a mejorar los procesos de aprendizaje y fortalecer los nexos entre las conclusiones, la adopción de decisiones, la transparencia y la rendición de cuentas sobre los resultados.

133. A fin de promover las mejores políticas y prácticas relacionadas con la ética de la IA, deberían elaborarse instrumentos e indicadores adecuados para evaluar su eficacia y eficiencia en función de normas, prioridades y objetivos acordados, incluidos objetivos específicos para las personas pertenecientes a poblaciones desfavorecidas y marginadas y personas vulnerables o en situación de vulnerabilidad, así como el impacto de los sistemas de IA en los planos individual y social. El seguimiento y la evaluación del impacto de los sistemas de IA y de las políticas y prácticas conexas relativas a la ética de la IA deberían realizarse de manera continua y sistemática proporcionalmente a los riesgos correspondientes. Este proceso debería basarse en marcos acordados internacionalmente e ir acompañado de evaluaciones de instituciones, proveedores y programas públicos y privados, incluidas autoevaluaciones, así como de estudios de seguimiento y la elaboración de conjuntos de indicadores. La recopilación y el procesamiento de datos deberían realizarse de conformidad con el derecho internacional, la legislación nacional en materia de protección y confidencialidad de datos y los valores y principios enunciados en la presente Recomendación.

134. En particular, los Estados Miembros podrían considerar posibles mecanismos de seguimiento y evaluación, como una comisión de ética, un observatorio de ética de la IA, un repositorio que abarque el desarrollo ético y conforme a los derechos humanos de los sistemas de IA, o contribuciones a las iniciativas existentes para reforzar la conformidad a los principios éticos en todas las esferas de competencia de la UNESCO, un mecanismo de intercambio de experiencias, entornos de pruebas reguladores de la IA y una guía de evaluación para que todos los actores de la IA determinen en qué medida cumplen las recomendaciones de actuación mencionadas en el presente documento.

VI. UTILIZACIÓN Y APLICACIÓN DE LA PRESENTE RECOMENDACIÓN

135. Los Estados Miembros y todas las demás partes interesadas que se indican en la presente Recomendación deberían respetar, promover y proteger los valores, principios y normas éticos relativos a la IA que se establecen en esta Recomendación y adoptar todas las medidas posibles para dar efecto a sus recomendaciones de actuación.

136. Los Estados Miembros deberían esforzarse por ampliar y complementar su propia acción en lo que respecta a la presente Recomendación, cooperando con todas las organizaciones gubernamentales y no gubernamentales nacionales e internacionales pertinentes, así como con las empresas transnacionales y las organizaciones científicas, cuyas actividades correspondan al ámbito de aplicación y a los objetivos de la presente Recomendación. La elaboración de una metodología de la UNESCO de evaluación del impacto ético y el establecimiento de comisiones nacionales de ética de la IA pueden ser instrumentos importantes a este respecto.

VII. PROMOCIÓN DE LA PRESENTE RECOMENDACIÓN

137. La UNESCO tiene la vocación de ser el principal organismo de las Naciones Unidas encargado de promover y difundir la presente Recomendación y, en consecuencia, trabajará en colaboración con otras entidades pertinentes de las Naciones Unidas, respetando al mismo tiempo su mandato y evitando la duplicación de esfuerzos.

138. La UNESCO, incluidos algunos de sus órganos, como la Comisión Mundial de Ética del Conocimiento Científico y la Tecnología (COMEST), el Comité Internacional de Bioética (CIB) y el Comité Intergubernamental de Bioética (CIGB), trabajará también en colaboración con otras organizaciones gubernamentales y no gubernamentales internacionales, regionales y subregionales.

139. Aunque en la UNESCO el mandato de promover y proteger es competencia de los gobiernos y los organismos intergubernamentales, la sociedad civil desempeñará una función importante en la defensa de los intereses del sector público y, por lo tanto, la UNESCO debe garantizar y promover su legitimidad.

VIII. DISPOSICIONES FINALES

140. La presente Recomendación debe entenderse como un todo, y los valores y principios fundamentales deben considerarse complementarios y relacionados entre sí.

141. Ninguna disposición de la presente Recomendación podrá interpretarse como si reemplazara, modificara o menoscabara de cualquier otra manera las obligaciones o los derechos de los Estados con arreglo al derecho internacional o como si autorizara a un Estado, otro agente político, económico o social, grupo o individuo a emprender actividades o realizar actos que sean contrarios a los derechos humanos, las libertades fundamentales, la dignidad humana y el respeto del medio ambiente y los ecosistemas, tanto vivos como no vivos.

21Sep/24

Inteligencia Artificial

21 septiembre, 2024Argentina, Inteligencia Artificial, LegislaciónJosé Cuervo

Disposición 2/2023 DI-2023-2-APN-SSTI#JGM de 1 de junio de 2023 de la Jefatura de Gabinete de Ministros. Subsecretaría de Tecnologías de la Información. Apruebanse las Recomendaciones para una Inteligencia Artificial (Publicada en el Boletín Oficial de 2 de junio de 2023)

Régimen jurídico aplicable para el uso responsable de la Inteligencia Artificial en la República Argentina, el 10 de junio de 2024, por el Diputado Nacional Juan Fernando Brígge, Trámite parlamentario nº 73, Expediente 3003-D-2024

RESOL-2024-710-APN-MSG, Ciudad de Buenos Aires, del 26 de julio de 2024 por la que se crea en Argentina una Unidad de Inteligencia Artificial Aplicada a la Seguridad (UIAAS), cuya misión es la prevención, detención, Investigación y persecución del delito y sus conexiones mediante la utilización de IA

21Sep/24

Acceso a la información pública 2024

21 septiembre, 2024Acceso a la información pública Argentina 2020, Argentina 2024, Argentina 2024José Cuervo

Resolución nº 76 del 27 de marzo de 2024 de la Agencia de Acceso a la Información (Publicada el 5 de abril de 2024)#url# #tags#

Resolución nº 77 del 3 de abril de 2024 de la Agencia de Acceso a la Información (Publicada el 5 de abril de 2024)

Resolución nº 80 del 3 de abril de 2024 de la Agencia de Acceso a la Información (Publicada el 5 de abril de 2024)

Resolución 15/2024 de 5 de junio de 2024. (RESOL-2024-15-APN-SICYT#JGM) Se aprueban los “Lineamientos para el uso de herramientas digitales” en el Sector Público Nacional, con el objetivo de fortalecer la seguridad de la información y proteger los activos de información de la Administración Pública. Estos lineamientos serán de aplicación para todas las jurisdicciones y entidades del Sector Público Nacional. (Publicado el 7 de junio de 2024)

Decreto 780/2024, 30 de agosto de 2024, Derecho de Acceso a la información pública. Reglamento de la Ley nº 27.275. Modificación del Decreto nº 206/2017

21Sep/24

Decreto 780/2024, 30 de agosto de 2024,

21 septiembre, 2024Argentina, DecretoAcceso a la Información Pública, Constitución Nacional, Decreto 206/2017, Derecho Acceso Información Pública, Derecho Argentino, Derecho Informático Argentino, Legislación Argentina, Legislación Informática Argentina, Ley 27.275, Resolución Agencia Acceso Información Pública nº 76José Cuervo

Decreto 780/2024, 30 de agosto de 2024, Derecho de Acceso a la información pública. Reglamento de la Ley nº 27.275. Modificación del Decreto nº 206/2017

Decreto 780/2024, de 30 de agosto de 2024, Derecho de Acceso a la información pública. Reglamento de la Ley nº 27.275. Modificación del Decreto nº 206/2017 (Fecha de publicación 02/09/2024)

VISTO el Expediente N° EX-2024-89633385-APN-CGD#SGP, la Ley Nº 27.275 y su modificatorio, el Decreto N° 206 del 27 de marzo de 2017 y su modificatorio y las Resoluciones de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA Nros. 76 del 27 de marzo de 2024 y 77 y 80, ambas del 3 de abril de 2024, y

CONSIDERANDO:

Que el derecho de acceso a la información pública se vincula estrechamente con el principio republicano de publicidad de los actos de gobierno y se infiere del propio texto y espíritu de la CONSTITUCIÓN NACIONAL.

Que constituye un objetivo primordial del PODER EJECUTIVO NACIONAL garantizar su ejercicio para fortalecer los pilares básicos del sistema republicano y la confianza de los ciudadanos en las instituciones.

Que la Ley Nº 27.275 de “Acceso a la Información Pública”, sancionada en el año 2016, tiene por objeto garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover la participación ciudadana y la transparencia de la gestión pública.

Que con el fin de asegurar el adecuado ejercicio de dicho derecho por parte de los ciudadanos, se dictó el Decreto N° 206/17 luego de la celebración de una consulta pública en la que se puso a consideración de la sociedad civil la necesidad de reglamentar algunos aspectos de la citada ley.

Que deviene imprescindible reglamentar el artículo 3° de la referida Ley Nº 27.275 y su modificatoria para clarificar el alcance del concepto de “información pública”, que comprende cuestiones de interés público ligadas a la actividad estatal y su control, y excluye por su propia naturaleza a la información que hace al ámbito privado del funcionario o magistrado, especialmente cuando la solicitud pretende ingresar a una esfera típicamente doméstica.

Que, en esa línea, las consultas sobre información que no estén ligadas a la gestión estatal exceden el objeto de la Ley N° 27.275 y su modificatoria y su tutela, y por tanto no generan obligación para la Administración Pública Nacional de suministrarla.

Que de acuerdo con lo establecido por el artículo 19 de la Ley Nº 27.275 y su modificatoria, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, organismo descentralizado actuante en el ámbito de la VICEJEFATURA DE GABINETE EJECUTIVA de la JEFATURA DE GABINETE DE MINISTROS, debe velar por el cumplimiento de los principios y procedimientos establecidos en la referida ley, garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover medidas de transparencia activa y actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales N° 25.326 y su modificatoria.

Que desde la entrada en vigencia de la mencionada Ley N° 27.275, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA dictó diversas resoluciones mediante las cuales estableció criterios orientadores y procedimentales para la correcta interpretación e implementación de la normativa mencionada y de su Decreto Reglamentario.

Que a efectos de evitar la fragmentación y dispersión normativa, mediante la Resolución de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA N° 80/24 fue aprobado, entre otros aspectos, en el Anexo III, el “Texto Ordenado de los Criterios Orientadores e Indicadores de Mejores Prácticas en la aplicación de la Ley N° 27.275”.

Que habiendo transcurrido SIETE (7) años desde la entrada en vigencia de esa ley, se advierte la necesidad de realizar las adecuaciones correspondientes a la Reglamentación de acuerdo con la experiencia práctica de su implementación con el fin de facilitar el acceso a la información pública de los ciudadanos.

Que, en ese marco, corresponde incorporar a la referida Reglamentación ciertos criterios establecidos por la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA en la Resolución N° 80/24, para garantizar que los derechos subjetivos sean ejercidos conforme al principio de buena fe y en su ámbito de funcionamiento razonable.

Que, en tal sentido, se torna necesario adoptar medidas para evitar la divulgación de toda información que, por su especificidad, pueda ser utilizada para identificar rutinas, desplazamientos y ubicaciones de una persona, así como la relacionada con denuncias o investigaciones en curso.

Que asimismo, en virtud del avance de las tecnologías vinculadas a la gestión de la información, resulta oportuno posibilitar la incorporación de mecanismos digitales que mejoren las condiciones de acceso a la información pública y garanticen un acceso eficaz y transparente.

Que resulta menester adaptar la plataforma tecnológica existente con el fin de que esta incorpore nuevas tecnologías que faciliten la interacción de los usuarios, amplíen las capacidades de exploración sobre la información transparentada y permitan un mejor análisis de métricas sobre el funcionamiento del Sistema de Transparencia y Acceso a la Información Pública establecido en la Resolución de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA N° 76/24.

Que la referida Resolución incorpora como un componente de dicho sistema el Portal Nacional de Transparencia, plataforma tecnológica destinada a brindar servicios a la ciudadanía para el acceso efectivo a la información pública y la transparencia activa.

Que a través de la Resolución de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA N° 77/24 se actualizaron los criterios y pautas de estandarización y publicación de la información que dan cumplimiento a las previsiones del artículo 32 de la Ley N° 27.275 y su modificatoria.

Que un régimen eficiente y eficaz mejorará la previsibilidad en la gestión, la promoción de la rendición de cuentas y el incremento de la información relacionada con la implementación de iniciativas vinculadas con la lucha contra la corrupción, entre otras.

Que la PROCURACIÓN DEL TESORO DE LA NACIÓN estimó razonable y conveniente incorporar las directrices y consideraciones vertidas en una eventual reglamentación del artículo 3º de la Ley Nº 27.275 (Dictámenes 330:86).

Que, en virtud de lo expuesto, deviene necesario reglamentar los artículos 1º, 3º, 4º, 8º, 24, 31 y 32 de la citada Ley N° 27.275 y su modificatoria y efectuar las adecuaciones correspondientes.

Que ha tomado la intervención de su competencia el servicio de asesoramiento jurídico pertinente.

Que la presente medida se dicta en uso de las atribuciones conferidas por el artículo 99, inciso 2 de la CONSTITUCIÓN NACIONAL.

Por ello,

EL PRESIDENTE DE LA NACIÓN ARGENTINA

DECRETA:

ARTÍCULO 1°.- Reglaméntase el último párrafo del artículo 1° de la Ley N° 27.275 y su modificatoria, e incorpórase como artículo 1° al Anexo I del Decreto N° 206 del 27 de marzo de 2017 y su modificatorio el siguiente texto:

“ARTÍCULO 1º.- “Buena fe: La violación al principio de buena fe por parte de todos los actores intervinientes configura el supuesto previsto en el artículo 10 del CÓDIGO CIVIL Y COMERCIAL DE LA NACIÓN”.

ARTÍCULO 2°.- Reglaméntase el artículo 3° de la Ley N° 27.275 y su modificatoria, e incorpórase como artículo 3° al Anexo I del Decreto N° 206 del 27 de marzo de 2017 y su modificatorio el siguiente texto:

“ARTÍCULO 3°.- Alcance de las definiciones.

a) Información Pública: No se entenderá como información pública a aquella que contenga datos de naturaleza privada que fueran generados, obtenidos, transformados, controlados o custodiados por personas humanas o jurídicas privadas o por la ausencia de un interés público comprometido, ajenos a la gestión de los sujetos obligados enumerados en el artículo 7° de la Ley N° 27.275 y su modificatoria.

b) Documento: La definición de documento establecida en la Ley Nº 27.275 y su modificatoria debe entenderse referida a todo registro que haya sido generado, que sea controlado o que sea custodiado en el marco de la actividad estatal.

Las deliberaciones preparatorias y papeles de trabajo, o el examen preliminar de un asunto, no serán considerados documentos de carácter público”.

ARTÍCULO 3°.- Reglaméntase el artículo 4° de la Ley N° 27.275 y su modificatoria, e incorpórase como artículo 4° al Anexo I del Decreto N° 206 del 27 de marzo de 2017 y su modificatorio el siguiente texto:

“ARTÍCULO 4º.- Legitimación activa. Requisitos formales de la solicitud: a la persona humana o jurídica, pública o privada, al momento de efectuar una solicitud únicamente se le podrán solicitar los siguientes requisitos:

a. En caso de tratarse de una persona humana, su nombre y apellido, documento de identidad, domicilio y correo electrónico;

b. En caso de tratarse de una persona jurídica, la razón social y C.U.I.T. y la identificación de su representante en los términos del inciso a). Adicionalmente, copia del poder legalizado vigente que acredite su condición de representante o autorizado a tales efectos”.

ARTÍCULO 4°.- Sustitúyese el artículo 8º del Anexo I del Decreto Nº 206 del 27 de marzo de 2017 y su modificatorio, el que quedará redactado de la siguiente manera:

“ARTÍCULO 8°.- Excepciones. A los efectos de su aplicación, se considerará:

a. El carácter reservado, confidencial o secreto de la información clasificada por razones de defensa, política exterior o seguridad interior debe ser dispuesto por normas que reglamenten el ejercicio de la actividad y por acto fundado de las respectivas autoridades competentes, de forma previa a la solicitud de información.

En caso de no existir previsión en contrario, la información clasificada como reservada, confidencial o secreta mantendrá ese estado durante DIEZ (10) años desde su producción, transcurridos los cuales, el sujeto obligado deberá formular un nuevo análisis respecto de la viabilidad de desclasificar la información con el fin de que alcance estado público.

b) Se encuentra específicamente protegido el secreto financiero contemplado en los artículos 39 y 40 de la Ley N° 21.526, sus modificaciones y normas complementarias y concordantes y toda aquella normativa que la modifique o reemplace.

c) Se entenderá como información cuya revelación pudiera perjudicar el nivel de competitividad o lesionar los intereses del sujeto obligado aquella que:

1. Sea secreta, en el sentido de que no fuera generalmente conocida ni fácilmente accesible para personas introducidas en los círculos en que normalmente se utiliza ese tipo de información, en todo o en las partes que la componen; y

2. Tenga un valor comercial por ser secreta; y

3. Sea objeto de medidas razonables para mantenerla secreta.

d) Sin reglamentar.

e) La información en poder de la UNIDAD DE INFORMACIÓN FINANCIERA exceptuada del acceso a la información pública comprende a toda aquella recibida, obtenida, producida, vinculada o utilizada para el desarrollo de sus actividades en las áreas de seguridad, sumarios, supervisión, análisis y asuntos internacionales y la información recibida de los sujetos obligados enumerados en el artículo 20 de la Ley N° 25.246 y sus modificatorias.

f) Sin reglamentar.

g) Sin reglamentar.

h) Sin reglamentar.

i) La excepción será inaplicable cuando el titular del dato haya prestado consentimiento para su divulgación o cuando los datos estén estrechamente relacionados con las competencias de los funcionarios públicos.

j) La excepción será aplicable a toda información que:

1. Por su especificidad, pueda ser utilizada para identificar rutinas, desplazamientos y ubicaciones de una persona; o

2. Su conocimiento público, difusión o divulgación pueda, directa o indirectamente, causar daños y perjuicios; o

3. Se encuentre relacionada con denuncias o investigaciones en curso que, de hacerse pública, pueda poner en riesgo a denunciantes, testigos, víctimas o cualquier otra persona involucrada.

k) Sin reglamentar.

l) Sin reglamentar.

m) Sin reglamentar.

En las causas judiciales donde se investiguen y juzguen casos de graves violaciones a los derechos humanos, genocidio, crímenes de guerra o delitos de lesa humanidad no serán aplicables las excepciones contenidas en este artículo, debiendo el sujeto obligado suministrar la información requerida en el marco de la causa”.

ARTÍCULO 5°.- Reglaméntase el artículo 24 de la Ley N° 27.275 y su modificatoria, e incorpórase como artículo 24 al Anexo I del Decreto N° 206 del 27 de marzo de 2017 y su modificatorio el siguiente texto:

“ARTÍCULO 24.- Competencias y funciones de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.

a) Sin reglamentar.

b) Sin reglamentar.

c) Sin reglamentar.

d) La plataforma tecnológica contendrá un registro que permita la identificación del solicitante, el contenido de la solicitud y la respuesta brindada con el fin de agilizar y facilitar la respuesta de nuevas solicitudes cuyo contenido coincida con el de otras evacuadas previamente.

e) Sin reglamentar.

f) Sin reglamentar.

g) Sin reglamentar.

h) La Agencia tendrá en consideración, a los efectos de la elaboración de estadísticas, aquellas solicitudes reiterativas que generen un dispendio innecesario de actividad administrativa por parte de los sujetos obligados, o que configuren un abuso en el ejercicio del derecho de acceso a la información pública por parte de los solicitantes.

i) Sin reglamentar.

j) Sin reglamentar.

k) Sin reglamentar.

l) Sin reglamentar.

m) Sin reglamentar.

n) Sin reglamentar.

o) Sin reglamentar.

p) Sin reglamentar.

q) Sin reglamentar.

r) Sin reglamentar.

s) Sin reglamentar.

t) Sin reglamentar”.

ARTÍCULO 6°.- Reglaméntase el artículo 31 de la Ley N° 27.275 y su modificatoria, e incorpórase como artículo 31 al Anexo I del Decreto N° 206 del 27 de marzo de 2017 y su modificatorio el siguiente texto:

“ARTÍCULO 31.- Funciones de los responsables de acceso a la información pública. Las funciones de los responsables de acceso a la información pública, en el ámbito de sus respectivas jurisdicciones, comprenderán:

a) Clasificar los distintos pedidos en razón de su objeto. En aquellos casos en los cuales existan solicitudes similares podrán ser agrupadas y remitidas al funcionario pertinente para su tramitación conjunta y la elaboración de una respuesta unificada.

b) En caso de que se verifique el ingreso de solicitudes que reiteren un pedido ya contestado o un manifiesto apartamiento del principio de buena fe, por parte de una misma persona, independientemente de la respuesta que elabore el sujeto obligado, adicionalmente se informará a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA para que adopte las medidas que estime necesarias con el fin de garantizar el efectivo ejercicio del derecho de acceso a la información pública en condiciones de igualdad a favor de todas las personas habilitadas a tal efecto.

c) Sin reglamentar.

d) Sin reglamentar.

e) Sin reglamentar.

f) Sin reglamentar.

g) Sin reglamentar.

h) Sin reglamentar.

i) Sin reglamentar.

j) Sin reglamentar.

k) Sin reglamentar”.

ARTÍCULO 7°.- Reglaméntase el primer párrafo del artículo 32 de la Ley N° 27.275 y su modificatoria, e incorpórase como artículo 32 al Anexo I del Decreto N° 206 del 27 de marzo de 2017 y su modificatorio el siguiente texto:

“ARTÍCULO 32.- Transparencia activa. Cuando una solicitud versare sobre información que se encuentre publicada en una página oficial de la red informática, esta se tendrá por satisfecha con la sola remisión a esa página. En caso de tratarse de información de actualización periódica, además de remitir al portal, se deberá indicar que este se encuentra sujeto a actualizaciones”.

a) Sin reglamentar.

b) Sin reglamentar.

c) Sin reglamentar.

d) Sin reglamentar.

e) Sin reglamentar.

f) Sin reglamentar.

g) Sin reglamentar.

h) Sin reglamentar.

i) Sin reglamentar.

j) Sin reglamentar.

k) Sin reglamentar.

l) Sin reglamentar.

m) Sin reglamentar.

n) Sin reglamentar.

o) Sin reglamentar.

p) Sin reglamentar.

q) Sin reglamentar.

r) Sin reglamentar.

s) Sin reglamentar.

t) Sin reglamentar”.

ARTÍCULO 8°.- La presente medida entrará en vigencia a partir de la fecha de su publicación en el BOLETÍN OFICIAL.

ARTÍCULO 9°.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.

MILEI – Guillermo Francos

21Sep/24

Resolución nº 80 del 3 de abril de 2024

21 septiembre, 2024Argentina, ResoluciónAAIP, Agencia Acceso a la INformación, Derecho Argentino, Derecho Informático Argentino, Legislación Argentina, Legislación Informática Argentina, Ley 27.275, Ley Acceso a la Información PúblicaJosé Cuervo

Resolución nº 80 del 3 de abril de 2024 de la Agencia de Acceso a la Información (Publicada el 5 de abril de 2024)

AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESOL-2024-80-APN-AAIP

Ciudad de Buenos Aires, 03/04/2024

VISTO el Expediente N° EX-2023-141705823- -APN-AAIP; la Ley N° 27.275; el Decreto N° 206 del 27 de marzo de 2017; las Resoluciones de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA N° 4 del 2 de febrero de 2018, N° 5 del 5 de febrero de 2018, N° 48 del 30 de julio de 2018, N° 119 del 22 de julio 2019, N° 268 del 10 enero de 2020, N° 94 del 23 de mayo de 2023 y N° 76 del 27 de marzo de 2024; y

CONSIDERANDO:

Que la Ley de Acceso a la Información Pública N° 27.275 tiene por objeto garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover la participación ciudadana y la transparencia de la gestión pública.

Que, conforme las disposiciones del artículo 24 del mencionado cuerpo normativo, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (en adelante AAIP) se encuentra facultada para redactar y aprobar el Reglamento de Acceso a la Información Pública aplicable a todos los sujetos obligados (inc. c); requerir a dichos sujetos que modifiquen o adecuen su organización, procedimientos, sistemas de atención al público y recepción de correspondencia a la normativa aplicable a los fines de cumplir con el objeto de la citada ley (inc. e); coordinar el trabajo de los responsables de acceso a la información pública que designen los sujetos obligados conforme lo previsto en el artículo 30 de la mencionada ley (inc. g); elaborar criterios orientadores e indicadores de mejores prácticas destinados a los sujetos obligados (inc. k); y solicitar a los sujetos obligados expedientes, informes, documentos, antecedentes y cualquier otro elemento necesario a los efectos de ejercer su labor (inc. m); entre otras atribuciones.

Que el artículo 30 de la ley citada establece que cada sujeto obligado deberá nombrar a un responsable de acceso a la información, cuyas funciones y atribuciones específicas están definidas en el artículo 31, entre las que se encuentra tramitar las solicitudes de acceso dentro de su jurisdicción (inc. a), realizar el seguimiento y control de la correcta tramitación de las solicitudes de acceso a la información pública (inc. b), llevar un registro de las solicitudes de acceso a la información pública; promover la implementación de las resoluciones elaboradas por la AAIP (inc. d), brindar asistencia a los solicitantes en la elaboración de los pedidos de acceso a la información pública y orientarlos sobre las dependencias o entidades que pudieran poseer la información requerida (inc. e), promover prácticas de transparencia en la gestión pública y de publicación de la información (inc. f), elaborar informes mensuales para ser remitidos a la AAIP o a los organismos detallados en el artículo 28 de la Ley Nº 27.275, según corresponda, sobre la cantidad de solicitudes recibidas, los plazos de respuesta y las solicitudes respondidas y rechazadas (inc. g), publicar, en caso de corresponder, la información que hubiese sido desclasificada (inc. h), informar y mantener actualizadas a las distintas áreas de la jurisdicción correspondiente sobre la normativa vigente en materia de guarda, conservación y archivo de la información y promover prácticas en relación con dichas materias, con la publicación de la información y con el sistema de procesamiento de la información (inc. i), participar de las reuniones convocadas por la AAIP (inc. j) y todas aquellas que sean necesarias para asegurar una correcta implementación de las disposiciones de la Ley de Acceso a la Información Pública (inc. k).

Que, desde la entrada en vigencia de la Ley N° 27.275, la AAIP dictó diversas resoluciones mediante las cuales estableció criterios orientadores y procedimentales para la correcta interpretación e implementación de la normativa mencionada y de su decreto reglamentario, entre las que cabe mencionar las Resoluciones de la AAIP N° 4/18, N° 5/18, N° 48/18, N° 119/19 y N° 268/19.

Que la Resolución de la AAIP N° 76/24 aprueba las pautas para la organización del Sistema de Transparencia y Acceso a la Información Pública.

Que en el marco del Plan Estratégico 2022-2026 de la AAIP (conf. su Resolución de la AAIP N° 94/23), y como parte de la actualización de normativa allí definida, resulta necesario sistematizar los criterios de interpretación y procedimentales en una única disposición de naturaleza reglamentaria.

Que la sistematización de la normativa reglamentaria y complementaria en materia de acceso a la información pública tiene el objetivo de garantizar el derecho humano de acceso a la información pública a partir de la definición precisa y el dictado de pautas claras para la gestión de solicitudes, la gestión de reclamos y el ordenamiento de los criterios orientadores y los lineamientos interpretativos existentes.

Que, con el objetivo antes explicitado, se propicia la aprobación de tres documentos donde se establecen los reglamentos para la Gestión de Solicitudes de Información Pública (Anexo I) y para la Gestión de Reclamos de Acceso a la Información Pública (Anexo II), así como el Texto Ordenado de los Criterios Orientadores e Indicadores de Mejores Prácticas en la aplicación de la Ley N° 27.275 (Anexo III).

Que, de esta manera, tanto los operadores del sistema de Transparencia y Acceso a la información, como las personas que ejercen un derecho que es presupuesto para una ciudadanía plena y participativa, contarán con una pauta clara de actuación a partir de la unificación y articulación de las disposiciones aplicables a los procedimientos de acceso, evitando la fragmentación y dispersión normativa.

Que la Dirección Nacional de Políticas de Acceso a la Información Pública emitió su Informe Técnico (IF-2024-29583845-APN-DCYNAI#AAIP).

Que la Unidad de Auditoría Interna de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA tomó la intervención previa de su competencia.

Que el Servicio Jurídico permanente de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA tomó la intervención previa de su competencia.

Que la presente medida se dicta en virtud de las facultades conferidas por el artículo 24, incisos c), e), g), k y m), de la Ley Nº 27.275.

Por ello,

LA DIRECTORA DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1º.- Aprobar el Reglamento de Gestión de Solicitudes de Información Pública (IF-2024-32179138-APN-DCYNAI#AAIP); el Reglamento de Gestión de Reclamos de Acceso a la Información Pública (IF-2024-31781893-APN-DGYCAIP#AAIP) y el Texto Ordenado de los Criterios Orientadores e Indicadores de Mejores Prácticas en la aplicación de la Ley N° 27.275 (IF-2024-33460362-APN-DCYNAI#AAIP) que, como Anexos I II y III, respectivamente, forman parte integrante de la presente medida.

ARTÍCULO 2º.- Derogar las Resoluciones de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA N° 4/18, N° 5/18, N° 48/18, N°119/19 y N° 268/20.

ARTÍCULO 3º.- Comuníquese, publíquese, dese a la Dirección Nacional del Registro Oficial y archívese.

Beatriz de Anchorena

21Sep/24

Resolución nº 77 del 3 de abril de 2024, de la Agencia de Acceso a la información

21 septiembre, 2024Argentina, ResoluciónDerecho Argentino, Derecho Informático Argentino, Dirección Nacional Acceso a la información, Legislación Argentina, Ley 27.275José Cuervo

Resolución nº 77 del 3 de abril de 2024, de la Agencia de Acceso a la información (Publicada 5 de abril de 2024)

RESOL-2024-77-APN-AAIP

Ciudad de Buenos Aires, 03/04/2024

VISTO el Expediente N° EX-2024-00656543- -APN-AAIP, la Ley N° 27.275, las Resoluciones de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA N° 94 del 23 de mayo de 2023 y N° 76 del 27 de marzo de 2024, la Disposición de la Dirección Nacional de Acceso a la Información Pública N° 1 del 5 de septiembre de 2019, y

CONSIDERANDO:

Que la Ley Nº 27.275 tiene por objeto garantizar el efectivo ejercicio del derecho de acceso a la información pública y promover la participación ciudadana y la transparencia de la gestión pública (artículo 1°).

Que, por el artículo 19 de la referida ley, se creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP), como ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, con la misión de velar por el cumplimiento de los principios y procedimientos establecidos en la Ley N° 27.275, garantizar el efectivo ejercicio del derecho de acceso a la información pública y promover medidas de transparencia activa.

Que, mediante la Resolución de la AAIP N° 94/2023, se aprobó el Plan Estratégico 2022-2026 del organismo, resultado de una labor conjunta de planificación desarrollada por las distintas unidades orgánicas que lo integran, en el cual se traducen los objetivos estratégicos trazados por su titular en acciones y metas concretas.

Que entre los objetivos del Plan Estratégico se encuentra el de impulsar la transparencia y la participación ciudadana para acercar el Estado a la ciudadanía, a través de la promoción de mecanismos de transparencia activa y proactiva como dimensión sustantiva en todo el ciclo de políticas públicas.

Que la Ley N° 27.275 establece en su artículo 32 las obligaciones de transparencia activa de los sujetos obligados, indicando que deberán facilitar la búsqueda y el acceso a la información de una manera clara, estructurada y entendible para la ciudadanía, procurando remover toda barrera que obstaculice o dificulte su reutilización por parte de terceros.

Que la citada norma establece que la información debe ser publicada en forma completa, actualizada, por medios digitales y en formatos abiertos.

Que la Resolución de la AAIP N° 76/2024 articula los diversos componentes y procedimientos que se integran en el Sistema de Transparencia y Acceso a la Información Pública.

Que mediante la Disposición de la Dirección Nacional de Acceso a la Información Pública N° 1/2019 se aprobó el Instructivo de carga de información de Transparencia Activa para uso de los sujetos obligados de la ADMINISTRACIÓN PÚBLICA NACIONAL.

Que, a través del Índice de Transparencia Activa -herramienta de monitoreo de la información pública que divulgan los sujetos obligados en sus páginas web oficiales-, la AAIP realiza mediciones periódicas respecto del grado de cumplimiento de los criterios y pautas establecidas en la materia.

Que, transcurridos TRES (3) años desde la implementación del mencionado Índice, la Dirección Nacional de Evaluación de Políticas de Transparencia llevó adelante un proceso de evaluación a partir del cual se construyeron, de manera participativa, las bases para una nueva metodología y criterios de publicación de la información en cumplimiento del principio de transparencia activa, contemplando la heterogeneidad de los sujetos obligados y las mejores prácticas relevadas entre los organismos y entidades monitoreadas por la AAIP.

Que el proceso de evaluación del Índice se encuentra documentado en tres informes que dan cuenta de los resultados de implementación y de los aportes recibidos de los referentes de transparencia de los organismos públicos y de organizaciones de la sociedad civil.

Que, por tanto, resulta necesario actualizar los criterios y pautas de estandarización y publicación de la información que dan cumplimiento a las previsiones del artículo 32 de la Ley N° 27.275, así como la metodología del Índice de Transparencia, estrategia de monitoreo del cumplimiento de las citadas obligaciones.

Que la medida tiene como finalidad fortalecer la transversalidad del principio de transparencia a lo largo del ciclo de producción de las políticas públicas, mejorando la visibilidad de la administración de los recursos públicos, de las acciones que se impulsan y de los resultados que se obtienen.

Que existe un proceso de retroalimentación entre la participación ciudadana y la transparencia, toda vez que la transparencia brinda a la ciudadanía información que es imprescindible para participar y opinar, así como la participación es una vía por la cual se canalizan demandas de acceso a la información y que permite la circulación de información sobre el funcionamiento del gobierno y la administración.

Que, por tanto, la Dirección Nacional de Evaluación de Políticas de Transparencia propicia también la aprobación del Catálogo de Espacios de Participación y el Directorio Federal de Organizaciones de la sociedad civil con incidencia en políticas públicas de transparencia como instrumentos que contribuyen a fortalecer la participación de la ciudadanía y sus organizaciones en las políticas públicas, ya que ponen a disposición información útil para la intervención pública y el diseño de políticas públicas.

Que el nuevo estándar de transparencia implicará una mejora en el ejercicio efectivo del derecho de acceso a la información pública y promoverá la participación ciudadana.

Que la Dirección de Asuntos Jurídicos tomó la intervención de su competencia.

Que la presente medida se dicta en virtud de las competencias conferidas por el artículo 24, incisos g) y k), de la Ley N° 27.275.

Por ello,

LA DIRECTORA DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1°.- Aprobar el Instructivo para el cumplimiento de las obligaciones de Transparencia Activa y Proactiva por parte de los sujetos obligados de la Ley N° 27.275 de uso obligatorio para sujetos obligados alcanzados por el artículo 7° (incisos a, g, h, j, k, l, m, n, o y p) que, como Anexo I (IF-2024-31304703-APN-DNEPT#AAIP), que forma parte integrante de la presente medida.

ARTÍCULO 2°.- Establecer que los sujetos obligados deberán, dentro de un período CUARENTA Y CINCO (45) días corridos desde la fecha de publicación de la presente resolución, adaptar sus pestañas de transparencia a las pautas y criterios del Instructivo para el cumplimiento de las obligaciones de Transparencia Activa y Transparencia Proactiva.

ARTÍCULO 3°.- Aprobar el Mecanismo de Monitoreo de las Políticas de Transparencia que, como Anexo II (IF-2024-32161046-APN-DNEPT#AAIP), forma parte integrante de la presente medida.

ARTÍCULO 4°.- Aprobar los Instrumentos para la promoción de la participación ciudadana que, como Anexo III (IF-2024-32169052-APN-DNEPT#AAIP), forman parte integrante de la presente medida.

ARTÍCULO 5°.- Facultar a la Dirección Nacional de Evaluación de Políticas de Transparencia a dictar las normas complementarias y aclaratorias necesarias para la aplicación de la presente medida.

ARTÍCULO 6°.- Derogar la Disposición de la Dirección Nacional de Acceso a la Información Pública N° 1/2019.

ARTÍCULO 7°.- Comuníquese, publíquese, dese a la Dirección Nacional del Registro Oficial y archívese.

Beatriz de Anchorena

21Sep/24

Resolución nº 76 del 27 de marzo de 2024

21 septiembre, 2024Argentina, ResoluciónAAIP, Agencia Acceso Información Pública, Ley 27.275, Ley Acceso a la Información PúblicaJosé Cuervo

Resolución nº 76 del 27 de marzo de 2024 de la Agencia de Acceso a la Información. (Publicado 5 de abril de 2024)

AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESOL-2024-76-APN-AAIP

Ciudad de Buenos Aires, 27/03/2024

VISTO el Expediente N° EX-2024-27723894- -APN-AAIP, la Ley N° 27.275, la Resolución de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA N° 94 del 23 de mayo de 2023, y

CONSIDERANDO:

Que, conforme las disposiciones del artículo 24 del mencionado cuerpo normativo, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (en adelante AAIP) se encuentra facultada para redactar y aprobar el Reglamento de Acceso a la Información Pública aplicable a todos los sujetos obligados (inc. c); requerir a dichos sujetos que modifiquen o adecuen su organización, procedimientos, sistemas de atención al público y recepción de correspondencia a la normativa aplicable a los fines de cumplir con el objeto de la citada ley (inc. e); y coordinar el trabajo de los responsables de acceso a la información pública que se designen conforme lo previsto en el artículo 30 de la mencionada ley (inc. g); entre otras atribuciones.

Que la norma citada en el párrafo anterior establece también que la AAIP debe implementar una plataforma tecnológica para la gestión de las solicitudes de información y sus correspondientes respuestas (inciso d); proveer un canal de comunicación con la ciudadanía con el objeto de prestar asesoramiento sobre las solicitudes de información pública y, en particular, colaborando en el direccionamiento del pedido y refinamiento de la búsqueda (inciso f); elaborar y publicar estadísticas periódicas sobre requirentes, información pública solicitada, cantidad de denegatorias y cualquier otra cuestión que permita el control ciudadano (inciso h); y publicar periódicamente un índice y listado de la información pública frecuentemente requerida que permita atender consultas y solicitudes de información por vía de la página oficial de la red informática de la Agencia (inciso i); responsabilidades a las que se da cumplimiento a través del Portal Nacional de Transparencia.

Que el artículo 30 de la Ley N° 27.275 establece que cada sujeto obligado deberá nombrar a un responsable de acceso a la información, cuyas funciones y atribuciones específicas están definidas en el artículo 31, quien deberá tramitar las solicitudes de acceso dentro de su jurisdicción. Entre dichas funciones se encuentra realizar el seguimiento y control de la correcta tramitación de las solicitudes de acceso a la información pública (inc. b), llevar un registro de las solicitudes de acceso a la información pública (inc. c), promover la implementación de las resoluciones elaboradas por la AAIP (inc. d), promover prácticas de transparencia en la gestión pública y de publicación de la información (inc. f), elaborar informes mensuales para ser remitidos a la AAIP según corresponda, sobre la cantidad de solicitudes recibidas, los plazos de respuesta y las solicitudes respondidas y rechazadas (inc. g), publicar, en caso de corresponder, la información que hubiese sido desclasificada (inc. h), informar y mantener actualizadas a las distintas áreas de la jurisdicción correspondiente sobre la normativa vigente en materia de guarda, conservación y archivo de la información y promover prácticas en relación con dichas materias, con la publicación de la información y con el sistema de procesamiento de la información (inc. i).

Que, el artículo 32 dispone las obligaciones de transparencia activa para los sujetos obligados enumerados en el artículo 7°, debiendo facilitar la búsqueda y el acceso a la información pública a través de su página web de manera clara, estructurada y entendible para los interesados y procurando remover toda barrera que obstaculice o dificulte su reutilización por parte de terceros. Asimismo, los sujetos obligados deberán publicar dicha información en forma completa, actualizada, por medios digitales y en formatos abiertos.

Que en el marco del Plan Estratégico 2022-2026 de la AAIP (conf. su Resolución N° 94/23), y como parte de la actualización de normativa allí definida, resulta necesario sistematizar los diversos componentes y procedimientos que se integran en el Sistema de Transparencia y Acceso a la Información.

Que la sistematización de la normativa reglamentaria y complementaria en materia de acceso a la información pública y transparencia tiene el objetivo de garantizar el derecho humano de acceso a la información pública a partir de la definición precisa de los perfiles, funciones y deberes de todos los componentes del sistema, mejorando su coordinación para incrementar su capacidad de respuesta a la ciudadanía en el menor tiempo posible.

Que, con el objetivo antes explicitado, se propicia la aprobación de un documento donde se establecen las Pautas para la Organización del Sistema de Transparencia y Acceso a la Información (Anexo I).

Que las Direcciones Nacionales de Políticas de Acceso a la Información Pública y de Evaluación de Políticas de Transparencia tomaron intervención, como áreas impulsoras de la presente medida, mediante el informe técnico IF-2024-29566714-APN-DNEPT#AAIP.

Que el Servicio Jurídico permanente de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA tomó la intervención previa de su competencia.

Que la presente medida se dicta en virtud de las facultades conferidas por el artículo 24, incisos c), e), g), k y m), de la Ley Nº 27.275.

Por ello,

LA DIRECTORA DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA

RESUELVE:

ARTÍCULO 1º.- Aprobar las Pautas para la Organización del Sistema de Transparencia y Acceso a la Información Pública que, como Anexo I (IF-2024-31137383-APN-AAIP), forma parte integrante de la presente medida.

ARTÍCULO 2º.- Instruir a los sujetos obligados por la Ley N° 27.275 abarcados dentro del ámbito de actuación de la AAIP a tomar las medidas necesarias para adecuar sus estructuras orgánicas y procedimientos de acuerdo a lo establecido en la presente medida.

ARTÍCULO 3º.- Comuníquese, publíquese, dese a la Dirección Nacional del Registro Oficial y archívese.

Beatriz de Anchorena

21Sep/24

Seguridad de la Información

21 septiembre, 2024Argentina, Legislación, Seguridad de la InformaciónConservación de datos personales, de 19 septiembre de 2006, de 3 agosto 2005, Decisión 6/2005, Dirección Nacional de Protección de Datos Personales, Disposición 11/2006, Disposición 12/2010, Disposición 12/2010 de 18 junio 2010, Oficina Nacional de Tecnologías de la Información, ONTI, Política de Seguridad, Resolución 45/2005 de 24 de junio de 2005, Seguridad de la Información, tratamiento de datos personalesJosé Cuervo

Resolución 45/2005, de la Subsecretaría de la Gestión Púbica, de 24 de junio de 2005. Faculta al Director Nacional de la Oficina Nacional de Tecnologías de Información a aprobar la Política de Seguridad de la Información Modelo y dictar las normas aclaratorias y complementarias que requiera la aplicación de la Decisión.

Disposición 6/2005, de 3 de agosto de 2005, de la Oficina Nacional de Tecnologías de la Información (ONTI) que aprueba la Política de Seguridad de la Información Modelo.

Disposición 11/2006, de 19 de septiembre de 2006, de la Dirección Nacional de Protección de Datos Personales, que adopta medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales.

Disposición 12/2010, de 18 de junio de 2010, de la Dirección Nacional de Protección de Datos Personales, que regula los Datos Sensibles y aplicación del proceso de disociación.

Decisión Administrativa nº 641/2021, de 28 de junio de 2021. Establece los requisitos mínimos de seguridad de la información para organismos públicos

19Sep/24

Resolución 15/2024, de 31 de mayo de 2024

19 septiembre, 2024Argentina, ResoluciónJosé Cuervo

Resolución 15/2024, de 5 de junio de 2024, de la Secretaría de Innovación Ciencia y Tecnología: Aprueba Lineamientos para el uso seguro de herramientas digitales.(Publicado 7 de junio de 2024)

JEFATURA DE GABINETE DE MINISTROS

SECRETARÍA DE INNOVACIÓN, CIENCIA Y TECNOLOGÍA

Resolución 15/2024

RESOL-2024-15-APN-SICYT#JGM

Ciudad de Buenos Aires, 05/06/2024

VISTO el Expediente N° EX-2024-56764451- -APN-SSTI#JGM, las Leyes de Ministerios N.° 22.520 (texto ordenado por Decreto N° 438 del 12 de marzo de 1992) y sus modificatorias, N° 25.326 de Protección de los Datos Personales y N° 27.078 de Tecnologías de la Información y las Comunicaciones, el Decreto N° 50 del 20 de diciembre del 2019 y sus modificatorios, la Decisión Administrativa N° 641 del 25 de junio de 2021, la Disposición N° 1 del 2 de octubre de 2023 de la Oficina Nacional de Tecnologías de Información, y

CONSIDERANDO:

Que, a través del Decreto N° 50 del 19 de diciembre de 2019 y sus modificatorios, se aprobó el Organigrama de Aplicación de la Administración Nacional centralizada hasta nivel de Subsecretaría para cumplir con las responsabilidades que le son propias, estableciendo, asimismo, sus objetivos y los ámbitos jurisdiccionales en los que actuarán los organismos desconcentrados y descentralizados.

Que, mediante el citado decreto, se creó la SECRETARÍA DE INNOVACIÓN, CIENCIA Y TECNOLOGÍA, la cual tiene entre sus objetivos: “Diseñar, proponer y coordinar las políticas de innovación administrativa y tecnológica del Sector Público Nacional en sus distintas áreas y determinar los lineamientos estratégicos y la propuesta de las normas reglamentarias en la materia; Intervenir en la definición de estrategias y estándares sobre tecnologías de la información, comunicaciones asociadas y otros sistemas electrónicos de tratamiento de información de la Administración Pública Nacional; Diseñar, coordinar e implementar la incorporación y mejoramiento de los procesos, tecnologías, infraestructura informática y sistemas y tecnologías de gestión del Sector Público Nacional; Entender en la ciberseguridad y protección de infraestructuras críticas de información y comunicaciones asociadas del Sector Público Nacional y de los servicios de información y comunicaciones definidos en el artículo 1° de la Ley N° 27.078”.

Que, mediante la Decisión Administrativa N° 641 del 25 de junio de 2021, se aprobaron los “REQUISITOS MÍNIMOS DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DEL SECTOR PÚBLICO NACIONAL”, de aplicación a las entidades y jurisdicciones del Sector Público Nacional comprendidas en el inciso a) del artículo 8° de la Ley N° 24.156 de Administración Financiera y de los Sistemas de Control del Sector Público Nacional y sus modificatorias, así como a los proveedores que contraten con esas entidades y jurisdicciones, encomendando a la ex SECRETARÍA DE INNOVACIÓN PÚBLICA la revisión y actualización periódica de los mismos como así también el dictado de las normas complementarias y aclaratorias de la medida.

Que, al realizar un cotejo con los objetivos asignados a la ex SECRETARÍA DE INNOVACIÓN PÚBLICA y los que corresponden a la SECRETARÍA DE INNOVACIÓN, CIENCIA Y TECNOLOGÍA, en cuanto a los términos de la presente medida, se entiende que esta última es su continuadora.

Que, con el fin de asegurar la confidencialidad, integridad y disponibilidad resulta necesario avanzar en el proceso de fortalecimiento de la seguridad de la información que se recibe, produce y administra en las entidades y jurisdicciones del Sector Público Nacional comprendidas en el artículo 8° de la Ley N° 24.156 y sus modificatorias.

Que, en tal sentido, cabe resaltar que la confidencialidad es un conjunto de reglas que restringe y limita el acceso a la información; la integridad es la garantía de que la información es confiable y precisa; y la disponibilidad es una garantía de acceso seguro a la información por parte de personas autorizadas.

Que, a través de la evaluación de estos tres elementos, es posible evaluar la política de seguridad de la información de una organización.

Que, con las herramientas digitales, sean estas gratuitas o de pago, no se puede garantizar que los correos y los datos almacenados sean completamente seguros, ni tampoco es posible derivar los contenidos (cuerpo y adjuntos) hacia otra herramienta más avanzada e independiente, para el análisis y detección de amenazas.

Que, asimismo, la utilización de dichas herramientas puede implicar la recopilación de información del Estado y de los ciudadanos, lo que podría vulnerar la privacidad de los datos y exponerlos a riesgos inherentes, como la interceptación y los ataques cibernéticos.

Que, en tal sentido, la salvaguarda y gestión efectiva de la información inherente a las redes de cada jurisdicción y entidad del Sector Público Nacional es una necesidad primordial y urgente, tanto en el ámbito interno de la organización como en aquel que involucra la transferencia de datos fuera de sus plataformas, razón que justifica adoptar una perspectiva sistémica para proteger los activos de información y minimizar los riesgos de acceso segregando los accesos a servicios de información, usuarios y sistemas en las redes, de acuerdo a su criticidad y nivel de riesgo.

Que, en este contexto, y dada la velocidad del avance tecnológico y las renovadas amenazas que pueden impactar los recursos de información del Estado, dicha revisión se torna fundamental a los fines de mantener un nivel adecuado de protección de la información de la Administración Pública.

Que, en virtud de ello, se dictan los presentes lineamientos, a fin de ampliar y actualizar la versión de los requisitos mínimos de seguridad de la información que refleje e incorpore los últimos avances en materia de ciberseguridad.

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA LEGAL de la SECRETARÍA DE COORDINACIÓN LEGAL Y ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención de su competencia.

Que la presente medida se dicta en ejercicio de las atribuciones conferidas por la Ley de Ministerios N° 22.520 (texto ordenado por Decreto N° 438 del 12 de marzo de 1992) y sus modificatorias, el Decreto N° 50 del 19 de diciembre de 2019 y sus modificatorios y la Decisión Administrativa N° 641 del 25 de junio de 2021.

Por ello,

EL SECRETARIO DE INNOVACIÓN, CIENCIA Y TECNOLOGÍA DE LA JEFATURA DE GABINETE DE MINISTROS

RESUELVE:

ARTÍCULO 1°.- Apruébanse los “LINEAMIENTOS PARA EL USO DE HERRAMIENTAS DIGITALES” que como Anexo N° IF-2024-57335981-APN-DNCIB#JGM forma parte integrante de la presente medida.

ARTÍCULO 2°.- Establécese que los “LINEAMIENTOS PARA EL USO DE HERRAMIENTAS DIGITALES” aprobadas en la presente medida serán de aplicación para todas las jurisdicciones y entidades del Sector Público Nacional comprendidas en el artículo 8° de la Ley N° 24.156 y sus modificatorias, de conformidad con lo estipulado en la Decisión Administrativa N° 641 del 25 de junio de 2021.

ARTÍCULO 3°.- Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.

Alejandro José Cosentino

ANEXO.- LINEAMIENTOS PARA EL USO DE HERRAMIENTAS DIGITALES

1. INTRODUCCIÓN

Los organismos del Sector Público Nacional son algunos de los principales receptores y productores de información de nuestro país. La información puede ser hoy en día objeto de una amplia gama de peligros, amenazas y usos indebidos e ilícitos, debiéndose, por lo tanto, extremar las medidas tendientes a la preservación de su confidencialidad, integridad y disponibilidad.

La presente Resolución, tiene por objeto proteger los derechos y libertades individuales de las personas al tiempo de contribuir a la efectiva prestación continua e ininterrumpida de los diversos servicios ofrecidos por las diferentes entidades y jurisdicciones y, al mismo tiempo, propender a su correcta y mejor gestión interna. En un contexto de transversalidad, en el uso de las tecnologías para la vida social, económica, política y cultural de las personas, la seguridad de la información cumple un rol fundamental.

Consiguientemente, todos los agentes públicos, cualquiera sea el nivel jerárquico y la modalidad de contratación, tienen la obligación de dar tratamiento y hacer un uso responsable, seguro y cuidado de los datos que utilizan en sus labores habituales, adoptando todas las medidas a su alcance para protegerlos.

Por su parte, los responsables de los activos de la información deben atender y diligenciar los recursos necesarios para asegurar el cumplimiento de los objetivos relativos a la ciberseguridad en el ámbito de su jurisdicción. Los datos gestionados en los organismos deben ser protegidos tanto dentro como fuera del ámbito institucional, con independencia del formato y del soporte en el que estén contenidos y si los mismos están siendo objeto de tratamiento electrónico, se encuentran almacenados o están siendo transmitidos. Es por ello, que corresponde a cada organismo determinar sus políticas, normas específicas, procedimientos y guías que, sobre la base de los siguientes lineamientos, sean aplicables a los procesos específicos que desarrollen. Va de suyo, las pautas de tratamiento deben surgir a partir de un análisis de los riesgos para los procesos que lleven adelante.

2. PRINCIPIOS

Se entenderán como principio de seguridad de la información, la preservación de confidencialidad, integridad y disponibilidad de la información y de los activos de información del Sector Público Nacional utilizados en su gestión.

3. ALCANCE

Los lineamientos establecidos en el presente Anexo se extienden para todos los organismos del Sector Público Nacional alcanzados por la Decisión Administrativa N° 641/2021 y para todos los agentes y funcionarios que en ellos se desempeñen, quienes, con independencia de su nivel jerárquico, deberán conocerlas, entenderlas y cumplirlas, en la medida que les corresponda según su función.

4. LINEAMIENTOS

i. CORREO ELECTRÓNICO, TRABAJO COLABORATIVO EN LÍNEA, MENSAJERÍA INSTANTÁNEA Y ALMACENAMIENTO.

Se recomienda cursara través de las herramientas propias del Estado y/o aquellas que hubieran sido contratadas como servicio a terceros de manera oficial por el área pertinente de cada jurisdicción y notificadas a todo el personal, toda vez que se involucre información producida, comunicada, gestionada o almacenada por el Estado:

a. Las comunicaciones a través de correo electrónico.

b. La creación y/o edición de documentos en forma colaborativa.

c. El intercambio de mensajería instantánea

d. El almacenamiento de datos, perfiles, configuraciones, archivos que se encuentren adjuntos en los correos electrónicos, documentos creados colaborativamente y/o incluidos en servicios de mensajería

ii. CONEXIÓN A RED PARA EQUIPOS INVITADOS.

En los casos en que se requiera conectar equipos personales (notebooks, tabletas, etc.) en forma directa a la LAN de un edificio público, se recomienda crear canales seguros tales como VLAN especiales dedicadas a la conexión de equipos invitados con acceso limitado. En los casos en los que la infraestructura lo permita, se podrá configurar un portal cautivo que solicite el registro de los datos personales previo al acceso a la VLAN de invitados.

iii. CONEXIÓN A RED PARA EQUIPOS AUTORIZADOS

El acceso completo a la VLAN por parte de personal autorizado con equipo propio, se recomienda concederlo sólo a aquellos equipos que cumplan con requisitos mínimos de seguridad siendo estos definidos por cada organismo, considerando la versión vigente de los Estándares Tecnológicos de la Administración Pública y la DA 641/2021 o modificatorias y complementarias.

iv. ACCESO REMOTO.

Para el acceso a sistemas internos del organismo en forma remota, se recomienda implementar una solución VPN (red privada virtual) y la correspondiente instalación del cliente VPN en el equipo invitado.

v. CONTROL DE USUARIOS Y PRIVILEGIOS.

Las gestiones de altas y bajas de cuentas de usuario y privilegios se recomienda realizarlas de manera adecuada y oportuna, en coordinación con todas las áreas involucradas, incluyendo las direcciones de recursos humanos. Asimismo, se recomienda realizar en todo momento un seguimiento detallado sobre las cuentas con privilegios especiales, y revisar periódicamente todos los permisos de acceso a los sistemas y a la infraestructura de procesamiento. También se recomienda evitar el uso de cuentas genéricas de usuario tales como “soporte”, “administrador”, etc. de modo que el responsable de la configuración, acceso o perfil esté debidamente identificado.

19Sep/24

Projeto de Lei nº 2238/2023, Dispoe sobre o uso da Inteligencia Artificial

19 septiembre, 2024Brasil, Proyecto de Leyagentes de inteligência artificial, autodeterminação informativa, de 14 de agosto de 2018, desenvolvimento, desenvolvimento sustentável, discriminação, discriminação indireta, fornecedor de sistema de inteligência artificial, implementação, Lei nº 13.709, meio ambiente, mineração de textos e dados, operador de sistema de inteligência artificial, privacidade, proteção de dados, riscos sistémicos, sistema de inteligência artificialJosé Cuervo

PROJETO DE LEI Nº 2.388, DE 2023

Dispõe sobre o uso da Inteligência Artificial.

O CONGRESSO NACIONAL decreta:

CAPÍTULO I.- DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Lei estabelece normas gerais de caráter nacional para o desenvolvimento, implementação e uso responsável de sistemas de inteligência artificial (IA) no Brasil, com o objetivo de proteger os direitos fundamentais e garantir a implementação de sistemas seguros e confiáveis, em benefício da pessoa humana, do regime democrático e do desenvolvimento científico e tecnológico.

Art. 2º O desenvolvimento, a implementação e o uso de sistemas de inteligência artificial no Brasil têm como fundamentos:

I – a centralidade da pessoa humana;

II – o respeito aos direitos humanos e aos valores democráticos;

III – o livre desenvolvimento da personalidade;

IV – a proteção ao meio ambiente e o desenvolvimento sustentável;

V – a igualdade, a não discriminação, a pluralidade e o respeito aos direitos trabalhistas;

VI – o desenvolvimento tecnológico e a inovação;

VII – a livre iniciativa, a livre concorrência e a defesa do consumidor;

VIII – a privacidade, a proteção de dados e a autodeterminação informativa;

IX – a promoção da pesquisa e do desenvolvimento com a finalidade de estimular a inovação nos setores produtivos e no poder público; e

X – o acesso à informação e à educação, e a conscientização sobre os sistemas de inteligência artificial e suas aplicações.

Art. 3º O desenvolvimento, a implementação e o uso de sistemas de inteligência artificial observarão a boa-fé e os seguintes princípios:

I – crescimento inclusivo, desenvolvimento sustentável e bemestar;

II – autodeterminação e liberdade de decisão e de escolha;

III – participação humana no ciclo da inteligência artificial e supervisão humana efetiva;

IV – não discriminação;

V – justiça, equidade e inclusão;

VI – transparência, explicabilidade, inteligibilidade e auditabilidade;

VII – confiabilidade e robustez dos sistemas de inteligencia artificial e segurança da informação;

VIII – devido processo legal, contestabilidade e contraditório;

IX – rastreabilidade das decisões durante o ciclo de vida de sistemas de inteligência artificial como meio de prestação de contas e atribuição de responsabilidades a uma pessoa natural ou jurídica;

X – prestação de contas, responsabilização e reparação integral de danos;

XI – prevenção, precaução e mitigação de riscos sistémicos derivados de usos intencionais ou não intencionais e de efeitos não previstos de sistemas de inteligência artificial; e

XII – não maleficência e proporcionalidade entre os métodos empregados e as finalidades determinadas e legítimas dos sistemas de inteligência artificial.

Art. 4º Para as finalidades desta Lei, adotam-se as seguintes definições:

I – sistema de inteligência artificial: sistema computacional, com graus diferentes de autonomia, desenhado para inferir como atingir um dado conjunto de objetivos, utilizando abordagens baseadas em aprendizagem de máquina e/ou lógica e representação do conhecimento, por meio de dados de entrada provenientes de máquinas ou humanos, com o objetivo de producir previsões, recomendações ou decisões que possam influenciar o ambiente virtual ou real;

II – fornecedor de sistema de inteligência artificial: pessoa natural ou jurídica, de natureza pública ou privada, que desenvolva um sistema de inteligência artificial, diretamente ou por encomenda, com vistas a sua colocação no mercado ou a sua aplicação em serviço por ela fornecido, sob seu próprio nome ou marca, a título oneroso ou gratuito;

III – operador de sistema de inteligência artificial: pessoa natural ou jurídica, de natureza pública ou privada, que empregue ou utilize, em seu nome ou benefício, sistema de inteligência artificial, salvo se o referido sistema for utilizado no âmbito de uma atividade pessoal de caráter não profissional;

IV – agentes de inteligência artificial: fornecedores e operadores de sistemas de inteligência artificial;

V – autoridade competente: órgão ou entidade da Administração Pública Federal responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional;

VI – discriminação: qualquer distinção, exclusão, restrição ou preferência, em qualquer área da vida pública ou privada, cujo propósito ou efeito seja anular ou restringir o reconhecimento, gozo ou exercício, em condições de igualdade, de um ou mais direitos ou liberdades previstos no ordenamento jurídico, em razão de características pessoais como origen geográfica, raça, cor ou etnia, gênero, orientação sexual, clase socioeconômica, idade, deficiência, religião ou opiniões políticas;

VII – discriminação indireta: discriminação que ocorre quando normativa, prática ou critério aparentemente neutro tem a capacidade de acarretar desvantagem para pessoas pertencentes a grupo específico, ou as coloquem em desvantagem, a menos que essa normativa, prática ou criterio tenha algum objetivo ou justificativa razoável e legítima à luz do direito à igualdade e dos demais direitos fundamentais;

VIII – mineração de textos e dados: processo de extração e análise de grandes quantidades de dados ou de trechos parciais ou integrais de conteúdo textual, a partir dos quais são extraídos padrões e correlações que gerarão informações relevantes para o desenvolvimento ou utilização de sistemas de inteligência artificial.

CAPÍTULO II.- DOS DIREITOS

Seção I.- Disposições Gerais

Art. 5º Pessoas afetadas por sistemas de inteligência artificial têm os seguintes direitos, a serem exercidos na forma e nas condições descritas neste Capítulo:

I – direito à informação prévia quanto às suas interações com sistemas de inteligência artificial;

II – direito à explicação sobre a decisão, recomendação ou previsão tomada por sistemas de inteligência artificial;

III – direito de contestar decisões ou previsões de sistemas de inteligência artificial que produzam efeitos jurídicos ou que impactem de maneira significativa os interesses do afetado;

IV – direito à determinação e à participação humana em decisões de sistemas de inteligência artificial, levando-se em conta o contexto e o estado da arte do desenvolvimento tecnológico;

V – direito à não-discriminação e à correção de vieses discriminatórios diretos, indiretos, ilegais ou abusivos; e

VI – direito à privacidade e à proteção de dados pessoais, nos termos da legislação pertinente.

Parágrafo único. Os agentes de inteligência artificial informarão, de forma clara e facilmente acessível, os procedimentos necessários para o exercício dos direitos descritos no caput.

Art. 6º A defesa dos interesses e dos direitos previstos nesta Lei poderá ser exercida perante os órgãos administrativos competentes, bem como em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente acerca dos instrumentos de tutela individual, coletiva e difusa.

Seção II.- Dos direitos associados a informação e compreensão das decisões tomadas por sistemas de inteligência artificial

Art. 7º Pessoas afetadas por sistemas de inteligência artificial têm o direito de receber, previamente à contratação ou utilização do sistema, informações claras e adequadas quanto aos seguintes aspectos:

I – caráter automatizado da interação e da decisão em processos ou produtos que afetem a pessoa;

II – descrição geral do sistema, tipos de decisões, recomendações ou previsões que se destina a fazer e consequências de sua utilização para a pessoa;

III – identificação dos operadores do sistema de inteligencia artificial e medidas de governança adotadas no desenvolvimento e emprego do sistema pela organização;

IV – papel do sistema de inteligência artificial e dos humanos envolvidos no processo de tomada de decisão, previsão ou recomendação;

V – categorias de dados pessoais utilizados no contexto do funcionamento do sistema de inteligência artificial;

VI – medidas de segurança, de não-discriminação e de confiabilidade adotadas, incluindo acurácia, precisão e cobertura; e

VII – outras informações definidas em regulamento.

§ 1º Sem prejuízo do fornecimento de informações de maneira completa em meio físico ou digital aberto ao público, a informação referida no inciso I do caput deste artigo será também fornecida, quando couber, com o uso de ícones ou símbolos facilmente reconhecíveis.

§ 2º Pessoas expostas a sistemas de reconhecimento de emoções ou a sistemas de categorização biométrica serão informadas sobre a utilização e o funcionamento do sistema no ambiente em que ocorrer a exposição.

§ 3º Os sistemas de inteligência artificial que se destinem a grupos vulneráveis, tais como crianças, adolescentes, idosos e pessoas com deficiência, serão desenvolvidos de tal modo que essas pessoas consigam entender seu funcionamento e seus direitos em face dos agentes de inteligencia artificial.

Art. 8º A pessoa afetada por sistema de inteligência artificial poderá solicitar explicação sobre a decisão, previsão ou recomendação, com informações a respeito dos critérios e dos procedimentos utilizados, assim como sobre os principais fatores que afetam tal previsão ou decisão específica, incluindo informações sobre:

I – a racionalidade e a lógica do sistema, o significado e as consequências previstas de tal decisão para a pessoa afetada;

II – o grau e o nível de contribuição do sistema de inteligencia artificial para a tomada de decisões;

III – os dados processados e a sua fonte, os critérios para a tomada de decisão e, quando apropriado, a sua ponderação, aplicados à situação da pessoa afetada;

IV – os mecanismos por meio dos quais a pessoa pode contestar a decisão; e

V – a possibilidade de solicitar intervenção humana, nos termos desta Lei.

Parágrafo único. As informações mencionadas no caput serão fornecidas por procedimento gratuito e facilitado, em linguagem que permita que a pessoa compreenda o resultado da decisão ou previsão em questão, no prazo de até quinze dias a contar da solicitação, permitida a prorrogação, uma vez, por igual período, a depender da complexidade do caso.

Seção III.- Do direito de contestar decisões e de solicitar intervenção humana

Art. 9º A pessoa afetada por sistema de inteligência artificial terá o direito de contestar e de solicitar a revisão de decisões, recomendações ou previsões geradas por tal sistema que produzam efeitos jurídicos relevantes ou que impactem de maneira significativa seus interesses.

§ 1º Fica assegurado o direito de correção de dados incompletos, inexatos ou desatualizados utilizados por sistemas de inteligência artificial, assim como o direito de solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação, nos termos do art. 18 da Lei nº 13.709, de 14 de agosto de 2018 e da legislação pertinente.

§ 2º O direito à contestação previsto no caput deste artigo abrange também decisões, recomendações ou previsões amparadas em inferencias discriminatórias, irrazoáveis ou que atentem contra a boa-fé objetiva, assim compreendidas as inferências que:

I – sejam fundadas em dados inadequados ou abusivos para as finalidades do tratamento;

II – sejam baseadas em métodos imprecisos ou estatisticamente não confiáveis; ou

III – não considerem de forma adequada a individualidade e as características pessoais dos indivíduos.

Art. 10. Quando a decisão, previsão ou recomendação de sistema de inteligência artificial produzir efeitos jurídicos relevantes ou que impactem de maneira significativa os interesses da pessoa, inclusive por meio da geração de perfis e da realização de inferências, esta poderá solicitar a intervenção ou revisão humana.

Parágrafo único. A intervenção ou revisão humana não será exigida caso a sua implementação seja comprovadamente impossível, hipótese na qual o responsável pela operação do sistema de inteligência artificial implementará medidas alternativas eficazes, a fim de assegurar a reanálise da

decisão contestada, levando em consideração os argumentos suscitados pela pessoa afetada, assim como a reparação de eventuais danos gerados.

Art. 11. Em cenários nos quais as decisões, previsões ou recomendações geradas por sistemas de inteligência artificial tenham um impacto irreversível ou de difícil reversão ou envolvam decisões que possam gerar riscos à vida ou à integridade física de indivíduos, haverá envolvimento humano significativo no processo decisório e determinação humana final.

Seção IV.- Do direito à não-discriminação e à correção de vieses discriminatórios diretos, indiretos, ilegais ou abusivos

Art. 12. As pessoas afetadas por decisões, previsões ou recomendações de sistemas de inteligência artificial têm direito a tratamento justo e isonômico, sendo vedadas a implementação e o uso de sistemas de inteligência artificial que possam acarretar discriminação direta, indireta, ilegal ou abusiva, inclusive:

I – em decorrência do uso de dados pessoais sensíveis ou de impactos desproporcionais em razão de características pessoais como origen geográfica, raça, cor ou etnia, gênero, orientação sexual, clase socioeconômica, idade, deficiência, religião ou opiniões políticas; ou

II – em função do estabelecimento de desvantagens ou agravamento da situação de vulnerabilidade de pessoas pertencentes a um grupo específico, ainda que se utilizem critérios aparentemente neutros.

Parágrafo único. A vedação prevista no caput não impede a adoção de critérios de diferenciação entre indivíduos ou grupos quando tal diferenciação se dê em função de objetivos ou justificativas demonstradas, razoáveis e legítimas à luz do direito à igualdade e dos demais direitos fundamentais.

CAPÍTULO III.- DA CATEGORIZAÇÃO DOS RISCOS

Seção I.- Avaliação preliminar

Art. 13. Previamente a sua colocação no mercado ou utilização em serviço, todo sistema de inteligência artificial passará por avaliação preliminar realizada pelo fornecedor para classificação de seu grau de risco, cujo registro considerará os critérios previstos neste capítulo.

§ 1º Os fornecedores de sistemas de inteligência artificial de propósito geral incluirão em sua avaliação preliminar as finalidades ou aplicações indicadas, nos termos do art. 17 desta lei.

§ 2º Haverá registro e documentação da avaliação preliminar realizada pelo fornecedor para fins de responsabilização e prestação de contas no caso de o sistema de inteligência artificial não ser classificado como de risco alto.

§ 3º A autoridade competente poderá determinar a reclassificação do sistema de inteligência artificial, mediante notificação prévia, bem como determinar a realização de avaliação de impacto algorítmico para instrução da investigação em curso.

§ 4º Se o resultado da reclassificação identificar o sistema de inteligência artificial como de alto risco, a realização de avaliação de impacto algorítmico e a adoção das demais medidas de governança previstas no Capítulo IV serão obrigatórias, sem prejuízo de eventuais penalidades em caso de avaliação preliminar fraudulenta, incompleta ou inverídica.

Seção II.- Risco Excessivo

Art. 14. São vedadas a implementação e o uso de sistemas de inteligência artificial:

I – que empreguem técnicas subliminares que tenham por objetivo ou por efeito induzir a pessoa natural a se comportar de forma prejudicial ou perigosa à sua saúde ou segurança ou contra os fundamentos desta Lei;

II – que explorem quaisquer vulnerabilidades de grupos específicos de pessoas naturais, tais como as associadas a sua idade ou deficiência física ou mental, de modo a induzi-las a se comportar de forma prejudicial a sua saúde ou segurança ou contra os fundamentos desta Lei;

III – pelo poder público, para avaliar, classificar ou ranquear as pessoas naturais, com base no seu comportamento social ou em atributos da sua personalidade, por meio de pontuação universal, para o acesso a bens e serviços e políticas públicas, de forma ilegítima ou desproporcional.

Art. 15. No âmbito de atividades de segurança pública, somente é permitido o uso de sistemas de identificação biométrica à distância, de forma contínua em espaços acessíveis ao público, quando houver previsão em lei federal específica e autorização judicial em conexão com a atividade de persecução penal individualizada, nos seguintes casos:

I – persecução de crimes passíveis de pena máxima de reclusão superior a dois anos;

II – busca de vítimas de crimes ou pessoas desaparecidas; ou

III – crime em flagrante.

Parágrafo único. A lei a que se refere o caput preverá medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal e o controle judicial, bem como os princípios e direitos previstos nesta Lei, especialmente a garantia contra a discriminação e a necessidade de revisão da inferência algorítmica pelo agente público responsável, antes da tomada de qualquer ação em face da pessoa identificada.

Art. 16. Caberá à autoridade competente regulamentar os sistemas de inteligência artificial de risco excessivo.

Seção III.- Alto Risco

Art. 17. São considerados sistemas de inteligência artificial de alto risco aqueles utilizados para as seguintes finalidades:

I – aplicação como dispositivos de segurança na gestão e no funcionamento de infraestruturas críticas, tais como controle de trânsito e redes de abastecimento de água e de eletricidade;

II – educação e formação profissional, incluindo sistemas de determinação de acesso a instituições de ensino ou de formação profissional ou para avaliação e monitoramento de estudantes;

III – recrutamento, triagem, filtragem, avaliação de candidatos, tomada de decisões sobre promoções ou cessações de relações contratuais de trabalho, repartição de tarefas e controle e avaliação do desempenho e do comportamento das pessoas afetadas por tais aplicações de inteligencia artificial nas áreas de emprego, gestão de trabalhadores e acesso ao emprego por conta própria;

IV – avaliação de critérios de acesso, elegibilidade, concessão, revisão, redução ou revogação de serviços privados e públicos que sejam considerados essenciais, incluindo sistemas utilizados para avaliar a elegibilidade de pessoas naturais quanto a prestações de serviços públicos de assistência e de seguridade;

V – avaliação da capacidade de endividamento das pessoas naturais ou estabelecimento de sua classificação de crédito;

VI – envio ou estabelecimento de prioridades para serviços de resposta a emergências, incluindo bombeiros e assistência médica;

VII – administração da justiça, incluindo sistemas que auxiliem autoridades judiciárias na investigação dos fatos e na aplicação da lei;

VIII – veículos autônomos, quando seu uso puder gerar riscos à integridade física de pessoas;

IX – aplicações na área da saúde, inclusive as destinadas a auxiliar diagnósticos e procedimentos médicos;

X – sistemas biométricos de identificação;

XI – investigação criminal e segurança pública, em especial para avaliações individuais de riscos pelas autoridades competentes, a fim de determinar o risco de uma pessoa cometer infrações ou de reincidir, ou o risco para potenciais vítimas de infrações penais ou para avaliar os traços de personalidade e as características ou o comportamento criminal passado de pessoas singulares ou grupos;

XII – estudo analítico de crimes relativos a pessoas naturais, permitindo às autoridades policiais pesquisar grandes conjuntos de dados complexos, relacionados ou não relacionados, disponíveis em diferentes fontes de dados ou em diferentes formatos de dados, no intuito de identificar padres desconhecidos ou descobrir relações escondidas nos dados;

XIII – investigação por autoridades administrativas para avaliar a credibilidade dos elementos de prova no decurso da investigação ou repressão de infrações, para prever a ocorrência ou a recorrência de uma infração real ou potencial com base na definição de perfis de pessoas singulares; ou

XIV – gestão da migração e controle de fronteiras.

Art. 18. Caberá à autoridade competente atualizar a lista dos sistemas de inteligência artificial de risco excessivo ou de alto risco, identificando novas hipóteses, com base em, pelo menos, um dos seguintes critérios:

I – a implementação ser em larga escala, levando-se em consideração o número de pessoas afetadas e a extensão geográfica, bem como a sua duração e frequência;

II – o sistema puder impactar negativamente o exercício de direitos e liberdades ou a utilização de um serviço;

III – o sistema tiver alto potencial danoso de ordem material ou moral, bem como discriminatório;

IV – o sistema afetar pessoas de um grupo específico vulnerável;

V – serem os possíveis resultados prejudiciais do sistema de inteligência artificial irreversíveis ou de difícil reversão;

VI – um sistema de inteligência artificial similar ter causado anteriormente danos materiais ou morais;

VII – baixo grau de transparência, explicabilidade e auditabilidade do sistema de inteligência artificial, que dificulte o seu controle ou supervisão;

VIII – alto nível de identificabilidade dos titulares dos dados, incluindo o tratamento de dados genéticos e biométricos para efeitos de identificação única de uma pessoa singular, especialmente quando o tratamento inclui combinação, correspondência ou comparação de dados de várias fontes;

IX – quando existirem expectativas razoáveis do afetado quanto ao uso de seus dados pessoais no sistema de inteligência artificial, em especial a expectativa de confidencialidade, como no tratamento de dados sigilosos ou sensíveis.

Parágrafo único. A atualização da lista mencionada no caput pela autoridade competente será precedida de consulta ao órgão regulador setorial competente, se houver, assim como de consulta e de audiência públicas e de análise de impacto regulatório.

CAPÍTULO IV.- DA GOVERNANÇA DOS SISTEMAS DE INTELIGÊNCIA ARTIFICIAL

Seção I.- Disposições Gerais

Art. 19. Os agentes de inteligência artificial estabelecerão estruturas de governança e processos internos aptos a garantir a segurança dos sistemas e o atendimento dos direitos de pessoas afetadas, nos termos previstos no Capítulo II desta Lei e da legislação pertinente, que incluirão, pelo menos:

I – medidas de transparência quanto ao emprego de sistemas de inteligência artificial na interação com pessoas naturais, o que inclui o uso de interfaces ser humano-máquina adequadas e suficientemente claras e informativas;

II – transparência quanto às medidas de governança adotadas no desenvolvimento e emprego do sistema de inteligência artificial pela organização;

III – medidas de gestão de dados adequadas para a mitigação e prevenção de potenciais vieses discriminatórios;

IV – legitimação do tratamento de dados conforme a legislação de proteção de dados, inclusive por meio da adoção de medidas de privacidade desde a concepção e por padrão e da adoção de técnicas que minimizem o uso de dados pessoais;

V – adoção de parâmetros adequados de separação e organização dos dados para treinamento, teste e validação dos resultados do sistema; e

VI – adoção de medidas adequadas de segurança da informação desde a concepção até a operação do sistema.

§ 1º As medidas de governança dos sistemas de inteligencia artificial são aplicáveis ao longo de todo o seu ciclo de vida, desde a concepção inicial até o encerramento de suas atividades e descontinuação.

§ 2º A documentação técnica de sistemas de inteligência artificial de alto risco será elaborada antes de sua disponibilização no mercado ou de seu uso para prestação de serviço e será mantida atualizada durante sua utilização.

Seção II.- Medidas de Governança para Sistemas de Inteligência Artificial de Alto Risco

Art. 20. Além das medidas indicadas no art. 19, os agentes de inteligência artificial que forneçam ou operem sistemas de alto risco adotarão as seguintes medidas de governança e processos internos:

I – documentação, no formato adequado ao processo de desenvolvimento e à tecnologia usada, a respeito do funcionamento do sistema e das decisões envolvidas em sua construção, implementação e uso, considerando todas as etapas relevantes no ciclo de vida do sistema, tais como estágio de design, de desenvolvimento, de avaliação, de operação e de descontinuação do sistema;

II – uso de ferramentas de registro automático da operação do sistema, de modo a permitir a avaliação de sua acurácia e robustez e a apurar potenciais discriminatórios, e implementação das medidas de mitigação de riscos adotadas, com especial atenção para efeitos adversos;

III – realização de testes para avaliação de níveis apropriados de confiabilidade, conforme o setor e o tipo de aplicação do sistema de inteligencia artificial, incluindo testes de robustez, acurácia, precisão e cobertura;

IV – medidas de gestão de dados para mitigar e prevenir vieses discriminatórios, incluindo:

a) avaliação dos dados com medidas apropriadas de controle de vieses cognitivos humanos que possam afetar a coleta e organização dos dados e para evitar a geração de vieses por problemas na classificação, falhas ou falta de informação em relação a grupos afetados, falta de cobertura ou distorções em representatividade, conforme a aplicação pretendida, bem como medidas corretivas para evitar a incorporação de vieses sociais estruturais que possam ser perpetuados e ampliados pela tecnologia; e

b) composição de equipe inclusiva responsável pela concepção e desenvolvimento do sistema, orientada pela busca da diversidade.

V – adoção de medidas técnicas para viabilizar a explicabilidade dos resultados dos sistemas de inteligência artificial e de medidas para disponibilizar aos operadores e potenciais impactados informações gerais sobre o funcionamento do modelo de inteligência artificial empregado, explicitando a lógica e os critérios relevantes para a produção de resultados, bem como, mediante requisição do interessado, disponibilizar informações adequadas que permitam a interpretação dos resultados concretamente produzidos, respeitado o sigilo industrial e comercial.

Parágrafo único. A supervisão humana de sistemas de inteligencia artificial de alto risco buscará prevenir ou minimizar os riscos para direitos e liberdades das pessoas que possam decorrer de seu uso normal ou de seu uso em condições de utilização indevida razoavelmente previsíveis, viabilizando que as pessoas responsáveis pela supervisão humana possam:

I – compreender as capacidades e limitações do sistema de inteligência artificial e controlar devidamente o seu funcionamento, de modo que sinais de anomalias, disfuncionalidades e desempenho inesperado possam ser identificados e resolvidos o mais rapidamente possível;

II – ter ciência da possível tendência para confiar automáticamente ou confiar excessivamente no resultado produzido pelo sistema de inteligencia artificial;

III – interpretar corretamente o resultado do sistema de inteligência artificial tendo em conta as características do sistema e as ferramentas e os métodos de interpretação disponíveis;

IV – decidir, em qualquer situação específica, por não usar o sistema de inteligência artificial de alto risco ou ignorar, anular ou reverter seu resultado; e

V – intervir no funcionamento do sistema de inteligência artificial de alto risco ou interromper seu funcionamento.

Art. 21. Adicionalmente às medidas de governança establecidas neste capítulo, órgãos e entidades do poder público da União, Estados, Distrito Federal e Municípios, ao contratar, desenvolver ou utilizar sistemas de inteligência artificial considerados de alto risco, adotarão as seguintes medidas:

I – realização de consulta e audiência públicas prévias sobre a utilização planejada dos sistemas de inteligência artificial, com informações sobre os dados a serem utilizados, a lógica geral de funcionamento e resultados de testes realizados;

II – definição de protocolos de acesso e de utilização do sistema que permitam o registro de quem o utilizou, para qual situação concreta, e com qual finalidade;

III – utilização de dados provenientes de fontes seguras, que sejam exatas, relevantes, atualizadas e representativas das populações afetadas e testadas contra vieses discriminatórios, em conformidade com a Lei nº 13.709, de 14 de agosto de 2018, e seus atos regulamentares;

IV – garantia facilitada e efetiva ao cidadão, perante o poder público, de direito à explicação e revisão humanas de decisão por sistemas de inteligência artificial que gerem efeitos jurídicos relevantes ou que impactem significativamente os interesses do afetado, a ser realizada pelo agente público competente;

V – utilização de interface de programação de aplicativos que permita sua utilização por outros sistemas para fins de interoperabilidade, na forma da regulamentação; e

VI – publicização em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos, das avaliações preliminares dos sistemas de inteligência artificial desenvolvidos, implementados ou utilizados pelo poder público da União, Estados, Distrito Federal e Municípios, independientemente do grau de risco, sem prejuízo do disposto no art. 43.

§ 1º A utilização de sistemas biométricos pelo poder público da União, Estados, Distrito Federal e Municípios será precedida da edição de ato normativo que estabeleça garantias para o exercício dos direitos da pessoa afetada e proteção contra a discriminação direta, indireta, ilegal ou abusiva, vedado o tratamento de dados de raça, cor ou etnia, salvo previsão expressa em lei.

§ 2º Na impossibilidade de eliminação ou mitigação substantiva dos riscos associados ao sistema de inteligência artificial identificados na avaliação de impacto algorítmico prevista no artigo 22 desta Lei, sua utilização será descontinuada.

Seção III.- Avaliação de Impacto Algorítmico

Art. 22. A avaliação de impacto algorítmico de sistemas de inteligência artificial é obrigação dos agentes de inteligência artificial, sempre que o sistema for considerado como de alto risco pela avaliação preliminar.

Parágrafo único. A autoridade competente será notificada sobre o sistema de alto risco, mediante o compartilhamento das avaliações preliminar e de impacto algorítmico.

Art. 23. A avaliação de impacto algorítmico será realizada por profissional ou equipe de profissionais com conhecimentos técnicos, científicos e jurídicos necessários para realização do relatório e com independencia funcional.

Parágrafo único. Caberá à autoridade competente regulamentar os casos em que a realização ou auditoria da avaliação de impacto será necessariamente conduzida por profissional ou equipe de profissionais externos ao fornecedor;

Art. 24. A metodologia da avaliação de impacto conterá, ao menos, as seguintes etapas:

I – preparação;

II – cognição do risco;

III – mitigação dos riscos encontrados;

IV – monitoramento.

§ 1º A avaliação de impacto considerará e registrará, ao menos:

a) riscos conhecidos e previsíveis associados ao sistema de inteligência artificial à época em que foi desenvolvido, bem como os riscos que podem razoavelmente dele se esperar;

b) benefícios associados ao sistema de inteligência artificial;

c) probabilidade de consequências adversas, incluindo o número de pessoas potencialmente impactadas;

d) gravidade das consequências adversas, incluindo o esforço necessário para mitigá-las;

e) lógica de funcionamento do sistema de inteligência artificial;

f) processo e resultado de testes e avaliações e medidas de mitigação realizadas para verificação de possíveis impactos a direitos, com especial destaque para potenciais impactos discriminatórios;

g) treinamento e ações de conscientização dos riscos associados ao sistema de inteligência artificial;

h) medidas de mitigação e indicação e justificação do risco residual do sistema de inteligência artificial, acompanhado de testes de controle de qualidade frequentes; e

i) medidas de transparência ao público, especialmente aos potenciais usuários do sistema, a respeito dos riscos residuais, principalmente quando envolver alto grau de nocividade ou periculosidade à saúde ou segurança dos usuários, nos termos dos artigos 9º e 10 da Lei nº 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor).

§ 2º Em atenção ao princípio da precaução, quando da utilização de sistemas de inteligência artificial que possam gerar impactos irreversíveis ou de difícil reversão, a avaliação de impacto algorítmico levará em consideração também as evidências incipientes, incompletas ou especulativas.

§ 3º A autoridade competente poderá estabelecer outros critérios e elementos para a elaboração de avaliação de impacto, incluindo a participação dos diferentes segmentos sociais afetados, conforme risco e porte económico da organização.

§ 4º Caberá à autoridade competente a regulamentação da periodicidade de atualização das avaliações de impacto, considerando o ciclo de vida dos sistemas de inteligência artificial de alto risco e os campos de aplicação, podendo incorporar melhores práticas setoriais.

§ 5º Os agentes de inteligência artificial que, posteriormente à sua introdução no mercado ou utilização em serviço, tiverem conhecimento de risco inesperado que apresentem a direitos de pessoas naturais, comunicará o fato imediatamente às autoridades competente e às pessoas afetadas pelo sistema de inteligência artificial.

Art. 25. A avaliação de impacto algorítmico consistirá em processo iterativo contínuo, executado ao longo de todo o ciclo de vida dos sistemas de inteligência artificial de alto risco, requeridas atualizações periódicas.

§ 1º Caberá à autoridade competente a regulamentação da periodicidade de atualização das avaliações de impacto.

§ 2º A atualização da avaliação de impacto algorítmico contará também com participação pública, a partir de procedimento de consulta a partes interessadas, ainda que de maneira simplificada.

Art. 26. Garantidos os segredos industrial e comercial, as conclusões da avaliação de impacto serão públicas, contendo ao menos as seguintes informações:

I – descrição da finalidade pretendida para a qual o sistema será utilizado, assim como de seu contexto de uso e escopo territorial e temporal;

II – medidas de mitigação dos riscos, bem como o seu patamar residual, uma vez implementada tais medidas; e III – descrição da participação de diferentes segmentos afetados, caso tenha ocorrido, nos termos do § 3º do art. 24 desta Lei.

CAPÍTULO V.- DA RESPONSABILIDADE CIVIL

Art. 27. O fornecedor ou operador de sistema de inteligencia artificial que cause dano patrimonial, moral, individual ou coletivo é obrigado a repará-lo integralmente, independentemente do grau de autonomia do sistema.

§ 1º Quando se tratar de sistema de inteligência artificial de alto risco ou de risco excessivo, o fornecedor ou operador respondem objetivamente pelos danos causados, na medida de sua participação no dano.

§ 2º Quando não se tratar de sistema de inteligência artificial de alto risco, a culpa do agente causador do dano será presumida, aplicando-se a inversão do ônus da prova em favor da vítima.

Art. 28. Os agentes de inteligência artificial não serão responsabilizados quando:

I – comprovarem que não colocaram em circulação, empregaram ou tiraram proveito do sistema de inteligência artificial; ou II – comprovarem que o dano é decorrente de fato exclusivo da vítima ou de terceiro, assim como de caso fortuito externo.

Art. 29. As hipóteses de responsabilização civil decorrentes de danos causados por sistemas de inteligência artificial no âmbito das relações de consumo permanecem sujeitas às regras previstas na Lei nº 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor), sem prejuízo da aplicação das demais normas desta Lei.

CAPÍTULO VI.- CÓDIGOS DE BOAS PRÁTICAS E DE GOVERNANÇA

Art. 30. Os agentes de inteligência artificial poderão, individualmente ou por meio de associações, formular códigos de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, inclusive sobre reclamações das pessoas afetadas, as normas de segurança, os padrões técnicos, as obrigações específicas para cada contexto de implementação, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e as medidas de segurança técnicas e organizacionais apropriadas para a gestão dos riscos decorrentes da aplicação dos sistemas.

§ 1º Ao se estabelecerem regras de boas práticas, serão consideradas a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes, a exemplo da metodologia disposta no art. 24 desta Lei.

§ 2º Os desenvolvedores e operadores de sistemas de inteligencia artificial, poderão:

I – implementar programa de governança que, no mínimo:

a) demonstre o seu comprometimento em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à não maleficência e proporcionalidade entre os métodos empregados e as finalidades determinadas e legítimas dos sistemas de inteligência artificial;

b) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como ao seu potencial danoso;

c) tenha o objetivo de estabelecer relação de confiança com as pessoas afetadas, por meio de atuação transparente e que assegure mecanismos de participação nos termos do art. 24, § 3º, desta Lei;

d) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

e) conte com planos de resposta para reversão dos possíveis resultados prejudiciais do sistema de inteligência artificial; e

f) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

§ 3º A adesão voluntária a código de boas práticas e governança pode ser considerada indicativo de boa-fé por parte do agente e será levada em consideração pela autoridade competente para fins de aplicação de sanções administrativas.

§ 4º A autoridade competente poderá estabelecer procedimento de análise de compatibilidade do código de conduta com a legislação vigente, com vistas à sua aprovação, publicização e atualização periódica.

CAPÍTULO VII.- DA COMUNICAÇÃO DE INCIDENTES GRAVES

Art. 31. Os agentes de inteligência artificial comunicarão à autoridade competente a ocorrência de graves incidentes de segurança, incluindo quando houver risco à vida e integridade física de pessoas, a interrupção de funcionamento de operações críticas de infraestrutura, graves danos à propriedade ou ao meio ambiente, bem como graves violações aos direitos fundamentais, nos termos do regulamento.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade competente.

§ 2º A autoridade competente verificará a gravidade do incidente e poderá, caso necessário, determinar ao agente a adoção de providências e medidas para reverter ou mitigar os efeitos do incidente.

CAPÍTULO VIII.- DA SUPERVISÃO E FISCALIZAÇÃO

Seção I.- Da Autoridade Competente

Art. 32. O Poder Executivo designará autoridade competente para zelar pela implementação e fiscalização da presente Lei.

Parágrafo único. Cabe à autoridade competente:

I – zelar pela proteção a direitos fundamentais e a demais direitos afetados pela utilização de sistemas de inteligência artificial;

II – promover a elaboração, atualização e implementação da Estratégia Brasileira de Inteligência Artificial junto aos órgãos de competencia correlata;

III – promover e elaborar estudos sobre boas práticas no desenvolvimento e utilização de sistemas de inteligência artificial;

IV – estimular a adoção de boas práticas, inclusive códigos de conduta, no desenvolvimento e utilização de sistemas de inteligência artificial;

V – promover ações de cooperação com autoridades de proteção e de fomento ao desenvolvimento e à utilização dos sistemas de inteligencia artificial de outros países, de natureza internacional ou transnacional;

VI – expedir normas para a regulamentação desta Lei, inclusive sobre:

a) procedimentos associados ao exercício dos direitos previstos nesta Lei;

b) procedimentos e requisitos para elaboração da avaliação de impacto algorítmico;

c) forma e requisitos das informações a serem publicizadas sobre a utilização de sistemas de inteligência artificial; e

d) procedimentos para certificação do desenvolvimento e utilização de sistemas de alto risco.

VII – articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação;

VIII – fiscalizar, de modo independente ou em conjunto com outros órgãos públicos competentes, a divulgação das informações previstas nos arts. 7º e 43;

IX – fiscalizar e aplicar sanções, em caso de desenvolvimento ou utilização de sistemas de inteligência artificial realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;

X – solicitar, a qualquer momento, às entidades do poder público que desenvolvam ou utilizem sistemas de inteligência artificial, informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei;

XI – celebrar, a qualquer momento, compromisso com agentes de inteligência artificial para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;

XII – apreciar petições em face do operador de sistema de inteligência artificial, após comprovada apresentação de reclamação não solucionada no prazo estabelecido em regulamentação; e

XIII – elaborar relatórios anuais acerca de suas atividades.

Parágrafo único. Ao exercer as atribuições do caput, o órgão competente poderá estabelecer condições, requisitos, canais de comunicação e divulgação diferenciados para fornecedores e operadores de sistemas de inteligência artificial qualificados como micro ou pequenas empresas, nos termos da Lei Complementar nº 123, de 14 de dezembro de 2006, e startups, nos termos da Lei Complementar nº 182, de 1º de junho de 2021.

Art. 33. A autoridade competente será o órgão central de aplicação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação.

Art. 34. A autoridade competente e os órgãos e entidades públicas responsáveis pela regulação de setores específicos da atividade econômica e governamental coordenarão suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento desta Lei.

§ 1º A autoridade competente manterá fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as suas competências regulatória, fiscalizatória e sancionatória.

§ 2º Nos ambientes regulatórios experimentais (sandbox regulatório) que envolvam sistemas de inteligência artificial, conduzidos por órgãos e entidades públicas responsáveis pela regulação de setores específicos da atividade econômica, a autoridade competente será cientificada, podendo se manifestar quanto ao cumprimento das finalidades e princípios desta lei.

Art. 35. Os regulamentos e as normas editados pela autoridade competente serão precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório, nos termos dos arts. 6º a 12 da Lei nº 13.848, de 25 de junho de 2019, no que cabível.

Seção II.- Das Sanções Administrativas

Art. 36. Os agentes de inteligência artificial, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade competente:

I – advertência;

II – multa simples, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, sendo, no caso de pessoa jurídica de direito privado, de até 2% (dois por cento) de seu faturamento, de seu grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos;

III – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

IV – proibição ou restrição para participar de regime de sandbox regulatório previsto nesta Lei, por até cinco anos;

V – suspensão parcial ou total, temporária ou definitiva, do desenvolvimento, fornecimento ou operação do sistema de inteligencia artificial; e

VI – proibição de tratamento de determinadas bases de dados.

§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

I – a gravidade e a natureza das infrações e a eventual violação de direitos;

II – a boa-fé do infrator;

III – a vantagem auferida ou pretendida pelo infrator;

IV – a condição econômica do infrator;

V – a reincidência;

VI – o grau do dano;

VII – a cooperação do infrator;

VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar riscos, inclusive a análise de impacto algorítmico e efetiva implementação de código de ética;

IX – a adoção de política de boas práticas e governança;

X – a pronta adoção de medidas corretivas;

XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção; e

XII – a cumulação com outras sanções administrativas eventualmente já aplicadas em definitivo para o mesmo ato ilícito.

§ 2º Antes ou durante o processo administrativo do § 1º, poderá a autoridade competente adotar medidas preventivas, incluída multa cominatória, observado o limite total a que se refere o inciso II do caput, quando houver indício ou fundado receio de que o agente de inteligência artificial:

I – cause ou possa causar lesão irreparável ou de difícil reparação; ou

II – torne ineficaz o resultado final do processo.

§ 3º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, na Lei nº 13.709, de 14 de agosto de 2018, e em legislação específica.

§ 4º No caso do desenvolvimento, fornecimento ou utilização de sistemas de inteligência artificial de risco excessivo haverá, no mínimo, aplicação de multa e, no caso de pessoa jurídica, a suspensão parcial ou total, provisória ou definitiva de suas atividades.

§ 5º A aplicação das sanções previstas neste artigo não exclui, em qualquer hipótese, a obrigação da reparação integral do dano causado, nos termos do art. 27.

Art. 37. A autoridade competente definirá, por meio de regulamento próprio, o procedimento de apuração e critérios de aplicação das sanções administrativas a infrações a esta Lei, que serão objeto de consulta pública, sem prejuízo das disposições do Decreto-Lei nº 4.657, de 4 de setembro de 1942, Lei nº 9.784, de 29 de janeiro de 1999, e demais disposições legais pertinentes.

Parágrafo único. As metodologias a que se refere o caput deste artigo serão previamente publicadas e apresentarão objetivamente as formas e dosimetrias das sanções, que conterão fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos nesta Lei.

Seção III.- Medidas para fomentar a inovação

Art. 38. A autoridade competente poderá autorizar o funcionamento de ambiente regulatório experimental para inovação em inteligência artificial (sandbox regulatório) para as entidades que o requererem e preencherem os requisitos especificados por esta Lei e em regulamentação.

Art. 39. As solicitações de autorização para sandboxes regulatórios serão apresentadas ao órgão competente por meio de projeto cujas características contemplem, entre outras:

I – inovação no emprego da tecnologia ou no uso alternativo de tecnologias existentes;

II – aprimoramentos no sentido de ganhos de eficiência, redução de custos, aumento de segurança, diminuição de riscos, benefícios à sociedade e a consumidores, entre outros;

III – plano de descontinuidade, com previsão de medidas a serem tomadas para assegurar a viabilidade operacional do projeto uma vez encerrado o período da autorização do sandbox regulatório.

Art. 40. A autoridade competente editará regulamentação para estabelecer os procedimentos para a solicitação e autorização de funcionamento de sandboxes regulatórios, podendo limitar ou interromper o seu funcionamento, bem como emitir recomendações, levando em consideração, dentre outros aspectos, a preservação de direitos fundamentais, de direitos dos consumidores potencialmente afetados e a segurança e proteção dos dados pessoais que forem objeto de tratamento.

Art. 41. Os participantes no ambiente de testagem da regulamentação da inteligência artificial continuam a ser responsáveis, nos termos da legislação aplicável em matéria de responsabilidade, por quaisquer danos infligidos a terceiros em resultado da experimentação que ocorre no ambiente de testagem.

Art. 42. Não constitui ofensa a direitos autorais a utilização automatizada de obras, como extração, reprodução, armazenamento e transformação, em processos de mineração de dados e textos em sistemas de inteligência artificial, nas atividades feitas por organizações e instituições de pesquisa, de jornalismo e por museus, arquivos e bibliotecas, desde que:

I – não tenha como objetivo a simples reprodução, exibição ou disseminação da obra original em si;

II – o uso ocorra na medida necessária para o objetivo a ser alcançado;

III – não prejudique de forma injustificada os intereses econômicos dos titulares; e

IV – não concorra com a exploração normal das obras.

§ 1º Eventuais reproduções de obras para a atividade de mineração de dados serão mantidas em estritas condições de segurança, e apenas pelo tempo necessário para a realização da atividade ou para a finalidade específica de verificação dos resultados da pesquisa científica.

§ 2º Aplica-se o disposto no caput à atividade de mineração de dados e textos para outras atividades analíticas em sistemas de inteligencia artificial, cumpridas as condições dos incisos do caput e do § 1º, desde que as atividades não comuniquem a obra ao público e que o acesso às obras tenha se dado de forma legítima.

§ 3º A atividade de mineração de textos e dados que envolva dados pessoais estará sujeita às disposições da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais).

Seção IV.- Base de dados pública de inteligência artificial

Art. 43. Cabe à autoridade competente a criação e manutenção de base de dados de inteligência artificial de alto risco, acessível ao público, que contenha os documentos públicos das avaliações de impacto, respeitados os segredos comercial e industrial, nos termos do regulamento.

CAPÍTULO IX.- DAS DISPOSIÇÕES FINAIS

Art. 44. Os direitos e princípios expressos nesta Lei não excluem outros previstos no ordenamento jurídico pátrio ou nos tratados internacionais em que a República Federativa do Brasil seja parte.

Art. 45. Esta Lei entra em vigor um ano após a sua publicação.

JUSTIFICAÇÃO

O desenvolvimento e a popularização das tecnologias de inteligência artificial têm revolucionado diversas áreas da atividade humana.

Além disso, as previsões apontam que a inteligência artificial (IA) provocará mudanças econômicas e sociais ainda mais profundas num futuro próximo.

Reconhecendo a relevância dessa questão, algumas proposições legislativas foram recentemente apresentadas, tanto no Senado Federal quanto na Câmara dos Deputados, com o objetivo de estabelecer balizas para o desenvolvimento e a aplicação de sistemas de inteligência artificial no Brasil.

Em particular, destacam-se o Projeto de Lei (PL) nº 5.051, de 2019, de autoría do Senador Styvenson Valentim, que estabelece os princípios para o uso da Inteligência Artificial no Brasil; o PL nº 21, de 2020, do Deputado Federal Eduardo Bismarck, que estabelece fundamentos, princípios e diretrizes para o desenvolvimento e a aplicação da inteligência artificial no Brasil; e dá otras providências, e que foi aprovado pela Câmara dos Deputados; e o PL nº 872, de 2021, do Senador Veneziano Vital do Rêgo, que dispõe sobre o uso da Inteligência Artificial.

Em 3 de fevereiro de 2022, esses três projetos passaram a tramitar conjuntamente no Senado Federal e, em sequência, em 17 de fevereiro do mesmo ano, por meio do Ato do Presidente do Senado Federal nº 4, de 2022, de minha autoria, por sugestão do Senador Eduardo Gomes, tendo em mente a elaboração de um texto legal com a mais avançada tecnicidade, foi instituída a Comissão de Juristas destinada a subsidiar a elaboração de minuta de substitutivo a eles.

Composta por notórios juristas, a comissão teve como membros grandes especialistas nos ramos do direito civil e do direito digital, aos quais agradeço o tempo, a dedicação e o compartilhamento do texto final, que ora apresento.

Integraram o colegiado: o Ministro do Superior Tribunal de Justiça, Ricardo Villas Bôas Cueva (Presidente); Laura Schertel Ferreira Mendes (Relatora); Ana de Oliveira Frazão; Bruno Ricardo Bioni; Danilo Cesar Maganhoto Doneda (in memoriam); Fabrício de Mota Alves; Miriam Wimmer; Wederson Advincula Siqueira; Claudia Lima Marques; Juliano Souza de Albuquerque Maranhão; Thiago Luís Santos Sombra; Georges Abboud; Frederico Quadros D’Almeida; Victor Marcel Pinheiro; Estela Aranha; Clara Iglesias Keller; Mariana Giorgetti Valente e Filipe José Medon Affonso. Não poderia deixar de agradecer, ademais, ao corpo técnico do Senado Federal, em especial à Consultoria Legislativa e aos servidores que prestaram suporte ao colegiado: Reinilson Prado dos Santos; Renata Felix Perez e Donaldo Portela Rodrigues.

A referida Comissão realizou uma série de audiências públicas, além de seminário internacional, ouvindo mais de setenta especialistas sobre a matéria, representantes de diversos segmentos: sociedade civil organizada, governo, academia e setor privado. Abriu ainda oportunidade para a participação de quaisquer interessados, por meio de contribuições escritas, tendo recebido 102 manifestações, individualmente analisadas e organizadas de acordo com suas propostas. Finalmente, a Comissão demandou à Consultoria Legislativa do Senado Federal estudo sobre a regulamentação da inteligência artificial em mais de trinta países integrantes da Organização para a Cooperação e Desenvolvimento Econômico (OCDE), o que permitiu analizar o panorama normativo mundial da matéria.

Com base em todo esse extenso material, em 6 de dezembro de 2022, a Comissão de Juristas apresentou seu relatório final, juntamente com anteprojeto de lei para regulamentação da inteligência artificial.

Nesse contexto, a presente iniciativa se baseia nas conclusões da citada Comissão e busca conciliar, na disciplina legal, a proteção de direitos e liberdades fundamentais, a valorização do trabalho e da dignidade da pessoa humana e a inovação tecnológica representada pela inteligência artificial.

O projeto tem um duplo objetivo. De um lado, estabelece direitos para proteção do elo mais vulnerável em questão, a pessoa natural que já é diariamente impactada por sistemas de inteligência artificial, desde a recomendação de conteúdo e direcionamento de publicidade na Internet até a sua análise de elegibilidade para tomada de crédito e para determinadas políticas públicas. De outro lado, ao dispor de ferramentas de governança e de um arranjo institucional de fiscalização e supervisão, cria condições de previsibilidade acerca da sua interpretação e, em última análise, segurança jurídica para inovação e o desenvolvimento tecnológico.

A proposição parte da premissa, portanto, de que não há um tradeoff entre a proteção de direitos e liberdades fundamentais, da valorização do trabalho e da dignidade da pessoa humana face à ordem econômica e à criação de novas cadeias de valor. Pelo contrário, seus fundamentos e a sua base principiológica buscam tal harmonização, nos termos da Constituição Federal.

Estruturalmente, a proposição estabelece uma regulação baseada em riscos e uma modelagem regulatória fundada em direitos. Apresenta ainda instrumentos de governança para uma adequada prestação de contas dos agentes econômicos desenvolvedores e utilizadores da inteligência artificial, incentivando uma atuação de boa-fé e um eficaz gerenciamento de riscos.

O texto proposto, inicialmente, define fundamentos e principios gerais para o desenvolvimento e utilização dos sistemas de inteligencia artificial, que balizam todas as demais disposições específicas.

Dedica capítulo específico à proteção dos direitos das pessoas afetadas por sistemas de inteligência artificial, no qual: garante acesso apropriado à informação e adequada compreensão das decisões tomadas por esses sistemas; estabelece e regula o direito de contestar decisões automatizadas e de solicitar intervenção humana; e disciplina o direito à nãodiscriminação e à correção de vieses discriminatórios.

Além de fixar direitos básicos e transversais para todo e qualquer contexto em que há interação entre máquina e ser humano, como informação e transparência, intensifica-se tal obrigação quando o sistema de IA produz efeitos jurídicos relevantes ou impactem os sujeitos de maneira significativa (ex: direito de contestação e intervenção humana). Assim, o peso da regulação é calibrado de acordo com os potenciais riscos do contexto de aplicação da tecnologia. Foram estabelecidas, de forma simétrica aos direitos, determinadas medidas gerais e específicas de governança para, respectivamente, sistemas de inteligência artificial com qualquer grau de risco e para os categorizados como de alto risco.

Ao abordar a categorização dos riscos da inteligência artificial, a proposição estabelece a exigência de avaliação preliminar; define as aplicações vedadas, por risco excessivo; e define as aplicações de alto risco, sujeitas a normas de controle mais estritas.

No que tange à governança dos sistemas, o projeto elenca as medidas a serem adotadas para garantir a transparência e a mitigação de vieses; fixa medidas adicionais para sistemas de alto risco e para sistemas governamentais de inteligência artificial; e normatiza o procedimento para a avaliação de impacto algorítmico.

O texto ainda aborda as regras de responsabilização civil envolvendo sistemas de inteligência artificial, definindo inclusive as hipótesis em que os responsáveis por seu desenvolvimento e utilização não serão responsabilizados.

Conforme a gradação de normas de acordo com o risco imposto pelo sistema – que permeia toda a minuta da proposição – faz-se uma diferenciação importante no capítulo da responsabilidade civil: quando se tratar de sistema de IA de alto risco ou de risco excessivo, o fornecedor ou operador respondem objetivamente pelos danos causados, na medida da participação de cada um no dano. E quando se tratar de IA que não seja de alto risco, a culpa do agente causador do dano será presumida, aplicando-se a inversão do ônus da prova em favor da vítima.

O projeto também reforça a proteção contra a discriminação, por meio de diversos instrumentos, como o direito à informação e compreensão, o direito à contestação, e em um direito específico de correção de vieses discriminatórios diretos, indiretos, ilegais ou abusivos, além das medidas de governança preventivas. Além de adotar definições sobre discriminação direta e indireta – incorporando, assim, definições da Convenção Interamericana contra o Racismo, promulgada em 2022 –, o texto tem como ponto de atenção grupos (hiper)vulneráveis tanto para a qualificação do que venha ser um sistema de alto risco como para o reforço de determinados direitos.

Ao dispor sobre a fiscalização da inteligência artificial, o projeto determina que o Poder Executivo designe autoridade para zelar pelo cumprimento das normas estabelecidas e especifica suas competências e fixa sanções administrativas.

São também previstas medidas para fomentar a inovação da inteligência artificial, destacando-se o ambiente regulatório experimental (sandbox regulatório).

Com isso, a partir de uma abordagem mista de disposições ex-ante e ex-post, a proposição traça critérios para fins de avaliação e desencadeamento de quais tipos de ações devem ser tomadas para mitigação dos riscos em jogo, envolvendo também os setores interessados no processo regulatório, por meio da corregulação.

Ainda, em linha com o direito internacional, traça balizas para conformar direitos autorais e de propriedade intelectual à noção de que os dados devem ser um bem comum e, portanto, circularem para o treinamento de máquina e o desenvolvimento de sistema de inteligência artificial – sem, contudo, implicar em prejuízo aos titulares de tais direitos. Há, com isso, desdobramentos de como a regulação pode fomentar a inovação. Diante do exposto, e cientes do desafio que a matéria representa, contamos com a colaboração dos nobres colegas para o aperfeiçoamento dessa proposta.

Sala das Sessões, Senador Rodrigo Pacheco

11Sep/24

Procedimiento Disciplinario e Inteligencia Artificial. I.A. Generativa Chatgpt, Bard, Microsoft Copilot, Claude, Luzia, Prometea, Sócrates, Victor, etc.

11 septiembre, 2024Inteligência Artificial, TrabajosJosé Cuervo

PROCEDIMIENTO DISCIPLINARIO E INTELIGENCIA ARTIFICIAL Descarga

09Sep/24

Decreto Legislativo nº 1625 de 8 de agosto de 2024

9 septiembre, 2024Decreto Legislativo, PerúCódigo Penal, Constitución Política del Peru, Decreto Legislativo nº 635, Decreto Supremo 063-2021-PCM, Ley 30096, Ley 32089, Ley Delitos InformáticosJosé Cuervo

Decreto Legislativo nº 1625 de 8 de agosto de 2024, que modifica los artículos 154-B y 158 del Código Penal e incorpora el artículo 5-A en la Ley nº 30096, Ley de delitos informáticos, para fortalecer el marco normativo sobre el uso de Tecnologías Digitales relacionado a la difusión de imágenes, materiales audiovisuales o audios con contenido sexual.

DECRETO LEGISLATIVO Nº 1625

LA PRESIDENTA DE LA REPÚBLICA

Decreto Legislativo nº 1625 de 8 de agosto de 2024

POR CUANTO

Que, el Congreso de la República, a través de la Ley nº 32089, Ley que delega en el Poder Ejecutivo la facultad de legislar en materias de reactivación económica, simplificación y calidad regulatoria, actividad empresarial del Estado, seguridad ciudadana y defensa nacional, delega facultades para legislar al Poder Ejecutivo por el plazo de noventa (90) días calendario;

Que, el sub numeral 2.8.1 del numeral 2.8 del artículo 2 de la citada Ley nº 32089, dispone que el Poder Ejecutivo está facultado para legislar en materia de Política Criminológica y Penitenciaria, específicamente para modificar el Código Penal, Decreto Legislativo nº 635, con la finalidad de optimizar el tipo penal de difusión de imágenes, materiales audiovisuales o audios de contenido sexual, así como tipificar en la Ley nº 30096, Ley de Delitos Informáticos, la difusión de imágenes, materiales audiovisuales o audios con contenido sexual, generados con tecnología digital; así como, el chantaje sexual derivado de estos;

Que, el artículo 1 de la Constitución Política del Perú establece que la defensa de la persona humana y el respeto de su dignidad son el fin supremo de la sociedad y del Estado; asimismo, los numerales 1 y 7 del artículo 2 de la Carta Magna establecen que toda persona tiene derecho a la vida, a su identidad, a su integridad moral, psíquica y física y a su libre desarrollo y bienestar; así como al honor y a la buena reputación, a la intimidad personal y familiar, así como, a la voz y a la imagen propias;

Que, para optimizar el tipo penal de difusión de imágenes, materiales audiovisuales o audios de contenido sexual, resulta necesario realizar modificaciones al Código Penal; asimismo, se requiere tipificar en la Ley nº 30096, Ley de Delitos Informáticos, el chantaje sexual derivado de la difusión de imágenes, materiales audiovisuales o audios elaborados o modificados por medios digitales o tecnológicos, para obtener una conducta o acto de connotación sexual; conductas que se enmarcan en el fenómeno de la violencia que afecta principalmente a las mujeres y a la población vulnerable, como son las niñas, niños y adolescentes;

Que, la presente norma también busca sancionar a todas las personas que han contribuido y participado en la cadena de difusión del material íntimo y al mismo tiempo proteger completamente a la víctima de la viralización de dicho material, garantizando así una lucha eficaz contra las diversas modalidades de violencia, que afectan principalmente a las mujeres a lo largo de todo su ciclo de vida y a los niños, niñas y adolescentes;

Que, en virtud a la excepción establecida en el sub numeral 18 del numeral 28.1 del artículo 28 del Reglamento que desarrolla el Marco Institucional que rige el Proceso de Mejora de la Calidad Regulatoria y establece los Lineamientos Generales para la aplicación del Análisis de Impacto Regulatorio Ex Ante, aprobado mediante Decreto Supremo nº 063-2021-PCM, no corresponde que se realice el Análisis de Impacto Regulatorio (AIR) Ex Ante; asimismo, en la medida que el presente Decreto Legislativo no desarrolla procedimientos administrativos bajo el alcance del Análisis de Calidad Regulatoria (ACR), no se requiere realizar el ACR Ex Ante previo a su aprobación;

De conformidad con lo establecido en el artículo 104 de la Constitución Política del Perú, y en ejercicio de las facultades delegadas en el sub numeral 2.8.1 del numeral 2.8 del artículo 2 de la Ley nº 32089, Ley que delega en el Poder Ejecutivo la facultad de legislar en materias de reactivación económica, simplificación y calidad regulatoria, actividad empresarial del Estado, seguridad ciudadana y defensa nacional;

Con el voto aprobatorio del Consejo de Ministros; y,

Con cargo a dar cuenta al Congreso de la República;

Ha dado el Decreto Legislativo siguiente:

DECRETO LEGISLATIVO QUE MODIFICA LOS ARTÍCULOS 154-B Y 158 DEL CÓDIGO PENAL E INCORPORA EL ARTÍCULO 5-A EN LA LEY Nº 30096, LEY DE DELITOS INFORMÁTICOS, PARA FORTALECER EL MARCO NORMATIVO SOBRE EL USO DE TECNOLOGÍAS DIGITALES RELACIONADO A LA DIFUSIÓN DE IMÁGENES, MATERIALES AUDIOVISUALES O AUDIOS CON CONTENIDO SEXUAL

Artículo 1.- Objeto

El presente Decreto Legislativo tiene por objeto modificar el Código Penal, aprobado por Decreto Legislativo nº 635 para optimizar el tipo penal de difusión de imágenes, materiales audiovisuales o audios de contenido sexual; así como modificar la Ley nº 30096, Ley de Delitos Informáticos, para tipificar el chantaje sexual derivado de la difusión de imágenes, materiales audiovisuales o audios elaborados o modificados por medios digitales o tecnológicos, para obtener una conducta o acto de connotación sexual.

Artículo 2.- Finalidad

El presente Decreto Legislativo tiene por finalidad fortalecer el marco normativo considerando el uso de tecnologías digitales y otras innovaciones tecnológicas en la difusión, revelación, publicación o comercialización de imágenes, materiales audiovisuales y audios con contenido sexual.

Artículo 3.- Modificación de los artículos 154-B y 158 del Código Penal

Se modifican los artículos 154-B y 158 del Código Penal, en los siguientes términos:

“Artículo 154-B.- Difusión de imágenes, materiales audiovisuales o audios con contenido sexual

El que, sin autorización, difunde, revela, publica, cede o comercializa imágenes, materiales audiovisuales, audios con contenido sexual reales, incluidos aquellos que hayan sido elaborados o modificados por medios digitales o tecnológicos, de cualquier persona, será reprimido con pena privativa de libertad no menor de dos ni mayor de cinco años y con treinta a ciento veinte días-multa.

La pena privativa de libertad será no menor de tres ni mayor de seis años y de ciento ochenta a trescientos sesenta y cinco días-multa, cuando concurra cualquiera de las siguientes circunstancias:

1. Cuando la víctima mantenga o haya mantenido una relación de pareja con el agente, son o han sido convivientes o cónyuges.

2. Cuando para materializar el hecho utilice redes sociales o cualquier otro medio que genere una difusión masiva.

La pena privativa de libertad será no menor de seis ni mayor de diez años y con veinte a trescientos sesenta y cinco días-multa, cuando la víctima tenga menos de 18 años de edad.

La pena privativa de libertad será no menor de diez ni mayor de quince años y con cincuenta a trescientos sesenta y cinco días-multa, cuando la víctima tenga menos de 14 años de edad”

“Artículo 158.- Ejercicio de la acción penal

Los delitos previstos en este Capítulo son perseguibles por acción privada, salvo en el caso del delito previsto en los artículos 154-A, 154-B y 155.”

Artículo 4.- Incorporación del artículo 5-A en la Ley nº 30096, Ley de Delitos Informáticos

Se incorpora el artículo 5-A en la Ley nº 30096, Ley de Delitos Informáticos dentro del Capítulo III “Delitos Informáticos contra Indemnidad y Libertad Sexuales”, en los siguientes términos:

“Artículo 5-A.- Chantaje sexual con materiales elaborados o modificados por medios digitales o tecnológicos

El que, mediante el uso de tecnologías de la información o comunicación, amenaza o intimida a una persona, con la difusión de imágenes, materiales audiovisuales o audios elaborados o modificados por medios digitales o tecnológicos, para obtener de ella una conducta o acto de connotación sexual, será reprimido con pena privativa de la libertad no menor de dos ni mayor de cuatro años e inhabilitación, según corresponda, conforme a los incisos 5, 9, 10 y 11 del artículo 36 del Código Penal.

La pena privativa de libertad será no menor de tres ni mayor de cinco años e inhabilitación, cuando concurra cualquiera de las siguientes circunstancias:

1. La amenaza a la víctima se refiere a la difusión de imágenes, materiales audiovisuales o audios con contenido sexual en los que esta aparece o participa.

2. Cuando la víctima mantenga o haya mantenido una relación de pareja con el agente, son o han sido convivientes o cónyuges.

3. Cuando la víctima es menor de 18 años de edad.”

Artículo 5. Refrendo

El presente Decreto Legislativo es refrendado por el Presidente del Consejo de Ministros, la Ministra de la Mujer y Poblaciones Vulnerables y el Ministro de Justicia y Derechos Humanos.

POR TANTO:

Mando se publique y cumpla, dando cuenta al Congreso de la República.

Dado en la Casa de Gobierno, en Lima, a los siete días del mes de agosto del año dos mil veinticuatro.

DINA ERCILIA BOLUARTE ZEGARRA, Presidenta de la República

GUSTAVO LINO ADRIANZÉN OLAYA, Presidente del Consejo de Ministros

EDUARDO MELCHOR ARANA YSA, Ministro de Justicia y Derechos Humanos

ANGELA TERESA HERNANDEZ CAJO, Ministra de la Mujer y Poblaciones Vulnerables

08Sep/24

Ley Orgánica para la transformación digital y audiovisual de 3 de febrero 2023

8 septiembre, 2024Ecuador, Ley Orgánicaarquiterura digital, Conectividad, cultura digital, economia digital, educación digital, entorno dogital, gobernanza digital, Gobierno Digital, identidad digital, Inclusión digital, infraestructura digital, salud digital, Seguridad Digital, servicio digital, servicios de telecomunicaciones, Sistemas de información, tecnologias digitales, tecnologias emergentes, trnsformación digitalJosé Cuervo

Ley Orgánica para la transformación digital y audiovisual de 3 de febrero 2023. Oficio nº PAN-SEJV-2023-15 de 3 de febrero de 2003 (Registro Oficial, Año I, nº 245, Quito, martes 7 de febrero de 2023, Tercer suplemento nº 245)

Oficio nº PAN-SEJV-2023-015

Quito D.M, 03 de febrero de 2023

Ingeniero, Hugo del Pozo Barrezueta

DIRECTOR DEL REGISTRO OFICIAL

En su Despacho.-

De mi consideración:

La Asamblea Nacional, de conformidad con las atribuciones que le confiere la Constitución de la República del Ecuador y la Ley Orgánica de la Función Legislativa, discutió y aprobó el Proyecto de LEY ORGÁNICA PARA LA TRANSFORMACIÓN DIGITAL Y AUDIOVISUAL, calificado como urgente en materia económica.

En sesión del 31 de enero de 2023, el Pleno de la Asamblea Nacional conoció y se pronunció sobre la objeción parcial al referido Proyecto de Ley, presentada por el señor Guillermo Lasso Mendoza, Presidente Constitucional de la República, a fecha 18 de enero de 2023, mediante Oficio nº T.344-SGJ-23-0012.

Por lo expuesto, y tal como disponen los artículos 138 de la Constitución de la República del Ecuador y 64 de la Ley Orgánica de la Función Legislativa, acompaño el texto de la LEY ORGÁNICA PARA LA TRANSFORMACIÓN DIGITAL Y AUDIOVISUAL, para que se sirva publicarlo en el Registro Oficial.

Con sentimientos de distinguida consideración.

Atentamente, DR. VIRGILIO SAQUICELA ESPINOZA, Presidente de la Asamblea Nacional

Firmado electrónicamente por: JAVIER VIRGILIO SAQUICELA ESPINOZA

Quito, Ecuador · (593 2) 3991000 · www.asambleanacional.gob.ec · [email protected]

CERTIFICACIÓN

En mi calidad de Secretario General de la Asamblea Nacional, me permito CERTIFICAR que el día 10 de diciembre de 2022 la Asamblea Nacional discutió en primer debate el “PROYECTO DE LEY ORGÁNICA PARA LA TRANSFORMACIÓN DIGITAL Y AUDIOVISUAL”, calificado como urgente en materia económica, y en segundo debate el día 17 de diciembre de 2022, siendo en esta última fecha finalmente aprobado.

Dicho Proyecto de Ley fue objetado parcialmente por el Presidente Constitucional de la República el 18 de enero de 2023. Finalmente, la Asamblea Nacional el día 31 de enero de 2023, de conformidad con lo señalado en el tercer inciso del artículo 138 de la Constitución de la República del Ecuador y el tercer inciso del artículo 64 de la Ley Orgánica de la Función Legislativa, examinó y se pronunció sobre la objeción parcial al Proyecto de “LEY ORGÁNICA PARA LA TRANSFORMACIÓN DIGITAL Y AUDIOVISUAL”, allanándose a la misma.

Quito D.M., 03 de febrero de 2023.

ABG. ÁLVARO SALAZAR PAREDES, Secretario General

Firmado electrónicamente por: ALVARO RICARDO SALAZAR PAREDES

EL PLENO

CONSIDERANDO

Que el artículo 3 de la Constitución de la República indica que son deberes primordiales del Estado la planificación del desarrollo nacional, la erradicación de la pobreza y la promoción del desarrollo sustentable;

Que el artículo 120, numeral 6, de la Constitución de la República, en concordancia con el artículo 9, numeral 6, de la Ley Orgánica de la Función Legislativa, dispone que es competencia de la Asamblea Nacional para “expedir, codificar, reformar y derogar las leyes, e interpretarlas con carácter generalmente obligatorio”;

Que el artículo 140 de la Constitución de la República prescribe que el Presidente de la República podrá enviar a la Asamblea Nacional proyectos de ley calificados de urgencia en materia económica para su tramitación dentro de un plazo máximo de treinta días a partir de su recepción;

Que el numeral 11 del artículo 147 de la Constitución de la República le atribuye la facultad al Presidente de la República para participar con iniciativa legislativa en el proceso de formación de leyes;

Que el artículo 261 de la Constitución de la República determina, entre las competencias exclusivas del Estado Central, el desarrollo de la política económica, tributaria, aduanera, arancelaria, fiscal, monetaria, comercio exterior y endeudamiento; la planificación nacional; el espectro radioeléctrico y el régimen general de comunicaciones y telecomunicaciones, puertos y aeropuertos; los recursos energéticos, minerales, hidrocarburos, hídricos, biodiversidad y recursos forestales; las áreas naturales protegidas y los recursos naturales; el registro de personas, nacionalización de extranjeros y control migratorio;

Que los numerales 1 y 2 del artículo 276 de la Constitución de la República establecen que el régimen de desarrollo tiene como objetivos mejorar la calidad de vida y aumentar las capacidades y potencialidades de la población;

Que los numerales 2, 5 y 6 del artículo 277 de la Constitución de la República prevén los deberes del Estado para la consecución del buen vivir, entre los que se encuentran el dirigir, planificar y regular el proceso de desarrollo; impulsar el desarrollo de las actividades económicas mediante un orden jurídico e instituciones políticas que las promuevan, fomenten y defiendan mediante el cumplimiento de la Constitución y la ley; así como promover e impulsar la ciencia, la tecnología, las artes, los conocimientos tradicionales y las actividades de la iniciativa creativa, comunitaria, asociativa, cooperativa y privada;

Que el artículo 283 de la Constitución de la República prescribe que el sistema económico propende una relación dinámica entre sociedad, Estado y mercado;

Que en el artículo 284 de la Constitución de la República, en sus numerales 6 y 7, indica que entre los objetivos de la política económica se encuentran los siguientes: “impulsar el pleno empleo y valorar todas las formas de trabajo, con respeto a los derechos laborales”; y, “mantener la estabilidad económica, entendida como el máximo nivel de producción y empleos sostenibles en el tiempo”;

Que el artículo 301 de la Constitución de la República dispone que sólo el Presidente de la República, mediante ley sancionada por la Asamblea Nacional, podrá establecer, modificar, exonerar o extinguir impuestos; mientras que las tasas y contribuciones se crean y regulan por acto normativo de órgano competente, de conformidad con la ley;

Que el artículo 304 de la Constitución de la República señala que la política comercial tendrá como objetivos desarrollar mercados internos y fortalecer el aparato productivo, así como regular, promover y ejecutar las acciones correspondientes para impulsar la inserción estratégica del país en la economía mundial;

Que el artículo 317 de la Constitución de la República determina que los recursos naturales no renovables son de propiedad inalienable e imprescriptible del Estado;

Que el artículo 319 de la Constitución de la República reconoce diversas formas de organización de la producción en la economía, en tal virtud alentará la producción que satisfaga la demanda interna y garantice una activa participación del Ecuador en el contexto internacional;

Que el artículo 320 de la Constitución de la República establece que la producción, en cualquiera de sus formas, se sujetará a principios y normas de calidad, sostenibilidad, productividad sistémica, valoración del trabajo, y eficiencia económica y social, gestionando que los procesos productivos sean participativos, transparentes y eficientes;

Que el artículo 321 de la Constitución de la República determina que el Estado reconoce y garantiza el derecho a la propiedad en sus diversas formas;

Que el artículo 334 de la Constitución de la República establece que le corresponderá al Estado, entre otras cosas, desarrollar políticas de fomento a la producción nacional en todos los sectores;

Que el artículo 339 de la Constitución de la República determina que el Estado promoverá las inversiones nacionales y extranjeras;

Que el artículo 395 de la Constitución de la República determina que el Estado garantizará un modelo sustentable de desarrollo, ambientalmente equilibrado y respetuoso de la diversidad cultural, que conserve la biodiversidad y la capacidad de regeneración natural, y asegure la satisfacción de las necesidades de las generaciones presentes y futuras;

Que para promover y garantizar nuevas inversiones que generen empleo se debe promulgar incentivos tributarios que brinden estabilidad y desarrollo económico en todas las industrias;

Que la administración pública debe estar guiada por una real eficiencia y simplificación administrativa; que garantice el ejercicio de los derechos, sin retrasos y demoras innecesarias; que reduzca los costos y optimice los recursos públicos, así como el tiempo de todos los ciudadanos; cumpliendo con el mandato constitucional de una administración pública eficiente, eficaz, transparentes y de calidad;

Que se ha evidenciado la necesidad de simplificar los procesos operativos para las inversiones en activos financieros de no residentes fiscales en Ecuador a fin de incentivar el ingreso de nuevos capitales al mercado ecuatoriano;

Que es necesario actualizar la clasificación de los datos públicos para dar libertad de elección de servidores de almacenamiento a las entidades públicas y así poder mantener respaldos adecuados y con altos estándares de seguridad para evitar vulneraciones de seguridad informática;

Que el eje central de la política pública debe ser la libertad de los ciudadanos para generar prosperidad y riqueza para todos los miembros de la sociedad; y,

En ejercicio de la facultad conferida por la Constitución de la República y la Ley Orgánica del Función Legislativa, expide la siguiente:

LEY ORGÁNICA PARA LA TRANSFORMACIÓN DIGITAL Y AUDIOVISUAL

TÍTULO PRELIMINAR.- OBJETO Y ÁMBITO

Artículo 1.- Objetivos.

La presente Ley tiene por objetivos generales:

a. Promover la creación de oportunidades mediante la atracción y fomento de inversiones de la economía digital global;

b. Incentivar la creación de empleos de calidad;

c. Promover la eficiencia en los mercados, la construcción y la mejora regulatoria; y,

d. La simplificación y la adopción de medios y tecnologías digitales en la prestación de servicios públicos y gestión de todo tipo de trámites administrativos (ante cualquier nivel del gobierno), judiciales o privados; impulsando el uso y apropiación de las mismas en los sectores productivos, academia y sociedad, fortaleciendo la innovación, desarrollo e investigación para dicha adopción y enfocada en potenciar el desarrollo de la economía digital en el país.

Son objetivos específicos de esta Ley:

a. Promover la inversión e innovación mediante la modernización, actualización y simplificación de trámites, proceso y trabas regulatorias;

b. Establecer el marco regulatorio para el fomento de la transformación digital de las instituciones públicas, de las empresas privadas y de la sociedad; así como fortalecer el uso efectivo y eficiente de las plataformas, las tecnologías digitales, las redes y servicios digitales con el fin de atraer inversiones, impulsar la economía digital, la eficiencia y el bienestar social, desarrollando habilidades y competencias digitales necesarias para el empleo, educación, salud y productividad;

c. Fortalecer el ciberespacio ecuatoriano procurando garantizar la seguridad de la información personal de los ciudadanos; e,

d. Incentivar el uso y la optimización de los recursos necesarios para lograr la transformación digital.

Artículo 2.- Ejes de la Ley.

Son ejes de la presente Ley los siguientes:

a. Infraestructura digital: Conectividad y Servicios de Telecomunicaciones, Sistemas de Información;

b. Cultura e Inclusión Digital: Educación Digital, Salud Digital, Cultura Digital;

c. Economía Digital: Transformación Digital de estructura productiva, Comercio Electrónico;

d. Tecnologías emergentes para el desarrollo sostenible: Fomento de nuevas tecnologías en las industrias, Fomento de nuevas tecnologías para el medio ambiente, Ciudades Inteligentes y Sostenibles;

e. Gobierno Digital: Simplificación de trámites, Participación ciudadana por medios electrónicos, Gobierno de TICs, Identidad Digital;

f. Interoperabilidad y tratamiento de datos: Servicios de Interoperabilidad, Datos personales, Datos abiertos; y,

g. Seguridad Digital y confianza: Seguridad de la información.

LIBRO I.- DE LA TRANSFORMACIÓN DIGITAL

TÍTULO I.- LA RECTORÍA EN TRANSFORMACIÓN DIGITAL

Artículo 3.- Rectoría.

El ente rector en materia de telecomunicaciones será la entidad rectora en transformación digital y gobierno digital, para lo cual ejercerá atribuciones y responsabilidades, así como emitirá las políticas, directrices, acuerdos, normativa y lineamientos necesarios para su implementación.

Con la finalidad de facilitar la realización de actividades conjuntas e intercambio de información entre los distintos niveles de gobierno y las diferentes Instituciones Públicas que cuenten con plataformas tecnológicas, éstas deberán permitir y participar en la interoperabilidad con otros sistemas informáticos del Estado, conforme las directrices y metodologías que determine el ente rector.

El ente rector podrá conformar comités temporales, temáticos o sectoriales, para identificar las necesidades y formular las soluciones de transformación, con alineación al Plan Nacional de Desarrollo. Esto se realizará en coordinación con la Agencia de Regulación y Control de las Telecomunicaciones (ARCOTEL), Instituciones Públicas, entidades privadas, todos los niveles de gobierno y sociedad civil.

Artículo 4.- De la transformación digital.

La Transformación Digital constituye el proceso continuo de adopción multimodal de tecnologías digitales que cambian fundamentalmente la forma en que los servicios gubernamentales y del sector privado se idean, planifican, diseñan, implementan y operan, con el objeto de mejorar la eficiencia, seguridad, certeza, velocidad y calidad de los servicios, optimizando sus costos y mejorando las condiciones de transparencia de los procesos y actuaciones del Estado en su interrelación con los ciudadanos.

Artículo 5.- Definiciones.

Para efectos de la aplicación de la presente Ley, se tendrán en cuenta las siguientes definiciones:

a. Tecnologías Digitales.-

Se refieren a las Tecnologías de la Información y la Comunicación – TIC, incluidos Internet, las tecnologías y dispositivos móviles, así como la analítica de datos utilizados para mejorar la generación, recopilación, intercambio, agregación, combinación, análisis, acceso, búsqueda y presentación de contenido digital, incluido el desarrollo de servicios y aplicaciones aplicables a la materia de gobierno digital.

b. Entorno Digital.-

Es el dominio o ámbito habilitado por las tecnologías y dispositivos digitales, generalmente interconectados a través de redes de datos o comunicación, incluyendo el Internet, que soportan los procesos, servicios, infraestructuras y la interacción entre personas.

c. Servicio Digital.-

Es aquel provisto de forma total o parcial a través de Internet u otra red equivalente, que se caracteriza por ser automático, no presencial y utilizar de manera intensiva las tecnologías digitales, para la producción y acceso a datos y contenidos que generen valor público para los ciudadanos y personas en general.

d. Gobernanza Digital.-

Es el conjunto de procesos, estructuras, herramientas y normas que nos permiten dirigir, evaluar y supervisar el uso y adopción de las tecnologías digitales en la organización.

e. Arquitectura Digital.-

Es el conjunto de componentes, lineamientos y estándares, que desde una perspectiva integral de la organización permiten alinear los sistemas de información, datos, seguridad e infraestructura tecnológica con la misión y objetivos estratégicos de la entidad, de tal manera que se promuevan la colaboración, interoperabilidad, escalabilidad, seguridad y el uso optimizado de las tecnologías digitales en un entorno de gobierno digital.

f. De la Identidad Digital.-

La identidad digital es aquel conjunto de atributos que individualiza y permite identificar a una persona en entornos digitales. Los atributos de la identidad digital son otorgados por distintas entidades de la Administración Pública que, en su conjunto, caracterizan al individuo.

Artículo 6.- Del Gobierno Digital.

Es el uso estratégico de tecnologías digitales y datos en la Administración Pública, como parte integral de las estrategias de modernización de los gobiernos para crear valor público.

El ecosistema de gobierno digital se encuentra compuesto por actores del sector público, sector privado, todos los niveles de gobierno y sociedad civil en general, quienes apoyan en la implementación de iniciativas y creación de servicios digitales.

El Gobierno Digital se fundamenta en los pilares de la gobernanza de datos, interoperabilidad y seguridad digital.

La Administración Pública del Estado ecuatoriano estará determinada por una real y eficiente gobernanza digital entendiéndose por aquélla al conjunto de procesos, estructuras, herramientas y normas que permiten dirigir, evaluar y supervisar el uso y adopción de las tecnologías digitales en la institucionalidad.

Artículo 7.- Atribuciones del ente rector de transformación digital.

El ente rector de la transformación digital tendrá las siguientes atribuciones:

a. Solicitar al Ministerio encargado de las Finanzas Públicas la asignación del presupuesto suficiente y necesario para la efectiva implementación y aplicación de la presente Ley.

b. Emitir políticas públicas, lineamientos, metodologías, regulaciones para la transformación digital, gobierno digital y evaluar su cumplimiento por parte de las entidades del sector público.

c. Coordinar la elaboración periódica de la “Agenda Digital Integral del Ecuador” orientada a los diversos sectores del país y a todos los niveles de gobierno y controlar su ejecución.

d. Promover el uso y la apropiación de las tecnologías digitales y de la información y comunicación en las actividades de las empresas, de la sociedad civil y de la academia para alcanzar los objetivos del país en la adopción de la transformación digital en sus procesos.

e. Aprobar los planes que, en función de lo dispuesto por el Reglamento a esta Ley, deban presentar los sujetos sometidos a su ámbito de aplicación, asociados a la “Agenda Digital Integral del Ecuador”.

f. Dar seguimiento al cumplimiento de las metas planteadas en la Agenda Digital Integral del Ecuador.

g. Proponer y promover reformas a cuerpos normativos a fin de impulsar la transformación digital.

h. Estructurar programas de capacitación para todos los servidores del sector público, los actores del sector privado, así como la ciudadanía en general, con el fin de mejorar sus habilidades digitales.

i. Establecer, disponer y evaluar el cumplimiento de planes de digitalización y automatización de trámites y procesos administrativos de las entidades del sector público.

j. Identificar, disponer y evaluar los trámites, servicios y procesos administrativos de las entidades del sector público que obligatoriamente deberán ser digitalizados y automatizados.

k. Brindar apoyo técnico a las entidades públicas en la gestión e implementación de tecnologías digitales.

l. Promover mecanismos que aseguren la identidad digital como pilar fundamental para la inclusión digital y la ciudadanía digital.

m. Promover la colaboración entre las entidades de la Administración Pública, así como la participación de ciudadanos y otros interesados para el desarrollo del gobierno digital y sociedad del conocimiento.

n. Emitir opinión previa a fin de validar técnicamente proyectos de tecnologías digitales de carácter transversal en materia de interoperabilidad, seguridad digital, identidad digital, datos, arquitectura digital o aquellos destinados a mejorar la prestación de servicios digitales.

o. Emitir las directrices y establecer los parámetros en materia de la seguridad de la información y ciberseguridad, que las entidades deberán observar en el establecimiento y ejecución de sus planes de transformación digital y monitorearlos a través del Centro de Respuestas o Incidentes de seguridad Informática, que será puesto en marcha y operado por el ente rector de la transformación digital.

Artículo 8.- Ambiente de pruebas regulatorio (Sandbox).

Es un mecanismo regulatorio provisional y de prueba, que no exime de las responsabilidades legales de quien accede al mecanismo provisional, que permita probar productos, servicios, soluciones, implementación de tecnologías emergentes inclusive con espectro licenciado o no licenciado, nuevos marcos regulatorios, pruebas de competencia en el mercado, comportamientos del mercado ante la desregulación, nuevos modelos de negocios, entre otros, bajo un conjunto de exenciones técnicas, económicas, tributarias y regulatorias por un periodo de tiempo no superior titles#a los 24 meses.

Con el fin de promover y atraer la inversión; así como mejorar la productividad en el país, el Ministerio rector de Industrias y Productividad emitirá lineamientos generales conforme las mejores prácticas internacionales dadas por organismos internacionales para esta figura, con el fin de que las autoridades competentes de regulación de cada sector emitan un marco regulatorio flexible, que determine dichas exenciones.

El Reglamento establecerá normas que regulen: los principios que rigen esta institución; requerimientos generales para la implementación y las medidas de protección al consumidor, el régimen de entrada y salida, parámetros para delimitar el alcance del marco regulatorio flexible y exenciones, parámetros para el otorgamiento y revocatoria de la autorización temporal de operación del producto o servicio en prueba, y, medidas mínimas que deberá tener en cuenta la autoridad sectorial competente al constituir el ambiente regulatorio de pruebas.

Artículo 9.- Destino de residuos digitales.

Con la finalidad de realizar un manejo ecológicamente responsable, el ente rector deberá desarrollar la reglamentación adecuada para establecer que la importación sea de tecnología nueva y que el destino de los desechos tecnológicos que han cumplido su vida útil tenga un manejo adecuado que procure que nuestro país no se convierta en un botadero de este tipo de desechos.

TÍTULO II.- DE LA IDENTIDAD DIGITAL

Artículo 10.- Marco de Identidad Digital.

El Marco de Identidad Digital está constituido por lineamientos, especificaciones, guías, directivas, estándares e infraestructura de tecnologías digitales, que permiten de manera efectiva la identificación y autenticación de los ciudadanos y personas en general cuando acceden a los servicios digitales.

Artículo 11.- Credencial de Identidad Digital.

Es la representación de una identidad digital que comprende los atributos inherentes a la persona definidos en el Marco de Identidad Digital, a fin de facilitar la autenticación digital.

Artículo 12.- Identificación Digital.

La identificación digital es el procedimiento de reconocimiento de una persona como distinta de otras en el entorno digital. Las entidades de la Administración Pública deben establecer los procedimientos para identificar a las personas que accedan a los servicios digitales.

Artículo 13.- Autenticación Digital.

La autenticación digital es el procedimiento de verificación de la identidad digital de una persona, mediante el cual se puede afirmar que es quien dice ser. Para el acceso a un servicio digital las entidades de la Administración Pública deben adoptar los mecanismos o procedimientos de autenticación digital, considerando los niveles de seguridad a establecerse en la norma reglamentaria.

Artículo 14.- Inclusión digital.

La inclusión digital es el acceso y uso de los servicios digitales por parte de los ciudadanos a través de su identidad digital, promoviendo la ciudadanía digital. Para tal fin las entidades de la Administración Pública adoptan las disposiciones que emite el ente rector para la prestación de dichos servicios.

TÍTULO III.- DE LA PRESTACIÓN DE SERVICIOS DIGITALES

Artículo 15.- Garantías para la prestación de servicios digitales.

Las entidades de la Administración Pública, de manera progresiva y cuando corresponda, deben garantizar a las personas el establecimiento y la prestación de los servicios digitales, comprendidos en el ámbito de aplicación de la presente Ley, debiendo para tal efecto:

1. Reconocer y aceptar el uso de la identidad digital de todas las personas según lo regulado en la presente Ley.

2. Garantizar la disponibilidad, integridad y confidencialidad de la información de los servicios digitales con la aplicación de los controles de seguridad que correspondan en la prestación de dichos servicios conforme a las disposiciones contenidas en la presente Ley y en la normatividad vigente sobre la materia.

3. Capacitar en temas en materia de firmas electrónicas, firmas y certificados digitales, protección de datos personales, interoperabilidad, arquitectura digital, seguridad digital, datos abiertos y gobierno digital.

4. Facilitar el acceso a la información requerida por otra entidad de la Administración Pública, sobre los datos de las personas que se encuentren en soporte electrónico, únicamente para el ejercicio de sus funciones en el ámbito de sus competencias. Queda excluida del intercambio la información que pueda afectar la seguridad nacional, la información personal o la prohibida por la Ley de Transparencia y Acceso a la Información Pública.

5. Implementar servicios digitales haciendo un análisis de la arquitectura digital y rediseño funcional.

6. Facilitar a las personas información detallada, concisa y entendible sobre las condiciones de tratamiento de sus datos personales.

7. Garantizar la conservación de las comunicaciones y documentos generados a través de canales digitales en las mismas o mejores condiciones que aquellas utilizadas por los medios tradicionales.

8. Garantizar que en el diseño y configuración de los servicios digitales se adoptan las medidas técnicas, organizativas y legales para la debida protección de datos personales y la confidencialidad de las comunicaciones.

Artículo 16.- Domicilio Digital.

Es uno de los atributos de la identidad digital que se constituye en el domicilio habitual de un ciudadano en el entorno digital, el cual es utilizado por las entidades de la Administración Pública para efectuar comunicaciones o notificaciones.

TÍTULO IV.- DE LA SEGURIDAD DIGITAL

Artículo 17.- De la Seguridad Digital.

La seguridad digital es el estado de confianza en el entorno digital que resulta de la gestión y aplicación de un conjunto de medidas proactivas y reactivas frente a los riesgos que afectan la seguridad de las personas, la prosperidad económica y social, la seguridad nacional y los objetivos nacionales en dicho entorno. Se sustenta en la articulación con actores del sector público, sector privado y otros quienes apoyan en la implementación de controles, acciones y medidas.

Artículo 18.- Marco de Seguridad Digital.

El Marco de Seguridad Digital se constituyen en el conjunto de principios, modelos, políticas, normas, procesos, roles, tecnología y estándares mínimos que permitan preservar la confidencialidad, integridad, disponibilidad de la información en el entorno digital administrado por las entidades de la Administración Pública.

Artículo 19.- Gestión del Marco de Seguridad Digital.

El Marco de Seguridad Digital del Estado se tienen que observar y cumplir con lo siguiente:

a. Defensa: El Ministerio de Defensa en el marco de sus funciones y competencias dirige, supervisa y evalúa las normas en materia de ciberdefensa.

b. Inteligencia: El Centro de Inteligencia Estratégica o la entidad que haga sus veces, como autoridad técnica normativa en el marco de sus funciones emite, supervisa y evalúa las normas en materia de inteligencia, contrainteligencia y seguridad digital en el ámbito de esta competencia.

c. Justicia: El Ministerio de la Mujer y Derechos Humanos, el Ministerio del Interior, la Policía Nacional, la Fiscalía General del Estado y la Corte Nacional de Justicia, en el marco de sus funciones y competencias dirigen, supervisan y evalúan las normas en materia de ciberdelincuencia.

d. Institucional: Las entidades de la Administración Pública deberán establecer, mantener y documentar un Sistema de Gestión de la Seguridad de la Información.

Artículo 20.- Articulación de la Seguridad Digital con la Seguridad de la Información.

El Marco de Seguridad Digital se articula y sustenta en las normas, procesos, roles, responsabilidades y mecanismos regulados e implementados a nivel nacional en materia de Seguridad de la Información. La Seguridad de la Información se enfoca en la información, de manera independiente de su formato y soporte. La seguridad digital se ocupa de las medidas de la seguridad de la información procesada, transmitida, almacenada o contenida en el entorno digital, procurando generar confianza, gestionando los riesgos que afecten la seguridad de las personas y la prosperidad económica y social en dicho entorno.

TÍTULO V.- CONSOLIDACIÓN DE LA TRANSFORMACIÓN DIGITAL Y AUDIOVISUAL

Artículo 21.- Publicidad y transparencia de la administración pública.

Los diferentes órganos de la Asamblea Nacional, el pleno del Consejo de la Judicatura, el pleno de la Corte Nacional de Justicia, el pleno de la Corte Constitucional, el pleno del Consejo de Participación Ciudadana y Control Social, el pleno de la Función de Transparencia y Control Social, el pleno del Consejo Nacional Electoral y el pleno del Tribunal Contencioso Electoral deberán transmitir en vivo y en directo sus sesiones ordinarias y extraordinarias a través de los canales de comunicación oficiales de los nombrados organismos de la administración pública.

Únicamente en casos excepcionales tales como motivos de seguridad nacional o situaciones donde se vean involucrados derechos de niñas, niños y adolescentes, así como también controversias o negociaciones comerciales del Estado, el Pleno de los organismos prenombrados podrá declarar las sesiones con carácter reservado, para lo cual será necesario el voto de la mayoría calificada de sus integrantes.

La publicidad y transparencia de los organismos nombrados en el inciso anterior incluye la publicación de las convocatorias a sesiones ordinarias o extraordinarias a través de los canales de comunicación oficiales.

En el caso de los órganos jurisdiccionales de la Función Judicial, el Tribunal Contencioso Electoral y la Corte Constitucional, las audiencias también deberán ser de carácter público y al alcance de la conexión de la ciudadanía, salvo los casos en donde la ley expresamente reconozca reserva. Las y los juzgadores únicamente deberán solicitar del público que se registren como tales al momento de su conexión.

Artículo 22.- Implementación de la firma electrónica.

Los diferentes organismos de la administración pública, así como el sector privado, deberán implementar y aceptar dentro de sus diferentes procesos el uso de la firma electrónica por parte de los administrados.

Será a elección del administrado la utilización de su firma manuscrita en los diferentes procesos de la administración pública o del sector privado.

Artículo 23.- De los casilleros virtuales.

Los organismos del Estado bajo ningún concepto, ni aún bajo pretexto de escasez de recursos, podrán negar la recepción o exigir la presentación física de los documentos que hayan sido presentados con firma electrónica en los casilleros o ventanillas virtuales a su cargo.

TÍTULO VI.- DEL SECTOR AUDIOVISUAL

Artículo 24.- De la producción audiovisual.

Como parte de la transformación digital y fomento a la inversión y dinamización de actividades económicas, se establece como sector de interés nacional a la producción audiovisual incluyendo el desarrollo, preproducción, producción, postproducción y distribución de contenidos audiovisuales.

Artículo 25.- Régimen especial de exoneración.

A fin de promover la transformación digital, la importación de bienes que se requieran para la producción de obras audiovisuales que conste en el listado que apruebe el Comité de Comercio Exterior (COMEX) a recomendación del Instituto de Fomento a la Creatividad y la Innovación, IFCI, estará exenta de todo derecho arancelario, impuesto, gravamen, tasa o contribución en régimen de consumo o internación temporal. A fin de facilitar la importación, aplicará en este caso el procedimiento aplicable a aquellos sujetos pasivos que según su actividad económica, se dediquen a la producción audiovisual.

Artículo 26.- Exoneración del ISD. Se exonera de Impuesto a la Salida de Divisas los siguientes pagos al exterior que se realicen con el objeto de realizar producciones audiovisuales y actividades artísticas y culturales:

a. Importación de equipos y bienes destinados a la producción, promoción y difusión audiovisual local y extranjera en el Ecuador.

b. Pago de salarios, honorarios, remuneraciones o viáticos a personas naturales o jurídicas que tengan residencia fiscal en el extranjero, para que presten sus servicios en la producción audiovisual nacional y extranjera en el Ecuador.

El reglamento determinará el mecanismo de verificación de la actividad productiva conforme al presente artículo.

Artículo 27.- Exoneración de Impuesto a la Renta en pagos al exterior.

Los pagos al exterior que se realicen a personas naturales o jurídicas con residencia fiscal en el extranjero, por la prestación de servicios en la producción audiovisual nacional y extranjera en Ecuador, no estarán sujetos a retención en la fuente del impuesto a la renta, el cual los beneficiarios de estos pagos deberán acreditar con su respectivo certificado de su residencia fiscal, el cual deberá permanecer en custodia del beneficiario del servicio.

Artículo 28.- Exoneración del Impuesto al Valor Agregado.

Los servicios digitales que paguen el Impuesto al Valor Agregado que estén avalados por el Servicio de Rentas Internas pueden tener una exoneración de este impuesto en función de lo dispuesto por el Reglamento a esta Ley, siempre y cuando presten sus conocimientos, bienes o cualquier otra clase de apoyo técnico al desarrollo, preproducción, producción, postproducción y distribución en todas las etapas de su producción a los contenidos audiovisuales nacionales.

Artículo 29.- Certificado de Inversión Audiovisual.

Se crea el Certificado de Inversión Audiovisual (CIA) el cual será emitido por el SRI a favor de productoras nacionales y extranjeras por el 37% de los costos y gastos que incurran en el Ecuador en servicios audiovisuales y logísticos necesarios siempre que se encuentre soportados en comprobantes de venta válidos. El CIA es un título valor y podrá ser utilizado como crédito tributario de los impuestos administrados por el Servicio de Rentas Internas.

El ingreso por la transferencia del Certificado de Inversión Audiovisual obtenido por una persona natural o jurídica nacional o extranjera, no será gravable ni sujeto a retención en la fuente del impuesto a la renta en el Ecuador. El Ministerio de Economía y Finanzas imperativamente fijará en los dos últimos meses de cada año, el monto máximo de Certificados de Inversión Audiovisual que podrá otorgarse en el año calendario siguiente, el cual no podrá ser menor de 1000 fracciones básicas exentas de impuesto a la renta, con fundamento en el informe económico que reciba del Servicio de Rentas Internas sobre las condiciones del sector audiovisual, así como el monto mínimo de las inversiones requeridas en el país tanto para las producciones nacionales como para las extranjeras. En el Reglamento a esta Ley, se determinarán los requisitos de inversión, destinatarios y demás aspectos para su ejecución.

Artículo 30.- Incentivo al desarrollo del talento y la economía nacional.

Como un aporte de los sujetos pasivos del sector audiovisual que accedan a las exoneraciones y certificado de crédito tributario previsto en el presente título, en el marco de su responsabilidad social corporativa, y con la finalidad de incentivar y promover la participación local y nacional, así como el empleo de materiales, insumos, equipo y mano de obra de origen ecuatoriano, deberán en el desarrollo, preproducción, producción, postproducción y distribución de contenidos audiovisuales, en cuánto les fuera posible para la ejecución de sus proyectos, contratar proveedores de obras, bienes y servicios de origen local y nacional.

En las contrataciones se preferirá al oferente de bienes, obras o servicios que incorpore mayor componente de origen ecuatoriano o a los actores de la Economía Popular y Solidaria y Micro, Pequeñas y Medianas Empresas.

Artículo 31.-

La interculturalidad será un eje prioritario de la actividad audiovisual y los incentivos otorgados deberán considerar, entre uno de los factores, al involucramiento de pueblos y nacionalidades en la actividad audiovisual que se promueva.

TÍTULO VII.- EDUCACIÓN PARA LA TRANSFORMACIÓN DIGITAL

Artículo 32.-

Las instituciones públicas y privadas involucradas en procesos de Transformación Digital, deberán implementar planes y programas accesibles y gratuitos de formación y capacitación al usuario en el ámbito de desarrollo tecnológico a ser digitalizado, todos estos planes y programas, deberán ser diseñados en relación a la presente Ley. Dentro del proceso obligatorio de rendición de cuentas a cargo de cada entidad del Estado, deberá incluirse un segmento de Rendición de Cuentas en el ámbito de la Transformación Digital.

Artículo 33.- De la transformación digital de las mallas curriculares.

Las escuelas, colegios y universidades deberán determinar dentro de sus ofertas educativas los programas o materias que, por su naturaleza, puedan ser cursadas por los estudiantes de manera virtual, incluyendo su evaluación.

En el caso de las instituciones de educación superior públicas y privadas, de acuerdo a la naturaleza de la carrera o del programa de posgrado, deberán adecuar el desarrollo de sus programas de estudios al entorno virtual para elección del estudiante. El reglamento normará lo indicado en el presente artículo.

Las instituciones de educación superior públicas y privadas, deberán contar dentro de su planta docente con un mínimo de 5% de profesores contratados o titulares para ejercer labores académicas en modalidad virtual, sin perjuicio del lugar de su residencia, con el objetivo de contribuir al desarrollo del aprendizaje en línea, fomentar la internacionalización de la oferta académica, así como para promover el intercambio de experiencias y la integración de docentes dentro y fuera del país.

El Estado promoverá, además, la educación y la alfabetización digital en todos los niveles del Sistema Nacional de Educación, de tal manera que los estudiantes adquieran las habilidades y capacidades digitales necesarias para su adaptación a las nuevas tecnologías, en el marco de la transformación digital.

Para el efecto, el ente rector de transformación digital, en coordinación con el ente rector de educación, emitirá las políticas, planes, programas y proyectos que sean necesarios.

Se aplicarán los principios de calidad y calidez para la determinación de los programas o materias que, por su naturaleza, puedan ser cursadas por los estudiantes de manera virtual, incluyendo su evaluación.

Artículo 34.- Infocentros.

Los Gobiernos Autónomos Descentralizados en todos sus niveles, especialmente en la ruralidad, deberán implementar en sus dependencias un espacio destinado para un infocentro comunitario con acceso a internet libre y gratuito, con el fin de reducir la brecha digital.

LIBRO II.- REFORMAS A VARIOS CUERPOS LEGALES

TÍTULO I.- REFORMAS A LA LEY ORGÁNICA DE TELECOMUNICACIONES

Artículo 35.-

En el artículo 3 agregar como numeral 18 el siguiente texto:

“18. Fomentar el despliegue de redes comunitarias de telecomunicaciones en zonas urbano-marginales, rurales, fronterizas y prioritarias, así como garantizar el desarrollo de redes comunitarias de telecomunicaciones, para garantizar el acceso a las tecnologías de la información y comunicación que coadyuven a disminuir la brecha digital.”

Artículo 36.-

Sustitúyase el último inciso del artículo 9 por el siguiente texto:

“De acuerdo con su utilización las redes de telecomunicaciones se clasifican en:

a) Redes Públicas de Telecomunicaciones.

b) Redes Privadas de Telecomunicaciones.

c) Redes Comunitarias de Telecomunicaciones.”

Artículo 37.-

A continuación del artículo 13, incorpórese un artículo 13.1, con el siguiente texto:

“Artículo 13.1.- Redes comunitarias de telecomunicaciones.-

Las redes comunitarias son aquellas desplegadas y/o utilizadas por personas naturales o jurídicas públicas o privadas, sin fines de lucro, o por organizaciones de la economía popular y solidaria legalmente constituidas, que tienen el propósito de satisfacer las necesidades de servicios de telecomunicaciones propias de una o varias comunidades de conformidad a esta Ley.

Estas organizaciones auto provisionarán y auto gestionarán servicios de telecomunicaciones exclusivamente en zonas urbano-marginales, rurales, fronterizas y priorizadas que sean determinadas por el ente rector de las Telecomunicaciones y de la Sociedad de la Información.

Estas tenderán a un diseño de red abierta, sin protocolos ni especificaciones de tipo propietario y permitirá la interconexión, acceso y conexión con otras redes públicas. Su operación requiere de un registro realizado ante la Agencia de Regulación y Control de las Telecomunicaciones y en caso de requerir de uso de frecuencias del espectro radioeléctrico, del título habilitante respectivo.

La Agencia de Regulación y Control de las Telecomunicaciones regulará el establecimiento, garantizará la ciberseguridad y uso de redes comunitarias de telecomunicaciones; así como establecerá un régimen tarifario preferente.”

Artículo 38.-

En el primer inciso del artículo 51, incorporar como numeral 9 el siguiente texto:

“9. Redes comunitarias de telecomunicaciones.”

Artículo 39.-

Sustitúyase el último inciso del artículo 63 de la Ley Orgánica de Telecomunicaciones por el siguiente texto:

“Para favorecer el desarrollo del servicio universal y reducción de brecha digital, se regulará tarifas preferenciales que permitan el desarrollo económico de regiones, grupos sociales de atención prioritaria, y, de zonas rurales, urbano marginales y de frontera.”

Artículo 40.-

A continuación del artículo 88 de la Ley Orgánica de Telecomunicaciones incluir el siguiente:

“Artículo 88.1.- De la Sociedad de la Información y el Conocimiento.-

La Sociedad de la Información es aquella que a través de la transformación digital usa y se apropia de las telecomunicaciones y de las TIC, para mejorar la calidad de vida, la competitividad y el crecimiento económico.

El acceso y uso de las Tecnologías de la Información y Comunicaciones, el desarrollo de aplicaciones y contenidos digitales, la apropiación de nuevas tecnologías, el desarrollo de una cultura digital y proporcionar formación en tecnologías, son pilares de la consolidación de la Sociedad de la Información.

Todas las personas tienen el derecho a participar en la sociedad de la información. El Estado garantizará el acceso universal al servicio público de internet, de conformidad con la Constitución de la República.

La sociedad de la información y el conocimiento tendrá los siguientes fines:

a. Promover el uso y apropiación de las TIC;

b. Promover el desarrollo de contenidos y aplicaciones, y la prestación de servicios que usen Tecnologías de la Información y las Comunicaciones;

c. Promover políticas de competencia acordes a la era digital;

d. Incentivar y promover el desarrollo de la industria ecuatoriana de software y servicios TI para contribuir al crecimiento económico, la competitividad, la generación de empleo y las exportaciones;

e. Promover la transformación digital, con especial énfasis en los sectores de salud, educación y productividad; y,

f. Las entidades que forman parte del Gobierno Central deben dirigir sus actuaciones enfocadas al cumplimiento de los fines de la Sociedad de la Información.”

Artículo 41.-

Incluir la siguiente Disposición Transitoria en la Ley Orgánica de Telecomunicaciones:

“Se dispone la optimización de los recursos por contribución del Servicio Universal, dispuesto en el artículo 92 de la Ley Orgánica de Telecomunicaciones. Para el empleo de estos recursos, el ente rector de las telecomunicaciones establecerá la priorización de proyectos que permitan la ampliación de conectividad de servicios de telecomunicaciones y el cierre de la brecha digital en las zonas urbanomarginales, rurales y fronterizas. En caso de existir recursos excedentes, éstos podrán ser ejecutados por la Secretaría de Educación Superior, Ciencia, Tecnología e Innovación, quien establecerá los criterios técnicos a fin de destinar dicho excedente para el desarrollo del ámbito tecnológico.

Los criterios para la priorización de proyectos que permitan la ampliación de conectividad de servicios de telecomunicaciones y el cierre de la brecha digital en las zonas urbano- marginales, rurales y fronterizas, serán definidos por el Ministerio de Telecomunicaciones y Sociedad de la Información en el término de 60 días contados a partir de la expedición de la presente reforma a la Ley Orgánica de Telecomunicaciones.”

Artículo 42.-

Inclúyase después de la Disposición General Cuarta, la Disposición General Quinta, con el siguiente texto:

“Quinta.-

Las frecuencias del espectro radioeléctrico para uso de emergencia, y uso para fines humanitarios, que cumplan con los lineamientos dispuestos por el ente rector de telecomunicaciones, estarán exentos del pago de tarifas por asignación y uso del espectro radioeléctrico. La Agencia de Regulación y Control de las Telecomunicaciones reglamentará la explotación de estos servicios.”

TÍTULO II.- REFORMAS A LA LEY ORGÁNICA DE EDUCACIÓN INTERCULTURAL

Artículo 43.-

En el artículo 6 realizar las siguientes modificaciones:

1. Sustituir el literal j) por el siguiente texto:

“j) Garantizar el desarrollo de competencias digitales, así como el acceso y el uso de las tecnologías de la información y comunicación en todas las fases de la educación y formación, y en todos los segmentos de la población, a fin de propiciar el enlace de la enseñanza con las actividades productivas y sociales.”

2. A continuación del literal j) incorpórese como nuevo literal el siguiente texto:

“k) Incluir en los currículos de estudio, de manera progresiva, el desarrollo de competencias en ciencia, tecnología, ingeniería y matemáticas (CTIM) y adoptar medidas para su incorporación desde una edad temprana, como parte de una estrategia para el aprendizaje permanente.”

TÍTULO III.- REFORMAS A LA LEY ORGÁNICA DE EDUCACIÓN SUPERIOR

Artículo 44.-

En el artículo 8 incorporar un nuevo literal:

“m) Fortalecer la formación profesional en las nuevas tecnologías para afrontar los retos de la economía digital, identificando habilidades tecnológicas y adaptando las mallas curriculares de la educación superior de acuerdo al nivel de desarrollo de tecnologías digitales.”

TÍTULO IV.- REFORMAS AL CÓDIGO DE COMERCIO

Artículo 45.-

Reemplácese el artículo 78 por el siguiente:

“Artículo 78.- Los títulos valores, físicos, desmaterializados o electrónicos, son documentos que representan el derecho literal y autónomo que en ellos se incorpora, permitiendo a su titular o legítimo tenedor ejercitar el derecho mencionado en él. Pueden ser de distinta naturaleza dependiendo del derecho o bien que ellos aluden.

Los títulos valores, físicos, desmaterializados o electrónicos, circulan de la manera establecida en la ley.

Los documentos y los actos a que se refiere este título sólo producirán los efectos en él previstos cuando contengan las menciones y llenen los requisitos que la ley señale.”

Artículo 46.-

Reemplácese el artículo 79 por el siguiente:

“Artículo 79.-

El suscriptor, o la persona que firma un título valor, quedará obligado conforme al tenor literal del título valor, físico, desmaterializado o electrónico, a menos que firme con salvedades compatibles con su esencia.”

Artículo 47.-

En el artículo 80, eliminar el segundo inciso posterior al literal b, cuyo artículo quedaría redactado de la siguiente manera:

“Artículo 80.-

Además de lo dispuesto para cada título valor en particular, los títulos valores deberán tener los siguientes requisitos:

a) La mención del derecho que en el título se incorpora, con indicación del objeto en que consiste y de su valor. Si la obligación consiste en una cantidad de dinero y ésta devenga intereses, la indicación de estos, o el porcentaje del cupo, margen o descuento sobre el importe del título, de ser el caso. De no haberse señalado la tasa de interés a pagar y/u otra forma de fijar ganancias en el título, y si la obligación de pago se funda en un mutuo o préstamo de consumo, se entenderá que la obligación devenga la tasa máxima de interés legal vigente, publicada por el Banco Central del Ecuador o la institución que haga sus veces en el futuro; y, a partir de que se haya constituido al deudor en mora, la tasa máxima de mora que corresponderá al uno punto un (1.1) veces la tasa legal antes indicada; y,

b) La firma, autógrafa o electrónica, de quién lo crea.

c) La aceptación podrá expresarse de la manera en la que lo pacten las partes tales como: teléfonos celulares, token, OTP, firma certificada u otro tipo de dispositivos o aplicaciones tipo APP o web u otras que hayan sido habilitadas con tal objetivo por el emisor del título.

La firma podrá sustituirse, bajo la responsabilidad del creador del título, por un signo o contraseña inserto mecánicamente. Este signo o contraseña debe ser protocolizado en una notaría previo su utilización.

La falta de fecha de creación del título, y si la ley no dispone otra cosa, no lo anulará y hará presumir iuris tantum que fue emitido en la misma fecha de vencimiento.

La indicación de los intereses, bajo ningún concepto podrá superar la tasa máxima de interés legal vigente publicada por el Banco Central del Ecuador o la institución que haga sus veces en el futuro, o caso contrario dicha indicación se entenderá como no escrita, sin perjuicio de las responsabilidades penales y civiles que se desprenda de este hecho.”

Artículo 48.-

Reemplácese el artículo 85 por el siguiente:

“Artículo 85.-

El título valor, físico, desmaterializado o electrónico, que cumpla los requisitos señalados en este Código adquiere eficacia a partir de su entrega al tenedor, salvo los casos de entrega realizada a terceros con finalidad de custodia o transporte.

Cuando el título se halle en poder de persona distinta del suscriptor se presumirá tal entrega.”

Artículo 49.-

Reemplácese el artículo 88 por el siguiente:

“Artículo 88.-

Cuando dos o más personas suscriban un título valor, físico, desmaterializado o electrónico, como giradores, otorgantes, emisores, endosantes, avalistas o fiadores, quedan obligados solidariamente a su pago. Los cedentes o quienes los transfieran, deberán limitar su responsabilidad mediante una leyenda que deberá constar en el mismo título o en una hoja adherida a éste o mediante cualquier medio gráfico, mecánico o electrónico; si no lo hicieran, responderán solidariamente del cumplimiento de la obligación que el título contiene.

Quien solucione o pague la obligación contenida en el título goza de los derechos que confiere la ley al codeudor solidario que paga respecto de los restantes codeudores.”

Artículo 50.-

Reemplácese el artículo 90 por el siguiente:

“Artículo 90.-

La reivindicación, el secuestro, o cualquier otra afectación o gravamen sobre los derechos consignados en un título valor, físico, desmaterializado o electrónico, o sobre las mercancías por él representadas, no surtirán efectos si no comprenden el título mismo materialmente.”

Artículo 51.-

Reemplácese el artículo 92 por el siguiente:

“Artículo 92.-

La fianza podrá constar en el título valor mismo, sea este físico, desmaterializado o electrónico o en hoja adherida a él o mediante cualquier medio gráfico, mecánico o electrónico. Podrá también, otorgarse por escrito separado en que se identifique plenamente el título cuyo pago total o parcial se garantiza. Se expresará con la fórmula por “fianza”, “aval” u otra equivalente y deberá llevar la firma de quien lo presta. La sola firma puesta en el título, cuando no se le pueda atribuir otra significación se tendrá como firma de avalista y con el carácter de deudor solidario.

Cuando el aval se otorgue en documento separado del título, la negociación de éste implicará la transferencia de la garantía que surge de aquel.”

Artículo 52.-

Reemplácese el artículo 95 por el siguiente:

“Artículo 95.- Si el título valor, físico, desmaterializado o electrónico, fuese emitido por más de una persona, la fianza o aval debe indicar la persona avalada. A falta de indicación quedarán garantizadas las obligaciones de todas y cada una de las partes en el título y la obligación será solidaria.”

Artículo 53.-

Reemplácese el artículo 96 por el siguiente:

“Artículo 96.- El fiador o avalista que pague adquiere los derechos derivados del título valor, físico, desmaterializado o electrónico, contra la persona garantizada y contra los que sean responsables respecto de esta última por virtud del título.”

Artículo 54.-

En el artículo 84, al final del penúltimo inciso, agréguese lo siguiente:

“Aquellos títulos valores desmaterializados o electrónicos que no se negocien en el mercado de valores, podrán utilizar cualquier tipo de tecnología y sistema tecnológico como forma probatoria de la existencia de los valores electrónicos o desmaterializados, conforme a los principios de neutralidad tecnológica, equivalencia funcional y autonomía de las partes.

Los títulos electrónicos emitidos por los bancos a través de la aceptación de cualquier medio calificado son distintos a los a los títulos desmaterializados.”

Artículo 55.-

En el artículo 109, luego de la frase:

“El endoso de títulos valores desmaterializados”, agréguese la frase: “negociables en el mercado de valores”.

Artículo 56.-

En el artículo 112 realícese los siguientes cambios:

a. Reemplácese el segundo inciso por el siguiente:

“En el caso de títulos valor electrónicos se seguirán las reglas del anterior inciso y las disposiciones sobre posesión en títulos valor contenidas en la Ley de Comercio Electrónico. Para aquellos títulos valores que se negocien en el mercado de valores seguirán las reglas de la Ley de Mercado de Valores y regulaciones conexas.”

b. Agréguese como tercer inciso lo siguiente:

“En el endoso, cesión, transmisión de derechos y de documentos, notificación o entrega de títulos electrónicos, se podrá utilizar medios electrónicos, telemáticos y firmas manuscritas o electrónicas.”

Artículo 57.-

A continuación del artículo 112, agréguese el siguiente artículo innumerado:

“Artículo (…).- Reconocimiento jurídico de los títulos valor electrónicos.- Se reconoce igual validez jurídica y efectos jurídicos a los títulos valor electrónicos respecto de los emitidos en papel, siempre que cumplan con los requisitos legales contenidos en el presente Código, la Ley de Comercio Electrónico, Firmas y Mensajes de Datos y su Reglamento, y demás normativa aplicable.

No se negarán efectos jurídicos, validez ni fuerza ejecutoria a un título valor por la sola razón de que esté en forma electrónica. Los títulos valor al portador no serán susceptibles de emitirse ni existir de manera electrónica.”

Artículo 58.-

Después del artículo 113, agréguese el siguiente artículo innumerado:

“Artículo (…).- La firma de quien cede o avala una letra de cambio podrá realizarse por medio de firma electrónica, la cual tendrá igual validez y se le reconocerán los mismos efectos jurídicos que a una firma manuscrita, de acuerdo con lo establecido en la ley.”

Artículo 59.-

Sustitúyase el artículo 126 por el siguiente:

“Artículo 126.- El endoso deberá constar en la letra de cambio o en un documento adherido a la misma, en físico o electrónico o anexo accesible mediante un enlace electrónico directo o mediante cualquier tecnología fiable. Deberá ser firmado física o electrónicamente por el endosante.

El endoso será válido aun cuando en él no se designe la persona a cuyo favor se haga, o cuando el endosante se hubiera limitado a poner su firma en el dorso de la letra o en una hoja adherida a la misma (endoso en blanco).”

Artículo 60.-

Después del artículo 189, agréguese el siguiente:

“Artículo (…).- La firma de quien suscribe, endosa, cede o avala un pagaré a la orden, podrá realizarse por medio de firma electrónica, la cual tendrá igual validez y se le reconocerán los mismos efectos jurídicos que a una firma manuscrita, de acuerdo con lo establecido en la ley.”

Artículo 61.-

Agréguese un segundo inciso en el artículo 272 con el siguiente texto:

“En la cesión o transmisión de derechos, obligaciones, contratos, deudas y documentos mercantiles, entrega de títulos y documentos, se podrá utilizar medios electrónicos o telemáticos y firmas manuscritas o electrónicas.”

TÍTULO V.- REFORMAS A LA LEY DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRÓNICAS Y MENSAJES DE DATOS

Artículo 62.-

A continuación del artículo 11, añádase el siguiente artículo innumerado:

“Artículo (…).- La posesión en los títulos valor electrónicos.-

Cuando por ley se requiera o permita la posesión de un título valor, tal requisito se dará por cumplido respecto de los títulos valor electrónicos si se utiliza un método fiable:

1. Para determinar qué ese título valor electrónico está bajo el control exclusivo de una persona; y,

2. Para identificar a dicha persona como la persona que tiene el control sobre el título valor electrónico.

Cuando por ley se requiera o permita que se transfiera la posesión de un título valor, tal requisito se cumplirá con respecto de los títulos valor electrónicos mediante la transferencia del control del mismo.

En el caso de que se empleen sistemas para la gestión de los títulos valor electrónicos, como los basados en registros descentralizados, que identifiquen a la persona que ejerce el control empleando seudónimos o cualquier mecanismo que no sea directamente el nombre verdadero, esta forma de identificación, y la posibilidad de vincular el seudónimo al nombre verdadero, de ser necesario, permitirá cumplir el requisito de identificar a la persona que tiene el control conforme el numeral 2 del presente artículo. En el caso de que se utilice un seudónimo la persona que se encuentra en poder del título valor debe ser plenamente identificable.”

Artículo 63.-

Veracidad de la firma electrónica dentro de distintos tipos de procedimiento. La autoridad a cargo de la resolución de un proceso, cualquiera que sea su índole, en el caso de que tenga dudas fundamentadas al respecto de la veracidad de la firma electrónica contenida en un documento sometido a su consideración, deberá proceder a la verificación de la veracidad de la firma electrónica estampada en un documento electrónico.

Para el efecto, el ente rector en materia de telecomunicaciones dispondrá el software adecuado que utilizarán las autoridades con capacidad resolutoria para dar cumplimiento a lo previsto en este artículo. El ente regulador en materia de telecomunicaciones deberá fundamentar la determinación de cuál será el software adecuado a través de la aplicación del principio de neutralidad funcional de la tecnología y estándares y buenas prácticas internacionales.

TÍTULO VI.- REFORMAS A LA LEY NOTARIAL

Artículo 64.-

Sustitúyase el contenido del artículo 5 por el siguiente:

“Artículo 5.- Para el ejercicio de la función notarial, así como la prestación de su servicio, serán hábiles todos los días y horas del año.

Todos los servicios notariales serán prestados de manera física o telemática de conformidad con lo previsto en la ley; en el caso de prestación telemática, se realizará a través de medios compatibles con el sistema informático autorizado por el Consejo de la Judicatura. El Consejo de la Judicatura autorizará sistemas digitales cumpliendo con los principios de equivalencia funcional de la tecnología y neutralidad tecnológica y acatando las directrices emitidas por el Consejo de la Judicatura. Las y los solicitantes de servicios notariales expresarán formalmente la modalidad para la prestación del servicio.

Los servicios telemáticos serán prestados a través de videoconferencia u otro medio telemático compatible con el sistema informático autorizado por el Consejo de la Judicatura de acuerdo con la naturaleza del acto o contrato, debiendo encontrarse una de las partes en la circunscripción territorial del notario y, pudiendo las demás encontrarse en cualquier lugar. Si no fuere factible prestar el servicio notarial telemático y las partes no pudieren concurrir al despacho notarial, el notario podrá desplazarse a prestar su servicio fuera de su despacho en forma física, dentro de su circunscripción cantonal.”

Artículo 65.-

Suprímase el numeral 4 del artículo 18.2.

Artículo 66.-

Sustitúyase el numeral 6 del artículo 18.2 por el siguiente:

“6. Autenticación de firmas manuscritas puestas ante él o ella, en documentos que no sean escrituras públicas.”

Artículo 67.-

Inclúyase el siguiente inciso al final del artículo 22:

“Los protocolos digitales de las diligencias y actuaciones notariales telemáticas deberán contar con todas las medidas de ciberseguridad necesarias para garantizar la seguridad de la información que reposa en ellos, así como su confidencialidad, integridad y disponibilidad, incluyendo las garantías de protección de datos personales, de conformidad con la normativa vigente y las directrices que para el efecto emita el ente rector de transformación digital y otros organismos competentes.”

Artículo 68.-

Sustitúyase el inciso final del artículo 28 por el siguiente:

“En la prestación del servicio notarial telemático la notaría o el notario verificará el cumplimiento de las obligaciones previstas en el artículo 27 de esta Ley, priorizando al empleo de la tecnología, para garantizar los principios de celeridad, eficiencia, seguridad de la información y transparencia en el servicio.”

Artículo 69.- Suprímase el numeral 10 del artículo 29.

TÍTULO VII.- REFORMAS AL CÓDIGO ORGÁNICO GENERAL DE PROCESOS

Artículo 70.- Refórmese el artículo 4 con la siguiente redacción:

“La sustanciación de los procesos en todas las instancias, fases y diligencias se desarrollarán mediante el sistema oral, salvo los actos procesales que deben realizarse por escrito. Las audiencias también podrán realizarse por videoconferencia u otros medios telemáticos, la o el juzgador negará la comparecencia telemática de manera excepcional y únicamente cuando se justifique la imperiosa necesidad de que esta sea de manera personal.

La o el juzgador está obligado a justificar de manera motivada la negativa de la comparecencia telemática.”

Artículo 71.-

Refórmense los incisos segundo y cuarto del artículo 25 con los siguientes textos, respectivamente:

“Una vez citada la recusación se suspenderá la competencia del juez conforme al Código Orgánico General de Procesos y su citación será única y exclusivamente al correo institucional de la o el juzgador recusado, salvo cuando se fundamente en el retardo injustificado, en cuyo caso sólo se suspenderá la competencia cuando la recusación haya sido admitida.

Si la recusación se presenta contra todos los miembros de una sala o tribunal, la autoridad competente determinará a las o los juzgadores que deberán continuar con la causa principal. La citación también será única y exclusivamente al correo institucional de las o los juzgadores recusados.”

Artículo 72.-

Sustitúyase el artículo 53 por el siguiente:

“La citación es el acto por el cual se le hace conocer a la o al demandado, el contenido de la demanda o de la petición de una diligencia preparatoria y de las providencias recaídas en ellas. Se realizará en forma personal, mediante boletas físicas o electrónicas, o a través del medio de comunicación ordenado por la o el juzgador.

Si una parte manifiesta que conoce determinada petición o providencia o se refiere a ella en escrito o en acto del cual quede constancia en el proceso, se considerará citada o notificada en la fecha de presentación del escrito o en la del acto al que haya concurrido.

Toda citación será publicada de manera íntegra, esto es, con sus razones y actas de citación en el sistema automático de consultas de la página electrónica del Consejo de la Judicatura, a través de los medios electrónicos y tecnológicos de los que disponga la Función Judicial, en la que constará la forma de citación o los motivos por los cuales no se pudo efectuar dicha diligencia.

Si la o el actor ha proporcionado la dirección de correo electrónico de la o del demandado, la o el juzgador ordenará también que se le haga conocer a la o al demandado, por correo electrónico, el extracto de la demanda y del auto inicial, de lo cual, se dejará constancia en el sistema. Esto no sustituye a la citación oficial, salvo los casos previstos por este Código.”

Artículo 73.-

Agréguese continuación del artículo 55, el siguiente artículo:

“Artículo 55.1-

Citación por boletas en el domicilio electrónico.-

A las personas naturales o jurídicas que hayan pactado expresamente en un contrato un domicilio electrónico para citaciones se les citará en las direcciones de correo electrónico. La citación se realizará conforme las reglas de la citación telemática previstas a continuación del numeral 3 del tercer párrafo del artículo 55.

El actuario del despacho que proceda a la citación por boletas en el domicilio electrónico, procederá a dejar constancia de las boletas de citación y las razones de las mismas, so pena de las sanciones administrativas que correspondan.”

Artículo 74.-

Sustitúyase el artículo 55 por el siguiente:

“Citación por boletas y por boletas electrónicas.- Si no se encuentra personalmente a la o el demandado, se le citará por medio de tres boletas que se entregarán en días distintos y seguidos en su domicilio, residencia, lugar de trabajo o asiento principal de sus negocios a cualquier persona de la familia. Si no se encuentra a persona alguna a quien entregarlas, se fijarán en la puerta del lugar de habitación, de este particular el citador dejará constancia fotográfica adjunta a las actas de citación.

La citación por boletas a la o al representante legal de una persona jurídica se hará en el respectivo establecimiento, oficina o lugar de trabajo, en días y horas hábiles, entregándolas a uno de sus dependientes o empleados, previa constatación de que se encuentra activo. De no encontrarse persona alguna o no recibir respuesta en los lugares detallados en el presente inciso, el citador procederá a dejar las boletas de citación fijadas en la puerta o debajo de esta, o en un sitio de visible del establecimiento, para lo cual deberá fotografiar su diligencia y adjuntarla a sus actas de citación.

A quien no se les pueda encontrar personalmente o cuyo domicilio o residencia sea imposible determinar previo a citar por la prensa, se le podrá citar de forma telemática por boletas bajo las siguientes reglas:

1. A las personas naturales en el buzón electrónico ciudadano previsto por la ley, una vez que lo hayan abierto.

2. A los procuradores judiciales que hayan incluido un correo electrónico dentro del poder, siempre que la o el accionante acredite que el procurador judicial accionado cuenta con poder vigente y con capacidad para contestar demandas.

3. A las personas jurídicas sometidas al control de la Superintendencia de Compañías, Valores y Seguros; Superintendencia de Bancos; y, Superintendencia de Economía Popular y Solidaria, a través del correo electrónico que se encuentre registrado en el ente de control.

La citación telemática se realizará con el envío de tres boletas de citación al demandado, en tres días distintos y seguidos, desde la cuenta institucional del actuario de la judicatura. A la citación por correo electrónico se adjuntará la demanda o la petición de una diligencia preparatoria y las providencias recaídas en ellas. El actuario del despacho que proceda a la citación por boletas en el domicilio electrónico, procederá a dejar constancia de las boletas de citación y las razones de las mismas, bajo pena de las sanciones administrativas que correspondan. La constancia y certificación de haberse practicado la citación telemática será agregada al expediente.

Dicha constancia deberá incluir tanto los correos electrónicos enviados, así como la verificación de recepción o lectura. Para el cumplimiento de la citación telemática, no será necesaria la generación de exhortas, deprecatorios o comisiones.”

Artículo 75.-

Refórmese el artículo 115 con el siguiente texto:

“Es el medio informático en el cual se registran las actuaciones judiciales. En el expediente electrónico se deben almacenar las peticiones y documentos que las partes pretendan utilizar en el proceso y que será público en todo su contenido, salvo las excepciones previstas en las leyes.

Las reproducciones digitalizadas o escaneadas de documentos públicos o privados que se agreguen al expediente electrónico tienen la misma fuerza probatoria del original.

Los expedientes electrónicos deben estar protegidos por medio de sistemas de seguridad de acceso y almacenados en un medio que garantice la preservación e integridad de los datos.

El expediente electrónico contendrá lo siguiente:

1. Providencias judiciales dadas durante la prosecución del proceso.

2. Escritos y diligencias debidamente digitalizadas.

3. Actas de citación.

4. Actuaciones dadas en el marco de los artículos 116, 117, 118 y 119 de este Código.”

Artículo 76.- Sustitúyase el artículo 193 por el siguiente:

“Artículo 193.- Prueba documental.-

Es todo documento público o privado que recoja, contenga o represente algún hecho o declare, constituya o incorpore un derecho.

Se podrán desglosar los documentos sin perjuicio de que se vuelvan a presentar cuando sea requerido.

Cuando se trate de documentos electrónicos o desmaterializados, no se requerirá su materialización.”

Artículo 77.- Sustitúyase el artículo 194 por el siguiente:

“Artículo 194.- Presentación de documentos.-

Los documentos públicos o privados se presentarán en originales o en copias.

Se considerarán copias las reproducciones del original, debidamente certificadas que se realicen por cualquier sistema.

Los documentos electrónicos o desmaterializados, no requerirán ser materializados para su validez.”

Artículo 78.-

Sustitúyase el artículo 196 por el siguiente:

“Artículo 196.- Producción de la prueba documental en audiencia.-

Para la producción de la prueba documental en audiencia de juicio o única se procederá de la siguiente manera:

1. Los documentos se leerán y exhibirán públicamente en su parte pertinente. En el caso de los documentos electrónicos o desmaterializados, la exhibición se realizará por los medios tecnológicos idóneos. No será necesaria su materialización.

2. Los objetos se exhibirán públicamente.

3. Las fotografías, grabaciones, los elementos de pruebas audiovisuales, computacionales o cualquier otro de carácter electrónico apto para producir fe, se reproducirá también en su parte pertinente en la audiencia y por cualquier medio idóneo para su percepción por los asistentes.

4. La prueba documental actuada quedará en poder de la o del juzgador para tenerla a la vista al momento de tomar su decisión sobre el fondo del asunto, dejando a salvo la facultad de las partes de volver actuar o usarla durante la audiencia de juicio. Los documentos electrónicos o desmaterializados, se entregarán en los soportes tecnológicos idóneos.

Cuando la sentencia haya quedado firme, se ordenará su devolución a las partes, dejando a salvo su derecho a solicitar que los documentos agregados al proceso le sean desglosados dejando en el expediente copias certificadas, sean estas digitales o no.

Una vez que la sentencia haya sido ejecutada y digitalizados los documentos físicos agregados al proceso, se comunicará a las partes de su obligación de retirarlos, advirtiendo que en caso de no hacerlo en el término de treinta días, estos serán destruidos.”

Artículo 79.-

Reemplácese el contenido del artículo 347 por el siguiente:

“Artículo 347.- Títulos ejecutivos.-

Son títulos ejecutivos siempre que contengan obligaciones de dar o hacer:

1. Declaración de parte hecha con juramento ante una o un juzgador competente.

2. Copia y la compulsa auténticas de las escrituras públicas.

3. Documentos privados legalmente reconocidos ante notario, reconocidos por decisión judicial, o con firma electrónica verificada ante autoridad judicial.

4. Letras de cambio físicas, desmaterializadas y electrónicas.

5. Pagarés a la orden, físicos, desmaterializados y electrónicos.

6. Testamentos.

7. Transacción extrajudicial.

8. Contratos de mutuo, cuya aceptación de la voluntad se haya dado por medios físicos u electrónicos de conformidad con la normativa especial.

Los demás a los que otras leyes otorguen el carácter de títulos ejecutivos.”

Artículo 80.-

Reemplácese el numeral 10 del artículo 363 por el siguiente:

“10. La hipoteca, abierta o cerrada.”

Artículo 81.-

Agréguese a continuación del numeral 7 del artículo 373 el siguiente numeral:

“8. Excepción de existencia de convenio arbitral para los casos del artículo 363 numerales 3, 4, 6, 7 y 10.”

Artículo 82.-

Reemplácese el texto del artículo 405 por el siguiente:

“Artículo 405.- Retasa y embargo de otros bienes.-

En el caso en que no haya postores, la o el acreedor podrá solicitar las retasas que sean necesarias de los bienes embargados y se reanudará el proceso de remate con el nuevo avalúo o pedir que se embarguen y rematen otros bienes liberando los bienes anteriormente embargados.

Si el valor ofrecido al contado no alcanza a cubrir el crédito de la o del ejecutante o el de la o del tercerista, podrán pedir, a su arbitrio, que se rematen como créditos los dividendos a plazo.”

TÍTULO VIII.- REFORMAS A LA LEY DE REGISTRO

Artículo 83.-

Agréguese a continuación del literal g) del artículo 11, el siguiente:

“h) Desarrollar e implementar los sistemas informáticos que permitan la transformación a formato digital de todos los registros, certificados, inventarios y demás actos o constancias físicas que genere el Registro para lo cual deberá tomar en cuenta las características y condiciones que para dicha finalidad emita la Dirección Nacional de Registros Públicos (DINARP) como ente rector de la actividad registral. El sistema informático permitirá y promoverá la interconexión progresiva entre los distintos registros de la propiedad del país, que permita el acceso y consulta de los ciudadanos desde distintas jurisdicciones a una base de datos integrada, y se acompañará con un plan progresivo de digitalización para los cantones que no cuenten con los registros, certificados, inventarios, negocios jurídicos y demás actos o constancias digitalizadas.

Serán los Gobiernos Autónomos Descentralizados Municipales quienes deberán asignar los fondos necesarios para llevar a cabo este proceso en aquellos registros que no tengan autonomía financiera y administrativa.”

Artículo 84.-

Sustitúyase el literal c) del artículo 11, el siguiente artículo:

“c) Llevar, con sujeción a las disposiciones de esta Ley, los libros denominados Registro de Propiedad, Registro de Gravámenes, Registro Mercantil, Registro de Interdicciones y Prohibiciones de enajenar y los demás que determine la ley.

Los libros a cargo del Registrador podrán llevarse de forma electrónica y automatizada siempre que garanticen la seguridad jurídica, publicidad y la legalidad de los derechos constituidos en los actos, contratos y negocios jurídicos de las personas. Las bases de datos y los sistemas informáticos implementados estarán sujetos al control y auditoría del ente rector de la actividad registral.

Los registros digitales que se generen como consecuencia de la transformación a la que se refiere este literal, así como todos los registros digitales que existan al momento o que se generen en el futuro, deberán contar con todas las medidas de ciberseguridad necesarias para garantizar la seguridad de la información que reposa en ellos, así como su confidencialidad, integridad y disponibilidad, incluyendo las garantías de protección de datos personales, de conformidad con la normativa vigente y las directrices que para el efecto emita el ente rector de transformación digital y otros organismos competentes.”

Artículo 85.-

Agréguese en el artículo 18, el siguiente texto:

“El Libro Repertorio podrá llevarse de forma electrónica en aquellos Registros que implemente un proceso de digitalización y automatización de los trámites registrales a su cargo. Para lo cual el proceso electrónico de registro en este Libro debe llevarse con sujeción al presente artículo.”

Artículo 86.-

Agréguese a continuación del artículo 24, en el TÍTULO V, el siguiente artículo innumerado:

“Artículo (…).- Los registros de las inscripciones y el libro de índice general podrán llevarse de forma electrónica, para lo cual se tomarán en consideración y serán adaptados todos los procedimientos contemplados en la presente Ley para los registros físicos de los documentos.”

TÍTULO IX.- REFORMAS A LA LEY DE COMPAÑÍAS

Artículo 87.-

Reemplácese el artículo 6 por el siguiente:

“Artículo 6.- Toda compañía nacional o extranjera que negocie o contrajere obligaciones en el Ecuador deberá tener en la república un apoderado o representante que pueda contestar las demandas y cumplir las obligaciones respectivas.

Sin perjuicio de lo que se dispone en el artículo 415, si las actividades que una compañía extranjera va a ejercer en el Ecuador implicaren la ejecución de obras públicas, la prestación de servicios públicos o la explotación de recursos naturales del país, estará obligada a establecerse en él con arreglo a lo dispuesto en la Sección XIII de la presente Ley.

En los casos mencionados en el inciso anterior, las compañías u otras empresas extranjeras organizadas como personas jurídicas, deberán domiciliarse en el Ecuador antes de la celebración del contrato correspondiente. El incumplimiento de esta obligación determinará la nulidad del contrato respectivo.

Las compañías extranjeras, cuyos capitales sociales estuvieren representados únicamente por acciones o participaciones nominativas, que tuvieren acciones o participaciones en compañías ecuatorianas, pero que no ejercieren ninguna otra actividad empresarial en el país, ni habitual ni ocasionalmente, no serán consideradas con establecimientos permanentes en el país ni estarán obligadas a establecerse en el Ecuador con arreglo a lo dispuesto en la Sección XIII de la presente Ley, ni a inscribirse en el Registro Único de Contribuyentes ni a presentar declaraciones de impuesto a la renta, pero deberán tener en la república el apoderado, representante referido en el inciso primero de este artículo, o un curador dativo que será nombrado por un juez en caso de ser necesario, el que por ningún motivo será personalmente responsable de las obligaciones de la compañía extranjera antes mencionada. El poder del representante antedicho no deberá ni inscribirse ni publicarse por la prensa, pero sí deberá ser conocido por la compañía ecuatoriana en que la sociedad extranjera fuere socia o accionista.”

Artículo 88.-

Refórmese el artículo 188 de la siguiente manera:

“La transferencia de acciones comporta la cesión de todos los derechos y obligaciones inherentes a ellas.

La propiedad de las acciones se transfiere mediante cesión celebrada entre cedente y cesionario, fuere personalmente o por quienes los representaren. La transferencia de acciones podrá instrumentarse por escrito o por cualquier medio electrónico verificable que demuestre la voluntad del cedente y cesionario de transferir la propiedad de las acciones.

De efectuarse una cesión por escrito, la misma podrá hacerse constar en el título correspondiente o en una hoja adherida al mismo. En aquel caso, el cedente deberá entregar los títulos de acción correspondientes al cesionario.

Las transferencias de acciones, efectuadas por medios físicos o electrónicos, surtirán efectos entre el cedente y el cesionario a partir de su celebración, realizada de conformidad con lo previsto en este artículo. Por su parte, la tradición de dicha transferencia, así como su oponibilidad frente a la compañía y terceros, se efectuará a partir de la correspondiente inscripción en el Libro de Acciones y Accionistas, de acuerdo con el artículo siguiente.

Para los títulos que estuvieren entregados en custodia en un depósito centralizado de compensación y liquidación, la cesión podrá hacerse de conformidad con los mecanismos que se establezcan para tales depósitos centralizados.

El cedente, en una transferencia física o electrónica, podrá reservarse los beneficios económicos generados durante períodos anteriores a la cesión o los que se generen en el período económico en que se efectúe la transferencia. Esta reserva deberá constar expresamente en el respectivo contrato de cesión.

Será licita la celebración de un contrato de promesa de cesión de acciones, a través de medios físicos o electrónicos. En este caso, se observarán los requisitos exigidos por el Código Civil. El cónyuge a cuyo cargo está la administración ordinaria de los bienes sociales necesitará de la autorización expresa del otro cónyuge para realizar actos de disposición, limitación, constitución de gravámenes de las acciones y participaciones mercantiles que pertenezcan a la sociedad conyugal.

Serán nulas las transferencias realizadas con violación de lo que dispone el presente artículo sin que, por consiguiente, el cesionario pueda ejercer ninguno de los derechos que le otorga esta Ley al accionista.”

DISPOSICIONES GENERALES

PRIMERA.-

El Ministerio de Economía y Finanzas coordinará con el Consejo de la Judicatura para que, dentro de su asignación presupuestaria, se proceda a la plena implementación del expediente electrónico en el plazo de noventa (90) días contados desde la entrada en vigencia de esta Ley.

SEGUNDA.-

El Consejo de la Judicatura, dentro del marco de sus competencias y en apego a las disposiciones que rigen para la coordinación interinstitucional, deberá solicitar apoyo técnico a la Corte Constitucional para la plena implementación del expediente electrónico, bajo los parámetros definidos en esta Ley para dicha herramienta tecnológica.

TERCERA.-

Los procedimientos sustanciados a través del Código Orgánico Administrativo y de la Ley Orgánica de Garantías Jurisdiccionales y Control Constitucional, en lo que resulte aplicable, deberán observar las reformas establecidas en esta Ley al Código Orgánico General de Procesos.

DISPOSICIONES TRANSITORIAS

PRIMERA.-

En un plazo máximo de noventa (90) días contados desde la entrada en vigencia de esta Ley, el Consejo de la Judicatura deberá implementar los sistemas informáticos que sean necesarios para la correcta e inmediata aplicación de los expedientes electrónicos.

SEGUNDA.-

El Ministerio de Educación tendrá un plazo máximo de noventa (90) días contados desde la entrada en vigencia de esta Ley, para emitir o actualizar las normativas relacionadas al desarrollo virtual de las clases de escuelas y colegios.

TERCERA.-

El Consejo de Educación Superior tendrá un plazo máximo de noventa (90) días contados desde la entrada en vigencia de esta Ley, para emitir o actualizar las normativas relacionadas a lo previsto en la transformación digital de las mallas curriculares.

CUARTA.-

QUINTA.-

El Presidente de la República, dentro de los noventa (90) días posteriores a la publicación de la presente Ley en el Registro Oficial, actualizará la normativa vigente, así como emitirá el Reglamento correspondiente, para viabilizar la aplicación de lo previsto en esta Ley.

SEXTA.-

En un plazo de ciento veinte (120) días posteriores a la publicación de la presente Ley en el Registro Oficial, el Ministerio de Telecomunicaciones deberá implementar el software adecuado que utilizarán las autoridades para la validación administrativa de firmas electrónicas. La referida contratación deberá basarse en el principio de neutralidad tecnológica, interoperabilidad y equivalencia funcional de la tecnología.

SÉPTIMA.-

En el plazo máximo de ciento ochenta (180) días posteriores a la publicación de la presente Ley en el Registro Oficial, se presentará ante el Pleno de la Asamblea Nacional, un informe detallado del seguimiento y evaluación de la presente Ley, así como de la Ley Orgánica para la Optimización y Eficiencia de Trámites Administrativos, producto de lo cual se resolverá conforme se estime conveniente.

OCTAVA.-

El monto de Certificados de Inversión Audiovisual que deberá otorgarse para el año 2023, será de al menos 1000 fracciones básicas exentas de impuesto a la renta.

DISPOSICIÓN FINAL

ÚNICA.-

La presente Ley tiene el carácter de especial, prevalecerá sobre otras leyes especiales y generales que se le opongan.

Las disposiciones de la presente Ley entrarán en vigencia a partir de la fecha de su publicación en el Registro Oficial, salvo lo previsto en las disposiciones transitorias.

Dada en la sede de la Asamblea Nacional, ubicada en el Distrito Metropolitano de Quito, provincia de Pichincha a los treintaiún días del mes de enero del año dos mil veintitrés.

DR. VIRGILIO SAQUICELA ESPINOZA, Presidente

ABG. ÁLVARO SALAZAR PAREDES, Secretario General

Firmado electrónicamente por: ALVARO RICARDO SALAZAR PAREDES

Firmado electrónicamente por: JAVIER VIRGILIO SAQUICELA ESPINOZA

Ing. Hugo Del Pozo Barrezueta, DIRECTOR

04Sep/24

Decisión (UE) 2024/2100 de la Comisión, de 31 de julio de 2024

4 septiembre, 2024Comisión, DecisiónDerecho Informático Irlanda, Derecho Informático Unión Europea, Directiva 2001/55/CE, Irlanda, Legislación Informática Irlanda, Reglamento (UE) 2024/1358, Reglamento (UE)603/2013, Tratado de Funcionamineto de la Unión Europea, Tratado de la Unión EuropeaoJosé Cuervo

Decisión (UE) 2024/2100 de la Comisión, de 31 de julio de 2024, por la que se confirma la participación de Irlanda en el Reglamento (UE) 2024/1358 del Parlamento Europeo y del Consejo, sobre la creación del sistema «Eurodac» para la comparación de datos biométricos (Diario Oficial de la Unión Europea de 2 de agosto de 2024)

LA COMISIÓN EUROPEA,

Visto el Protocolo nº 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 4,

Vista la notificación de Irlanda por la que manifiesta su deseo de aceptar el Reglamento (UE) 2024/1358 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, sobre la creación del sistema «Eurodac» para la comparación de datos biométricos a efectos de la aplicación efectiva de los Reglamentos (UE) 2024/1351 y (UE) 2024/1350 del Parlamento Europeo y del Consejo y de la Directiva 2001/55/CE del Consejo y de la identificación de nacionales de terceros países y apátridas en situación irregular, y sobre las solicitudes de comparación con los datos de Eurodac presentadas por los servicios de seguridad de los Estados miembros y Europol a efectos de aplicación de la ley, por el que se modifican los Reglamentos (UE) 2018/1240 y (UE) 2019/818 del Parlamento Europeo y del Consejo y se deroga el Reglamento (UE) n° 603/2013 del Parlamento Europeo y del Consejo (1), y de quedar vinculada por él,

Considerando lo siguiente:

(1) El Reglamento (UE) nº 2024/1358 fue adoptado el 14 de mayo de 2024 y entró en vigor el 11 de junio de 2024. Sus disposiciones serán aplicables a partir del 12 de junio de 2026, a excepción del artículo 26, que lo será a partir del 12 de junio de 2029.

(2) Mediante carta de 20 de junio de 2024, Irlanda notificó su deseo de aceptar el Reglamento (UE) 2024/1358 y de quedar vinculada por él.

(3) Por lo tanto, debe confirmarse la participación de Irlanda en el Reglamento (UE) 2024/1358.

(4) Dado que Irlanda no participa en los Reglamentos (UE) 2018/1240 (2) y (UE) 2019/818 (3) del Parlamento Europeo y del Consejo no debe quedar vinculada por las disposiciones del Reglamento (UE) 2024/1358 por las que se modifican dichos Reglamentos.

(5) No existen condiciones específicas aplicables a la participación de Irlanda en el Reglamento (UE) 2024/1358 y no se precisan medidas transitorias.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Se confirma la participación de Irlanda en el Reglamento (UE) 2024/1358.

Artículo 2

La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas, el 31 de julio de 2024.

Por la Comisión, La Presidenta, Ursula VON DER LEYEN

———————————————-

(1) DO L, 2024/1358, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1358/oj

(2) Reglamento (UE) 2018/1240 del Parlamento Europeo y del Consejo, de 12 de septiembre de 2018, por el que se establece un Sistema Europeo de Información y Autorización de Viajes (SEIAV) y por el que se modifican los Reglamentos (UE) nº 1077/2011, (UE) nº 515/2014, (UE) 2016/399, (UE) 2016/1624 y (UE) 2017/2226 (DO L 236 de 19.9.2018, p. 1, ELI: http://data.europa.eu/eli/reg/2018/1240/oj).

(3) Reglamento (UE) 2019/818 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad entre los sistemas de información de la UE en el ámbito de la cooperación policial y judicial, el asilo y la migración y por el que se modifican los Reglamentos (UE) 2018/1726, (UE) 2018/1862 y (UE) 2019/816 (DO L 135 de 22.5.2019, p. 85, ELI: http://data.europa.eu/eli/reg/2019/818/oj).

04Sep/24

Decreto Legislativo nº 1623 de 2 de agosto de 2024

4 septiembre, 2024Decreto Legislativo, PerúAlmacenamiento de información, Decreto Supremo 055.99-EF, Decreto Supremo 063.2021-PCM, Derecho Informático Perú, Importación bienes intangibles, Internet, Legislación Informática Perú, Ley 26702, Ley 32090, Servicios DigitalesJosé Cuervo

Decreto Legislativo nº 1623 de 2 de agosto de 2024, que modifica la Ley del Impuesto General a las ventas e impuestos selectivos al consumo respecto a la utilización en el país de servicios digitales y la importación de bienes intangibles a través de Internet (El Peruano, 4 de agosto de 2024)

DECRETO LEGISLATIVO nº 1623

LA PRESIDENTA DE LA REPÚBLICA

POR CUANTO:

Que, mediante la Ley n° 32089, Ley que delega en el Poder Ejecutivo la facultad de legislar en materias de reactivación económica, simplificación y calidad regulatoria, actividad empresarial del estado, seguridad ciudadana y defensa nacional, el Congreso de la República ha delegado en el Poder Ejecutivo la facultad de legislar en materia tributaria por el plazo de noventa (90) días calendario;

Que, el inciso a.1 del literal a) del numeral 2.7.1 del artículo 2 de la Ley nº 32089 establece que el Poder Ejecutivo está facultado para regular la tributación de los modelos de negocios basados en la economía digital, modificando la Ley del Impuesto General a las Ventas e Impuesto Selectivo al Consumo, cuyo Texto Único Ordenado fue aprobado por el Decreto Supremo n° 055-99-EF, a fin de establecer un mecanismo de recaudación del Impuesto General a las Ventas (IGV) por aquellas operaciones realizadas con proveedores o intermediarios de bienes y servicios no domiciliados en el marco de la economía digital y adaptar la regulación del impuesto, así como demás normativa tributaria, en lo que corresponda, lo que incluye principalmente modificar las reglas de responsabilidad del IGV, incluyendo las reglas de habitualidad y las reglas sobre el lugar de imposición en el país, conforme con el principio de destino, siguiendo entre otros criterios las recomendaciones establecidas por la Organización para la Cooperación y el Desarrollo (OCDE);

Que, la presente propuesta normativa se encuentra exceptuada de la aplicación del AIR Ex Ante, toda vez que la misma se encuentra comprendida en el supuesto del inciso 7 del numeral 28.1 del artículo 28 del Reglamento que desarrolla el Marco Institucional que rige el Proceso de Mejora de la Calidad Regulatoria y establece los Lineamientos Generales para la aplicación del Análisis de Impacto Regulatorio Ex Ante, aprobado mediante Decreto Supremo N° 063-2021-PCM, en tanto se trata de una norma de naturaleza tributaria;

De conformidad con lo establecido en el artículo 104 de la Constitución Política del Perú y en ejercicio de las facultades delegadas por el inciso a.1 del literal a) del numeral 2.7.1 del artículo 2 de la Ley nº 32089, Ley que delega en el Poder Ejecutivo la facultad de legislar en materias de reactivación económica, simplificación y calidad regulatoria, actividad empresarial del estado, seguridad ciudadana y defensa nacional;

Con el voto aprobatorio del Consejo de Ministros;

Con cargo a dar cuenta al Congreso de la República;

Ha dado el Decreto Legislativo siguiente:

DECRETO LEGISLATIVO QUE MODIFICA LA LEY DEL IMPUESTO GENERAL A LAS VENTAS E IMPUESTO SELECTIVO AL CONSUMO RESPECTO A LA UTILIZACIÓN EN EL PAÍS DE SERVICIOS DIGITALES Y LA IMPORTACIÓN DE BIENES INTANGIBLES A TRAVÉS DE INTERNET

Artículo 1.- Objeto

El presente Decreto Legislativo tiene por objeto establecer, entre otros:

1. Que las personas naturales que no realizan actividad empresarial y que utilicen en el país servicios digitales prestados por sujetos no domiciliados, no requieren ser habituales en la realización de tales operaciones para ser considerados contribuyentes del Impuesto General a las Ventas.

2. El mecanismo de recaudación del Impuesto General a las Ventas que corresponde pagar a las personas naturales que no realizan actividad empresarial, cuando utilicen en el país servicios digitales prestados por sujetos no domiciliados o importen bienes intangibles a través de Internet.

3. El criterio y los supuestos para determinar cuándo los servicios digitales prestados por sujetos no domiciliados o los bienes intangibles importados a través de Internet, se emplean o consumen en el país por personas naturales que no realizan actividad empresarial.

Artículo 2.- Definición

Para efecto de la presente norma, se entiende por Ley a la Ley del Impuesto General a las Ventas e Impuesto Selectivo al Consumo, cuyo Texto Único Ordenado ha sido aprobado por el Decreto Supremo n° 055-99-EF.

Artículo 3.- Criterio de consumo o empleo en el país, servicios digitales y bienes intangibles importados a través de Internet

Incorpórase como cuarto y quinto párrafos del numeral 1 del inciso c), como segundo, tercero y cuarto párrafos del inciso g) y como incisos h) e i) del artículo 3 de la Ley, los siguientes textos:

“Artículo 3.- DEFINICIONES

Para los efectos de la aplicación del Impuesto se entiende por:

(…)

c) SERVICIOS:

(…)

Tratándose de la utilización en el país de servicios digitales a favor de personas naturales que no realizan actividad empresarial, se considera que los servicios se consumen o emplean en el territorio nacional si el usuario del servicio tiene su residencia habitual en el país. La residencia habitual del usuario se entiende ubicada en el país cuando ocurra alguno de los siguientes supuestos:

i. La dirección de protocolo de internet (IP) u otro medio de geolocalización asignado al dispositivo electrónico a través del cual se brindan los servicios digitales corresponda al Perú.

ii. El código país de la tarjeta del módulo de identidad del suscriptor (SIM), física o electrónica, u otra tecnología que la reemplace del equipo terminal móvil a través del cual se brindan los servicios digitales corresponda al Perú.

iii. El pago de los servicios digitales se realice empleando tarjetas de crédito o de débito o cualquier soporte para el uso de dinero electrónico o cualquier otro producto provisto por entidades del sistema financiero peruano.

iv. El domicilio que la persona natural registre ante el proveedor de servicios digitales, como datos de usuario o dirección para la emisión de comprobantes de pago, se encuentre ubicado en el Perú.

El Reglamento podrá establecer supuestos adicionales para considerar que la residencia habitual del usuario se ubica en el país.

(…)

g) IMPORTACIÓN DE BIENES INTANGIBLES:

(…)

Tratándose de la importación de bienes intangibles a través de Internet en la que el adquirente es una persona natural que no realiza actividad empresarial, se considera que los bienes están destinados a su empleo o consumo en el país si dicho adquirente tiene su residencia habitual en el país. La residencia habitual del adquirente se entiende ubicada en el país cuando ocurra alguno de los siguientes supuestos:

i. La dirección IP u otro medio de geolocalización asignado al dispositivo electrónico a través del cual se descarga el bien intangible corresponda al Perú.

ii. El código país de la tarjeta SIM, física o electrónica, u otra tecnología que la reemplace del equipo terminal móvil a través del cual se descarga el bien intangible corresponda al Perú.

iii. El pago por la importación de los bienes intangibles se realice empleando tarjetas de crédito o de débito o cualquier soporte para el uso de dinero electrónico o cualquier otro producto provisto por entidades del sistema financiero peruano.

iv. El domicilio que la persona natural registre ante el sujeto a quien adquiere el bien intangible, como datos de usuario o dirección para la emisión de comprobantes de pago, se encuentre ubicado en el Perú.

El Reglamento podrá establecer supuestos adicionales para considerar que la residencia habitual del adquirente se ubica en el país.

h) SERVICIOS DIGITALES:

A los servicios que se ponen a disposición del usuario a través de Internet o de cualquier adaptación o aplicación de los protocolos, plataformas o de la tecnología utilizada por Internet o cualquier otra red a través de la que se presten servicios equivalentes mediante accesos en línea y que se caracteriza por ser esencialmente automático y no ser viable en ausencia de la tecnología de la información.

Se consideran servicios digitales, siempre que cumplan con lo señalado en el párrafo anterior, entre otros, a los siguientes:

1. El acceso y/o transmisión en línea de imágenes, series, películas, documentales, cortometrajes, videos, música y cualquier otro contenido digital, a través de la tecnología streaming u otra tecnología.

2. El almacenamiento de información.

3. El acceso a redes sociales y/o la provisión de contenido o funciones adicionales en estas.

4. El servicio brindado por revistas o periódicos en línea.

5. Los servicios de conferencia remota.

6. La intermediación en la oferta y la demanda de bienes o servicios.

i) BIENES INTANGIBLES IMPORTADOS A TRAVÉS DE INTERNET

A los bienes intangibles adquiridos para ser descargados de manera definitiva por el adquirente a través de Internet o de cualquier adaptación o aplicación de los protocolos, plataformas o de la tecnología utilizada por Internet o cualquier otra red a través de la que se adquieran y descarguen de manera definitiva bienes intangibles.”

Artículo 4.- Habitualidad en la utilización de servicios en el país

Modifícase el numeral i. del párrafo 9.2 del artículo 9 de la Ley, conforme al texto siguiente:

“Artículo 9.- SUJETOS DEL IMPUESTO

(…)

9.2. Tratándose de las personas naturales, las personas jurídicas, entidades de derecho público o privado, las sociedades conyugales que ejerzan la opción sobre atribución de rentas prevista en las normas que regulan el Impuesto a la Renta, sucesiones indivisas, que no realicen actividad empresarial, serán consideradas sujetos del impuesto cuando:

i. Importen bienes afectos o, en el caso de personas naturales que no realicen actividad empresarial, cuando utilicen en el país servicios digitales prestados por sujetos no domiciliados.

(…)”

Artículo 5.- Recaudación del Impuesto General a las Ventas que grava la utilización en el país de servicios digitales y la importación de bienes intangibles a través de Internet

Incorpórase como Capítulo XII del Título I de la Ley el siguiente texto:

“CAPITULO XII.- DEL MECANISMO DE RECAUDACIÓN DEL IMPUESTO GENERAL A LAS VENTAS QUE GRAVA LA UTILIZACIÓN EN EL PAÍS DE SERVICIOS DIGITALES Y LA IMPORTACIÓN DE BIENES INTANGIBLES A TRAVÉS DE INTERNET

Artículo 49-A.- RETENCIÓN Y PERCEPCIÓN DEL IMPUESTO QUE GRAVA LA UTILIZACIÓN EN EL PAÍS DE SERVICIOS DIGITALES Y LA IMPORTACIÓN DE BIENES INTANGIBLES A TRAVÉS DE INTERNET

1. De los agentes de retención y percepción En la utilización en el país de servicios digitales y en la importación de bienes intangibles a través de Internet, cuando el usuario o importador sea una persona natural que no realiza actividad empresarial, el sujeto no domiciliado que presta el servicio digital o a quien se le adquiere el bien actúa como agente de retención o percepción del Impuesto a partir del primer día calendario del mes siguiente a aquel en que inicia operaciones en el país.

Los referidos sujetos deben inscribirse en el Registro Único de Contribuyentes, conforme a las normas que regulan dicho registro.

2. De la retención y percepción del Impuesto

La retención o percepción del Impuesto se efectúa de acuerdo con lo siguiente:

a) Tratándose de la importación de bienes intangibles a través de Internet y de la utilización de servicios digitales que no impliquen la intermediación en la oferta y la demanda de una operación subyacente, el sujeto no domiciliado a quien se adquiere el bien intangible o que presta el servicio digital percibe el importe que resulte de aplicar la tasa del Impuesto sobre el total del valor de venta o la retribución.

La percepción se efectúa en el momento del cobro.

b) Tratándose de la utilización de servicios digitales que impliquen la intermediación en la oferta y la demanda de una operación subyacente, el sujeto no domiciliado que presta el servicio de intermediación:

i. Actúa como agente de percepción del Impuesto que le corresponde pagar al usuario o adquirente en la operación subyacente, por la utilización en el país del servicio de intermediación. En este caso, percibe el importe que resulte de aplicar la tasa del Impuesto sobre el total de la retribución por el servicio de intermediación.

La percepción se efectúa en el momento del cobro.

ii. Actúa como agente de retención del Impuesto que le corresponde pagar al prestador o vendedor en la operación subyacente, por la utilización en el país del servicio de intermediación. En este caso, retiene el importe que resulte de aplicar la tasa del Impuesto sobre el total de la retribución por el servicio de intermediación.

La retención se efectúa en el momento en que el sujeto no domiciliado transfiere a la cuenta corriente o cuenta de ahorros del prestador o vendedor de la operación subyacente, el monto pagado por el usuario o adquirente de dicha operación.

Si el sujeto no domiciliado que presta el servicio de intermediación recibe solo una retribución, por parte del usuario o adquirente o del prestador o vendedor de la operación subyacente, efectúa la percepción o retención del Impuesto conforme a lo señalado en este inciso, según corresponda.

3. Verificación del consumo o empleo en el país y de la persona natural que utiliza el servicio o importa el bien intangible.

El sujeto no domiciliado efectúa la retención o percepción a que se refiere este artículo únicamente cuando:

a) Los servicios digitales o los bienes intangibles importados a través de Internet se destinen a su empleo o consumo en el país, para lo cual verifica que ocurra alguno de los supuestos previstos en los párrafos cuarto y quinto del numeral 1 del inciso c) o en los párrafos segundo y tercero del inciso g) del artículo 3 de esta ley, según corresponda, y

b) La persona natural que utilice los servicios digitales o importe los bienes intangibles a través de Internet no realice actividad empresarial, para lo cual verifica que se haya registrado en su plataforma:

i. Eligiendo la opción que corresponda a personas naturales y usando su nombre, apellidos y número de documento de identidad, entre otra información personal, o

ii. Usando su nombre, apellidos y número de documento de identidad, entre otra información personal, cuando la plataforma cuente con una sola opción de registro que no distinga entre personas naturales y empresas.

En los casos en que el registro en la plataforma del sujeto no domiciliado no contemple elegir la opción o ingresar los datos personales a que se refiere el párrafo anterior, se entenderá que la persona natural no realiza actividad empresarial.

4. Declaración y pago del Impuesto retenido o percibido

a) Los sujetos no domiciliados deben presentar la declaración y efectuar el pago del Impuesto retenido o percibido en cada mes dentro de los primeros diez (10) días hábiles del mes siguiente, en la forma y condiciones que establezca la SUNAT por resolución de superintendencia.

b) La declaración y el pago podrá realizarse en moneda nacional o en dólares de los Estados Unidos de América. La opción se ejerce en la declaración que corresponda al mes de enero y se mantiene durante todo el año. Si la obligación de presentar la declaración surge con posterioridad al mes de enero, la opción se ejerce en la primera declaración que se presente y esta se mantiene hasta diciembre de ese año.

Para la declaración y pago en moneda nacional, la conversión se efectúa utilizando el tipo de cambio promedio ponderado venta, publicado por la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones en su página web o en el Diario Oficial El Peruano, que corresponda a la fecha en que debe presentarse la declaración y efectuar el pago o a la fecha en que se realice el pago, lo que ocurra primero.

La declaración y pago en dólares de los Estados Unidos de América se efectuará de acuerdo con lo que establezca la SUNAT mediante resolución de superintendencia.

c) La SUNAT podrá disponer que los referidos sujetos presenten una declaración informativa anual, en la forma, plazo y condiciones que establezca mediante resolución de superintendencia, consignando el detalle de las operaciones sujetas a retención o percepción.

d) El huso horario que se considera para determinar la fecha en la que se efectúa la presentación de la declaración y el pago será la hora oficial peruana, GMT-5.

5. Notificaciones

La notificación de actos administrativos, comunicaciones u otros a los sujetos no domiciliados que tienen la calidad de agentes de retención o percepción se realiza de acuerdo con el inciso b) del artículo 104 del Código Tributario, conforme a lo que establezca la SUNAT en uso de las facultades que le otorga dicho inciso.

6. Liquidación y pago a cargo del contribuyente

En los casos no comprendidos en la regulación prevista en este artículo, la persona natural que utilice en el país servicios digitales o que importe bienes intangibles a través de Internet realiza directamente la declaración y el pago del Impuesto, en la forma y condiciones que establezca la SUNAT.

7. Pagos indebidos o en excesos

En los casos en que el sujeto no domiciliado declare y pague retenciones o percepciones efectuadas a personas naturales que no realicen actividad empresarial, en forma indebida o en exceso, este debe devolver el monto correspondiente a aquellas, y compensarlo con el monto de las retenciones o percepciones que, por los meses siguientes, deba efectuar.

En los casos en que el sujeto no domiciliado realice pagos indebidos o en exceso este puede compensarlos con los pagos que deba realizar por los meses siguientes o solicitar la devolución, la que se realiza mediante abono en cuenta nacional o internacional.

Tratándose del abono en cuenta internacional, las comisiones u otros gastos que se generen como consecuencia de la devolución son asumidos por el sujeto no domiciliado.

Mediante decreto supremo refrendado por el Ministro de Economía y Finanzas, previa opinión de la SUNAT y del Banco de la Nación, en lo que corresponda, se establecen las disposiciones necesarias para efecto de la devolución mediante abono en cuenta nacional o internacional, así como los casos en que por excepción se deba emplear otra forma de devolución.

Artículo 49-B.- RECAUDACIÓN DEL IMPUESTO QUE GRAVA LA UTILIZACIÓN DE SERVICIOS DIGITALES Y LA IMPORTACIÓN DE BIENES INTANGIBLES A TRAVÉS DE INTERNET, POR PARTE DE LOS SUJETOS FACILITADORES DE PAGO

1. Cuando el sujeto no domiciliado a que se refiere el artículo 49-A de la Ley incurra en alguno de los siguientes supuestos, el Impuesto General a las Ventas que grava la utilización de servicios digitales o la importación de bienes intangibles a través de Internet por parte de personas naturales que no realizan actividad empresarial, es retenido o percibido por los sujetos facilitadores del pago:

a) No inscribirse en el Registro Único de Contribuyentes.

b) No presentar la declaración o efectuar el pago de la totalidad del Impuesto retenido o percibido dentro de los plazos establecidos, por dos (2) meses consecutivos o alternados.

c) No presentar la declaración informativa anual en los plazos señalados, de establecerse la obligación de efectuar esta declaración.

Los supuestos previstos en los incisos b) y c) no se configuran si se presentan las declaraciones omitidas y se efectúa el pago, incluyendo los intereses y multas que correspondan, hasta el último día calendario del mes anterior al de la verificación.

La SUNAT verifica si se produjeron los supuestos señalados en el párrafo anterior en dos (2) o más oportunidades durante cada año calendario. Mediante resolución de superintendencia la SUNAT establece el cronograma de verificación y demás aspectos necesarios para su funcionamiento.

2. El listado de sujetos no domiciliados que incurrieron en los supuestos descritos en el numeral anterior es aprobado por decreto supremo refrendado por el Ministro de Economía y Finanzas, con opinión técnica de la Superintendencia Nacional de Aduanas y de Administración Tributaria. El ministerio de Economía y Finanzas publica el listado, a través de su sede digital (www.gob.pe/mef), hasta el décimo quinto día del mes siguiente de verificación.

En el referido decreto supremo se señala el supuesto incurrido y el momento a partir del cual los sujetos que figuren en el listado dejan de efectuar la retención o percepción y los sujetos facilitadores de pago empiezan a retener o percibir el Impuesto que grava las operaciones mencionadas en el numeral 1 del presente artículo.

El sujeto no domiciliado podrá ser excluido del referido listado en el decreto supremo que aprueba el próximo listado, siempre que la SUNAT verifique que haya cumplido con inscribirse en el Registro Único de Contribuyentes, de no haberlo hecho, presentar las declaraciones omitidas y efectuar el pago de las retenciones o percepciones, incluyendo los intereses y multas aplicables, según corresponda. En dicho decreto supremo se señala el momento a partir del cual los sujetos facilitadores de pago dejan de retener o percibir y el sujeto no domiciliado vuelve a tener la calidad de agente de retención o percepción del Impuesto.

La verificación a que se refiere el párrafo anterior se efectúa en la misma oportunidad que la señalada en el tercer párrafo del numeral 1 del presente artículo.

3. Se considera como sujetos facilitadores de pago a los siguientes:

a) Las empresas de operaciones múltiples y las empresas emisoras de dinero electrónico a que se refieren el literal A del artículo 16 y el numeral 4 del artículo 17 de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros – Ley N° 26702, así como el Banco de la Nación, cuando el pago se realice mediante:

i. Tarjetas de crédito.

ii. Tarjetas de débito o cualquier soporte para el uso de dinero electrónico, tales como tarjetas prepago de dinero electrónico o teléfonos móviles.

iii. Transferencia electrónica de fondos empleando billeteras digitales.

iv. Cualquier otro producto provisto por las mencionadas entidades que se señale por decreto supremo.

b) Las empresas operadoras de servicios públicos de telecomunicaciones que reciban el pago por servicios digitales.

c) Otros sujetos señalados por decreto supremo que reciban el pago por la importación de bienes intangibles a través de internet o la utilización de servicios digitales.

4. El sujeto facilitador de pago efectúa la retención o percepción del Impuesto de acuerdo con lo siguiente:

a) Tratándose de la importación de bienes intangibles a través de Internet y la utilización de servicios digitales que no impliquen la intermediación en la oferta y la demanda de una operación subyacente, percibe el Impuesto que corresponde pagar al importador o usuario, para lo cual debe:

a.1) Cargar en la tarjeta de crédito el importe que resulte de aplicar la tasa del Impuesto sobre el monto pagado por el importador o usuario empleando dicha tarjeta.

La percepción se efectúa en el momento en que el sujeto facilitador de pago realice el cobro del estado de cuenta de la tarjeta. Si respecto del monto total del periodo de facturación se realizan pagos parciales, la percepción se efectúa en su totalidad en la fecha del primer pago.

De no alcanzar a cubrir el monto total a percibir, el saldo se percibe en los siguientes pagos hasta su cancelación.

a.2) Debitar de la cuenta de depósito o cuenta de dinero electrónico el importe que resulte de aplicar la tasa del Impuesto sobre el monto pagado por el importador o usuario empleando una tarjeta de débito o a través de cualquier soporte para el uso de dinero electrónico.

La percepción se efectúa en la fecha en que se realiza el débito en la cuenta de depósito o cuenta de dinero electrónico.

a.3) Percibir el importe que resulte de aplicar la tasa del Impuesto sobre el monto pagado por el importador o usuario empleando algún otro producto provisto por las entidades indicadas en el numeral 1 del inciso c) del artículo 3 de la Ley que se señale mediante decreto supremo.

El reglamento establece la forma y el momento en que se efectúa la percepción en estos casos, teniendo en cuenta las características de cada producto.

a.4) Percibir el importe que resulte de aplicar la tasa del Impuesto sobre el monto pagado por el importador o usuario, en el momento en que reciba el pago por la importación de bienes intangibles a través de Internet o la utilización de los servicios digitales.

b) Tratándose de la utilización de servicios digitales que impliquen la intermediación en la oferta y la demanda de una operación subyacente:

b.1) Retiene el Impuesto que le corresponde pagar al prestador o vendedor de la operación subyacente por la utilización en el país del servicio de intermediación prestado a través de Internet.

El importe de la retención será el que resulte de aplicar la tasa del Impuesto sobre el resultado de multiplicar el monto que el sujeto no domiciliado que presta el servicio de intermediación transfiera a la cuenta corriente o cuenta de ahorros del prestador o vendedor de la operación subyacente por el porcentaje que se establezca en el Reglamento, el cual no podrá ser menor a 0,5% ni mayor a 50%.

b.2) Percibe el Impuesto que le corresponde pagar al usuario o adquirente de la operación subyacente por la utilización en el país del servicio de intermediación prestado a través de Internet, para lo cual debe:

i. Cargar en la tarjeta de crédito el importe que resulte de aplicar la tasa del Impuesto sobre el resultado de multiplicar el monto pagado por el usuario o adquirente de la operación subyacente empleando dicha tarjeta, por el porcentaje que se establezca en el Reglamento, el cual no podrá ser menor a 0,5% ni mayor a 50%.

De no alcanzar a cubrir el monto total a percibir, el saldo se percibe en los siguientes pagos hasta su cancelación.

ii. Debitar de la cuenta de depósito o cuenta de dinero electrónico el importe que resulte de aplicar la tasa del Impuesto sobre el resultado de multiplicar el monto pagado por el usuario o adquirente de la operación subyacente empleando una tarjeta de débito o a través de cualquier soporte para el uso de dinero electrónico, por el porcentaje que se establezca en el Reglamento, el cual no podrá ser menor a 0,5% ni mayor a 50%.

La percepción se realiza en la fecha en que se efectúa el débito en la cuenta de depósito o cuenta de dinero electrónico.

iii. Percibir el importe que resulte de aplicar la tasa del Impuesto sobre el resultado de multiplicar el monto que el usuario o adquirente de la operación subyacente pague empleando algún otro producto provisto por entidades del sistema financiero que se señale mediante decreto supremo, por el porcentaje que se establezca en el Reglamento, el cual no podrá ser menor a 0,5% ni mayor a 50%.

El Reglamento establece la forma y el momento en que se efectúa la percepción en estos casos, teniendo en cuenta las características de cada producto.

5. El sujeto facilitador de pago efectúa la retención o percepción conforme a lo indicado en este artículo únicamente cuando:

a) Los servicios digitales utilizados en el país y los bienes intangibles importados a través de internet se destinen a su empleo o consumo en el territorio nacional, para lo cual verifica que:

i. El domicilio que registra su cliente se encuentre ubicado en el país; o,

ii. El pago por los bienes o servicios se realice empleando tarjetas de crédito o de débito o cualquier soporte para el uso de dinero electrónico, provistos por entidades del sistema financiero peruano.

b) La persona natural que utilice los servicios digitales o importe bienes intangibles a través de Internet no realice actividad empresarial, para lo cual verifica que su cliente se haya registrado como persona natural, empleando su nombre, apellidos y número de documento de identidad, entre otra información personal.

6. El sujeto facilitador de pago debe presentar la declaración y efectuar el pago el Impuesto retenido o percibido en cada mes, dentro de los plazos establecidos en el Código Tributario para las obligaciones tributarias de periodicidad mensual, en la forma y condiciones que establezca la SUNAT mediante resolución de superintendencia.

Para la conversión en moneda nacional se utiliza el tipo de cambio promedio ponderado venta, publicado por la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones en su página web o en el Diario Oficial “El Peruano”, que corresponda a la fecha en que se efectúa la retención o percepción o, en su defecto, el último publicado.”

Artículo 6.- Refrendo

El presente Decreto Legislativo es refrendado por el Presidente del Consejo de Ministros y el Ministro de Economía y Finanzas.

DISPOSICIONES COMPLEMENTARIAS

FINALES

PRIMERA.- Vigencia

El presente decreto legislativo entra en vigencia en la misma fecha de entrada en vigencia de la norma reglamentaria a que se refiere la Cuarta Disposición Complementaria Final; salvo lo dispuesto en el artículo 49-B de la Ley, incorporado por la presente norma, que entra en vigencia en la misma fecha de entrada en vigencia de la norma que lo reglamente.

SEGUNDA.- Retenciones o percepciones efectuadas a personas naturales que realicen actividad empresarial

En los casos en que el sujeto no domiciliado efectúe la retención o percepción a que se refiere el artículo 49-A de la Ley, incorporado por el artículo 5 de esta norma, a una persona natural que realice actividad empresarial, esta podrá utilizar el Impuesto retenido o percibido como crédito fiscal, siempre que:

1. El sujeto no domiciliado hubiera abonado al fisco el importe de la retención o percepción efectuada; y,

2. Se cumpla con los requisitos sustanciales y formales del crédito fiscal que prevén las normas sobre la materia.

En las normas reglamentarias se señalan los documentos que deben respaldar el crédito fiscal en estos casos y que se anotarán en el Registro de Compras.

TERCERA.- Registro Único de Contribuyentes

Los sujetos no domiciliados a que se refiere el Capítulo XII del Título I de la Ley, incorporado por el artículo 5 de la presente norma:

1. No están obligados a fijar domicilio en el país.

2. El representante que designen para efecto de su inscripción en el Registro Único de Contribuyentes no requiere contar con domicilio en el país.

3. Su inscripción en el Registro Único de Contribuyentes no implica para aquellos la constitución de un establecimiento permanente en el país.

CUARTA.- Normas reglamentarias

Mediante decreto supremo refrendado por el Ministro de Economía y Finanzas, en un plazo de treinta (30) días calendario contados a partir de la publicación del presente decreto legislativo, se dictan las normas reglamentarias necesarias para su aplicación.

DISPOSICIÓN COMPLEMENTARIA

TRANSITORIA

ÚNICA.- Plazo inicial para operar como agentes de retención o percepción

Los sujetos no domiciliados, designados como agentes de retención o percepción conforme al artículo 49-A de la Ley, incorporado por el artículo 5 de esta norma, que vienen realizando las operaciones a que se refiere el citado artículo 49-A o que inicien dichas operaciones hasta el 30 de setiembre de 2024, empiezan a efectuar la retención o percepción del Impuesto General a las Ventas a partir del 1 de octubre de 2024.

POR TANTO:

Mando se publique y cumpla, dando cuenta al Congreso de la República.

Dado en la Casa de Gobierno, en Lima, a los dos días del mes de agosto del año dos mil veinticuatro.

DINA ERCILIA BOLUARTE ZEGARRA, Presidenta de la República

GUSTAVO LINO ADRIANZÉN OLAYA, Presidente del Consejo de Ministros

JOSÉ BERLEY ARISTA ARBILDO, Ministro de Economía y Finanzas

03Sep/24

Decreto Ejecutivo nº 904 de 6 de noviembre de 2023

3 septiembre, 2024Decreto Ejecutivo, EcuadorActividades familiares o domésticas, bloqueo o anonimización, Consentimiento, Conservación de datos personales, Datos crediticios, Datos de personas fallecidas, Datos menores de edad, Datos relativos a la salud, Derecho Informático Ecuador, Eliminación, Eliminación de datos, Fichero de registro, Fuente accesible al público, Interes superior del niño, Intereses vitales del interesado, Legislación Ecuador, Legislación Informática de Ecuador, Ley 13 de noviembre de 2023, Normas corporativas vinculantes, Recogida del consentimiento, Representante, Revocatoria del consentimiento, Tercero, Transferencia o comunicación de datos a terceros, Tratamiento a gran escala, Tratamiento lelgítimo, Vulneración seguridad datos personalesJosé Cuervo

Decreto Ejecutivo nº 904 de 6 de noviembre de 2023. Reglamento de la Ley de Protección de Datos

Reglamento nº 904 de la Ley Orgánica de Protección de Datos Personales, de 13 de noviembre de 2023

GUILLERMO LASSO MENDOZA, PRESIDENTE CONSTITUCIONAL DE LA REPÚBLICA

CONSIDERANDO:

Que el numeral 11 del artículo 66 de la Constitución de la República reconoce y garantiza el derecho a guardar reserva sobre sus convicciones;

Que el numeral 19 del artículo 66 de la Constitución de la República reconoce y garantiza el derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección;

Que el numeral 13 del artículo 147 de la Constitución de la República faculta al Presidente de la República a expedir los reglamentos necesarios para la aplicación de las leyes, sin contravenirlas ni alterarlas, así como los que convengan a la buena marcha de la administración;

Que en el Quinto Registro Oficial Suplemento nº 459 de 26 de mayo de 2021 , se expidió la Ley Orgánica de Protección de Datos Personales, en cuyo artículo 2 se dispone que la Ley regula el tratamiento de datos personales contenidos en cualquier tipo de soporte;

Que es necesario emitir el Reglamento a la Ley Orgánica de Protección de Datos Personales para establecer con claridad los preceptos y procedimientos para la ejecución de la Ley; y.

En ejercicio de las funciones conferidas en el numeral 13 del artículo 147 de la Constitución de la República, expide el siguiente:

REGLAMENTO GENERAL DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES

CAPÍTULO I. GENERALIDADES

Artículo 1.- Objeto

El presente Reglamento General tiene por objeto desarrollar la normativa para la aplicación Artículo 1 de la Ley Orgánica de Protección de Datos Personales y la protección de los derechos y libertades fundamentales de los titulares de datos personales.

Artículo 2.- Ámbito

Este Reglamento se aplica a todas las personas naturales y jurídicas, nacionales y extranjeras, del sector público y privado, que realicen tratamiento de datos personales, en el contexto de que sus actividades como responsable o encargado de tratamiento de datos personales, tenga lugar en el territorio ecuatoriano o no.

El presente Reglamento también se aplica al tratamiento de datos personales por parte de personas naturales y jurídicas, que actúen como responsables y encargados del tratamiento de datos personales de titulares no residentes en Ecuador, cuando sus actividades de tratamiento sean realizadas en territorio nacional.

El presente Reglamento aplicará para los responsables y encargados del tratamiento de datos personales no establecidos en territorio ecuatoriano a quienes les resulte aplicable la legislación nacional en virtud de un contrato o de las regulaciones vigentes del derecho internacional público. Estos deberán designar a un apoderado especial de acuerdo con el artículo 3 de este Reglamento.

Artículo 3.- De la obligación de contar con poder de los responsables y/o encargados del tratamiento de datos de residentes ecuatorianos fuera del territorio nacional

Los responsables y encargados del tratamiento de datos personales no establecidos en el Ecuador deberán designar a un apoderado especial, de conformidad con las siguientes reglas:

1. Cuando el responsable y/o encargado del tratamiento de datos personales no tenga domicilio en territorio nacional, conforme el Artículo 3, numeral 3 de la Ley- Orgánica de Protección de Datos Personales, deberán designar un apoderado especial en el Ecuador con residencia en el país, que cuente con facultades suficientes para comparecer a nombre de su representado ante instancias administrativas y judiciales en la materia.

2. De forma excepcional, no será necesaria la designación de dicho apoderado o representante, cuando el tratamiento de datos personales sea ocasional y no incluya el manejo a gran escala de datos personales de categoría especial establecidos en el artículo 25 de la Ley y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas naturales, teniendo en cuenta la naturaleza, contexto, alcance y objetivos del tratamiento.

La Autoridad de Protección de Datos Personales emitirá una guía técnica respecto de la aplicabilidad de los criterios anteriores.

Artículo 4.- Definiciones

Sin perjuicio de lo dispuesto en la Ley, para efectos de la aplicación del presente Reglamento, se establecen las siguientes definiciones:

1. Actividades familiares o domésticas: aquellas en las cuales el tratamiento de los datos personales se dé en un entorno de amistad, parentesco o grupo personal cercano, en propiedad privada, y que no tenga como finalidad su comunicación o transferencia con fines comerciales.

2. Datos relativos a la salud: La definición de datos de salud establecida en la Ley comprende la información relativa a todos los aspectos de salud, tanto físicos como psíquicos, de la persona. Se incluyen todos los datos relativos al estado de salud del titular que dan información sobre su estado de salud física o mental pasado, presente o futuro. Así también contiene la información sobre la persona natural recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia; todo número, símbolo o dato asignado a una persona natural que la identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del titular, independientemente de su fuente.

3. Normas corporativas vinculantes: Las políticas o códigos de conducta jurídicamente vinculantes dentro de un grupo de empresas o en una unión de empresas que tienen la finalidad de ofrecer garantías suficientes cuando los datos personales van a ser transferidos internacionalmente a uno o varios responsables o encargados del tratamiento que están en un tercer país sin nivel adecuado.

4. Persona Identificable: se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente, siempre y cuando esto no requiera plazos o actividades desproporcionadas.

5. Representante: Persona natural o jurídica establecida en el territorio ecuatoriano que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 3, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud de la Ley Orgánica de Protección de Datos Personales y al presente Reglamento.

6. Tercero: Persona natural o jurídica, autoridad pública, servicio u organismo distinto del titular, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable.

7. Tratamiento a gran escala: es aquel que afecta a una gran cantidad de datos, referentes a un elevado número de titulares, procedentes de una amplia diversidad geográfica, y que pueden entrañar un riesgo a sus derechos y libertades.

Para determinar cuándo se está en presencia de un tratamiento “a gran escala” la Autoridad de Protección de Datos Personales y los responsables del tratamiento deberán tener en cuenta los siguientes aspectos:

a. El número de interesados o titulares, bien como cifra concreta o como proporción de la población correspondiente;

b. El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;

c. La duración o permanencia de la actividad de tratamiento de datos; y,

d. El alcance geográfico de la actividad de tratamiento.

Se considera tratamiento a gran escala:

a. El tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital, o de las instituciones que conforman el Sistema Nacional de Salud;

b. El tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte):

c. El tratamiento de datos de geolocalización en tiempo real de clientes por parte de un responsable del tratamiento de datos personales especializado en la prestación de estos servicios;

d. El tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros, corredores, agentes, prestadores o de instituciones financieras;

e. El tratamiento de datos personales para publicidad comportamental por un motor de búsqueda; y.

f. El tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.

Artículo 5.- De la recogida del consentimiento

El responsable de datos personales deberá obtener el consentimiento del titular de conformidad con lo establecido en la Ley Orgánica de Protección de Datos Personales.

En todos los casos en los que de conformidad con la Ley se requiera el consentimiento explícito del titular para el tratamiento de sus datos, el responsable deberá informar previa y detalladamente los tipos de tratamiento, finalidades, el tiempo de conservación, las medidas de protección a adoptarse, las consecuencias de su entrega, entre otros aspectos determinados en la Ley, lo cual deberá ser consentido inequívocamente por el titular.

El consentimiento del titular deberá reflejar de manera indubitada la aceptación de éste en relación con el tratamiento de sus datos personales a través de una declaración, pronunciamiento para darse de baja o clara acción afirmativa. El consentimiento otorgado por el titular deberá ser demostrado por el responsable que lo obtiene, cuando así sea requerido por la autoridad competente.

Cuando los datos personales recogidos pertenecen a un incapaz, bastará con el consentimiento del representante legal debidamente acreditado ante el responsable, en los términos señalados en el presente artículo. El consentimiento de niñas, niños y adolescentes y, en general, de personas incapaces, se obtendrá a través de sus representantes legales y curadores, según lo dispuesto en la Ley Orgánica de Protección de Datos Personales y el Código Civil.

El silencio o la inacción, por sí solos, no presumen el consentimiento del titular.

Artículo 6. De la revocatoria del consentimiento

El titular tendrá derecho a retirar su consentimiento en cualquier momento. La revocatoria del consentimiento no afectará a la licitud del tratamiento de datos llevado a cabo hasta el momento de la revocatoria. El responsable del tratamiento deberá contar con un procedimiento sencillo para que el titular pueda revocar su consentimiento.

El responsable del tratamiento deberá suspender el tratamiento de los datos del titular que haya revocado su consentimiento, una vez recibida la notificación por parte del titular.

Artículo 7.- Tratamiento legítimo

Para efectos del correcto tratamiento de datos personales, se considerará lo siguiente:

1. Cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos: Se entenderá que el tratamiento de datos personales está basado en el cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos, debidamente motivado y de acuerdo con los principios establecidos en la Ley, cuando la competencia correspondiente esté atribuida en una norma con rango de ley.

El tratamiento de datos personales realizado sobre esta base legitimadora deberá observar lo siguiente:

a. Los tipos de datos objeto del tratamiento;

b. Los titulares o interesados afectados;

c. Las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación;

d. La limitación de la finalidad:

e. Los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo.

El tratamiento de datos personales bajo esta base legitimadora deberá cumplir un objetivo de interés público y ser proporcional al fin legítimo perseguido.

2. Intereses vitales del interesado o de otra persona: Será lícito el tratamiento de datos personales si es necesario para proteger un interés esencial para la vida del interesado o de otra persona, como epidemias o situaciones de emergencia humanitaria. Los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física, cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente.

3. Interés legítimo del responsable: En el caso de que sea necesario satisfacer un interés legítimo del responsable del tratamiento o de un tercero interesado, se aplicará la regla de ponderación, siempre que no prevalezcan los intereses o derechos y libertades del titular.

La ponderación se realizará a través de una evaluación meticulosa que atienda los siguientes factores:

a. Evaluación del interés legítimo del responsable del tratamiento o del tercero interesado que deberá ser necesario y proporcionado;

b. Impacto sobre los titulares que mida las consecuencias reales o potenciales derivadas del tratamiento:

c. Equilibrio provisional, que contemple las medidas adoptadas por el responsable del tratamiento para cumplir sus obligaciones en términos de proporcionalidad y transparencia: y.

d. Garantías adicionales aplicadas por el responsable del tratamiento para impedir cualquier impacto indebido sobre los titulares.

4. Fuente accesible al público: Para el tratamiento de datos personales que consten en bases de datos de acceso público, se considerará que los datos deben ser obtenidos de fuentes accesibles al público, según la definición de la Ley y el presente Reglamento, respetando el principio de limitación de la finalidad, atendiendo a las razones concretas que han determinado la publicación de la información, especialmente cuando dicha publicación se realiza en cumplimiento de una obligación legal o por razones de interés público.

Consecuentemente, el tratamiento de los datos personales obtenidos de fuentes accesibles al público requiere que la finalidad pretendida con el nuevo tratamiento sea compatible con la finalidad que justificó la publicación de los datos, por lo que el hecho de que los datos figuren en fuentes públicas no determina la posibilidad de realizar un tratamiento indiscriminado por parte de los responsables.

CAPÍTULO II.- CONSERVACIÓN DE DATOS PERSONALES

Artículo 8.- Plazos de conservación de los datos personales

Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean estrictamente necesarios para el cumplimiento de las finalidades que justificaron el tratamiento.

La Autoridad de Protección de Datos regulará los plazos de conservación de datos personales atendiendo las disposiciones aplicables a la materia de que se trate.

Artículo 9.- Eliminación, bloqueo o anonimización

Una vez cumplida la o las finalidades del tratamiento y cuando no exista disposición legal o reglamentaria o no incurra la necesidad de mantener los datos en virtud del interés legítimo del responsable, o por cumplimiento de una obligación legal que establezca lo contrario, el responsable deberá proceder a la eliminación, bloqueo o anonimización de los datos en su posesión.

El responsable establecerá procedimientos para la conservación, revisión periódica, eliminación de los datos personales.

Artículo 10.- Fichero de registro

El fichero del registro de la base de datos deberá contener obligatoriamente el plazo de conservación de los datos, que deberá observar necesariamente la materia, naturaleza del dato, su tratamiento y finalidad.

Artículo 11.- Eliminación de datos

Finalizado el plazo de conservación de los datos, el responsable del tratamiento de datos deberá proceder a la eliminación segura de los mismos.

La eliminación de datos personales no aplicará cuando el tratamiento sea necesario en los siguientes supuestos:

1. Por razones de interés público en el ámbito de la salud pública y privada, así como en materia estatal, seguridad, laboral y educación:

2. Para la formulación, el ejercicio o la defensa de reclamaciones.

La Autoridad de Protección de Datos Personales podrá requerir información cuando lo considere necesario. Para el efecto, ajustará los requerimientos a normas, lineamientos sobre plazo de conservación y estándares internacionales sobre la eliminación de datos.

CAPÍTULO III.- DERECHOS

Artículo 12.- Medios para el ejercicio de los derechos

Para efectivizar el ejercicio de los derechos establecidos en la Ley Orgánica de Protección de Datos Personales, el responsable habilitará, preferentemente, herramientas o canales informáticos simplificados de fácil acceso para el titular, con la finalidad de receptar y atender oportunamente las solicitudes o peticiones formuladas que permitan y garanticen una interacción segura, fiable y rápida entre el responsable y el titular, sin perjuicio de que también puedan ser presentadas por medios físicos.

Por lo tanto, se podrán habilitar plataformas digitales, centros de contacto, líneas telefónicas u otros mecanismos tecnológicos que se consideren idóneos para la presentación de las solicitudes por parte de los titulares.

En todos los casos, el requirente deberá demostrar la titularidad o la representación legal para ejercer el derecho.

Artículo 13.- Contenido de la solicitud

En la solicitud para el ejercicio de los derechos consagrados en la Ley, se hará constar:

1. Los nombres y apellidos completos del titular, número de cédula de identidad o pasaporte y dirección domiciliaria o electrónica para notificaciones. Cuando se actúa en calidad de representante legal, se hará constar también los datos de la o del representado;

2. De ser posible, la descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados y cualquier otro elemento o documento que facilite la localización de los datos personales;

3. Relación de lo que solicita expuesto de manera clara y precisa;

4. Derecho o derechos que desea ejercer; y,

5. A la solicitud se acompañará los documentos que acrediten la identidad o, en su caso, la representación legal o convencional del titular.

Artículo 14.- Requerimiento de información adicional

En caso de que la información constante en la solicitud requiera ser aclarada o ampliada, el responsable podrá requerir al titular, por una sola vez y dentro del término de cinco (5) días de recibida la solicitud, que la aclare o complete.

El titular emplazado contará con el término de diez (10) días contados a partir del día siguiente en el que haya sido notificado, para aclarar o completar la solicitud.

Si el titular aclara o completa la solicitud dentro del término concedido, el responsable le dará la debida atención, caso contrario, la archivará notificando este particular al titular con las razones de su decisión. El archivo del requerimiento inicial no impedirá la presentación de una nueva solicitud.

Artículo 15.- Registro de solicitudes

El responsable deberá registrar todas las solicitudes de ejercicio de derechos, incluyendo el detalle de la atención dada a las mismas. La Autoridad de Protección de Datos determinará el contenido de dichos registros.

Artículo 16.- Reclamo ante la Autoridad de Protección de Datos Personales

El titular de datos personales que encuentre motivos para creer que se han vulnerado sus derechos con la respuesta que el responsable ha dado a su solicitud, o que no haya recibido respuesta en el plazo establecido, podrá acudir a la Autoridad de Protección de Datos a presentar su reclamo, el cual se sustanciará conforme al procedimiento previsto en el Código Orgánico Administrativo y en la normativa complementaria que, para el efecto, emita la Autoridad de Protección de Datos.

El procedimiento de reclamo contemplará la debida notificación al responsable a fin de que ejerza su derecho a la defensa.

CAPÍTULO IV.- DISPOSICIONES APLICABLES A TRATAMIENTOS CONCRETOS

Artículo 17.- De los datos de personas fallecidas

A efectos de que los titulares de derechos sucesorios, o las personas o instituciones que el fallecido haya designado expresamente para ello, puedan ejercer los derechos de acceso, rectificación, actualización y eliminación de los datos del fallecido ante el responsable del tratamiento, según lo dispuesto en la Ley, deberán acreditar su comparecencia a través de los instrumentos legales reconocidos por el ordenamiento jurídico ecuatoriano.

Los derechos podrán ser ejercidos las veces que se considere oportuno, dentro de las limitaciones que plantea la normativa vigente para el ejercicio de derechos por parte de los titulares de los datos personales.

Artículo 18.- De los datos crediticios

A efectos de lo dispuesto en la Ley, será lícito el tratamiento de datos personales que tenga como fin informar sobre el cumplimiento o incumplimiento de obligaciones comerciales o crediticias. La Junta de Política y Regulación Financiera, como organismo de regulación, y la Superintendencia de Bancos, como organismo de control, regularán la protección de los datos crediticios, en el ámbito de sus competencias.

Artículo 19.- De los datos de menores de edad

De conformidad con lo previsto en la Ley Orgánica de Protección de Datos Personales, para el tratamiento de datos personales de menores de 15 años de edad, se requerirá el consentimiento de su representante legal.

Para el tratamiento de datos sensibles, así como para las decisiones basadas en valoraciones automatizadas de menores de edad, se requerirá el consentimiento expreso de su representante legal.

Los adolescentes a partir de los 15 años de edad podrán otorgar su consentimiento explícito para el tratamiento de sus datos personales. Para este efecto, el responsable deberá proporcionar información clara, en un lenguaje sencillo propio de su edad, utilizando métodos que le permitan entender lo que ocurrirá con sus datos personales, las finalidades que se persiguen, los derechos que tiene y cómo ejercerlos y cualquier otra información necesaria para obtener su consentimiento explícito.

También podrá otorgar el consentimiento del adolescente mayor de 15 años, quien ejerce la representación legal, sin perjuicio de que el adolescente, en cualquier momento, pueda revocar este consentimiento. El representante legal del adolescente no podrá revocar el consentimiento otorgado explícitamente por el adolescente en su calidad de titular.

Artículo 20.- Del interés superior del niño

El consentimiento obtenido para el tratamiento de datos personales de un menor de edad, no podrá, bajo ninguna circunstancia, menoscabar el interés superior de la niña, niño o adolescente, conforme a las disposiciones del Código de la Niñez y Adolescencia y demás normativa vigente. De identificarse aquello, el consentimiento obtenido será considerado inválido.

CAPÍTULO V.- TRANSFERENCIA O COMUNICACIÓN DE DATOS A TERCEROS

Artículo 21.- Transferencia de datos personales a un tercero

La transferencia o comunicación de datos personales a un tercero o encargado requerirá el consentimiento del titular, a menos que, previo a realizar la misma, se han disociado los datos, se han utilizado mecanismos de cifrado robustos de los datos u otros mecanismos orientados a la privacidad e intimidad de los titulares de los datos personales; de manera que no se pueda identificar a qué persona se refieren.

Artículo 22.- Supuestos para la transferencia de datos a terceros

La transferencia o comunicación de datos personales a terceros se podrá realizar siempre que concurran los siguientes supuestos:

1. Para el cumplimiento de fines directamente relacionados con las funciones legítimas del responsable y del tercero destinatario, en cuyo caso el destinatario se obliga a cumplir con la normativa de protección de datos; y,

2. Cuando se cuente con el consentimiento previo del titular, el cual puede ser revocado en cualquier momento.

No se requerirá el consentimiento del titular en los supuestos previstos en la Ley.

Artículo 23.- Ejercicio de derechos en los casos de transferencia de datos a terceros

El titular de los datos personales ejercerá los derechos de rectificación, actualización, oposición y eliminación, directamente ante el responsable del tratamiento, quien, a su vez, deberá notificar de aquello al tercero destinatario de la comunicación de datos personales para que proceda con la rectificación, actualización, oposición o eliminación, según sea el caso.

CAPÍTULO VI.- VULNERACIÓN A LA SEGURIDAD DE DATOS PERSONALES

Artículo 24.- De la notificación de vulneración de seguridad

De conformidad con lo dispuesto en la Ley, el responsable del tratamiento deberá notificar a la Autoridad de Protección de Datos Personales y a la Agencia de Regulación y Control de Telecomunicaciones cualquier vulneración a la seguridad de los datos personales, siempre que sea probable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas naturales.

Se entiende que la vulneración o violación a la seguridad constituye un riesgo para los derechos y las libertades de las personas naturales cuando concurre cualquiera de las siguientes causales:

1. Cuando los datos fueron destruidos, ya no existen o no están disponibles de una forma que sea de utilidad para el responsable del tratamiento;

2. Cuando los datos personales han sido alterados, corrompidos o dejan de estar completos;

3. Cuando el responsable del tratamiento ha perdido el control o el acceso a los datos, o ya no obran en su poder; o,

4. Cuando el tratamiento no ha sido autorizado o es ilícito, lo cual incluye la divulgación de datos personales o el acceso por parte de destinatarios que no están autorizados a recibir o acceder a los datos o cualquier otra forma de tratamiento que se ejecuta contrariando las disposiciones de la Ley.

Artículo 25.- Finalidad de la notificación

Las notificaciones de las vulneraciones de seguridad de datos personales tendrán como finalidad principal que la Autoridad de Protección de Datos Personales y la Agencia de Regulación y Control de Telecomunicaciones lleven un registro estadístico sobre vulneraciones para determinar posibles medidas de seguridad para cada una de ellas, así como identificar sectores o instituciones más vulnerables y promover la adaptación de estándares internacionales y mejores prácticas en la gestión de incidentes y vulnerabilidades.

Artículo 26.- Contenido de la notificación

La notificación de vulneración de seguridad deberá contener lo siguiente:

1. La naturaleza y tipo de vulneración;

2. Identificar los titulares o interesados afectados;

3. El detalle inicial de los sistemas vulnerados;

4. La causa presunta de la vulneración:

5. El volumen y tipos de datos expuestos o comprometidos;

6. Las medidas adoptadas y previstas para responder y remediar la vulneración con la finalidad de mitigar las consecuencias presuntas;

7. La evaluación del riesgo que la vulneración implica para los derechos y libertades de los titulares; y,

8. Otros aspectos determinados por la Autoridad de Protección de Datos Personales.

Artículo 27.- Notificación de vulneración de seguridad por parte del encargado

El encargado deberá notificar al responsable del tratamiento de datos personales la vulneración de la seguridad de datos personales.

La notificación de vulneración de seguridad deberá contener la misma información detallada en el artículo precedente, a excepción de la evaluación del riesgo.

Artículo 28.- Notificación de vulneración de seguridad al titular

La notificación de vulneración de datos al titular contendrá la misma información establecida en los artículos anteriores.

La notificación deberá realizarse en lenguaje claro y sencillo, observando los derechos de los titulares.

La Autoridad de Protección de Datos Personales velará por que las excepciones a la obligación de notificación señaladas en la Ley sean utilizadas de manera restringida y de manera justificada.

CAPÍTULO VII.- EVALUACIÓN DE IMPACTO

Artículo 29.- Evaluación de impacto del tratamiento de datos personales

La evaluación de impacto consiste en un análisis preventivo, de naturaleza técnica, mediante el cual el responsable valora los impactos reales del tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con el cumplimiento de los principios y el respeto de los derechos y de las obligaciones establecidas en la Ley Orgánica de Protección de Datos Personales, este Reglamento y demás normativa aplicable.

Artículo 30.- Objeto de la evaluación de impacto

La evaluación de impacto tiene por objeto:

1. Identificar y describir los riesgos potenciales y probables de determinados tratamientos de datos personales;

2. Describir las acciones concretas para la gestión de los riesgos identificados;

3. Actuar de forma preventiva en el cumplimiento de las obligaciones establecidas en la Ley, su Reglamento y demás normativa aplicable; y,

4. Propiciar lineamientos para la construcción de una cultura preventiva de la protección de datos personales de la organización.

Artículo 31.- Evaluación de impacto obligatoria

Las evaluaciones de impacto del tratamiento de datos serán obligatorias en los casos establecidos en la Ley y deberán realizarse de forma previa al inicio del tratamiento de datos personales.

Los responsables utilizarán los criterios establecidos en el presente Reglamento para determinar en qué casos se está en presencia de una evaluación sistemática y exhaustiva de aspectos personales, de un tratamiento a gran escala de categorías especiales de datos, de datos relativos a condenas e infracciones penales o, de una observación sistemática a gran escala de una zona de acceso público.

En caso de duda, el responsable podrá dirigir una consulta a la Autoridad de Protección de Datos Personales con la finalidad de que determine la obligatoriedad de la evaluación de impacto. La Autoridad de Protección de Datos personales deberá contestar dicha consulta en el término máximo de cinco (5) días contados desde la recepción de la consulta.

Artículo 32.- Requisitos de la evaluación de impacto

En los casos en que sea obligatoria, la evaluación de impacto será presentada ante la Autoridad de Protección de Datos Personales y contendrá, al menos, lo siguiente:

1. La descripción sistemática de las operaciones de tratamiento y las finalidades de ese tratamiento;

2. La justificación de la necesidad de llevar a cabo esas operaciones de tratamiento, así como su proporcionalidad con respecto de la finalidad;

3. La evaluación de riesgos a los derechos y libertades de los titulares; y,

4. Las medidas previstas para hacer frente a los riesgos, las garantías, medidas de seguridad y mecanismos destinados a salvaguardar y demostrar el respeto al derecho de los titulares a la protección de sus datos personales.

La información otorgada en virtud de los numerales precedentes debe limitarse a la que sea necesaria para respaldar la evaluación y no incluir detalles potencialmente confidenciales relacionados con las implementaciones de seguridad o la información confidencial.

CAPÍTULO VIII.- RESPONSABLE DEL TRATAMIENTO

Artículo 33.- Obligaciones del responsable del tratamiento

El responsable del tratamiento deberá, tanto en el momento de la determinación de los medios para el tratamiento como en el momento mismo del procesamiento de datos personales, aplicar medidas apropiadas que sean adecuadas para la observancia efectiva de los principios de protección de datos, así como de los derechos reconocidos en la Ley. Para ello, tendrá en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, las circunstancias y los fines del tratamiento, así como la probabilidad y la gravedad de los riesgos para los intereses de los titulares.

Artículo 34.- Estado de la técnica

Se entiende por estado de la técnica a los progresos actuales de la tecnología disponible en el mercado, que deberá ser considerado al determinar las medidas técnicas y organizativas adecuadas. El responsable del tratamiento deberá evaluar continuamente el estado de la técnica.

Artículo 35.- Costos de aplicación

Los costos de aplicación no se limitan solamente a términos monetarios sino también a los recursos que, en general, deba invertir el responsable del tratamiento, incluidos el tiempo y el humano. El responsable del tratamiento deberá evaluar los riesgos que conlleva el tratamiento para los derechos y libertades de los titulares y estimar los costos de la aplicación de las medidas adecuadas para mitigar dichos riesgos. La incapacidad de asumir los costos no es excusa para el incumplimiento de la Ley y el presente Reglamento, para lo cual se observará el principio de proporcionalidad entre el volumen del tratamiento de los datos y la capacidad económica del responsable del tratamiento.

Artículo 36.- De la prueba de las medidas de protección

Los responsables del tratamiento deberán demostrar que han aplicado todas la medidas necesarias para la protección de datos personales. Para ello, el responsable del tratamiento podrá determinar los indicadores clave de rendimiento adecuados para demostrar el cumplimiento. Estos indicadores pueden incluir métricas para demostrar la eficacia de las medidas tomadas. Las métricas pueden ser cuantitativas, como el nivel de riesgo, la reducción de las reclamaciones, la reducción del tiempo de respuesta cuando los interesados ejercen sus derechos; o, cualitativas, como las evaluaciones del rendimiento, el uso de escalas o evaluaciones de expertos.

Artículo 37.- Responsables conjuntos

Si dos o más responsables del tratamiento determinan conjuntamente los mismos fines y los medios del tratamiento de los datos personales, se considerarán responsables conjuntos, quienes definirán sus respectivas tareas y responsabilidades en materia de protección de datos de forma transparente a través de un contrato, en la medida en que estas no estén ya definidas en disposiciones legales, buscando precautelar los intereses y derechos de los titulares.

Dicho acuerdo no impedirá que el titular o interesado ejerza sus derechos contra cualquiera de los responsables conjuntos del tratamiento y que estos sean responsables solidarios ante la autoridad de control y los titulares.

Además, cada responsable conjunto deberá cumplir las obligaciones que determina la Ley, en función de las responsabilidades asumidas en el acuerdo, cuya evidencia deberá estar a disposición de la autoridad de control, cuando así lo solicite. En este sentido, cada responsable conjunto es sujeto del régimen sancionador, en forma diferenciada sobre la base de las responsabilidades adquiridas.

Los acuerdos de protección de datos entre responsables conjuntos deben ser compartidos con los titulares interesados cuando así sea requerido por éstos, sobre la base del principio de transparencia.

Artículo 38.- Registro de actividades de tratamiento

El responsable del tratamiento que cuente con cien o más trabajadores, llevará un registro de todas las actividades de tratamiento de datos personales que sean de su competencia.

Este registro contendrá la siguiente información:

1. El nombre y los datos de contacto del responsable del tratamiento y, en su caso, del responsable que actúa conjuntamente con el responsable del tratamiento de datos personales, así como el nombre y los datos de contacto del delegado de protección de datos;

2. Los fines del tratamiento;

3. Las categorías de destinatarios a los que se han comunicado o se comunicarán los datos personales;

4. Identificar a los titulares y las categorías de datos personales de los titulares;

5. En su caso, el uso de perfiles;

6. En su caso, definir las transferencias de datos personales a organismos de un tercer país o a una organización internacional;

7. Descripción de las bases legitimadoras que facultan el tratamiento;

8. Los plazos de retención previstos para la supresión o la revisión de la necesidad de conservar las diferentes categorías de datos personales; y,

9. Una descripción general de las medidas técnicas, jurídicas, administrativas y organizativas.

El registro se llevará por escrito o electrónicamente. Los responsables pondrán a disposición de la Autoridad de Protección de Datos Personales los registros de actividades cuando ésta lo solicite.

Artículo 39.- Extensión de la obligación de registro

La obligación de registro de actividades también la tendrán los responsables de tratamiento que, teniendo menos de cien trabajadores, cumplan alguna de las siguientes condiciones;

1. El tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los titulares, de acuerdo con el análisis de riesgos, amenazas y vulnerabilidades, de conformidad con lo dispuesto en la ley;

2. No se trate de un tratamiento ocasional: o,

3. Incluya categorías especiales de datos personales.

CAPÍTULO IX.- ENCARGADO DEL TRATAMIENTO

Artículo 40.- Encargado

El encargado del tratamiento deberá ofrecer garantías suficientes para aplicar medidas técnicas, jurídicas, administrativas y organizativas apropiadas para que el tratamiento cumpla con las disposiciones de la Ley garantizando el adecuado tratamiento de los datos personales y la protección de los derechos de los titulares.

Artículo 41.- De la relación entre responsable y encargado

La relación entre el responsable del tratamiento y un encargado debe regirse por un contrato escrito, en el cual se detallen las instrucciones encomendadas respecto del tratamiento de datos personales y, al menos, los siguientes aspectos:

1. El objeto;

2. La duración:

3. La naturaleza;

4. La finalidad del tratamiento de los datos;

5. La categoría de los datos personales;

6. Identificar a los titulares de los datos personales tratados; y,

7. Las obligaciones y responsabilidades del encargado.

El encargado del tratamiento deberá respetar las instrucciones que, para el efecto, determine el responsable en cuanto al tratamiento de los datos personales. Para ello, deberá establecer las medidas técnicas y organizativas adecuadas, previo a brindar el servicio, que deberán ser equiparables a aquellas a las que está obligado el responsable en función de los datos y los tipos de tratamiento aplicables, de tal forma que se garantice la protección de datos de los titulares.

Artículo 42.- Obligación del responsable

El responsable del tratamiento de datos personales será el directo obligado de garantizar el correcto ejercicio de los derechos reconocidos en la Ley a los titulares, sin embargo, el encargado deberá asistir al responsable y realizar todas las acciones necesarias, y bajo su responsabilidad, para que el responsable pueda cumplir con esta obligación.

Artículo 43.- Responsabilidad del encargado.

El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento. En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas. Si el encargado considera que una instrucción es ilegal, informará al responsable del tratamiento, sin demora injustificada, para que se corrija la instrucción, de ser pertinente.

Artículo 44.- Registro de actividades del tratamiento

El encargado del tratamiento deberá mantener un registro de actividades del tratamiento cuando el responsable del tratamiento esté obligado a ello, de conformidad con lo previsto en la Ley, el presente Reglamento y demás normativa aplicable.

Artículo 45.- Contratación

El encargado del tratamiento podrá contratar a un tercero para complementar la prestación de un servicio al responsable del tratamiento de datos personales, siempre que esto se haga constar expresamente en el contrato celebrado entre el responsable y el encargado del tratamiento. Caso contrario, requerirá la autorización escrita del responsable del tratamiento para la subcontratación.

En este caso, el tercero contratado asumirá las obligaciones del encargado de tratamiento establecidas en la ley y en el presente Reglamento, debiendo cumplir con las instrucciones de tratamiento de datos establecidas entre el responsable y encargado del tratamiento, en aquello que fuere pertinente en función de los servicios que han sido contratados.

Artículo 46.- Eliminación de datos personales

El encargado deberá devolver o eliminar todos los datos personales, según las instrucciones impartidas por el responsable del tratamiento, una vez finalizada la relación que justifica el tratamiento de datos personales, destruyendo todas las copias existentes, salvo que exista la obligación de conservar los datos en virtud de una disposición legal.

Artículo 47.- Revisión de registros

El encargado de tratamiento deberá permitir al responsable o a la persona determinada por este, en cualquier momento que así lo solicite el responsable, la revisión de los registros y procesos que tengan relación con los tratamientos de datos personales encomendados, a fin de verificar el correcto cumplimiento del contrato y las obligaciones de la Ley y el presente Reglamento, así como la adopción de medidas técnicas, organizativas y de seguridad adecuadas.

En tal sentido, el encargado deberá proporcionar al responsable o a la persona determinada por este, todas las facilidades y toda la información necesaria para demostrar el cumplimiento de sus obligaciones.

CAPÍTULO X.- DELEGADO DE PROTECCIÓN DE DATOS

Artículo 48.- Delegado de protección de datos

El delegado de protección de datos personales es la persona natural que se encarga principalmente de asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales.

Podrá realizar otras actividades relacionadas con la protección de datos personales que le sean encomendadas por el responsable, siempre que no supongan o exijan del delegado una preparación diversa ni exista un conflicto con las responsabilidades previamente adquiridas.

El delegado de protección de datos personales desempeñará sus funciones de manera profesional, con total independencia del responsable y del encargado del tratamiento de datos personales, quienes estarán obligados a facilitar la asistencia, recursos y elementos que les sea oportunamente requeridos para garantizar el cumplimiento de los deberes, funciones y responsabilidades a cargo del delegado.

Sin perjuicio de lo que disponga la Ley y este Reglamento, corresponderá a la Autoridad de Protección de Datos Personales emitir la normativa que garantice la independencia del delegado de protección de datos personales en el desempeño de sus funciones en relación con el responsable y encargado.

Artículo 49.- Tipo de contratación

El delegado de protección de datos podrá ser contratado por el responsable del tratamiento de datos personales, bajo la figura de relación de dependencia o a través de un contrato de prestación de servicios. Sin perjuicio de lo indicado, en cualquiera de los casos, deberá respetar y garantizar que se presten los servicios de manera independiente.

Tratándose de las instituciones del sector público, el delegado de protección de datos será designado por la máxima autoridad institucional.

Artículo 50.- Delegado de protección de datos de grupos empresariales

Los grupos empresariales podrán designar a un único delegado de protección de datos personales, en la medida en que pueda ejecutar sus actividades y sin que esto genere conflicto de intereses.

Artículo 51.- Prohibición de sanción al delegado de protección de datos

El responsable y el encargado del tratamiento de datos personales deberán respetar el trabajo que ejecute el delegado de protección de datos personales, y no se aplicarán sanciones por el hecho de desempeñar y cumplir sus funciones. En caso que el delegado sea sancionado o removido por motivo de la ejecución de sus funciones, podrá poner este hecho en conocimiento de la Autoridad de Protección de Datos Personales, que valorará las circunstancias en las que se produjo la desvinculación o sanción y validará las sanciones que correspondan, sin perjuicio de las acciones legales o judiciales a que hubiere a lugar por parte del delegado perjudicado.

La Autoridad de Protección de Datos Personales establecerá el procedimiento de denuncia y las sanciones correspondientes para los casos de remoción o sanción injustificadas del delegado de protección de datos.

Artículo 52.- Buenas prácticas

Los responsables o encargados del tratamiento de datos personales, que no se encuentren dentro de las categorías de obligados a designar un delegado de protección de datos, podrán hacerlo de manera voluntaria como un mecanismo de buena práctica y como parte de las medidas de responsabilidad proactiva a adoptar.

En atención a sus necesidades institucionales, los responsables y encargados del tratamiento de datos personales podrán designar un delegado suplente, que actuará en caso de ausencia o impedimento temporal o definitivo del primero.

Artículo 53.- Actividades de control permanente y sistematizado de datos

Para determinar si las actividades de un responsable o encargado en materia de protección de datos requieren de un control permanente, se deberá considerar, entre otros factores que defina la Autoridad de Protección de Datos Personales, alguno de los siguientes:

1. Si el tratamiento de datos es continuado o si se produce en intervalos concretos durante un periodo de tiempo;

2. Si el tratamiento de datos es recurrente o repetido en momentos prefijados; o,

3. Si el tratamiento tiene lugar de manera constante o periódica.

Así mismo, para determinar si el control es sistematizado, además de aquellos que determine la Autoridad de Protección de Datos Personales, se deberá verificar alguno de los siguientes aspectos:

1. Si el tratamiento de datos está de alguna manera preestablecido, organizado o es metódico;

2. Si el tratamiento de datos tiene lugar como parte de un plan general de recogida de datos; o,

3. Si el tratamiento de datos es llevado a cabo como parte de una estrategia.

En caso de suscitarse dudas entre los responsables y encargados respecto a los supuestos que dan lugar a la designación del delegado de protección de datos personales, podrán dirigir sus respectivas consultas a la Autoridad de Protección de Datos Personales, cuya decisión será de cumplimiento obligatorio para los consultantes.

Artículo 54.- Tratamiento a gran escala de datos de categoría especiales

Para determinar el tratamiento de datos de categorías especiales a gran escala, se considerarán, entre otros factores que defina la Autoridad de Protección de Datos Personales, los establecidos en el presente Reglamento.

Artículo 55.- Requisitos para ser delegado

Sin perjuicio de otros requisitos que establezca la Autoridad de Protección de Datos Personales, para ser delegado de protección de datos personales, se requerirá:

1. Estar en goce de los derechos políticos;

2. Ser mayor de edad;

3. Tener título de tercer nivel en Derecho, Sistemas de Información, de Comunicación, o de Tecnologías; y,

4. Acreditar experiencia profesional de por lo menos cinco años.

Artículo 56.- Impedimento para ser delegado

Sin perjuicio de otras que defina la Autoridad de Protección de Datos Personales, no podrán ser delegados de protección de datos personales las siguientes personas:

1. Quienes formen parte de los órganos de administración y control del responsable y encargado;

2. Los socios o accionistas del responsable y encargado;

3. Los cónyuges de los administradores, directores o comisarios de la compañía, en caso de haberlos, del responsable y encargado, o sus parientes hasta el cuarto grado de consanguinidad o segundo de afinidad; y,

4. Quienes tengan conflictos de intereses con el responsable y encargado, para lo cual la Autoridad de Protección de Datos Personales emitirá la normativa correspondiente en la que se establecerán los supuestos específicos que darían lugar a dicho conflicto de intereses.

Tratándose de las instituciones del sector público, la Autoridad de Protección de Datos Personales definirá las incompatibilidades para ser delegado de protección de datos personales para cada caso en particular.

Artículo 57.- Acuerdos de Confidencialidad

El delegado de protección de datos personales suscribirá un acuerdo de confidencialidad respecto de la información que llegase a conocer o respecto de la cual pueda llegar a tener acceso por el desempeño de su cargo. Las partes acordarán, libremente, los términos y condiciones del acuerdo, pero en ningún caso tales documentos podrán limitar el acceso del delegado a la información que estime necesaria para el desempeño de su función.

El incumplimiento de los acuerdos de confidencialidad estará sujeto a las responsabilidades civiles y penales a las que hubiere lugar.

Este deber de guardar confidencialidad subsistirá incluso una vez que haya concluido la relación jurídica con el responsable o encargado.

CAPÍTULO XI.- RESPONSABILIDAD PROACTIVA Y AUTORREGULACIÓN

Artículo 58.- Obligatoriedad.

El responsable del tratamiento está obligado a aplicar medidas técnicas, jurídicas, administrativas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de datos que realiza es conforme con la normativa. Para ello se deberá atender:

1. La naturaleza;

2. El ámbito;

3. La finalidad del tratamiento; y,

4. Los riesgos.

Esta obligación implica también revisar y actualizar las medidas cuando sea necesario.

Artículo 59.- Medidas de protección de datos desde el diseño

El responsable del tratamiento tiene la obligación de establecer medidas técnicas y organizativas adecuadas para aplicar los principios establecidos en la normativa de forma eficaz, y

proteger los derechos de los titulares, de manera previa al tratamiento de datos personales.

Para la fijación de estas medidas debe tenerse en cuenta:

1. La naturaleza, ámbito y finalidad del tratamiento;

2. Los riesgos de diversa probabilidad y gravedad asociados al tratamiento;

3. El estado de la técnica; y,

4. El coste de aplicación.

Artículo 60.- Medidas de protección de datos por defecto

El responsable del tratamiento adoptará las medidas técnicas y organizativas apropiadas para garantizar que, mediante ajustes, por defecto, solo puedan tratarse aquellos datos personales cuyo tratamiento sea necesario para la respectiva finalidad específica del tratamiento.

Además, mediante los respectivos ajustes, las medidas deben garantizar que, por defecto, los datos no puedan ser accesibles a un número indefinido de personas de forma automatizada.

Esta obligación es aplicable a:

1. La cantidad de los datos recopilados;

2. La extensión del tratamiento;

3. El período de almacenamiento; y,

4. La accesibilidad

Para acreditar el cumplimiento de esta medida, podrá utilizarse un mecanismo de certificación, según lo previsto en la Ley Orgánica de Protección de Datos Personales.

Artículo 61.- Mecanismos de autorregulación

Los mecanismos de autorregulación pueden ser adoptados para el cumplimiento de los principios, ejercicio de derechos, medidas de seguridad, transferencias, procedimientos y, en general, para cumplir cualquiera de las obligaciones previstos en la Ley Orgánica de Protección de Datos Personales, este Reglamento y demás normativa aplicable.

Los mecanismos de autorregulación constituyen instrumentos que permiten adecuar de mejor forma esquemas de cumplimiento para sectores específicos o en situaciones muy particulares, y dar cumplimiento a la Ley Orgánica de Protección de Datos Personales, así como el resto de normativa aplicable.

Artículo 62.- Mecanismos de autorregulación

Serán mecanismos de autorregulación los siguientes:

1. Esquemas certificados en materia de protección de datos personales por el Servicio Ecuatoriano de Acreditación;

2. Reglas específicas creadas para adaptar la normativa de protección de datos personales a un determinado sector o situación. En este tipo de reglas estarán comprendidos los códigos de conducta, las normas corporativas vinculantes y las cláusulas tipo; y,

3. Esquemas validados por la Autoridad de Protección de Datos Personales, conforme a las reglas que para el efecto emita.

Artículo 63.- Registro de mecanismos de autorregulación

La Autoridad de Protección de Datos Personales mantendrá un registro de mecanismos de autorregulación a fin de dar a conocer la siguiente información:

1. Las reglas destinadas a adaptar la normativa de datos personales para determinado sector o situación, con la finalidad de facilitar y hacer efectivo su cumplimiento;

2. Las entidades de acreditación autorizadas por el Servicio Ecuatoriano de Acreditación en materia de protección de datos personales;

3. Las entidades de evaluación acreditadas para otorgar certificaciones en materia de protección de datos personales por el Servicio Ecuatoriano de Acreditación, en el marco de la Ley, este Reglamento y las reglas que se emitan para el efecto; y,

4. Los responsables y encargados que hayan adoptado algún mecanismo.

SECCIÓN I.- CERTIFICACIÓN

Artículo 64.- Objeto de la certificación

La certificación tiene por objeto determinar el grado de cumplimiento de un mecanismo de autorregulación con relación a las obligaciones de la Ley Orgánica de Protección de Datos Personales, este Reglamento y demás normativa aplicable.

Corresponderá, privativamente, a la Autoridad de Protección de Datos Personales emitir y actualizar periódicamente los parámetros básicos o estándares mínimos de evaluación a los que deberán someterse los responsables y encargados para obtener la certificación a la que se refiere este Reglamento.

Artículo 65.- Temporalidad de la certificación

La certificación se expedirá por un periodo máximo de tres años, vencido el cual podrá ser renovada en las mismas condiciones, siempre y cuando se cumplan los requisitos establecidos para el efecto.

Artículo 66.- Entidades de certificación

La certificación en materia de protección de datos estará a cargo de las entidades de certificación acreditadas por el Servicio Ecuatoriano de Acreditación, de conformidad con la normativa que para el efecto emitan en conjunto la Autoridad de Protección de Datos Personales y la Autoridad Nacional de Acreditación.

Para la acreditación de la entidad de certificación se revisará el cumplimiento de, entre otros establecidos por la Autoridad de Protección de Datos Personales, los siguientes requisitos:

1. Haber demostrado su independencia y pericia en relación con el objeto de la certificación;

2. Haber establecido procedimientos adecuados para la expedición, revisión periódica y la retirada de sellos y certificaciones de cumplimiento en materia de protección de datos: y.

3. Haber demostrado que sus funciones y cometidos no dan lugar a conflictos de intereses.

Para la aprobación de las entidades certificadoras se tomará en cuenta, además, el cumplimiento por parte de estas entidades de normas internacionales como la relativa a los requisitos para organismos que certifican productos, procesos y servicios.

Artículo 67.-Revocatoria

Cuando el responsable o encargado del tratamiento de datos personales dejen de cumplir con los requisitos que dieron paso al otorgamiento de la certificación, ésta podrá ser revocada por el mismo organismo de certificación que la otorgó o por la autoridad de control competente.

SECCIÓN II.- CÓDIGOS DE CONDUCTA

Artículo 68.- Aprobación de códigos de conducta

Cualquier persona natural o jurídica, asociación, gremio o grupo de empresas podrá presentar, para aprobación de la Autoridad de Protección de Datos, códigos de conducta que tengan como fin el cumplimiento de la normativa vigente en materia de protección de datos personales.

Los códigos de conducta deberán contener al menos lo siguiente:

1. Exposición de motivos, clara y concisa, que describa detalladamente el objetivo del código, su ámbito de aplicación y cómo facilitará la aplicación efectiva de la Ley y este Reglamento;

2. Ámbito de aplicación que determine de forma específica las operaciones de tratamiento o las características del tratamiento de datos personales que abarca, así como las categorías de responsables o encargados del tratamiento a las que se aplica. Esto incluirá las cuestiones del tratamiento que pretenda abordar el código y aportará soluciones prácticas; y,

3. Mecanismos de supervisión para controlar el pleno cumplimiento de sus disposiciones.

Artículo 69.- Admisibilidad

El proponente del código presentará formalmente su proyecto de código, ya sea en formato electrónico o físico a la Autoridad de Protección de Datos Personales.

Presentado el proyecto de código, la Autoridad de Protección de Datos, en el término máximo de cinco (5) días, examinará si cumple con los requisitos de forma establecidos en el artículo anterior. Si lo hace calificará, tramitará y dispondrá la evaluación del contenido del proyecto de código.

Si el proyecto no cumple con los requisitos formales, la Autoridad de Protección de Datos Personales dispondrá que el proponente la complete o aclare en el término de cinco (5) días, determinando explícitamente el o los defectos. Si no lo hace, ordenará el archivo y la devolución del proyecto, sin necesidad de dejar copias.

Artículo 70.- Evaluación del fondo

Admitido el proyecto de código, la Autoridad de Protección de Datos Personales deberá, en el término de un treinta (30) días, evaluar y verificar que el código contribuya a la correcta aplicación de la Ley, el presente Reglamento y la normativa aplicable en materia de protección de datos, teniendo en cuenta las características específicas de los diversos sectores del tratamiento, así como las obligaciones y los requisitos concretos de los responsables o encargados del tratamiento a los que se aplique.

Además de los criterios que determine la Autoridad de Protección de Datos para la aprobación de los Códigos de Conducta, se verificará que el proyecto cumpla con los siguientes criterios:

1. Satisfacer una necesidad puntual de ese sector o actividad de tratamiento;

2. Especificar la aplicación de la Ley y el Reglamento a la naturaleza de la actividad o el sector del tratamiento;

3. Aportar mejoras al sector en cuanto al cumplimiento de la legislación en materia de protección de datos;

4. Establecer normas realistas, aplicables, concretas, inequívocas y estar formuladas con la calidad y coherencia interna necesarias para aportar valor;

5. Desarrollar de manera específica, práctica y precisa cómo ha de aplicarse la ley, el reglamento y demás normativa de protección de datos;

6. Aportar garantías suficientes y eficaces para mitigar el riesgo que entraña el tratamiento de datos y respetar los derechos y las libertades de los particulares;

7. Disponer de mecanismos eficaces para supervisar el cumplimiento de) código; y,

8. Identificar y proponer específicamente las estructuras, procedimientos y órganos que velen por una supervisión eficaz y una sanción de las infracciones.

Los citados mecanismos pueden incluir una auditoría periódica y requisitos de presentación de informes, la gestión clara y transparente de las reclamaciones y los procedimientos de solución de conflictos, sanciones específicas y medidas correctivas en caso de infracción del código, así como mecanismos para denunciar las infracciones de sus disposiciones.

CAPÍTULO XII.- TRANSFERENCIA O COMUNICACIÓN INTERNACIONAL DE DATOS

Artículo 71.- Transferencia o comunicación internacional de datos personales a países declarados como nivel adecuado de protección

De oficio o a petición de parte, la Autoridad de Protección de Datos Personales, mediante resolución motivada, determinará los países, organizaciones o personas jurídicas que cuentan con adecuados niveles de protección para transferencia de datos personales. Para ello, revisará que los estándares de protección sean equivalentes o superiores a aquellos establecidos en la Ley y demás normativa respectiva.

La resolución tendrá efectos generales, por lo que las transferencias internacionales hacia ese país, organización o persona jurídica no requerirá de autorización previa.

Artículo 72.- Contenido y publicación de la resolución

La Autoridad de Protección de Datos Personales establecerá el mecanismo de revisión periódica de los niveles adecuados de protección, que deberá llevarse a cabo anualmente. De ser el caso, podrá revocar, modificar o suspender la resolución que reconoció el adecuado nivel de protección al país, organización o persona jurídica, sin que este acto tenga efectos retroactivos.

La resolución será publicada en el Registro Oficial y por medios digitales disponibles al público en su página web institucional.

Artículo 73.- Criterios de estándares de nivel adecuado de protección

Para determinar si un país, organización o persona jurídica posee un nivel adecuado de protección de datos se tendrá en cuenta los siguientes criterios, sin perjuicio de otros que pueda definir la Autoridad de Protección de Datos:

1. La legislación nacional y normativa sectorial del país, que tenga incidencia en materia de protección de datos personales;

2. La legislación en materia de seguridad nacional, pública y, en general aquella que tenga relación con la defensa y seguridad del Estado, así como la legislación penal. En estas materias se deberá poner especial énfasis en la revisión de las disposiciones que habiliten el acceso a datos personales por parte de las autoridades de ese país, organización o persona jurídica;

3. La normativa sobre transferencias ulteriores de datos personales a terceros países, organizaciones o personas jurídicas;

4. La jurisprudencia vinculada a la protección de datos personales;

5. El reconocimiento de derechos y los mecanismos para su ejercicio en favor de los titulares de datos personales;

6. El establecimiento de deberes y obligaciones de los responsables y encargados del tratamiento de datos personales;

7. La existencia de una autoridad de protección de datos personales que sea independiente y que tenga competencias de control y vigilancia del cumplimiento de la normativa en materia protección de datos personales, así como de sanción en caso del cometimiento de infracciones en esta materia. Además, deberá brindar asistencia y asesoría a los titulares y cooperación internacional con otras autoridades; y,

8. Los compromisos internacionales asumidos por el país, organización o persona jurídica en cuanto a la materia de protección de datos personales.

Artículo 74.- Transferencia o comunicación internacional mediante garantías adecuadas

De conformidad con la Ley, los instrumentos jurídicos que sustentan la transferencia internacional de datos personales a un país, organización o territorio económico internacional que no haya sido calificado por la Autoridad de Protección de Datos de tener un nivel adecuado de protección serán los siguientes:

1. Instrumentos jurídicamente vinculantes y exigibles entre las autoridades u organismos públicos;

2. Normas corporativas vinculantes aprobadas por la Autoridad de Protección de Datos;

3. Cláusulas tipo de protección de datos adoptadas por organismos internacionales de protección de datos avaladas por la autoridad de control;

4. Códigos de conducta, que incluyan compromisos vinculantes del responsable o el encargado del tratamiento en el tercer país, organización o territorio económico internacional de aplicar garantías adecuadas, que incluya las relativas a los derechos de los interesados;

5. Mecanismos de certificación que incluyen sellos y marcas de protección, que incorporen compromisos vinculantes del responsable o el encargado del tratamiento en el tercer país, organización o territorio económico internacional de aplicar garantías adecuadas, así como aquellos relativos a los derechos de los interesados; y,

6. Cláusulas contractuales que no correspondan a las cláusulas tipo y que estén debidamente autorizadas por la autoridad de protección de datos.

Artículo 75.- Normas corporativas vinculantes

Son normas corporativas vinculantes las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en la República del Ecuador, para garantizar una adecuada protección de los datos personales, que permiten realizar transferencias internacionales de datos personales a un responsable o encargado en uno o más países, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

Todo grupo empresarial, o unión de empresas dedicadas a una actividad económica conjunta, tendrá la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de datos a terceros países, siempre que tales normas corporativas incorporen todos los principios de tratamiento de datos personales y derechos aplicables y garantías de seguridad adecuadas para la transferencia de datos de personales.

Artículo 76.- Autorización de normas corporativas vinculantes

Para que las normas corporativas vinculantes constituyan garantías adecuadas de protección, deberán ser autorizadas por la Autoridad de Protección de Datos.

Para ello, la Autoridad de Protección de Datos deberá observar que las normas corporativas vinculantes cumplan los siguientes requisitos:

1. Sean jurídicamente vinculantes;

2. Confieran expresamente a los titulares derechos exigibles en relación con el tratamiento de sus datos personales; y,

3. Cumplan con los requisitos establecidos en la Ley.

Artículo 77.- Transferencia o comunicación internacional en casos no contemplados

En casos no contemplados en los artículos precedentes, la Autoridad de Protección de Datos Personales autorizará, con carácter previo, la transferencia internacional de datos personales, únicamente cuando el responsable cumpla con alguno de los siguientes supuestos:

1. Que mediante contrato entre el responsable o encargado y el destinatario, este último se obligue, voluntaria y formalmente, a cumplir con la Ley, el Reglamento y demás normativa aplicable, así como a aceptar la autoridad y competencia de la Autoridad de Protección de Datos y de los tribunales ecuatorianos, para cualquier efecto relacionado con el tratamiento de los datos objeto de la transferencia; o,

2. Que mediante contrato entre el responsable o encargado y el destinatario, este último se obligue, voluntaria y formalmente, a cumplir con la Ley, el Reglamento y demás normativa aplicable, y que en el país o territorio donde se encuentre establecido el destinatario se garantice el ejercicio de los derechos, incluido aquel a presentar una reclamación ante una autoridad de protección de datos personales y el derecho a la tutela judicial efectiva, por parte de los titulares.

Artículo 78.- Registro de información sobre transferencias internacionales en el Registro Nacional de Protección de Datos

En el Registro Nacional de Protección de Datos se registrará la siguiente información:

1. El país donde se ubica el destinatario de los datos;

2. Las categorías de datos objeto de la transferencia;

3. Las finalidades de la transferencia;

4. El nombre, denominación, razón social o nombre comercial con el que se identifique al destinatario;

5. El mecanismo o esquema autorizado, conforme a la Ley y este Reglamento, para realizar la transferencia; y,

6. El criterio de excepción utilizado de los previstos en la Ley, cuando sea el caso.

La Autoridad de Protección de Datos privilegiará la utilización de medios digitales para el registro de la información descrita, y emitirá las reglas conforme a las cuales se realizará el registro de la información, los medios disponibles para el registro, los plazos, así como los mecanismos para la actualización de dicha información, de ser el caso.

CAPÍTULO XIII.- AUTORIDAD DE PROTECCIÓN DE DATOS

Artículo 79.- Autoridad de Protección de Datos Personales

La Autoridad de Protección de Datos Personales goza de autonomía administrativa, técnica, operativa y financiera. Estará a cargo del Superintendente de Protección de Datos Personales y tendrá su sede en el Distrito Metropolitano de Quito.

El Estatuto Orgánico Funcional será aprobado por la máxima autoridad y contendrá la estructura institucional necesaria para el cumplimiento de sus fines y atribuciones.

Artículo 80.- Atribuciones

La Autoridad de Protección de Datos Personales, además de las señaladas en la Ley de la materia,

tendrá las siguientes:

1. Hacer cumplir las regulaciones en el marco de la protección de datos personales;

2. Registrar las bases de datos que contengan datos personales en el Registro Nacional de Protección de Datos Personales;

3. Dirigir y administrar el Registro Único de Responsables y Encargados Incumplidos;

4. Emitir regulaciones para la protección de datos personales;

5. Emitir los informes técnicos dentro de los mecanismos de control y supervisión que se dispongan;

6. Proponer reformas a la Ley y su reglamento;

7. Emitir guías de referencias que ayuden a los responsables y encargados del tratamiento de datos en el proceso de adecuación y cumplimiento de la normativa de protección de datos personales;

8. Conocer y resolver las peticiones, quejas, reclamos y recursos que se propongan en el ámbito de su competencia y de conformidad con la Ley; y,

9. Las demás que se le asignen en este reglamento.

Artículo 81.- Planes anuales

Las actividades de control se realizarán de acuerdo con el plan anual aprobado por la máxima autoridad, el cual será elaborado considerando la naturaleza de las organizaciones controladas, el volumen y la sensibilidad de los datos personales sujetos a tratamiento, la aplicación de los diferentes procedimientos de control y la disponibilidad presupuestaria.

Se podrán ejecutar procedimientos de control no considerados dentro de los planes anuales si la situación lo amerita, basados en criterios de criticidad, oportunidad y posibles lesiones al derecho a la protección de datos personales de uno o más titulares de datos personales.

Artículo 82.- Mecanismos de control

La Autoridad de Protección de Datos Personales determinará los procedimientos de control que se regirán por las reglas previstas en el Código Orgánico Administrativo.

Artículo 83.- Atribuciones del Superintendente de Protección de Datos Personales

Son atribuciones del Superintendente de Protección de Datos Personales, a más de las señaladas en la Ley y este Reglamento, las siguientes:

1. Representar legal y judicialmente a la Autoridad de Protección de Datos Personales, en todos los actos, contratos y relaciones jurídicas sujetas a su competencia.

2. Elaborar y publicar, anualmente, información estadística, de las organizaciones sujetas a su control y de los tratamientos de datos personales.

3. Formular, aprobar y ejecutar el presupuesto de la Autoridad de Protección de Datos Personales.

4. Preparar estudios y propuestas sobre reformas legales y reglamentarias que se requieran para el correcto ejercicio del derecho a la protección de datos personales, y ponerlos en consideración de los órganos encargados de aprobarlas.

5. Aprobar y expedir normas internas, resoluciones y manuales que sean necesarios para el buen funcionamiento de la Autoridad a su cargo.

Artículo 84.- Registro Nacional de Protección de Datos Personales

El Registro Nacional de Protección de Datos Personales constituye un registro público a cargo de la Autoridad de Protección de Datos Personales, que contiene las bases de datos personales o tratamiento realizado por los responsables de tratamiento de datos personales en los términos previstos en la Ley.

Artículo 85.- Responsabilidad del registro

El reporte y la actualización de la información en el Registro Nacional de Protección de Datos Personales, será obligación del responsable de tratamiento.

Esta obligación no implica el registro de los datos contenidos en la base de datos o que son objeto del tratamiento, y se realizará de manera independiente por cada base de datos o tratamiento.

La Autoridad de Protección de Datos Personales regulará los procesos de reporte y actualización en el Registro Nacional de Protección de Datos Personales a su cargo que deberán cumplir los responsables de tratamiento de datos personales.

Artículo 86.- Inscripción oportuna

El reporte de bases de datos o tratamiento en el Registro Nacional de Protección de Datos Personales deberá realizarse dentro del término de diez días contados a partir del día siguiente al inicio del tratamiento.

Artículo 87.- Registro Único de Responsables y Encargados del tratamiento de datos personales incumplidos

El Registro Único de Responsables y Encargados de tratamiento de datos personales incumplidos constituye un registro público a cargo de la Autoridad de Protección de Datos, en el que se harán constar los responsables y encargados del tratamiento que hubieren incurrido en alguna de las infracciones establecidas en la Ley y cuenten con una resolución firme, de conformidad con lo dispuesto en el ordenamiento jurídico vigente.

Dicho registro contendrá los siguientes datos:

1. Nombre de la persona natural o jurídica infractora;

2. Indicación de la infracción cometida;

3. Indicación de la sanción impuesta; y,

4. Reiteración o reincidencias en el cometimiento de infracciones.

Artículo 88.- Fines del Registro Único de Responsables y Encargados del tratamiento de datos personales Incumplidos

El Registro Único de Responsables y Encargados del tratamiento de datos personales Incumplidos será utilizado exclusivamente para fines estadísticos, preventivos y de capacitación.

La Autoridad de Protección de Datos guardará la confidencialidad y privacidad de los datos contenidos en el Registro y aplicará las medidas de seguridad a fin de proteger la información personal contenida en el mismo.

La Autoridad de Protección de Datos mantendrá permanentemente actualizado el Registro, de tal forma que responda con veracidad y exactitud a los datos contenidos en el mismo.

Artículo 89.- Plazo de conservación

El plazo máximo de conservación de los datos contenidos en el Registro de Responsables y Encargados del Tratamiento de datos personales Incumplidos es de siete (7) años contados desde la fecha de la emisión de la resolución o sentencia en firme.

CAPÍTULO XIV.- RÉGIMEN SANCIONATORIO

Artículo 90.- Cometimiento de infracciones

En los casos en que se presuma el cometimiento de alguna de las infracciones previstas en la Ley, la Autoridad de Protección de Datos iniciará el correspondiente procedimiento administrativo sancionatorio, de conformidad con las disposiciones establecidas en el Código Orgánico Administrativo.

La resolución que ponga fin al procedimiento deberá estar debidamente fundamentada y motivada, de conformidad con lo establecido en la Ley.

Las sanciones a las que hubiere lugar se impondrán sin perjuicio de la responsabilidad civil o penal que resulten del cometimiento de la infracción.

DISPOSICIÓN GENERAL

Los procedimientos administrativos se regirán por lo previsto en el Código Orgánico Administrativo.

DISPOSICIÓN TRANSITORIA

PRIMERA

La implementación y funcionamiento de la Superintendencia de Protección de Datos Personales estará sujeta a la disponibilidad presupuestaria, previo dictamen favorable del ente rector de las finanzas públicas.

SEGUNDA

En el plazo máximo de un (1) año, contado a partir de la fecha de implementación y funcionamiento de la Superintendencia de Protección de Datos Personales, esta coordinará y llevará a cabo capacitaciones técnicas y cursos de formación dirigidos al público en general, orientados a promover el ejercicio del derecho a la protección de datos personales y a la profesionalización de los delegados de protección de datos personales. Para tal efecto, podrá celebrar alianzas con instituciones de educación superior con experiencia en la materia, así como con organizaciones especializadas que promuevan la protección de datos personales.

DISPOSICIÓN FINAL

El presente Reglamento General entrará en vigencia a partir de su publicación en el Registro Oficial.

Dado en el Palacio Nacional, Distrito Metropolitano de Quito, el 6 de noviembre de 2023.

Guillermo Lasso Mendoza, PRESIDENTE CONSTITUCIONAL DE LA REPÚBLICA

Quito, 8 de noviembre del 2023, certifico que el que antecede es fiel copia del original.

Documento firmado electrónicamente, Juan Pablo Ortiz Mena, SECRETARIO GENERAL JURÍDICO DE LA PRESIDENCIA DE LA REPÚBLICA DEL ECUADOR.

02Sep/24

SENTENCIA 033 DE 28 DE AGOSTO DE 2024 DEL JUZGADO ONCE PENAL DEL CIRCUITO CON FUNCIONES DE CONOCIMIENTO

2 septiembre, 2024Colombia, Juzgado Once Penal, Sentenciaderechos conexos, Derechos de Autor, Jurisprudencia Colombia, Jurisprudencia Derecho Informático ColombiaJosé Cuervo

SENTENCIA 033 DE 28 DE AGOSTO DE 2024 DEL JUZGADO ONCE PENAL DEL CIRCUITO CON FUNCIONES DE CONOCIMIENTO

Medellín, veintiocho (28) de agosto de dos mil veinticuatro (2024)

Sentencia : 033 de 2024

Radicado : 050016000248 2012 00591 (N.I. 2018-204932)

Procesado : N.A.V.D.

Delito : Violación a los derechos patrimoniales de autor y derechos conexos

Decisión : Sentencia condenatoria

Concluido el juicio oral y emitido el sentido del fallo, procede el Juzgado a dictar la respectiva decisión de fondo respecto de N.A.V.D., quien fue acusado como AUTOR del delito de VIOLACIÓN A LOS DERECHOS PATRIMONIALES DE AUTOR Y DERECHOS CONEXOS (art. 271 num. 2 y 4 C.P.).

1. HECHOS.

Con posterioridad a su salida de la agrupación LOS INQUIETOS, y más concretamente entre 2006 y 2018, N.A.V.D. incluyó en sus presentaciones las canciones originales del grupo, pese a no estar autorizado para ello por su titular LG MUSIC LTDA., máxime cuando el plazo de un año pactado para interpretar doce de sus temas, ya había expirado.

2. IDENTIFICACIÓN.

N.A.V.D. se identifica con la cédula de ciudadanía XX.XXX.XXX de San Juan del Cesar (Guajira), nació el 15 de marzo de 1973 en Medellín (Antioquia.), músico de profesión y residente en el barrio Los Colores de esta ciudad.

3. ALEGATOS DE LAS PARTES.

3.1 La FISCALÍA GENERAL DE LA NACIÓN solicitó condena al predicar probada más allá de duda razonable la responsabilidad penal de N.A.V.D., quien se beneficiaba de la interpretación de las canciones de la agrupación LOS INQUIETOS, de la cual fue vocalista y que le pertenecía a la firma LG MUSIC LTDA., la cual se vio afectada en su patrimonio, pues al ser el procesado la voz original de las exitosas canciones, terminaba siendo preferido por los empresarios, todo y a pesar de que el año de gracia otorgado en virtud de un contrato de transacción se encontraba superado. De modo que, a juicio del Ente Acusador, se acreditó que el acusado, pese a saber que no podía hacerlo, continuó con la explotación comercial de unas canciones cuya titularidad no fue disputada y frente a la cual tampoco se desvirtuó la prohibición de su interpretación.

3.2 A su turno, el REPRESENTANTE DE VÍCTIMAS coadyuvó la pretensión de su antecesor al sostener que la Defensa no contrarrestó la teoría del caso de su contraparte, quien a su vez demostró como el acusado interpretó públicamente doce obras de LG MUSIC LTDA. por fuera del lapso comprendido entre el 25 de julio de 2005 y el 25 de julio de 2006, el cual fue pactado en un contrato de transacción incorporado como prueba en esta causa, aspecto que los perjudicó con la pérdida de reputación en la industria musical, la no contratación para presentaciones o la cancelación de las mismas, pues el procesado desplazaba a la agrupación LOS INQUIETOS sin reconocerles ningún tipo de participación económica.

3.3. La DEFENSA, luego de reconocer que todos los roles dentro de la industria musical tenían derechos patrimoniales, abogó por la preservación de la presunción de inocencia y la atipicidad de la conducta por ausencia de los elementos objetivos del tipo al sostener que:

(i) los derechos patrimoniales de los que era titular el productor fonográfico se garantizaron a través de ACINPRO, cuyo permiso se presumía obtenido por los empresarios al momento de contratar las interpretaciones en vivo, aspecto no desvirtuado por el órgano de investigación penal y cuya carga probatoria no podía trasladarse al acusado;

(ii) que la denuncia se realizó por las presentaciones en vivo en las cuales no se utilizan los fonogramas de LG MUSIC;

(iii) que el contrato suscrito por su prohijado fue para grabar unos discos, mientras la transacción tuvo por objeto la carta de libertad por la cual pagó;

(iv) que la marca LOS INQUIETOS se registró en 2005, es decir, mucho tiempo después del ingreso de su asistido al conjunto;

(v) que LG MUSIC seguía siendo la única que se lucraba con las canciones al no demostrarse que el procesado comercializara ilegalmente las grabaciones o utilizara la marca LOS INQUIETOS;

(vi) que no se acreditó que LG MUSIC fuera autor o editor musical de las canciones y tampoco que fuera titular de los derechos patrimoniales, mucho menos que fuera competente para realizar prohibiciones, al brillar por su ausencia los contratos de cesión de las obras musicales, mientras que O.G., I.C. y W.C. nunca le prohibieron a su asistido la interpretación de esas obras musicales, de ahí que esa limitación se tornaba inexistente; y, finalmente,

(vii) que la controversia nunca llegó a la vía civil gracias al contrato de transacción que resolvió las diferencias del contrato de interpretación exclusiva y determinó un pago para obtener la carta de libertad.

3.4 La oportunidad de réplica y contrarréplica fue utilizada por las partes de la siguiente manera:

3.4.1 La FISCALÍA GENERAL DE LA NACIÓN sostuvo que, al contrario de lo sugerido por su contraparte, la prueba apuntaba a que LG MUSIC era editora musical y fue la creadora de los fonogramas; además, que la empresa se vio afectada porque al momento de contratar con los empresarios se encontraban con que el procesado se les había adelantado, lo cual resultaba apenas obvio si se tiene en cuenta que la gente prefería la voz original para interpretar las canciones de LOS INQUIETOS. Asimismo, cuestionó la minimización realizada al contrato de transacción, cuya suscripción implicó el reconocimiento del derecho que tenía la víctima sobre las canciones, al punto de implicar una indemnización y no simplemente el pago de una carta de libertad. Entonces, a su juicio si demostró la tipicidad de la conducta al establecerse que el procesado siguió cantando las canciones en público a pesar de saber de la prohibición por parte de LG MUSIC.

3.4.2 La DEFENSA, por su parte, subrayó que no se probó la cancelación de contratos a LG MUSIC por preferir a N.A.V.D., pues la prueba testimonial apuntaba a que la agrupación siguió su curso normal; que la firma del contrato de transacción no era un precedente pues estaba dirigido a indemnizar el contrato de interpretación artística exclusiva que unía a LG MUSIC LTDA y el procesado, mismo que se rompió a instancias de la primera, quien, por lo demás, no probó la titularidad de las obras.

4. LAS ESTIPULACIONES Y LAS PRUEBAS.

4.1 Las partes estipularon tener como probado y cierto lo siguiente:

4.1.1 La plena identidad de N.A.V.D.

4.1.2 LG MUSIC LTDA. tiene unas facultades para la producción, grabación, comercialización y distribución de todo tipo de música a nivel nacional e internacional y puede desarrollar su objeto social en sus propios establecimientos o en establecimientos de terceros.

4.1.3 La empresa LG MUSIC LTDA. tiene la facultad para la explotación comercial de la rama artística en todas sus manifestaciones; por consiguiente, en desarrollo del objeto social dicha sociedad puede grabar por sí o por terceros la letra y música que ejecuten los artistas, intérpretes y ejecutantes contratados, como las bandas, orquestas, conjuntos musicales en discos y cintas, acetato, estampe magnetofónico video, discos, discos compactos, cintas digitales y todos los medios tecnológicos conocidos o por conocerse.

4.1.4 La empresa LG MUSIC LTDA. tiene la facultad para fijar o grabar obras lírico-musicales en todo tipo de soporte conocido o por conocerse en Colombia y el exterior.

4.1.5 La empresa LG MUSIC LTDA. puede adquirir en propiedad o bajo contrato de cesión y licencias o bajo cualquier tipo de licitación autora o de propiedad intelectual, composiciones musicales, etc. que tenga la facultad de realizar contratos sobre estas obras musicales fonográficas.

4.1.6 La firma LG MUSIC LTDA. tiene facultad de celebrar contratos de representación y administración editorial con finalidad de cobrar, liquidar o recaudar regalías autorales en Colombia y el exterior.

4.1.7 La firma LG MUSIC LTDA. puede celebrar contratos de exclusividad con artistas, intérpretes, autores, compositores, arreglistas, ejecutantes, conjuntos y orquestas.

4.1.8 La empresa LG MUSIC LTDA. puede realizar campañas publicitarias en radio, televisión o prensa, en favor de todos sus artistas con la finalidad de hacer una mayor divulgación de sus obras en Colombia y el exterior.

4.1.9 LG MUSIC LTDA. puede realizar intercambios artísticos con entidades similares cediendo recíprocamente los catálogos fonográficos que cada editora controle y administre derechos autorales con las facultades o previas autorizaciones de sus compositores.

4.1.10 LG MUSIC LTDA. puede registrar en los libros de registro de propiedad intelectual y derechos de autor ante la Dirección Nacional de Derechos de Autor las obras o composiciones cuyos derechos administre y represente.

4.1.11 LG MUSIC LTDA. puede contratar con terceros la prestación de grupos musicales orquestas y conjuntos, la realización de conciertos en público o en privado en Colombia y el exterior.

4.1.12 LG MUSIC LTDA. puede promocionar artistas propios o en presentación para espectáculos públicos en Colombia y el exterior.

4.1.13 LG MUSIC LTDA. puede organizar y explotar espectáculos públicos con sus propios artísticas o contratados.

4.1.14 J.L.G. es el representante legal de LG MUSIC LTDA.

4.2 La prueba practicada en este evento fue a instancia de la FISCALÍA GENERAL DE LA NACIÓN, pues, llegado el momento, la DEFENSA renunció a sus medios de convicción:

4.2.1. A.J.M.H., gerente y representante legal de ACINPRO, comenzó por explicar que su representada era una sociedad de gestión colectiva sin ánimo de lucro de carácter privado que representaba los derechos de artistas, intérpretes, ejecutantes y productores fonográficos en la gestión de los derechos conexos a los de autor en los sitios donde suene o se comunique la música en fonograma (soporte material en donde se fijan los sonidos que luego se reproducen y salen al aire), pues, a diferencia de SAYCO, entidad encargada de gestionar los derechos de los autores y compositores, ellos no cobran por las presentaciones en vivo, salvo que durante las mismas se pusiera música fonograbada.

Seguidamente, reconoció que LG MUSIC era una de sus afiliadas y tenía acreditados trescientos sesenta y nueve (369) fonogramas de distintos grupos musicales, ocurriendo algo similar con N.A.V.D., quien aparece asociado como intérprete (canta o interpreta la canción con su voz) también a través de distintos grupos, siendo uno de ellos LOS INQUIETOS DEL VALLENATO. Asimismo, refirió que para interpretar una canción siempre requiere la autorización de ACINPRO y dijo desconocer si el procesado contaba con la misma. Por último, aclaró que los productores también tenían derechos sobre la reproducción de los fonogramas.

4.2.2. J.J.A.O., asesor jurídico externo de ACINPRO y asesor de productores fonográficos, testificó que SAYCO y ACINPRO eran dos sociedades de gestión colectiva que tenían la facultad para actuar en nombre y representación de los titulares de los derechos de autor y conexos para su recaudo y posterior distribución por concepto de comunicación pública (radio, televisión, establecimientos abiertos al público y espectáculos en vivo). En este sentido, distinguió a SAYCO como la encargada de los autores (creadores de la obra literaria o letra), compositores (quienes le imprimen música a esa letra) y editores (personas naturales o jurídicas que contrataban con el autor para fijar la obra y la música en un fonograma o soporte material que luego era distribuido en todos los ámbitos para salir al mercado), mientras que ACINPRO cobijaba a los intérpretes (cantantes), artistas (músicos acompañantes) y productores fonográficos (personas naturales o jurídicas que fijaban esos sonidos en un soporte material).

De otro lado, explicó que realizar un concierto exigía de autorización previa y expresa, pues, de no contarse con la misma, los titulares de los derechos podían acudir a las autoridades por el uso de sus obras por fuera de los parámetros legales, por eso N.A.V.D., a quien conocía por encontrarse afiliado a ACINPRO y ser una figura del género del vallenato, solo podía interpretar en vivo las canciones u obras musicales respecto de las cuales contaba con autorización legal para su explotación, pues, aunque no sabía de prohibiciones en su contra y por buena fe se presumía que al subir a tarima ya el asunto estaba en regla, lo cierto era que de acuerdo con las normas nacionales e internacionales no podía utilizar o comunicar obras musicales sin permiso; por tanto, si el productor musical le prohibió verbalmente o por escrito el uso de algunas canciones, no debió usarlas, pues el hecho de que esa restricción no fuera publicitada no la hacía inexistente.

Igualmente, indicó que un productor fonográfico tenía derechos sobre el uso del fonograma, mientras que la ejecución en vivo de las obras podía ser prohibida por los autores o editores, pues, por regla general, aquéllos les cedían sus derechos a éstos; además, los productores fonográficos no podían prohibir la ejecución pública de la obra por ser ésta distinta al fonograma y, aunque se podía presumir la autorización, la misma podría desvirtuarse por quien se considere afectado. Finalmente, sostuvo que lo grabado en el fonograma y la ejecución en vivo eran cosas diferentes, pero eso no desvirtuaba la originalidad de la obra.

4.2.3. O.A.M.M., quien laboró para ACINPRO, también se refirió a que era una sociedad de gestión colectiva encargada del recaudo y posterior distribución de los derechos patrimoniales derivados de los conexos de los conexos para artistas, intérpretes, ejecutantes y productores (a diferencia de SAYCO que velaba por los autores, compositores y editores musicales). Del mismo modo, definió al fonograma como la fijación de los sonidos de una interpretación o ejecución artística en un soporte material, mientras que la obra musical era una creación que constaba de la letra del autor y la música del compositor, motivo por el cual, cuando un artista interpretaba una obra musical en tarima, no usaba el fonograma sino que hacía su propia interpretación, tratándose entonces de dos bienes jurídicos distintos amparados por los derechos conexos a los de autor; entonces, aunque un intérprete tiene derechos sobre su interpretación, esto no lo exonera del deber de obtener una autorización previa y expresa del titular de la obra musical, quien tiene la facultad de prohibir su uso o explotación sin formalismos, aunque por lo general se consigna por escrito para facilitar probar que una persona determinada no puede usar ciertos repertorios.

A continuación, distinguió entre el derecho de reproducción y de comunicación al público, aclarando que el primero solía manejarlo el productor fonográfico, mientras que el segundo le correspondía a ACINPRO; además, aclaró que el editor musical promocionaba las obras y por lo general asumía la titularidad de los derechos por un acto de traspaso, mientras que el productor de fonogramas fijaba las obras interpretadas por los artistas o ejecutantes en un soporte físico o material, de ahí que sus derechos fueran distintos.

Ya frente al caso concreto dijo reconocer a N.A.V.D. por la agrupación LOS INQUIETOS DEL VALLENATO y por ser un artista de gran éxito, pero ignoraba si estaba afiliado a ACINPRO, lo que sí ocurría con la productora fonográfica LG MUSIC LTDA., aunque no sabía si también era editora musical.

Entonces, el llamado a prohibir o autorizar la ejecución de las obras musicales al antes mencionado tuvo que ser el autor, compositor o editor de las obras o quien ostentaba los derechos patrimoniales de las mismas y de haber sido así, el cantante no debió interpretar esas obras.

4.2.3.1 A través de este testigo se incorporó una CERTIFICACIÓN DEL 23 DE OCTUBRE DE 2013, donde consta la afiliación de LG MUSIC a ACINPRO.

4.2.4. El Investigador de la Policía Judicial D.A.G.B. depuso que conoció a N.A.V.D. porque en virtud de una orden judicial se le encargó filmar un concierto que el artista realizó en Rionegro, para lo cual obtuvo autorización de uno de los organizadores para grabar, lo cual hizo en la madrugada del 07 de octubre de 2018, cuando el antes nombrado subió a tarima para interpretar unas canciones cuyo nombre ignoraba, filmación que alcanzó aproximadamente cincuenta minutos y que fijó en un disco compacto que luego rotuló, embaló y sometió a cadena de custodia.

4.2.4.1 Fue así como se incorporó el video del CONCIERTO DE RIONEGRO celebrado la noche del 06 y la madrugada del 07 de octubre de 2018 donde se presentó N.A.V.D.

4.2.5. J.L.G., representante legal de la empresa LG MUSIC LTDA., bajo la gravedad del juramento dijo que su compañía se dedicaba a la producción y comercialización de música en los formatos existentes y era propietaria de la marca LOS INQUIETOS DEL VALLENATO, agrupación que interpretaba música de dicho género y realizaba interpretaciones en vivo. Debido a esto, conoció a N.A.V.D. con quien celebró un contrato de representación artística, en virtud del cual adquirió los derechos musicales e imagen del artista por cinco (5) años, lo que significaba que a cambio de una contraprestación económica, el cantante ponía su voz e imagen en los audios y videos realizados por la empresa y asistía de manera personal a los programas de promoción y representación artística, pacto que honró por mucho tiempo, al punto de extenderse hasta 2007.

No obstante, en 2003 comenzaron las dificultades que conllevaron la realización de unos acuerdos que solo funcionaron al principio, pues, aunque se le autorizó el manejo de todo el dinero de sus presentaciones, con el tiempo dejó de consignar la parte correspondiente a la empresa, razón por la cual optaron por designar a A.D., un primo suyo, quien poco pudo hacer por ser el procesado quien se hacía con el dinero.

Fue así como a partir del 06 de agosto de 2004, pese a que no se puso fin al contrato de representación artística, sí se tomó la decisión irrevocable de prohibirle usar la marca LOS INQUIETOS DEL VALLENATO para contratar o presentarse y utilizar la versión original de las canciones grabadas con su voz por la compañía y por las cuales ya había recibido los correspondientes emolumentos, sin perjuicio de poder interpretar otras canciones o cualquier otra música.

Sin embargo, el artista no atendió lo anterior y ocho meses después fue demandado civilmente, lo cual conllevó un acuerdo en donde se comprometió a pagar un dinero por su carta de libertad y a no utilizar la marca y las canciones de LG MUSIC en su versión original durante presentaciones en vivo; empero, ya en Fiscalía se pactó la entrega de la titularidad de trece (13) temas todavía no grabados y la utilización de doce (12) canciones de LOS INQUIETOS para interpretar por un año, es decir, desde 2005 hasta 2006, a fin de impulsar su carrera por fuera del grupo. Y aunque se pagaron cumplidamente seiscientos cincuenta millones de pesos ($650.000.000) acordados, el denunciado, quien podía perfectamente contratar por su cuenta presentaciones como intérprete de música vallenata o cualquier otro género y hasta utilizar otras canciones de LOS INQUIETOS, siguió utilizando la marca y las canciones originales por más de un año, incluso hasta la actualidad, lo cual afectaba a la compañía, pues el ochenta por ciento (80%) de sus ingresos provenían de presentaciones en vivo y los empresarios lo llevaban a él como si fuera LOS INQUIETOS DEL VALLENATO.

De otra parte, aclaró que esas doce canciones, aunque tenían la voz original de N.A.V.D., eran de LOS INQUIETOS y estos a su vez eran de la empresa por él representada, significando con esto que fueron quienes asumieron los costos de elaboración de los productos, pues tomaron los temas enviados por los compositores, definieron el guion, hicieron los arreglos, subcontrataron los músicos, consiguieron el estudio de grabación, pagaron la alimentación, suscribieron los contratos de exclusividad con el cantante y el acordeonero y efectuaron el mercadeo y la promoción, de ahí que esas canciones pasaran en un cien por ciento (100%) a ser propiedad de LOS INQUIETOS DEL VALLENATO y LG MUSIC, pues se pagaron todos los derechos a todos los participantes y proveedores.

En punto a esta controversia refirió haber presenciado personalmente como el procesado interpretó las canciones de LG MUSIC, siendo la última de ellas en La Macarena, donde de doce canciones, once eran de su empresa; además, A.R.I. llevaba siete años pendiente de las presentaciones nacionales e internacionales en donde ocurría lo mismo.

Con este testigo se incorporó la siguiente prueba documental:

4.2.5.1 Un CONTRATO DE INTERPRETACIÓN ARTÍSTICA

EXCLUSIVA del 22 de febrero de 2000.

4.2.5.2 Una ADICIÓN AL CONTRATO DE

INTERPRETACIÓN ARTÍSTICA EXCLUSIVA del 28 de enero de 2002.

4.2.5.3 Un CONTRATO DE TRANSACCIÓN del 11 de agosto de 2005.

4.2.6. A.M.G.P. dijo conocer tan solo de vista a J.L. y de oídas a la agrupación LOS INQUIETOS e ignorar que tipo de vínculo contractual los unía a N.A.V.D., si existían prohibiciones para interpretar públicamente las obras musicales o si en efecto se interpretó obras de alguien más; sin embargo, acreditó tener una destacada formación académica y amplia experiencia profesional a nivel nacional e internacional, la cual incluyó los cargos de Directora de Innovación y Tecnología y Directora Administrativa de ACINPRO, sociedad encargada de buscar las regalías por los derechos conexos a los de autor para artistas, ejecutantes, intérpretes y productores de fonogramas asociados, entre los cuales se encontraba LG MUSIC.

En virtud de lo anterior, aclaró que artista era quien producía un sonido que era grabado y difundido comercialmente, mientras que el productor musical era el encargado de la grabación, bien sea porque el artista y su conjunto musical le paga para eso (evento en el cual el artista seguiría siendo el dueño y podría hacer las prohibiciones) o porque contrate al intérprete, a los ejecutantes y todo lo necesario para la producción (evento en el cual el productor sería el dueño y podría hacer las prohibiciones), de ahí que todo dependa de quien hizo la contratación, pues aunque a ACINPRO se le entrega la música para gestión de los derechos conexos (entre los cuales estaba la puesta a disposición y la ejecución pública de la música previamente grabada, por corresponderle a SAYCO la que es en vivo), no por ello se garantizaba que le perteneciera al afiliado, ocurriendo algo similar con el intérprete, quien podía poner la voz, pero no necesariamente ser el dueño del derecho patrimonial, de modo que era necesario definir quién lo era para saber si podía realizar o no prohibiciones, las cuales, por lo demás, no eran comunes en la industria.

4.2.6.1 A través de esta deponente se incorporó una CERTIFICACIÓN DEL 21 DE FEBRERO DE 2019, con un listado de ciento cuarenta y seis (146) fonogramas digitales y análogos de la empresa LG MUSIC en ACINPRO.

4.2.7. La cantante A.R.I., quien laboró para LG MUSIC y se desempeñó como corista y community manager de los INQUIETOS DEL VALLENATO, agrupación que continuó sin N.A.V.D., a quien dijo conocer y saber de sus diferencias con la empresa, a pesar de ignorar las razones. Sin embargo, con ocasión de sus funciones se le encomendó recolectar de portales diferentes al perfil del procesado, información relacionada con la interpretación de doce canciones que no le fueron autorizadas a través de un contrato de interpretación exclusiva, entre las cuales estaban:

(1) “Nunca niegues que te amo”,

(2) “Entrégame tu amor”,

(3) “Volver”,

(4) “Te pierdo y te pienso”,

(5) “Primavera azul”,

(6) “Dos locos”,

(7) “No queda nada”,

(8) “Me matará el sentimiento”

(9) “Suave brisa”,

(10) “Quiero saber de ti”,

(11) “Buscaré otro amor” y

(12) “Perdóname la vida”,

Búsqueda que incluyó carteles de conciertos y descargas de videos de interpretaciones en vivo con sus correspondientes links, los cuales guardó en una USB posteriormente entregada a la Fiscalía junto a un informe con datos en su mayoría suministrados por su jefe. Asimismo, reconoció algunas de estas canciones en los videos aportados por el investigador, por las cuales LG MUSIC recibía regalías y no constarle que los compositores O.G., I.C. y W.C. le hubiesen prohibido al procesado, quien era la voz original, la interpretación de las canciones, lo que sí hizo LG MUSIC, quien tenía la propiedad de las canciones por ser quienes los reclamaban al sello discográfico CODISCOS.

5. CONSIDERACIONES.

Sea lo primero indicar que, gracias a los testimonios de A.J.M.H., J.J.A.O., O.A.M.M. y A.M.G.P., se logró una aproximación a algunos conceptos propios de la industria musical y los derechos de autor con sus conexos, entre los cuales se destacan los siguientes: fonograma (fijación del sonido en un soporte material), autor (creador de la letra de una obra), compositor (quien le da la música a la obra), editor musical (contrata a una pluralidad de personas y alinea una serie de elementos que le aportan a la creación de un producto, los cuales pueden incluir a un intérprete para que le ponga su voz a la canción, unos ejecutantes o músicos acompañantes bien sea con instrumentos o con su voz en el caso de los coristas) y productor fonográfico (persona natural o jurídica que toma los sonidos y los fija en un soporte material) (1).

Asimismo, se estableció que de estos roles se desprenden unos derechos conexos con efectos patrimoniales, los cuales son gestionados en el país por SAYCO y ACINPRO, ambas sociedades privadas de gestión colectiva y libre asociación, encargadas de velar por el recaudo y la distribución del valor monetario de esos derechos, dependiendo de quienes sean sus titulares o si la difusión es en fonograma o presentación en vivo.

Además, se ilustró acerca del proceso de creación de un producto o canción, el cual puede iniciar con la elección de una letra recibida de su autor y la contratación de un compositor para la creación de la música, pasando luego pasar a la contratación de un intérprete y unos músicos encargados de dar vida a esa obra con su voz y sus instrumentos, para seguidamente rentar un estudio de grabación y conseguir alimentación para los involucrados, para finalmente, cuando ya los sonidos estaban en el soporte material, proceder a su publicitación, comercialización y distribución al público, todo con la esperanza de que tenga éxito, tareas que trascendieron de un rol de productor fonográfico y que permiten tratarla como editora musical, aspecto que no puede entenderse desvirtuado por no estar afiliada a SAYCO, pues, como lo establecieron las personas que laboraron o laboran en estas sociedades, la afiliación a las mismas es libre y no es un requisito sine qua non para acreditar un rol que, de acuerdo con el objeto social abordado a través de ESTIPULACIONES PROBATORIAS, podía cumplir LG MUSIC LTDA.

Ahora bien, precisamente fue esta modalidad la que utilizó LG MUSIC y su marca LOS INQUIETOS, agrupación de la que hizo parte N.A.V.D., quien fue contratado para ser la voz líder desde 2000 a 2004 y grabó numerosas obras musicales, algunas de las cuales se convirtieron en éxitos indiscutidos de la industria musical, aspecto que llevó a extender en el tiempo esa relación.

Sin embargo, a pesar de la calidad vocal del artista y el sello distintivo de su interpretación, esto no lo convierte en titular de los derechos frente a las canciones, aspecto que, a diferencia de lo alegado en esta causa, sí aparece fehacientemente acreditado, no tanto por las CERTIFICACIONES expedidas por ACINPRO que no tienen la potencialidad de definir la titularidad de los derechos, sino por las pautas brindadas por A.M.G.P., en el sentido de ubicar al encargado de poner el dinero para determinar quién era el dueño, pero, sobre todo, por el contenido de la cláusula quinta del CONTRATO DE INTERPRETACIÓN ARTÍSTICA EXCLUSIVA, en el cual se deja claro desde el principio que las canciones quedaban en propiedad de la compañía.

Lo anterior es acentuado en el CONTRATO DE TRANSACCIÓN que no dependía de la fecha en que se registró la marca LOS INQUIETOS o si esta ocurrió antes o después del ingreso del procesado al grupo, y, si bien es cierto, hablaba de liberar al cantante del negocio jurídico antes relacionado, también lo es que no se contrajo a esto, por incluir también el pago de seiscientos cincuenta millones de pesos ($650.000.000) por concepto de indemnización (no de liberación), la prohibición de presentarse como parte de la marca LOS INQUIETOS, la cesión de trece (13) obras inéditas, y, por último, pero no menos importante, la utilización de doce (12) temas de propiedad de la compañía por tan solo un año (entre 2005 y 2006), todo a fin de permitir que su carrera como solista despegara.

En otras palabras, N.A.V.D., con la suscripción de este documento no solo aceptó pagar por los perjuicios ocasionados hasta ese momento, sino que reconoció la facultad de LG MUSIC LTDA. de prohibirle la interpretación de las canciones de LOS INQUIETOS, por desprenderse así de la

cláusula sexta, que alude entre otras cosas a

“2. Respetar la titularidad de las obras musicales de propiedad de LG MUSIC LTDA que no le hayan sido autorizadas para su interpretación”,

3. No interpretar, ni promocionar las obras musicales que no le hayan sido autorizadas, de conformidad con el presente contrato de transacción y la lista de autorización anexa,

4.Respetar la titularidad de LG MUSIC LTDA sobre las marcas Los Inquietos, Los Inquietos del Vallenato y Los Inquietos de Colombia”.

Y a pesar de que a la actuación no se aportó el listado anexo de canciones, ello no significa que no se hubiese podido determinar, porque, gracias a la declaración de A.R.I., se supo que los temas en cuestión eran “Nunca niegues que te amo”, “Entrégame tu amor”, “Volver”, “Te pierdo y te pienso”, “Primavera azul”, “Dos locos”, “No queda nada”, “Me matará el sentimiento”, “Suave brisa”, “Quiero saber de ti”, “Buscaré otro amor” y “Perdóname la vida”, mismos que el procesado no tuvo reparo en interpretar por fuera del lapso señalado en el contrato realizado para precaver un pleito o poner término a uno surgido con la separación del grupo LOS INQUIETOS.

La acreditación de esto último se logró en este proceso gracias, de un lado, a la labor

realizada por el Policía Judicial D.A.G.B., quien asistió a uno de los conciertos en los que participó el acusado, el cual se celebró en la localidad de Rionegro entre el 06 y 07 de octubre de 2018, en donde, según lo manifestado por los testigos vinculados con LG MUSIC, se interpretaron temas originales de LOS INQUIETOS, entre los cuales habían algunos de los ya mencionados y otros más, en concreto: “Nunca niegues que te amo”, “Te sorprenderás”, “Ven y dime”, “Regálame una noche”, “Perdóname la vida” y “Entrégame tu amor”.

Además, el propio J.L.G. dijo haberlo visto interpretar once de sus canciones en La Macarena, mientras A.R.I. reconoció que encontró videos en redes sociales de N.A.V.D. realizando interpretaciones en vivo entre 2008 y 2019 con las canciones “Nunca niegues que te amo” y “Volver”, mientras que de “Primavera azul”, encontró enlaces de 2010, 2015, 2016 y 2018.

Ahora, la Defensa se escuda en el hecho de que los derechos patrimoniales se garantizaban con los pagos realizados por los empresarios de conciertos a ACINPRO, los cuales, como lo indicó J.J.A.O., se presumían obtenidos al momento de subir a tarima; sin embargo, las funciones de estas sociedades de gestión colectiva no se extienden al control del cumplimiento de las prohibiciones impuestas por los titulares de los derechos a los artistas, de ahí que de la obtención de los paz y salvos expedidos por estas entidades no se desprende que el procesado estuviera autorizado para interpretar los temas de LG MUSIC, pues la prohibición regía entre las partes e independientemente de la publicidad que se le hubiese podido dar al asunto, el cual no demanda ninguna solemnidad y tampoco contaba con instrumentos para facilitar su implementación, de ahí que el hecho de plasmarse por escrito solo repercute al momento de facilitar su prueba.

Entonces, si el procesado sabía, como en efecto ocurría, que LG MUSIC le había prohibido la interpretación de sus productos más allá de 2006, no podía incluirlos en su repertorio, independientemente de que los eventos contaran con la constancia de pago a ACINPRO.

Por lo demás, discute la Defensa la titularidad de los derechos patrimoniales y la facultad de la empresa de prohibir la utilización de las canciones, pero este argumento soslaya las manifestaciones de O.A.M.M. y A.M.P.G. en punto a que los autores suelen entregar la titularidad de sus obras a compañías como LG MUSIC LTDA para que, gracias al proceso creativo, conviertan esas letras en una obra musical con características de originalidad que generen recordación en el público, circunstancia que en este evento concreto no se queda en el plano de la probabilidad, al aclararse por parte de J.L.G. que su empresa era la dueña del cien por ciento de las canciones y para eso les pagó a todos los interesados, tópico frente al cual no fue impugnado en su credibilidad y tampoco refutado.

En consecuencia, considera este Despacho sí se demostró que LG MUSIC LTDA ostenta derechos patrimoniales para autorizar o prohibir la interpretación de las obras musicales creados con la marca LOS INQUIETOS, máxime cuando a la actuación tampoco se aportó ningún elemento que ponga en duda tal situación y hasta donde se sabe, durante todo este tiempo nadie la ha disputado, lo cual incluye a personajes de la altura de O.G., I.C. y W.C., e incluso el propio procesado, quien tenía claro que se le contrató y pagó solo para su interpretación, conocimiento que -se insiste- tuvo la posibilidad de actualizar al momento de suscribir el contrato de transacción y que aun así no evitó que se determinara en la realización de la conducta (2).

Entonces, se equivoca la defensa al afirmar que dicho contrato solo se firmó para obtener la libertad y no para transar ninguna controversia, pues de no ser así, cómo se explica que fuera el acusado quien indemnizó, en especial cuando el vínculo fue terminado unilateralmente por LG MUSIC, aspecto que da cuenta de la consciencia de la titularidad de la firma sobre los derechos patrimoniales, bien jurídico que debe protegerse desde la perspectiva de la voz original, esto es, la grabada con la voz de N.A.V.D., pues, como bien lo dio a entender el Ente Acusador e incluso lo reconoció el propio denunciante, el público prefiere las canciones cuando son interpretadas por el procesado, situación que pone en desventaja al grupo LOS INQUIETOS, a pesar de ser suyo el repertorio.

Entonces, no resulta de recibo la idea de que ningún perjuicio económico se desprende de ese actuar, pues, de acuerdo con los VIDEOS proyectados en juicio, queda claro que se trata de las mismas canciones, a las cuales no se les cambia ni la música ni la letra, lo cual es natural, porque para eso es que era contratado, pues de no ser así, fácil le resultaría utilizar otros temas diferentes a los originales y propiedad de LG MUSIC.

Finalmente, a efectos de desvirtuar el argumento que apunta a la atipicidad de la conducta, esta instancia considera importante precisar que este tipo penal, con sus múltiples verbos rectores alternativos, busca brindar una defensa exhaustiva a los derechos patrimoniales de autor. Prueba de esto son todos los comportamientos lesivos que incluye el Legislador en la norma, la cual resulta hasta casuística e incluye entre todas esas expresiones que denotan sinonimia absoluta o relativa, el verbo rector ejecutar, el cual, según el diccionario de la Real Academia de la Lengua Española incluye dentro de sus acepciones “tocar una pieza musical”, aspecto que resulta complementado cuando más adelante habla de la comercialización de obras musicales, lo cual, a juicio de esta instancia no se contrae a la venta de discos, casetes, memorias o archivos pirata, sino también a través de las presentaciones en vivo, por también implicar estas una contraprestación económica.

En consecuencia, se está ante una conducta típica por encuadrarse en el artículo 271 numerales 2 y 4 del Código Penal Colombiano, antijurídica por lesionar o poner en peligro de lesión efectivo los derechos patrimoniales de autor, y culpable por actuar el procesado conociendo que su conducta era contraria a derecho y a pesar de eso se determinó en su realización, pudiendo obrar de otra forma, aspecto que lo hace merecedor del reproche penal.

6. DOSIFICACIÓN DE LAS PENAS.

Para la fijación de la sanción el Juzgado tendrá en cuenta el cargo por el cual es condenado el procesado, esto es, la conducta punible de VIOLACIÓN A LOS DERECHOS PATRIMONIALES DE AUTOR Y DERECHOS CONEXOS, (art. 271numerales 2 y 4 C.P), el cual apareja sanción de cuatro (4) a ocho (8) años de prisión y multa de veintiséis punto sesenta y seis (26.66) a mil (1.000) salarios mínimos mensuales legales vigentes.

Entonces, se tiene que el ámbito de movilidad de la conducta en este caso equivale a ocho (4) años y novecientos setenta y tres (973.34) salarios mínimos, los cuales al ser divididos en cuartos arrojan un (1) año para la pena privativa de la libertad y doscientos cuarenta y tres punto treinta y tres (243.33) salarios, significando lo anterior que, si el Juzgado permanece en el primer cuarto por la inexistencia de antecedentes penales y no deducirse circunstancias genéricas de agravación, se tiene que la pena oscilaría entre cuatro (4) y cinco (5) años de prisión y entre veintiséis punto sesenta y seis (26.66) y doscientos setenta salarios mínimos legales mensuales vigentes.

Ahora, por no advertir en este comportamiento una gravedad superior a los de su misma especie, se mantendrá la aflicción en los extremos mínimos, esto es, CUATRO (4) AÑOS de prisión y VEINTISÉIS PUNTO SESENTA Y SEIS (26.66) SALARIOS MÍNIMOS MENSUALES LEGALES VIGENTES de multa, o lo que es igual, veinte millones ochocientos veintisiete mil novecientos once pesos ($20.827.911) a favor del Tesoro Nacional y a través del Ministerio de Justicia y del Derecho.

Accesoriamente se impone al sentenciado la inhabilitación en el ejercicio de derechos y funciones públicas por un tiempo igual al de la pena principal, tal y como lo determina el artículo 52 del Código Penal.

7. SUBROGADOS Y MECANISMOS SUSTITUTIVOS DE LA PENA.

En el presente evento, la suspensión condicional de la ejecución de la pena procede en favor de N.A.V.D. al reunirse los requisitos previstos para ello en los artículos 63 y 68A del Código Penal, ya que la pena impuesta no supera el tope de cuatro (4) años, el sentenciado carece de antecedentes penales y el delito por el cual se emite la presente condena no se encuentra enlistado entre los delitos con prohibición para conceder subrogados del inciso segundo del artículo 68ª del estatuto punitivo.

En consecuencia, se concede la suspensión condicional de la ejecución de la pena por un periodo de prueba de cuatro (4) años, para lo cual deberá suscribir diligencia de compromiso como garantía de que cumplirá con las obligaciones contenidas en el artículo 65 del Código Penal y previa cancelación de caución por valor de UN (1) SALARIO MÍNIMO LEGAL MENSUAL VIGENTE.

Por lo expuesto, el JUZGADO ONCE PENAL DEL CIRCUITO DE MEDELLÍN, CON FUNCIONES DE CONOCIMIENTO, administrando justicia en nombre de la República y por autoridad de la ley,

8. FALLA:

PRIMERO: DECLARAR penalmente responsable a N.A.V.D., de condiciones civiles y personales reseñadas en precedencia, como AUTOR de la conducta punible de VIOLACIÓN A LOS DERECHOS PATRIMONIALES DE AUTOR Y DERECHOS CONEXOS, prevista en el artículo 271 numerales 2 y 4 del Código Penal.

SEGUNDO: En consecuencia, se CONDENA a N.A.V.D. a las penas principales de CUATRO (4) AÑOS de prisión y VEINTISÉIS PUNTO SESENTA Y SEIS (26.66) SALARIOS MÍNIMOS MENSUALES LEGALES VIGENTES DE MULTA, o lo que es igual, veinte millones ochocientos veintisiete mil novecientos once pesos ($20.827.911) a favor del Tesoro Nacional y a través del Ministerio de Justicia y del Derecho.

TERCERO: Accesoriamente se le impone al sentenciado la inhabilitación en el ejercicio de derechos y funciones públicas por el mismo tiempo de la pena privativa de la libertad.

CUARTO: Se le concede a N.A.V.D. la suspensión condicional de la ejecución de la pena, para lo cual se establece un período de prueba de CUARENTA Y OCHO (48) MESES, para lo cual debe suscribir diligencia de compromiso al tenor de lo establecido en el artículo 65 ídem y prestar caución prendaria por valor de UN (1) SALARIO MÍNIMO LEGAL MENSUAL VIGENTE.

QUINTO: En firme la presente decisión, expídanse las comunicaciones de rigor a las autoridades administrativas correspondientes.

SEXTO: Contra esta decisión que se notifica en estrados, procede el recurso de apelación ante la sala penal del Tribunal Superior de Medellín.

NOTIFÍQUESE Y CÚMPLASE. JUAN GUILLERMO OSORIO ZULUAGA, Juez

(1) El artículo 3 de la Decisión Andina 351 de 1993 trae las siguientes definiciones:

Autor: Persona física que realiza la creación intelectual.

Artista intérprete o ejecutante: Persona que representa, canta, lee, recita, interpreta o ejecuta en cualquier forma una obra.

Fonograma: Toda fijación exclusivamente sonora de los sonidos de una representación o ejecución o de otros sonidos. Las grabaciones gramofónicas y magnetofónicas se consideran copias de fonogramas.

Productor de fonogramas: persona natural o jurídica bajo cuya iniciativa, responsabilidad y coordinación, se fijan por primera vez los sonidos de una ejecución u otros sonidos.

Asimismo, el artículo 8 de la Ley 23 de 1982, modificado por el artículo 2 de la Ley 1520 de 2012, entiende los conceptos así:

Artista intérprete o ejecutante: el autor, locutor, narrador, declamador, cantante, bailarín, músico o cualquier otra que interprete o ejecute una obra literaria o artística.

Productor de fonograma: la persona natural o jurídica que fija por primera vez los sonidos de una ejecución, u otro sonido.

Fonograma: la fijación, en soporte material, de los sonidos de una ejecución o de otros sonidos.

Editor: la persona natural o jurídica que fija por primera vez los sonidos de una ejecución

(2) El artículo 13 de la Decisión Andina 351 indica que “El autor o, en su caso, sus derechohabientes, tienen el derecho exclusivo de realizar, autorizar o prohibir: b. La comunicación pública de la obra por cualquier medio que sirva para difundir las palabras, los signos, los sonidos o las imágenes” y explica que “se entiende por comunicación pública, todo acto por el cual una pluralidad de personas, reunidas o no en un mismo lugar, pueda tener acceso a la obra sin previa distribución de ejemplares a cada una de ellas, y en especial las siguientes: a. Las representaciones escénicas, recitales, disertaciones y ejecuciones públicas de las obras dramáticas, dramático-musicales, literarias y musicales, mediante cualquier medio o procedimiento”. Y en cuanto a al derechohabiente lo define como la “persona natural o jurídica a quien por cualquier título se transmiten derechos reconocidos en la presente Decisión.”

26Ago/24

Resolución nº 71.406 del 15 de noviembre de 2023

26 agosto, 2024Colombia, ResoluciónDecreto 092 de 2022, Decreto 4826 de 2011, Derecho Informático Colombia, Industria y Turismo, Legislación Informática Colombia, Ley 1581 de 2012, Ley15/1999, Linkedin, LOPD, Ministerio de Comercio, Protección de Datos Personales, Resolución 71406, Sentencia 1147 de 2001, Sentencia 1259 de 2001, Sentencia C-748 de 2011, Superintendencia de Industria y ComercioJosé Cuervo

Resolución nº 71.406 del 15 de noviembre de 2023, del Ministerio de Comercio, Industria y Turismo. Superintendencia de Industria y Comercio, por la cual se imparten unas órdenes administrativas.

MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

RESOLUCIÓN NÚMERO 71406 DE 2023

(15 de noviembre de 2023)

“Por la cual se imparten unas órdenes administrativas”.

Radicación: 21-190473

EL DIRECTOR DE INVESTIGACIÓN DE PROTECCIÓN DEDATOS PERSONALES

En ejercicio de sus facultades legales, en especial las conferidas por el artículo 19 y los literales a) y b) del artículo 21, ambos de la Ley 1581 de 2012, y los numerales (5) y (9) del artículo 17 del Decreto 4886 de 2011, modificado por el artículo 7 del Decreto 092 de 2022, y

CONSIDERANDO

PRIMERO: Que la Dirección de Investigación de Protección de Datos Personales, mediante comunicación radicada bajo el número 21-190473- 2 del 26 de agosto de 2021, requirió a la sociedad LINKEDIN IRELAND UNLIMITED COMPANY, con el propósito de que informara lo siguiente:

“Hacemos referencia a la investigación realizada por Cybernews el pasado 06 de abril, respecto a la presunta exposición de información asociada a, aproximadamente, 500 millones de usuarios de Linkedin. Por tanto, en ejercicio de las funciones otorgadas por la Ley Estatutaria 1581 de 2012 a esta Superintendencia, como máxima autoridad de protección de datos personales en Colombia, nos permitimos solicitar atender los siguientes interrogantes:

1) Con base en las indagaciones realizadas por ustedes, ¿se determinó si dentro de las cuentas expuestas, se encuentran datos personales de nacionales colombianos?

2) En caso afirmativo, precisen ¿Qué datos personales privados, semiprivados y/o sensibles administrados por Linkedin fueron conocidos por terceros no autorizados?

3) ¿Cuáles fueron las medidas adoptadas por la plataforma para mitigar los efectos de la exposición no controlada de los datos en la dark web, conforme a las investigaciones del sitio web Cybernews?

4) ¿De acuerdo con el comunicado oficial de la plataforma, alojado en el vínculo https://news.Linkedin.com/2021/april/an-update-from-Linkedin, a qué tipo de perfiles se hace referencia con publicly viewable member profile/ miembros visibles públicamente? Señale cuál es el mecanismo utilizado para obtener la autorización de los titulares, cuya información se encuentra visible a través de los buscadores de la web.

5) Informen, si a la fecha, cuentan con registros de reclamaciones presentadas por vulneración del derecho de hábeas data de titulares de cuentas colombianas, asociadas a este incidente de seguridad”.

SEGUNDO: Que mediante escrito radicado bajo el número 21-190743- -4 del 01 de febrero de 2022, la compañía LINKEDIN IRELAND UNLIMITED COMPANY atendió el requerimiento de información remitido por esta autoridad.

TERCERO: Que, con base en la referida comunicación, esta Dirección envió el requerimiento radicado bajo el número 21-190473 -5 del 09 de agosto de 2022, a través del cual solicitó que se informara lo que, a continuación se cita:

“1. En la respuesta allegada, la compañía afirma que no tiene un desglose por país de todos los usuarios de Linkedin afectados. No obstante, es imperioso para esta Superintendencia, identificar la información afectada de Titulares ciudadanos o residentes en la República de Colombia.

Para ello, solicitamos que nos informen la cantidad exacta de cuentas asociadas a nacionales colombianos y/o residentes en Colombia, que quedaron expuestas con ocasión de los accesos a sus sistemas de información. Al respecto, informe los datos que fueron extraídos del sitio web de Linkedin.

2. Informen si, a la fecha de recibo de esta comunicación se han recibido reclamaciones por parte de titulares, respecto a la exposición de sus datos personales.

3. El literal g) del artículo 4 de la Ley 1581 de 2012 “por la cual se dictan disposiciones generales para la protección de datos personales”, contempla el Principio de Seguridad, según el cual “La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”.

Conforme a lo descrito, ¿considera la compañía Linkedin que el “scraping” es un “acceso no autorizado o fraudulento” a la información personal de los usuarios de su plataforma?

4. En el marco de la Política de Tratamiento de Datos Personales de Linkedin vigente en el momento en el que sucedieron los hechos bajo estudio, la compañía:

a. ¿Permitía el “scraping” por parte de algún(os) tercero(s)? De ser así, ¿contaba con la autorización de los titulares de acuerdo con los estándares de la legislación nacional?

b. ¿Les informaba a los titulares sobre la práctica del “scraping” y la información que podría ser susceptible de ser recolectada a través de esta práctica?”

CUARTO: Que, a la fecha de expedición de este acto administrativo, no obra en el expediente respuesta alguna por parte de la compañía LINKEDIN CORPORATION (1) frente a esta última comunicación. Al respecto, es oportuno señalar que la presente actuación administrativa, adelantada de manera oficiosa, tiene su origen en la brecha de seguridad por “Data Scraping” (2) que en su momento fuera confirmada por LINKENDIN, en la cual terceros ajenos a esa plataforma accedieron a la información de cuentas de usuario, sin que mediara autorización para el efecto.

Sobre el particular, es preciso señalar que la extracción masiva de Datos Personales se realiza normalmente por medios automatizados. Aquella práctica, denominada en inglés como “web scraping”, ha sido identificada por las Autoridades de Protección de Datos Personales como un riesgo para el debido Tratamiento de la información personal. La capacidad de las tecnologías de extracción de datos para recopilar y tratar extensas cantidades de información de individuos en Internet plantea importantes preocupaciones, incluso cuando la información que se está extrayendo sea de acceso público.

De manera más amplia, los Titulares pierden el control cuando su información personal se extrae sin su conocimiento y en contra de sus expectativas. Por ejemplo, los extractores de datos pueden agregar y combinar datos extraídos de un sitio con otra información personal y utilizarla para fines inesperados. Esto puede socavar la confianza de los Titulares en los Responsables y Encargados del Tratamiento.

Además, incluso si los Titulares deciden suprimir/actualizar/rectificar su información de aquellas páginas con información de acceso público (redes sociales, plataformas digitales, páginas web, etc.), los extractores de datos pueden continuar utilizando y compartiendo la información que ya han extraído, limitando el control de las personas sobre su huella digital (3).

QUINTO: Que, de conformidad con lo expuesto, se procederá a hacer las siguientes:

CONSIDERACIONES DE LA DIRECCIÓN DE INVESTIGACIÓN DE PROTECCIÓN DE DATOS PERSONALES

I. Competencia de la Superintendencia de Industria y Comercio para ordenar las medidas que sean necesarias para hacer efectivo el derecho a debido Tratamiento de Datos Personales.

El artículo 19 de la Ley Estatutaria 1581 de 2012, establece que “la Superintendencia de Industria y Comercio, a través de una Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley”. El artículo 21, por su parte, faculta a esta entidad para, entre otras: “b) Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. (…) e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley; (…) f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.”

Así las cosas, existen expresas y suficientes facultades legales para que esta Superintendencia pueda iniciar investigaciones, así como impartir órdenes o instrucciones.

II. La Ley 1581 de 2012 es aplicable a LIKEDIN CORPORATION por cuanto, a través del sitio web “LINKEDIN” se recolectan datos personales en el territorio de la República de Colombia, por medio de cookies que instala en los equipos o dispositivos de las personas residentes o domiciliadas en Colombia.

Ordena la Constitución Política de Colombia, en su artículo 15, que en cualquier actividad que recaiga sobre datos personales se respete la libertad y demás garantías consagradas en esa norma. Así, es de vital importancia recordar que el caso bajo estudio hace referencia al cumplimiento de exigencias de naturaleza Constitucional referidas al derecho fundamental al debido tratamiento de los datos personales de los ciudadanos.

En efecto, el artículo 15 de la Constitución Política Nacional no solo establece que “todas las personas (…) a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas” (4), sino que es clara al exigir que:

“En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”.

Con fundamento en lo anterior, se promulga la Ley Estatutaria 1581 de 2012 que desarrolla, entre otras, el citado derecho constitucional de categoría fundamental. En el artículo 2 de la referida norma se dispone lo siguiente:

“La presente ley aplicará al tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales”.

El término “Tratamiento” no solo se menciona en el artículo 15 (5) de la Constitución Política de la República de Colombia, sino que, es determinante para establecer el campo de aplicación de la citada disposición normativa, la cual lo define de la siguiente manera:

“Artículo 3. Definiciones. Para los efectos de la presente ley, se entiende por:

(…)

g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.”

Así las cosas, la Ley Estatutaria 1581 de 2012 es aplicable, entre otras, cuando:

a. El Tratamiento lo realiza el Responsable o Encargado, domiciliados o no en territorio colombiano, que directa o indirectamente, a través de cualquier medio o procedimiento, físico o electrónico, recolecta, usa, almacena o trata Datos personales en el territorio de la República de Colombia. Las anteriores hipótesis son ejemplos de “tratamiento [sic] de datos [sic] personales efectuado en territorio colombiano” a que se refiere la parte primera del mencionado artículo 2.

b. El Responsable o el Encargado no está domiciliado en la República de Colombia ni realiza Tratamiento de Datos dentro del territorio colombiano. Pero, existen normas o tratados internacionales que los obliga a cumplir la regulación colombiana.

La Corte Constitucional, por su parte, en relación con el ámbito de aplicación de ese artículo señaló en la Sentencia C-748 de 2011 (6):

“Para la Sala, esta disposición se ajusta a la Carta, pues amplía el ámbito de protección a algunos Tratamientos de datos personales que ocurren fuera del territorio nacional, en virtud del factor subjetivo. En un mundo globalizado en el que el flujo transfronterizo de datos es constante, la aplicación extraterritorial de los estándares de protección es indispensable para garantizar la protección adecuada de los datos personales de los residentes en Colombia, pues muchos de los Tratamientos, en virtud de las nuevas tecnologías, ocurren precisamente fuera de las fronteras. Por tanto, para la Sala se trata de una medida imperiosa para garantizar el derecho al habeas data” (7).

Es importante señalar que, otras autoridades de protección de datos han concluido que las cookies son mecanismos que usan empresas extranjeras para instalarlas en los equipos de las personas de otros países y recolectar sus datos.

Frente a lo anterior, a finales de 2013 la Agencia Española de Protección de Datos (en adelante AEPD) concluyó lo siguiente con ocasión de una investigación que inició contra Google:

“En todo caso, (…) la entidad Google Inc. recurre a medios situados en el territorio español con el fin de captar información en nuestro territorio (utilizando, entre otros, los equipos de los usuarios residentes en España para almacenar información de forma local a través de cookies y otros medios, así́ como ejecutando código en dichos dispositivos), sin que la utilización de tales equipos para la recogida de datos se realice exclusivamente con fines de tránsito por el territorio de la Unión Europea, es decir, no se trata de equipos de transmisión, sino que dichos equipos se emplean para la recogida y tratamiento de los datos” (8) (…)”.

En cuanto a las web cookies, el sitio web de LINKEDIN las define, en su Política de Cookies, así:

“Una cookie es un pequeño archivo colocado en tu dispositivo electrónico que habilita las funcionalidades de Linkedin. Cualquier navegador que visite nuestros sitios puede recibir cookies nuestras o de terceros, como nuestros clientes, socios o proveedores de servicios. Linkedin o terceros pueden colocar cookies en tu navegador cuando visitas sitios web que no son de Linkedin que muestran anuncios o alojan nuestros complementos y etiquetas.

Utilizamos dos tipos de cookies: persistentes y de sesión. Las cookies persistentes permanecen después de la sesión actual y se usan con muchos fines, como el de reconocerte como un usuario existente. De este modo, resulta más sencillo volver a Linkedin e interactuar con nuestros Servicios sin tener que volver a iniciar sesión. Como las cookies persistentes permanecerán en tu navegador, Linkedin las leerá cuando vuelvas a uno de nuestros sitios web o a un sitio de un tercero que utilice nuestros Servicios. Las cookies de sesión solo se almacenan durante el tiempo que dure la misma (normalmente, lo que dure la visita que estés realizando en ese momento a un sitio web o la sesión con el navegador)” (9).

En este contexto, la Política de Privacidad alojada en el enlace: https://es.Linkedin.com/legal/cookie-policy? del sitio web Linkedin informa que utiliza múltiples modalidades de cookies, informando adicionalmente que “Los terceros también pueden usar cookies en relación con nuestros Servicios externos, como los servicios publicitarios de Linkedin. Los terceros pueden utilizar cookies para ayudarnos a proporcionar nuestros Servicios. También podemos trabajar con terceros para nuestros propios fines de marketing y para permitirnos analizar e investigar nuestros Servicios”.

Al respecto, se pueden visualizar las siguientes modalidades de cookies utilizadas por Linkedin:

(…)

Frente a la recolección de información a través de Cookies, LinkedIn informa a sus usuarios, a través de la citada Política de Privacidad, que:

“Tal y como se describe en nuestra Política de cookies, utilizamos cookies y tecnologías similares (por ejemplo, balizas web y etiquetas de anuncios) para recopilar información (por ejemplo, identificadores de dispositivos) para reconocerte a ti y/o a tu dispositivo o dispositivos en los diferentes Servicios y dispositivos. También permitimos que otras personas usen cookies en el modo descrito en nuestra Política de cookies. Si no resides en uno de los Países designados, recopilamos (o terceros a los que recurrimos recopilan) información sobre tu dispositivo (por ejemplo, ID del anuncio, dirección IP, sistema operativo e información del navegador) para ofrecer a nuestros Miembros anuncios relevantes y entender mejor su eficacia. Más información. También puedes marcar la opción de autoexclusión para que no utilicemos la información de las cookies ni de tecnologías similares para hacer un seguimiento de tu comportamiento en otros sitios web para la publicidad de terceros. Los Visitantes disponen de controles aquí”.

Entonces, es dable concluir sin lugar a duda, que una cookie es un mecanismo que se instala en los equipos o dispositivos (bien sea celular, computador portátil u otro) de las personas residentes o domiciliadas en la República de Colombia, con el objetivo de recolectar algunos de sus datos personales. Por tanto, el sitio web https://www.linkedin.com , propiedad de la compañía LINKEDIN CORPORATION, realiza tratamiento de datos personales en el territorio colombiano, sujeto a las disposiciones de la Ley 1581 de 2012.

III. LINKEDIN CORPORATION tiene la obligación de cumplir la Legislación colombiana, así como las órdenes y requerimientos de esta autoridad, en cumplimiento de la Ley 1581 de 2012.

La regulación sobre tratamiento de datos personales debe aplicarse al margen de los procedimientos, metodologías o tecnologías que se utilicen para recolectar, usar o tratar ese tipo de información. La Ley colombiana permite el uso de tecnologías para tratar datos pero, al mismo tiempo, exige que se haga de manera respetuosa del ordenamiento jurídico. Quienes crean, diseñan o usan “innovaciones tecnológicas” deben cumplir todas las normas sobre tratamiento de datos personales.

Entonces, es importante decir que nuestra Constitución Política Nacional establece:

Artículo 4 “(…) Es deber de los nacionales y de los extranjeros en Colombia acatar la Constitución y las leyes, y respetar y obedecer a las autoridades” (10).

Artículo 333 “(…) La actividad económica y la iniciativa privada son libres, dentro de los límites del bien común. Para su ejercicio, nadie podrá exigir permisos previos ni requisitos, sin autorización de la ley. La libre competencia económica es un derecho de todos que supone responsabilidades. La empresa, como base del desarrollo, tiene una función social que implica obligaciones”.

Entonces, es la misma Constitución Política la que dispone el cumplimiento de la normatividad a los extranjeros que estén en este territorio. La cual, además, incluye el sometimiento a la ley en general, así como a las órdenes de autoridades administrativas, entre otras.

IV. El respeto por las leyes en el ciberespacio.

En el ciberespacio no desaparecen ni disminuyen los derechos de las personas. El ciberespacio ha sido caracterizado por ser un escenario global no delimitado por fronteras geográficas en donde las actividades suceden dentro de la arquitectura tecnológica de Internet. Aunque se trata de un “mundo virtual”, sus ciudadanos son millones de personas reales ubicadas en prácticamente cualquier lugar del “mundo físico”, cuyas actividades tienen impacto o consecuencias en el “mundo real”.

A pesar de que el campo de acción de Internet desborda las fronteras nacionales, para la Corte Constitucional el nuevo escenario tecnológico y las actividades en Internet no se sustraen del respeto de los mandatos constitucionales. Por eso, concluyó esa Corporación que “en Internet (…) puede haber una realidad virtual pero ello no significa que los derechos, en dicho contexto, también lo sean. Por el contrario, no son virtuales: se trata de garantías expresas por cuyo goce efectivo en el llamado “ciberespacio” también debe velar el juez constitucional” (11). Recalca dicha Corporación que, “nadie podría sostener que, por tratarse de Internet, los usuarios sí pueden sufrir mengua en sus derechos constitucionales”(12).

De otra parte, LinkedIn informa en su sitio web que cuenta con, alrededor de 850 millones de cuentas de usuarios en 200 territorios (13), incluyendo a Colombia, razón por la cual se puede colegir que esta tiene la obligación Constitucional y Legal de garantizarles a los nacionales colombianos el debido tratamiento de sus datos personales y el correcto ejercicio de sus derechos fundamentales en el ciberespacio.

V. Sobre el Tratamiento de Datos Personales por parte de LinkedIn

Con la finalidad de entender qué información es tratada por el sitio web y para qué finalidades, la Dirección De Investigación de Protección de Datos Personales ha procedido a revisar la información que dispone la Política de Privacidad del sitio web LinkedIn en los siguientes términos (14):

Categoría Descripción

Registro Para crear una cuenta, debe proporcionar datos que incluyan su nombre, dirección de correo electrónico y / o número de teléfono móvil, y una contraseña. Si se registra para un Servicio premium, deberá proporcionar información de pago (por ejemplo, tarjeta de crédito) y facturación.

Perfil

Usted tiene opciones sobre la información en su perfil, como su educación, experiencia laboral, habilidades, foto, ciudad o área y endosos. No tiene que proporcionar información adicional en su perfil; sin embargo, la información del perfil le ayuda a obtener más de nuestros Servicios, incluida la ayuda a los reclutadores y las oportunidades comerciales para encontrarlo. Es su elección si desea incluir información confidencial en su perfil y hacer pública esa información confidencial. No publique ni agregue datos personales a su perfil que no desee que estén disponibles públicamente.

Publicación y carga

Recopilamos datos personales de usted cuando los proporciona, pública o carga en nuestros Servicios, como cuando completa un formulario (por ejemplo, con datos demográficos o salario), responde a una encuesta o envía un currículum vitae o completa una solicitud de empleo en nuestros Servicios. Si opta por importar su libreta de direcciones, recibimos sus contactos (incluida la información de contacto que su proveedor de servicios o aplicación agregó automáticamente a su libreta de direcciones cuando se comunicó con direcciones o números que aún no están en su lista).

Si sincroniza sus contactos o calendarios con nuestros Servicios, recopilaremos su libreta de direcciones y la información de las reuniones del calendario para seguir haciendo crecer su red sugiriendo conexiones para usted y otros, y proporcionando información sobre eventos, por ejemplo, horarios, lugares, asistentes y contactos.

No tiene que publicar o cargar datos personales; aunque si no lo hace, puede limitar su capacidad para crecer y comprometerse con su red a través de nuestros Servicios.

Contenido y Noticias

Usted y otros pueden publicar contenido que incluya información sobre usted (como parte de artículos, publicaciones, comentarios, videos) en nuestros Servicios. También podemos recopilar información pública sobre usted, como noticias y logros profesionales, y ponerla a disposición como parte de nuestros Servicios, incluso, según lo permita su configuración, en notificaciones a otros de menciones en las noticias.

Información de contacto y calendario

Recibimos datos personales (incluida información de contacto) sobre usted cuando otros importan o sincronizan sus contactos o calendario con nuestros Servicios, asocian sus contactos con perfiles de miembros, escanean y cargan tarjetas de visita o envían mensajes utilizando nuestros Servicios (incluidas invitaciones o solicitudes de conexión). Si usted u otras personas optan por sincronizar cuentas de correo electrónico con nuestros Servicios, también recopilaremos información de “encabezado de correo electrónico” que podemos asociar con los perfiles de los Miembros.

Socios

Recibimos datos personales (por ejemplo, su cargo y dirección de correo electrónico del trabajo) sobre usted cuando utiliza los servicios de nuestros clientes y socios, como empleadores o posibles empleadores y sistemas de seguimiento de solicitantes que nos proporcionan datos de solicitud de empleo.

Empresas relacionadas y otros servicios

Recibimos datos sobre usted cuando utiliza algunos de los otros servicios proporcionados por nosotros o nuestras filiales, incluido Microsoft. Por ejemplo, puede optar por enviarnos información sobre sus contactos en aplicaciones y servicios de Microsoft, como Outlook, para mejorar las actividades de redes profesionales en nuestros Servicios.

Uso del Servicio

Registramos datos de uso cuando visita o utiliza nuestros Servicios, incluidos nuestros sitios, aplicaciones y tecnología de plataforma, como cuando ve o hace clic en contenido (por ejemplo, video de aprendizaje) o anuncios (dentro o fuera de nuestros sitios y aplicaciones), realiza una búsqueda, instala o actualiza una de nuestras aplicaciones móviles, comparte artículos o solicita empleos. Utilizamos inicios de sesión, cookies, información del dispositivo y direcciones de protocolo de Internet (“IP”) para identificarlo y registrar su uso.

Cookies y tecnologías similares

Como se describe con más detalle en nuestra Política de cookies, utilizamos cookies y tecnologías similares (por ejemplo, píxeles y etiquetas de anuncios) para recopilar datos (por ejemplo, ID de dispositivo) para reconocerlo a usted y a su(s) dispositivo(s) en, apagado y en diferentes servicios y dispositivos donde ha interactuado con nuestros Servicios. También permitimos que otros utilicen cookies como se describe en nuestra Política de cookies. Si se encuentra fuera de los Países designados, también recopilamos (o confiamos en otros que recopilan) información sobre su dispositivo cuando no ha interactuado con nuestros Servicios (por ejemplo, ID de anuncio, dirección IP, sistema operativo e información del navegador) para que podamos proporcionar a nuestros Miembros anuncios relevantes y comprender mejor su efectividad. Más información. Puede optar por no participar en nuestro uso de datos de cookies y tecnologías similares que rastrean su comportamiento en los sitios de otros para la orientación de anuncios y otros fines relacionados con los anuncios. Para los visitantes, los controles están aquí.

Su dispositivo y ubicación

Cuando visita o abandona nuestros Servicios (incluidos algunos complementos y nuestras cookies o tecnología similar en los sitios de otros), recibimos la URL tanto del sitio del que proviene como del sitio al que va y la hora de su visita. También obtenemos información sobre su red y dispositivo (por ejemplo, dirección IP, servidor proxy, sistema operativo, navegador web y complementos, identificador y características del dispositivo, ID de cookies y / o ISP, o su operador de telefonía móvil). Si utiliza nuestros Servicios desde un dispositivo móvil, ese dispositivo nos enviará datos sobre su ubicación en función de la configuración de su teléfono. Le pediremos que se suscriba antes de usar GPS u otras herramientas para identificar su ubicación precisa.

Mensajes

Recopilamos información sobre usted cuando envía, recibe o interactúa con mensajes en relación con nuestros Servicios. Por ejemplo, si recibe una solicitud de conexión de LinkedIn, rastreamos si ha actuado en consecuencia y le enviaremos recordatorios. También utilizamos tecnología de escaneo automático en los mensajes para apoyar y proteger nuestro sitio. Por ejemplo, utilizamos esta tecnología para sugerir posibles respuestas a los mensajes y para administrar o bloquear contenido que viole nuestro Acuerdo de usuario o las Políticas de la comunidad profesional de nuestros Servicios.

De igual forma, se encontró que el sitio web LinkedIn utiliza de la siguiente manera la información recolectada de los Titulares:

Finalidad Descripción

Cómo utilizamos sus datos

La forma en que usemos sus datos personales dependerá de los Servicios que utilice, cómo los use y las elecciones que realice en su configuración. Utilizamos los datos que tenemos sobre usted para proporcionar y personalizar nuestros Servicios, incluso con la ayuda de sistemas automatizados e inferencias que hacemos, para que nuestros Servicios (incluidos los anuncios) puedan ser más relevantes y útiles para usted y otros.

Manténgase conectado

Nuestros Servicios le permiten mantenerse en contacto y al día con colegas, socios, clientes y otros contactos profesionales. Para ello, puedes “conectarte” con los profesionales que elijas y que también deseen “conectarte” contigo. Sujeto a su configuración y la de ellos, cuando se conecte con otros Miembros, podrá buscar las conexiones de los demás para intercambiar oportunidades profesionales.

Manténgase informado

Nuestros Servicios le permiten mantenerse informado sobre noticias, eventos e ideas sobre temas profesionales que le interesan y de profesionales que respeta. Nuestros Servicios también le permiten mejorar sus habilidades profesionales o aprender otras nuevas. Utilizamos los datos que tenemos sobre usted (por ejemplo, los datos que proporciona, los datos que recopilamos de su compromiso con nuestros Servicios y las inferencias que hacemos de los datos que tenemos sobre usted), para personalizar nuestros Servicios para usted, como recomendar o clasificar contenido y conversaciones relevantes en nuestros Servicios (…).

Carrera

Nuestros Servicios le permiten explorar carreras, evaluar oportunidades educativas y buscar, y ser encontrado, oportunidades de carrera. Su perfil puede ser encontrado por aquellos que buscan contratar (para un trabajo o una tarea específica) o ser contratado por usted. Utilizaremos sus datos para recomendar trabajos o aprendices, mostrarle a usted y a otros contactos profesionales relevantes (por ejemplo, que trabajan en una empresa, en una industria, función o ubicación o tienen ciertas habilidades y conexiones).

Productividad

Nuestros Servicios le permiten colaborar con colegas, buscar clientes potenciales, clientes, socios y otras personas con las que hacer negocios. Nuestros Servicios le permiten comunicarse con otros Miembros y programar y preparar reuniones con ellos. Si su configuración lo permite, escaneamos los mensajes para proporcionar “bots” o herramientas similares que faciliten tareas como programar reuniones, redactar respuestas, resumir mensajes o recomendar los próximos pasos.

Servicios Premium

Vendemos Servicios premium que brindan a nuestros clientes y suscriptores funciones y herramientas de búsqueda personalizadas (incluidas alertas de mensajería y actividad) como parte de nuestras soluciones de talento, marketing y ventas. Los clientes pueden exportar información limitada de su perfil, como nombre, titular, empresa actual, título actual y ubicación general (por ejemplo, Dublín), como administrar clientes potenciales o talento, a menos que opte por no participar. No proporcionamos información de contacto a los clientes como parte de estos Servicios premium sin su consentimiento. Los clientes de Servicios Premium pueden almacenar información que tienen sobre usted en nuestros Servicios premium, como un currículum vitae o información de contacto o historial de ventas. Los datos almacenados sobre usted por estos clientes están sujetos a las políticas de esos clientes. Otros servicios empresariales y características que utilizan sus datos incluyen TeamLink y Elevate (promoción social de contenido).

Comunicaciones

Nos pondremos en contacto con usted a través de correo electrónico, teléfono móvil, avisos publicados en nuestros sitios web o aplicaciones, mensajes a su bandeja de entrada de LinkedIn y otras formas a través de nuestros Servicios, incluidos mensajes de texto y notificaciones push. Le enviaremos mensajes sobre la disponibilidad de nuestros Servicios, seguridad u otros problemas relacionados con el servicio. También enviamos mensajes sobre cómo usar nuestros Servicios, actualizaciones de red, recordatorios, sugerencias de trabajo y mensajes promocionales de nosotros y nuestros socios. Puede cambiar sus preferencias de comunicación en cualquier momento. Tenga en cuenta que no puede optar por no recibir nuestros mensajes de servicio, incluidos los avisos legales y de seguridad.

Publicidad

Le mostraremos anuncios llamados contenido patrocinado que se parecen al contenido no patrocinado, excepto que están etiquetados como publicidad (por ejemplo, como “anuncio” o “patrocinado”). Si realiza una acción social (como dar me gusta, comentar o compartir) en estos anuncios, su acción se asocia con su nombre y otros pueden verla, incluido el anunciante. Sujeto a su configuración, si realiza una acción social en los Servicios de LinkedIn, esa acción puede mencionarse con anuncios relacionados. Por ejemplo, cuando le gusta una empresa, podemos incluir su nombre y foto cuando se muestra su contenido patrocinado.

De este modo, es claro que LinkedIn tiene realiza tratamiento de datos personales, en calidad de Responsable del tratamiento, calidad que le impone el cumplimiento de las obligaciones que en ese sentido, contempla nuestra Legislación.

VI. La existencia de riesgos para los derechos y libertades de los individuos frente al tratamiento de sus Datos personales.

Los datos personales pueden ser recogidos por diferentes fuentes, entre ellas: formularios, cookies, aplicaciones móviles, sitios web, redes sociales, registros públicos, programas de fidelización de clientes, etc. Todas estas formas de recolección, entre otras, son manifestaciones de:

1) Datos personales suministrados directamente por los titulares,

2) Datos personales recolectado en cumplimiento de un requisito legal,

3) Datos personales recopilados automáticamente con el uso de un servicio o producto (por ejemplo, datos de transacciones, direcciones IP, datos de ubicación), y

4) Datos personales inferidos mediante el Tratamiento y análisis de los datos suministrados por los individuos o recopilados con el uso del servicio o producto. Estos datos, sin lugar a dudas, también son de gran interés para terceros que no han sido autorizados para el Tratamiento de dicha información.

Si un dato personal es conocido, accedido o sustraído por terceros no autorizados, por ejemplo, piratas cibernéticos, se constituye en sí mismo como un riesgo para los derechos y libertades de los individuos, de gravedad y probabilidades variables. Considerando la cantidad y sensibilidad de la información personal que es recolectada en el ciberespacio mediante diversos mecanismos, procesos y tecnologías, la Corte Constitucional en Sentencia C-748 de 2011 subrayó el deber de los Responsables del Tratamiento de reforzar sus medidas de seguridad para proteger la información personal de los Titulares. Lo anterior como resultado de que “el mal manejo de la información puede tener graves efectos negativos, no sólo en términos económicos, sino también en los ámbitos personales y de buen nombre” (15).

VII. Del deber de conservar la información bajo condiciones de seguridad.

La seguridad de la información es una condición crucial del Tratamiento de Datos personales. Recolectada la información, esta debe ser objeto de medidas de diversa índole para evitar situaciones indeseadas que puedan afectar los derechos de los titulares y de los mismos Responsables y Encargados del Tratamiento. El acceso, la consulta y el uso no autorizado o fraudulento, así como la manipulación y pérdida de la información son los principales riesgos, pero no los únicos, que se quieren mitigar a través de medidas de seguridad de naturaleza humana, física, administrativa y/o técnica.

La seguridad de la información ha sido una preocupación del legislador colombiano y la Corte Constitucional. Esta última concluyó que, “debe reiterarse que el manejo de información no pública debe hacerse bajo todas las medidas de seguridad necesarias para garantizar que terceros no autorizados puedan acceder a ella. De lo contrario, tanto el Responsable como el Encargado del Tratamiento serán los responsables de los perjuicios causados al Titular” (16).

Las técnicas para la extracción y obtención de valor de datos públicamente accesibles están en constante evolución. De ahí que, la seguridad de los datos es una responsabilidad dinámica y la vigilancia por parte de todos los actores es fundamental.

La extracción masiva de Datos Personales se realiza normalmente por medios automatizados. Aquella práctica, denominada en inglés como “web scraping”, ha sido identificada por las Autoridades de Protección de Datos Personales como un riesgo para el debido Tratamiento de la información personal. La capacidad de las tecnologías de extracción de datos para recopilar y tratar extensas cantidades de información de individuos en Internet plantea importantes preocupaciones, incluso cuando la información que se está extrayendo sea de acceso público.

Para el efecto, la Superintendencia de Industria y Comercio, en su rol de Autoridad Nacional de Protección de Datos Personales, suscribió una declaración conjunta con otras autoridades de protección de datos sobre esta materia (17). Dentro de las preocupaciones que dicha declaración pone de presente para el debido Tratamiento de Datos Personales, son las siguientes:

1. Ataques cibernéticos dirigidos. Por ejemplo, la información de identidad y contacto extraída que se publica en “foros de piratería” puede ser utilizada por actores maliciosos en ataques de ingeniería social dirigidos o ataques de phishing.

2. Suplantación. Los datos extraídos pueden utilizarse para enviar solicitudes fraudulentas de préstamos o tarjetas de crédito, o para suplantar a la persona creando cuentas falsas en redes sociales.

3. Monitoreo, perfilamiento y vigilancia de individuos. Los datos extraídos pueden utilizarse para generar bases de datos de reconocimiento facial y proporcionar acceso no autorizado a terceros.

4. Marketing directo no deseado. Los datos extraídos pueden incluir información de contacto que se puede utilizar para enviar mensajes de marketing no solicitados a granel.

Ahora bien, dado que ninguna única medida de seguridad protegerá adecuadamente, contra todos los posibles daños a los Titulares asociados con la extracción de datos, los Responsables y Encargados del Tratamiento de aquellas páginas con información de acceso público (redes sociales, plataformas digitales, páginas web, etc.), deben implementar medidas técnicas, humanas y administrativas para mitigar los riesgos. Aquellas medidas pueden incluir, pero no limitarse, a las siguientes:

* Designar un equipo y/o roles específicos dentro de la organización para identificar e implementar controles para proteger contra la extracción de datos, monitorearla y responder a las actividades de extracción.

* Limitar la “velocidad de acceso” a otros perfiles por parte de una cuenta a un número determinado de visitas por hora o día, y limitar el acceso si se detecta actividad inusual.

* Supervisar la rapidez y agresividad con la que una nueva cuenta comienza a buscar otros usuarios. Si se detecta una actividad anormalmente alta, esto podría ser indicativo de un Tratamiento sospechoso.

* Tomar medidas para detectar a los extractores de datos identificando patrones de actividad de “bots5”. Por ejemplo, se pueden detectar un grupo de direcciones IP sospechosas al monitorear desde dónde se está accediendo a una plataforma utilizando las mismas credenciales desde múltiples ubicaciones. Esto sería sospechoso si estos accesos ocurren en un corto período de tiempo.

* Tomar medidas para verificar si un extractor de datos es un “bot”, por ejemplo, mediante el uso de CAPTCHAs, y bloquear la dirección IP donde se identifica la actividad de extracción de datos.

* Cuando se sospecha y/o confirma la extracción de datos, tomar medidas legales apropiadas, como el envío de cartas de “Cese y Desistimiento”, exigir la eliminación de la información extraída, obtener confirmación de la eliminación y tomar otras medidas legales para hacer cumplir los términos y condiciones que prohíben la extracción de datos.

Por su parte, esta Autoridad ha sido enfática en afirmar que, bajo el ordenamiento jurídico de nuestro país, la información personal que es “públicamente disponible”, “accesible al público” no es, per se, información “de naturaleza pública“. El hecho de que estén disponibles en internet no significa que cualquier persona puede tratarlos sin autorización previa, expresa e informada del Titular del Dato. Recolectar datos personales privados, semiprivados o sensibles en internet no legitima al recolector para apropiarse de dicha información y hacer lo que quiera con la misma.

Por su parte, la seguridad de los datos personales no se limita a situaciones de infiltración o burla de las medidas de seguridad que han implementado los Responsables y Encargado del Tratamiento. La Ley 1581 de 2012 va más allá porque exige lo siguiente:

“ARTÍCULO 4º. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:

(…)

g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

(…)

ARTÍCULO 17. DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

(…)

d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

(…)

ARTÍCULO 18. DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO. Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

(…)

b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento (…)”.

Nótese que la redacción del principio de seguridad tiene un criterio eminentemente preventivo, lo cual obliga a los Responsables y Encargados del Tratamiento a adoptar medidas apropiadas y efectivas para evitar afectaciones a la seguridad de la información. Es preciso aclarar que la implementación de las medidas de seguridad por parte de los Responsables y Encargados del Tratamiento no está supeditada o condicionada a que exista un daño o perjuicio de los derechos o intereses que se buscan proteger con la Ley 1581 de 2012. El solo hecho de tratar datos personales es suficiente. Una interpretación en sentido contrario no solo iría en contra de la naturaleza preventiva que se deriva expresamente de los textos legales citados, sino que privaría a los colombianos de la capacidad de exigir a los Responsables y Encargados que aseguren un nivel adecuado de protección en relación con sus datos.

VIII. De la facultad que tiene la Superintendencia de Industria y Comercio para emitir órdenes en relación con el debido Tratamiento de Datos Personales.

Ley Estatutaria 1581 de 2012 expresamente faculta a esta entidad para emitir órdenes o impartir las instrucciones que considere necesarias para que el Tratamiento de Datos personales se realice conforme con lo dispuesto en la ley. En el artículo 19 de esta ley, se le otorgó competencia a esta entidad, a través de la Delegatura para la Protección de Datos Personales, para ejercer: “(…) la vigilancia necesaria para garantizar que en el tratamiento [sic] de datos [sic] personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley.”

Asimismo, su artículo 21 determina cuáles funciones ejercerá la Superintendencia de Industria y Comercio, en virtud de la competencia conferida por el artículo 19 mencionado:

a. “Velar por el cumplimiento de la legislación en materia de protección de datos [sic] personales;

b. “Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas [sic] data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos [sic], la rectificación, actualización o supresión de los mismos;

(…)

e. “Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley;”.

No sobra traer a colación que, el artículo 21 fue declarado exequible por la Corte Constitucional mediante la Sentencia C-748 de 2011, la cual en su numeral 2.20.3, expresa:

“Esta disposición enlista las funciones que ejercerá la nueva Delegatura de protección de datos personales. Al estudiar las funciones a ella asignadas, encuentra esta Sala que todas corresponden y despliegan los estándares internacionales establecidos sobre la autoridad de vigilancia. En efecto, desarrollan las funciones de vigilancia del cumplimiento de la normativa, de investigación y sanción por su incumplimiento, de vigilancia de la transferencia internacional de datos y de promoción de la protección de datos.”.

Así, la ley colombiana faculta a la Superintendencia de Industria y Comercio no solo para emitir órdenes o instrucciones sino para exigir el debido Tratamiento de los Datos personales a compañías como la investigada.

SEXTO: Sin perjuicio de todo lo anterior, destacamos las siguientes CONCLUSIONES:

1. El sitio web de LinkedIn recolecta la siguiente información: “nombre, dirección de e-mail o número móvil (…) información de pago (por ejemplo, la tarjeta de crédito) (…) educación, experiencia laboral, aptitudes, una fotografía”.

2. El sitio web de LinkedIn emplea diversas tecnologías para recolectar y almacenar la información, entre las que se incluyen cookies, balizas web y etiquetas de anuncios.

3. El sitio web de LinkedIn usa “cookies” para recolectar o tratar datos personales en el territorio de la República de Colombia. Por ende, debe cumplir la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias.

En otras palabras, el tratamiento de datos personales que realiza el sitio web de LinkedIn está sujeto a la legislación de la República de Colombia, toda vez que recolecta información de ciudadanos y residentes que se encuentran en el territorio nacional. Así las cosas, la Ley Estatutaria 1581 de 2012 es aplicable al sitio web de LinkedIn porque acopia o captura Datos Personales por medio de cookies que instala en dispositivos móviles y ubicados en la República de Colombia.

4. La seguridad de la información es una condición crucial del tratamiento de datos personales. Una vez recolectados deben ser objeto de medidas de diversa índole para evitar situaciones indeseadas que pueden afectar los derechos de los titulares.

5. LinkedIn ha reconocido algunas fallas de seguridad y ha adoptado medidas para subsanarlas. No obstante, conforme a lo observado en la respuesta al requerimiento obrante en el expediente, aún subsisten algunas falencias. Dado lo anterior, esta Entidad considera necesario emitir órdenes administrativas de carácter preventivo para garantizar el principio y el deber de seguridad.

SÉPTIMO: Una orden administrativa no es una sanción, sino una medida necesaria para la adecuación de las actividades u operaciones de los Responsables del Tratamiento a las disposiciones de la regulación colombiana sobre protección de datos personales. Las sanciones por infringir la Ley Estatutaria 1581 de 2012 -multas, suspensión de actividades, cierre temporal o definitivo- están previstas en el artículo 23 de dicha norma. Allí se puede constatar que las órdenes no son sanciones.

OCTAVO: Que para garantizar el debido tratamiento de los datos de las personas residentes o domiciliadas en la República de Colombia es necesario emitir varias órdenes a las compañías LINKEDIN CORPORATION y LINKEDIN IRELAND UNLIMITED COMPANY.

En mérito de lo expuesto, este Despacho.

RESUELVE

ARTÍCULO 1. ORDENAR a LINKEDIN CORPORATION y LINKEDIN IRELAND UNLIMITED COMPANY, (en adelante LINKEDIN), implementar medidas y procedimientos para la adecuación de sus operaciones en la República de Colombia a las disposiciones de la Ley 1581 de 2012, las cuales deberán contener, como mínimo los siguientes estándares:

1) Mejorar o robustecer las medidas de seguridad que ha implementado a la fecha de expedición de la presente resolución para garantizar la seguridad de los Datos personales, evitando su:

i) acceso no autorizado o fraudulento;

ii) uso no autorizado o fraudulento;

iii) consulta no autorizada o fraudulenta;

iv) adulteración o

v) pérdida.

2) Desarrollar, implementar y mantener un programa integral de seguridad de la información, que garantice la seguridad, confidencialidad e integridad de los Datos personales, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. El programa deberá constar por escrito, ser sujeto a pruebas periódicas para evaluar su efectividad e indicadores de cumplimiento y tener en cuenta, como mínimo, lo siguiente: a) Los principios rectores establecidos en la Ley 1581 de 2012 y los deberes que de ellos se derivan;

a) El tamaño y la complejidad de las operaciones de LinkedIn;

b) La naturaleza y el ámbito de las actividades de LinkedIn;

c) La cantidad de Titulares;

d) La naturaleza de los datos personales;

e) El tipo de tratamiento de los Datos personales;

f) El alcance, contexto y fines del Tratamiento;

g) Las actualizaciones o cualquier tipo de modificación de la plataforma de LinkedIn, sus productos cualquier otra forma en que LinkedIn utilice, recopile, comparta o trate los datos recolectados;

h) El acceso a los Datos personales por parte de los empleados, contratistas y en general los colaboradores de LinkedIn;

i) El uso de los Datos personales de los usuarios por terceros, entre ellos, aliados comerciales, empresas asociadas y desarrolladores de aplicaciones, si aplica;

j) El uso innovador o aplicación de nuevas soluciones tecnológicas;

k) Los riesgos internos y externos para la seguridad, confidencialidad y disponibilidad de los Datos personales; y

l) Los riesgos para los derechos y libertades de los Titulares.

3) Desarrollar, implementar y mantener un programa de gestión y manejo de incidentes de seguridad en datos personales, que contemple procedimiento para información sin dilación indebida a esta Superintendencia de Industria y Comercio y a los Titulares de cuando se presenten incidentes que afecten la confidencialidad, integridad y disponibilidad de los datos personales.

4) Desarrollar, implementar y mantener un programa de capacitación y entrenamiento rutinario para sus empleados y contratistas sobre su política de seguridad de la información, su política de gestión de incidentes de seguridad de datos y su Política de Tratamiento de Datos personales (o privacidad).

5) Poner en marcha un sistema de monitoreo permanente para verificar si, en la práctica, sus medidas de seguridad son útiles, suficientes o si están funcionando correctamente. En caso de que ello no sea así, adoptar las medidas necesarias para garantizar la seguridad de la información.

6) LinkedIn deberá efectuar una auditoría independiente, dentro de los cuatro (4) meses siguientes a la ejecutoria del presente acto administrativo, y cada año después de dicha fecha durante los próximos cinco (5) años, certificar a esta entidad que cuenta con las medidas técnicas, humanas, administrativas, contractuales y de cualquier otra naturaleza que sean necesarias para otorgar seguridad a los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

ARTÍCULO 2: LinkedIn deberá cumplir lo ordenado en esta resolución dentro de los cuatro (4) meses siguientes a la ejecutoria del presente acto administrativo y acreditar ante la Dirección de Investigaciones de Protección de Datos Personales de la Superintendencia de Industria y Comercio las medidas y procedimientos adoptados dentro de los cinco (5) días siguientes al vencimiento de dicho término.

Parágrafo primero: Para demostrar el cumplimiento, LinkedIn deberá remitir, al finalizar dicho plazo, una certificación emitida por una entidad o empresa, nacional o extranjera, independiente, imparcial, profesional y especializada que acredite que se han implementado las medidas ordenadas por esta Dirección y que estas se encuentran operando con suficiente efectividad para proporcionar el grado de seguridad que exige el principio y deber de seguridad de la Ley Estatutaria 1581 de 2012 respecto de los Datos personales.

Parágrafo segundo: La entidad o empresa que emita el certificado será seleccionada por LinkedIn pero debe ser un tercero cuya gestión esté libre de todo conflicto de interés que le reste independencia y sea ajena a cualquier tipo de subordinación respecto de LinkedIn.

Parágrafo tercero: La entidad o empresa certificadora deberá ser autorizada por la autoridad competente del país de su domicilio, sólo en el caso que la regulación correspondiente exija dicha autorización para poder emitir certificaciones. Si en dicho país no se exige lo anterior, bastará con que aquella sea independiente, imparcial, profesional y especializada en temas de seguridad de la información.

ARTÍCULO 3. NOTIFICAR el contenido de la presente resolución a LinkedIn, informándole que contra el presente acto administrativo procede recurso de reposición ante el Director de Investigación de Protección de Datos Personales y de apelación ante el Superintendente Delegado para la Protección de Datos Personales, dentro de los diez (10) días siguientes a la diligencia de notificación.

ARTÍCULO 4: La Superintendencia de Industria y Comercio se permite recordar que los canales habilitados para que los investigados ejerzan sus derechos, den respuesta a requerimientos, interpongan recursos, entre otros, son:

– Correo Superindustria: [email protected]

– Sede Principal: Carrera 7 No. 31A – 36, Pisos 3 y 3A, en la ciudad de Bogotá, de lunes a viernes de 8:00 a.m. a 4:30 p.m.

NOTIFÍQUESE Y CÚMPLASE

Dada en Bogotá D. C., 15 de noviembre de 2023

El DIRECTOR DE INVESTIGACIÓN DE PROTECCIÓN DE DATOS PERSONALES,

CARLOS ENRIQUE SALAZAR MUÑOZ

————————————————–

(1) De acuerdo con lo informado en la Política de Privacidad de Linkedin, quien actúa como Responsable del tratamiento respecto a la información tratada por fuera de los países que conforman la Unión Europea, Espacio Económico Europeo y Suiza es la sociedad Linkedin Corporation.

(2) “El scraping de datos, de un modo general, se refiere a una técnica en la cual un programa informático extrae datos del resultado generado por otro programa. El scraping de datos se manifiesta normalmente en el scraping web, el proceso de utilizar una aplicación para extraer información valiosa de un sitio web”. Tomado de https://www.cloudflare.com.

(3) Cualquier publicación en internet viaja rápidamente y puede dejar una huella permanente. Es por esta razón que se debe ser cuidadoso con el tipo de información que se comparte en internet, pues los Datos de cada persona tienen valor y pertenecen únicamente a los Titulares de la información.

(4) Constitución Política de Colombia. Artículo 15.

(5) El artículo 15 de la Constitución de la República de Colombia dice, entre otras, lo siguiente: “Todas las personas tienen derecho a (…) conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”.

(6) Cfr. Corte Constitucional. Sentencia C-748 de 2011. Disponible en: http://www.corteconstitucional.gov.co/relatoria/2011/c-748-11.htm

(7) Cfr. Corte Constitucional. Sentencia C-748 de 2011. Consideración 2.4.4.

(8) La AEPD concluyó lo siguiente: “la Agencia Española de Protección de Datos también es competente para decidir sobre el tratamiento llevado a cabo por un responsable no establecido en territorio del Espacio Económico Europeo que ha utilizado en el tratamiento de datos medios situados en territorio español, por lo que debe concluirse, igualmente, que la LOPD es aplicable al presente supuesto y procedente la intervención de la Agencia Española de Protección de Datos, por virtud de lo dispuesto en el artículo 2.1.c) de la LOPD“ (AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. Resolución R/02892/2013 del 19 de diciembre de 2013. Procedimiento sancionador PS/00345/2013 instruido a las entidades Google Inc. y Google Spain, S.L. Madrid, España).

La parte pertinente de la regulación española – Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal– sobre su ámbito de aplicación dice lo siguiente:

“Artículo 2 Ámbito de aplicación.

1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito. (…)”.

(9) Obtenido de la Política de Cookies alojada en el enlace https://es.Linkedin.com/legal/cookie-policy?

(10) “Dicho reconocimiento genera al mismo tiempo la responsabilidad en cabeza del extranjero de atender cabal y estrictamente el cumplimiento de deberes y obligaciones que la misma normatividad consagra para todos los residentes en el territorio de la República pues, así lo establece, entre otras disposiciones, el artículo 4º. inciso segundo de la Carta (…)”. Corte Constitucional, Sentencia C-1259 de 2001

(11) Corte Constitucional. Sentencia C-1147 del 31 de octubre de 2001. Magistrado Ponente: Dr. Manuel José Cepeda Espinosa

(12) Corte Constitucional. Sentencia C-1147 del 31 de octubre de 2001. Magistrado Ponente: Dr. Manuel José Cepeda Espinosa

(13) De acuerdo con la información alojada en el enlace https://about.linkedin.com/es-es

(14) Obtenido del sitio web: https://www.linkedin.com/legal/privacy-policy?src=direct%2Fnone&veh=direct%2Fnone#data

(15) República de Colombia. Corte Constitucional. Sentencia C-748 del 6 de octubre de 2011. Considerando 2.6.5.2.7

(16) Corte Constitucional. Sentencia C-748 del 6 de octubre de 2011.

(17) El documento oficial se encuentra disponible para su visualización en el enlace https://ico.org.uk/media/about-the-ico/documents/4026232/joint-statement-data-scraping-202308.pdf

25Ago/24

Circular externa nº 002/2024 de 21 agosto de 2024

25 agosto, 2024Circular, ColombiaAccesible al público, Derecho Informático Colombia, IA, inteligencia artificial, Legislación Informática Colombia, Ley 1266 de 2008, Ley 1581 de 2012, Ley Colombiana, OCDE, Tratamiento Datos PersonalesJosé Cuervo

Circular externa nº 002/2024 de 21 agosto de 2024, de la Superintendencia de Industria y Comercio de Colombia, Lineamientos sobre el Tratamiento de Datos Personales en Sistemas de Inteligencia Artificial.

Superintendencia de industria y Comercio

CIRCULAR EXTERNA nº 002 de 2024

Para: Sujetos vigilados por la Superintendencia de Industria y Comercio en su rol de Autoridad de Protección de Datos personales.

Asuntos: Lineamientos sobre el Tratamiento de Datos personales en Sistemas de Inteligencia Artificial.

La Ley Estatutaria 1581 de 2012 estableció el régimen general de Protección de Datos personales en la Republica de Colombia, concretizando el derecho fundamental al Habeas Data (1), con el propósito de establecer los lineamientos de protección del Tratamiento de Datos personales. La norma, por su parte, reconoce el derecho de los Titulares para proteger su información y el deber de los Administradores de Datos personales (2) en la recolección, almacenamiento, uso, circulación de la información para finalidades constitucionales en el marco del Estado Social de Derecho.

La Inteligencia Artificial (en adelante “IA”) es una tecnología que tiene una dimensión tanto científica como social (3). Su importancia está determinada por los profundos cambios sociales que produce, y en particular que para su funcionamiento se necesitan de grandes volúmenes de datos, y la mayoría de las veces de Datos personales. Así, el impacto de la IA en el derecho fundamental al Habeas Data es evidente.

Esta circular tiene como propósito proveer a los Administradores de Datos personales certidumbre sobre el Tratamiento de Datos personales para desarrollar, desplegar o usar sistemas de Inteligencia artificial (“Sistemas de IA”), y brindar a los Titulares seguridad sobre el uso de sus Datos personales en los Sistemas de IA, ya que típicamente se utilizan para tomar decisiones autónomas o para asistir a un tomador de decisiones humano a través de recomendaciones y predicciones.

El CONPES 3975 (4) define la inteligencia artificial como “(…) un campo de la informática dedicado a resolver problemas cognitivos comúnmente asociados con la inteligencia humana o seres inteligentes, entendidos como aquellos que pueden adaptarse a situaciones cambiantes. Su base es el desarrollo de sistemas informáticos, la disponibilidad de datos y los algoritmos”.

Los Estados miembros de la Organización para la Cooperación y Desarrollo Económico (OCDE) definieron en el 2023 un Sistema de Inteligencia Artificial como “un sistema basado en máquinas que, con objetivos explícitos o implícitos, infiere, a partir de la entrada que recibe, como generar salidas como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos o virtuales. Los diferentes sistemas de IA varían en sus niveles de autonomía y adaptabilidad después de su implementación” (5).

Las leyes estatutarias 1266 de 2008 y 1581 de 2012 son normas neutrales temática y tecnológicamente que se aplican a todo Tratamiento de Datos personales por parte de

Administradores de Datos personales, incluyendo la recolección y/o Tratamiento de Datos personales para desarrollar, probar y monitorear Sistemas de Inteligencia Artificial o como parte de su proceso de implementación.

En ese orden de ideas, la normatividad sobre Tratamiento de Datos personales debe aplicarse al margen de los procedimientos, metodologías o tecnologías que se utilicen para tratar la información personal de los Titulares. Así las cosas, la ley colombiana permite el uso de tecnologías para tratar datos, pero, al mismo tiempo, exige que se haga de manera respetuosa de su ordenamiento jurídico.

En materia de Tratamiento de Datos personales impera como regla de responsabilidad el deber de responsabilidad demostrada o “accountability”, el cual exige a los Administradores de Datos personales adoptar medidas útiles, oportunas, eficientes y demostrables para acreditar el total y correcto cumplimiento de la regulación. Lo anterior, se ve materializado en el artículo 19A de la Ley Estatutaria 1266 de 2008, que establece: “Los operadores, fuentes y usuarios de información financiera, crediticia, comercial y de servicios deben ser capaces de demostrar que han implementado medidas apropiadas, efectivas y verificables para cumplir con las obligaciones establecidas en la Ley 1266 de 2008”. Y, a Su vez, en el artículo 2.2.2.25.6.1 del Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, Decreto 1074 de 2015, al disponer que: “Los Responsables del Tratamiento de Datos personales deben ser capaces de demostrar, a petici6n de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este decreto”.

La privacidad desde el diseño y por defecto (Privacy by Design and by Default), es considerada una medida proactiva para, entre otras, cumplir con el Principio de Responsabilidad Demostrada. Al introducir la privacidad desde el desafío, se garantiza el debido Tratamiento de los datos utilizados en los proyectos informáticos que involucren Tratamiento de Datos personales.

Esto implica que en el momento de hacer analítica de datos para entrenar una maquina con inteligencia artificial se deberán aplicar técnicas matemáticas que impidan identificar a la persona que proporciona la información. Con esto se busca prevenir niveles de riesgo no aceptables, por su impacto al vulnerar el consentimiento de los Titulares en su derecho fundamental a la privacidad. Así, el debido Tratamiento de la información debe ser un componente esencial del diseño y puesta en marcha de proyectos de inteligencia artificial; lo cual implica la materializaci6n del principio de seguridad previsto tanto en el literal f) del artículo 4 de la Ley Estatutaria 1266 de 2008, como en el literal g) del artículo 5 de la Ley Estatutaria 1581 de 2012, en tanto conlleva la adopción de medidas técnicas, humanas y administrativas necesarias para otorgar seguridad a los registros, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Esta Superintendencia a través de la Delegatura para la Protección de Datos personales tiene entre las funciones asignadas por la Ley Estatutaria 1581 de 2012, las de “velar por el cumplimiento de la legislaci6n en materia de Protección de Datos personales” e “impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley” (6).

Además de lo anterior, en Sentencia C-1011 de 2008, la Corte Constitucional de Colombia revisando la constitucionalidad del proyecto correspondiente a la hoy Ley Estatutaria 1266 de 2008, se pronuncié respecto de las funciones de esta Superintendencia que:

“Para cumplir con esta obligación de Protección y garantía de los derechos del sujeto concernido, el legislador estatutario establecido en el artículo 17 que las Superintendencias de Industria y Comercio y Financiera ejercerán la función de vigilancia de los operadores, fuentes y usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, en cuanto refiere a la administración de Datos personales regulada por la normatividad objeto de estudio.

Estas funciones de vigilancia consisten, entre otros aspectos, en impartir instrucciones y 6rdenes sobre la manera como deben cumplirse las disposiciones previstas por la normatividad estatutaria, relacionadas con la administración de la mencionada información, para lo cual las Superintendencias fijaran los criterios que faciliten su cumplimiento y señalaran procedimientos para su cabal aplicación.”

A su vez, mediante Sentencia C -748 de 2011 (de constitucionalidad del proyecto correspondiente a la Ley Estatutaria 1582 de 2012) la Corporación se refirió a las facultades de esta autoridad establecidas en el artículo 21 del citado proyecto en los siguientes términos:

“Esta disposición enlista las funciones que ejercerá la nueva Delegatura de protección de Datos personales. Al estudiar las funciones a ella asignadas, encuentra esta Sala que todas corresponden y despliegan los estándares internacionales establecidos sobre la autoridad de vigilancia. En efecto, desarrollan las funciones de vigilancia del cumplimiento de la normativa, de investigación y sanción por su incumplimiento, de vigilancia de la transferencia internacional de datos y de promoción de la Protección de datos.

Además, debe afirmarse que, tal como lo estableci6é la Corte en la Sentencia C-1011 de 2008, la naturaleza de las facultades atribuidas a la Superintendencia —a través de la Delegatura-, “caen dentro del ámbito de las funciones de policía administrativa que corresponden a esos órganos técnicos adscritos al ejecutivo (Art. 115 C.P.), en tanto expresión de la potestad de dirección e intervención del Estado en la economía (Art.334), y de intervención reforzada del Gobierno en las actividades financiera, bursátiles y aseguradoras (Art. 335 C.P.).”

Igualmente, el numeral 55 del artículo 1 del Decreto 4886 de 2011 (modificado por el Decreto 092 de 2022) señala que esta Superintendencia des competente para “impartir instrucciones en materia de administración de Datos personales, fijar criterios que faciliten su cumplimiento y señalar los procedimientos para su cabal aplicación”. Todo ello independientemente, de los sistemas informáticos en los cuales se estén tratando los Datos personales; tecnologías de la información y las comunicaciones.

A su vez, la Corte Constitucional en Sentencia T- 323 del 2024 reafirma la necesidad de cumplir lo establecido en la regulación sobre Protección de Datos personales en el Tratamiento que se haga sobre aquellos por cualquier sistema de IA, en los siguientes términos:

“Ahora bien, en cuanto a la regulación del Tratamiento de datos en Colombia es importante destacar que las leyes estatutarias 1266 de 2008 y 1581 de 2012 fueron redactadas neutralmente, en el sentido que sus disposiciones aplican al Tratamiento de datos que se realice mediante cualquier herramienta manual o tecnológica. En este sentido, cualquier sistema de IA debe garantizar el cumplimiento de estas normatividades.”

En este sentido, esta Superintendencia, como Autoridad Nacional de Protección de Datos personales, instruye sobre el Tratamiento de Datos personales en Sistemas de Inteligencia Artificial en los siguientes términos:

I. El Tratamiento de Datos personales en la IA presupone la necesidad de realizar una ponderación atendiendo cuatro criterios, destinados a salvaguardar los principios establecidos en las Leyes Estatutarias 1266 de 2008 y 1581 de 2012:

a. Idoneidad: El Tratamiento es capaz de alcanzar el objetivo propuesto;

b. Necesidad: No exista otra medida más moderada en cuanto al impacto de las operaciones de Tratamiento en la protección de Datos personales e igual de eficaz para conseguir tal objetivo;

c. Razonabilidad: El Tratamiento debe estar orientado a cumplir finalidades constitucionales;

d. Proporcionalidad en sentido estricto: Las ventajas obtenidas como consecuencia de la restricción del derecho a la Protección de datos no deberán ser superadas por las desventajas de afectar el derecho al Habeas Data.

Il. En caso de presentarse falta de certeza frente a los potenciales daños que puede causar el Tratamiento de Datos personales, y con miras a evitar que se cause un daño grave e irreversible, los Administradores de Datos personales deberán abstenerse de realizar dicho Tratamiento o adoptar medidas precautorias o preventivas para proteger los derechos del Titular del dato, su dignidad y otros derechos humanos.

III. La identificación y clasificación de riesgos, Así como la adopción de medidas para mitigarlos, son elementos esenciales del principio de responsabilidad demostrada (7). Así, en el Tratamiento de Datos personales en la IA se requiere que los Administradores de Datos personales adecuen, entre otros, sistemas de administración de riesgos asociados al Tratamiento de aquella información. Lo anterior, con el objetivo de identificar, medir, controlar y monitorear todos aquellos hechos o situaciones que puedan incidir en la debida administración del riesgo que están expuestos en desarrollo del cumplimiento de las normas de protección de Datos personales.

IV. Previo al desafío y desarrollo de la IA, y en la medida en que sea probable que los productos realizados a través de dichas técnicas entrañen un alto riesgo de afectación a los Titulares de la información, será necesario efectuar y documentar un estudio de impacto de privacidad. Aquel, como mínimo, deberá contener lo siguiente:

a. Una descripción detallada de las operaciones de Tratamiento de Datos personales.

b. Una evaluación de los riesgos específicos para los derechos y libertades de los Titulares de los Datos personales. En la evaluación de riesgos se espera, por lo menos, la identificación y clasificación estos.

c. Las medidas previstas para evitar la materialización de los riesgos, medidas de seguridad, diseño de software, tecnologías y mecanismos que garanticen la protección de Datos personales, teniendo en cuenta los derechos e intereses legítimos de los Titulares de los datos y de otras personas que puedan eventualmente resultar afectadas.

V. Los Datos personales sujetos a Tratamiento en la IA deben ser veraces, completos, exactos, actualizados, comprobables y comprensibles. De esta manera, se prohíbe por el ordenamiento jurídico (8) el Tratamiento de Datos personales parciales, incompletos, fraccionados o que induzcan a error.

VI. Una manera para dar cumplimiento a la privacidad desde el diseño y por defecto por medio de técnicas matemáticas es la privacidad diferencial (9).

VII. En el Tratamiento de Datos personales en la IA debe garantizarse el derecho de los Titulares de la información a obtener de los Administradores de Datos personales, en cualquier momento y sin restricciones, información acerca del Tratamiento de sus Datos personales (10).

VIII. Para cumplir el principio de seguridad, en el desarrollo y despliegue de la IA, se requiere adoptar medidas tecnológicas (11), humanas, administrativas, físicas, contractuales y de cualquier otra índole para evitar:

a. El acceso indebido o no autorizado a los Datos personales.

b. La manipulación de la información.

c. La destrucción de la información.

d. El uso indebido o no autorizado de la información.

e. Circular o suministrar la información a personas no autorizadas.

Las medidas de seguridad implementadas deben ser auditables por las autoridades para su evaluación y mejoras permanentes.

IX. La información personal que es “accesible al publico” no es, per se, información “de naturaleza publica” (12). El hecho de que estén disponibles en internet no significa que cualquier persona puede tratarlos sin autorización previa, expresa e informada del Titular del Dato (13). De esta manera, los Administradores de Datos personales que recolecten Datos personales privados, semiprivados o sensibles en internet no están legitimados para apropiarse de dicha información y tratarla para cualquier finalidad que consideren apropiado sin la autorización previa, expresa e informada del Titular de la información.

X. El Tratamiento de Datos personales que se realice en sistemas de IA debe prever estrategias pertinentes, eficientes y demostrables para garantizar el cumplimiento de los derechos de los Titulares de la información establecidos en las leyes estatutarias 1266 de 2008 y 1581 de 2012 y sus decretos reglamentarios (14).

Así, en armonía con las normas citadas y la jurisprudencia constitucional, el Tratamiento de Datos personales en Sistemas de Inteligencia Artificial requiere la debida observancia de lo establecido en materia de Protección de Datos personales. La ley colombiana permite el uso de tecnologías para tratar datos, pero, al mismo tiempo, exige que se haga de manera respetuosa del ordenamiento jurídico. Quienes crean, desafían o usan “innovaciones tecnológicas” deben cumplir todas las normas sobre Tratamiento de Datos personales recolectados y/o tratados en Colombia.

De esa manera, estas instrucciones armonizan las anteriores normas para garantizar el fin constitucional de una efectiva Protección del derecho al Habeas Data y el debido Tratamiento de Datos personales.

Cordialmente,

CIELO ELAINNE RUSINQUE URREGO

SUPERINTENDENTE DE INDUSTRIA Y COMERCIO

————————————————————–

(1) Artículo 15 de la Constitución Política de Colombia de 1991.

(2) Se entiende por Administradores de Datos personales a: los Responsables del Tratamiento (literal e) artículo 3 de la Ley Estatutaria 1581 de 2012), los Encargados del Tratamiento (literal d) artículo 3 de la Ley Estatutaria 1581 de 2012), las Fuentes de información (literal b) artículo 3 de la Ley Estatutaria 1266 de 2008), los Operadores de información (literal c) artículo 3 de la Ley Estatutaria 1266 de 2008) y a los Usuarios (literal d) artículo 3 de la Ley Estatutaria 1266 de 2008).

(3) SIERRA CADENA, Grenfieth de Jesús. Implementación de la Inteligencia Artificial en las Altas Cortes de Colombia: los casos de la Corte Constitucional y el Consejo de Estado. Revista Eurolatinoamericana de Derecho Administrativo, Santa Fe, vol. 11, n. 1, e253, ene./jul. 2024.

DOI 10.14409/redoeda.v11i1.13824 “Un fenómeno científico y social que posee una doble naturaleza. Es considerada a la vez como un avance tecnológico-científico y un instrumento de transformaciones sociales. Tiene su origen en las ciencias de la computación, la informática y las matemáticas. Durante los últimos 30 años ha vivido cambios exponenciales, al punto de lograr que el desarrollo computacional se cada vez más potente, con mayor capacidad en procesamiento de datos, llegando a simular comportamientos humanos 1. Como fenómeno social hace referencia a la llegada de aplicaciones, de plataformas, de redes sociales, de componentes tecnológicos que están modificando estructuralmente las relaciones humanas; determinando nuevas formas de sociedad y de gobierno.”

(4) Consejo Nacional de Política Económica y Social Republica de Colombia Departamento Nacional De Planeación. Documento CONPES 3975 POLÍTICA NACIONAL PARA LA TRANSFORMACION DIGITAL E NTELIGENCIA ARTIFICIAL

(5) Organización para la Cooperación y Desarrollo Económico (OCDE). EXPLANATORY MEMORANDUM ON THE PDATED OECD DEFINITION OF AN Al SYSTEM. Marzo 2024. https://www.oecd-ilibrary.org/docserver/623da898-en.pdf?expires=1723212626&id=id&accname=quest&checksum=E9A3D570869087CCF8A0A929BBE2B2FF

(6) Literales a) y e) del artículo 21 de la Ley Estatutaria 1581 de 2012.

(7) Los riesgos asociados al Tratamiento de Datos personales en la IA deben estar sujetos a planificación y esfuerzos de mitigación proporcionales a la gravedad de los eventuales daños que se pueden generar. Entre las contingencias para tener en cuenta deben estar las inherentes a la operación de los algoritmos (sesgos humanos, fallas técnicas, vulnerabilidades de seguridad, fallas en la Implementación), y a su desafío.

(8) Literal d) del Artículo 4 de la Ley Estatutaria 1581 de 2012.

(9) En palabras de la profesora de la Facultad de Matemáticas de la Universidad de los Andes, Valérie Gauthier “La privacidad diferencial es un conjunto de técnicas matemáticas que permiten hacer analítica sobre datos sin revelar información de las personas que proporcionaron esos datos. En este caso se confía en una entidad central que tiene los datos, y responde preguntas sobre los datos de tal manera que no se pueda revelar información de los individuos en particular, aun cuando se combine con otro conjunto de datos.

La privacidad diferencial local, tiene un mismo propósito, pero no necesita una entidad central de confianza. Cada individuo va a añadir un ruido a sus datos de tal manera que nadie conozca el valor real de sus datos, pero que no afecte la analítica de los datos globalmente.

Para ambos métodos hay que tener un presupuesto de privacidad, de tal manera que permita tener analítica de datos muy aproximados a los reales sin perder la privacidad de las personas. Ese presupuesto puede depender de la sensibilidad y del valor de los datos en cuestión.

Para más información sobre la privacidad diferencial:

Dwork, C & Roth, A. (2014). The Algorithmic Foundations of Differential Privacy. Theoretical Computer Science. https://www.cis.upenn.edu/~aaroth/Papers/privacybook.pdf

Wang, T & Jha, S. (2017). Locally Differentially Private Protocols for Frequency Estimation. USENIX Security Symposium. https://www. usenix.org/system/files/conference/usenixsecurity1 7/sec17-wang-tianhao.pdf

(10) Literal e) del Artículo 4 de la Ley Estatutaria 1581 de 2012.

(11) Literal g) del Artículo 4 de la Ley Estatutaria 1581 de 2012.

(12) El numeral 2 del artículo 3 del Decreto 1377 de 2013 (incorporado en el Decreto Único Reglamentario 1074 de 2015) establece que un Dato Publico es “(…) el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u Oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva.

(13) Resolución nº 71406 del 15 de noviembre de 2023. Por la cual se imparten unas ordenes administrativas a LinkedIn.

(14) Téngase presente: Decreto 2952 de 2010 (incorporado en el Decreto Único Reglamentario

25Ago/24

Circular externa nº 003/2024 de 22 agosto de 2024

25 agosto, 2024Circular, ColombiaDecreto 1377 de 2013, Derecho Informático Colombia, Legislación Informática Colombia, Ley estatutaria 1266 de 2008, Ley estatutaria 1581 de 2012, Protección de Datos Personales, Sentencia C-748 de 2011, Superintendencia de Industria y Comercio ColombiaJosé Cuervo

Circular externa nº 003/2024 de 22 agosto de 2024, de la Superintendencia de Industria y Comercio de Colombia, Instrucciones para los administradores societarios en relación con el Tratamiento de Datos personales.

Superintendencia de Industria y Comercio

CIRCULAR EXTERNA nº 003 de 2024

Para: Administradores de entidades vigiladas por la Superintendencia de Industria y Comercio en su rol de Autoridad de Protección de Datos personales.

Asunto: Instrucciones para los administradores societarios en relación con el Tratamiento de Datos personales.

Consideraciones

El artículo 2 de la Constitución Política de Colombia señala como uno de los fines esenciales del Estado: “garantizar la efectividad de los principios, derechos y deberes consagrados en la Constitución”. Se desprende de ello, la exigencia tanto a particulares como a autoridades de garantizar resultados concretos para materializar el conjunto de las disposiciones Constitucionales, legales y reglamentarias, entre las que se encuentran las relacionadas con la protección al Habeas Data y con el debido Tratamiento de Datos personales previstos en el artículo 15 de la Constitución.

El artículo 333 de la Constitución Política de Colombia establece que “la actividad económica y la iniciativa privada son libres, dentro de los límites del bien común”. Dicho mandato Constitucional resalta que la “libre competencia económica es un derecho de todos que supone responsabilidades” y que la “empresa, como base del desarrollo, tiene una función social que implica obligaciones”. Dentro de tales obligaciones se encuentran aquellas que permiten materializar los derechos de los Titulares de los Datos personales.

Cuando la forma jurídica escogida para desarrollar una actividad empresarial es una sociedad, los administradores de esta cumplen un papel esencial para el cumplimiento de tales obligaciones. Parte de esas disposiciones legales incluyen las normas sobre Tratamiento de Datos personales, como lo son, entre otras, las leyes estatutarias 1266 de 2008, 1581 de 2012, 2157 de 2021 y sus decretos reglamentarios (1). Así, siendo el Tratamiento de Datos personales parte de la actividad de las empresas, los administradores societarios están obligados a actuar con la diligencia de un buen hombre de negocios velando por el estricto cumplimiento de las disposiciones legales y reglamentarias.

La Corte Constitucional, en la sentencia C-123 de 2006, resalta la importancia de los administradores debido al impacto que tienen en el orden social y económico de país.

“Puede concluir la Corte, que en materia de sociedades, dada Ia importante labor que desempeñan sus administradores, en razón a la gran responsabilidad que asumen y la repercusión que sus actuaciones pueden tener en el desarrollo social, ha sido la ley la que les ha impuesto de manera general a éstos, ejercer sus funciones con sujeción a los principios de lealtad y buena fe, así como actuar con la diligencia de un buen hombre de negocios, en interés de la sociedad y teniendo en cuenta los intereses de sus asociados. En tal medida, la actuación de los administradores debe ir más allá de la diligencia común y corriente, pues su gestión profesional de carácter comercial debe orientarse al cumplimiento de las metas propuestas por la sociedad”.

En materia de Tratamiento de Datos personales impera como regla de responsabilidad el deber de responsabilidad demostrada o “accountability’, el cual exige a los administradores societarios adoptar medidas útiles, oportunas, eficientes y demostrables para acreditar el total y correcto cumplimiento de la regulación. Lo anterior, se ve materializado en el artículo 19A de la Ley Estatutaria 1266 de 2008, que establece: “Los operadores, fuentes y usuarios de información financiera, crediticia, comercial y de servicios deben ser capaces de demostrar que han implementado medidas apropiadas, efectivas y verificables para cumplir con las obligaciones establecidas en la Ley 1266 de 2008”. Y, a su vez, en el artículo 26 del Decreto 1377 de 2013 (incorporado en el Decreto Único Reglamentario 1074 de 2015) al establecer que: “Los Responsables del Tratamiento de Datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la Ley 1581 de 2012 y este decreto”.

El literal e) del del artículo 3 de la Ley Estatutaria 1581 de 2012 define al Responsable del Tratamiento como “Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos”.

Por su parte, la Corte Constitucional, en Sentencia C-748 de 2011, al revisar la Constitucionalidad de la definición de Responsable del Tratamiento, estableció que:

“(…) no basta con que una ley o un contrato señalen expresamente que una determinada persona o grupo de personas son Responsables del Tratamiento, por cuanto en cada caso corresponderá analizar el contexto de las actuaciones de los agentes concernidos en el Tratamiento del dato para establecer su verdadera posición y, en este orden, sus obligaciones y régimen de responsabilidad. En ese orden de ideas, corresponderá a la autoridad competente de asegurar la vigilancia, control y garantía del dato personal, examinar la posición que ocupa cada agente en el Tratamiento del dato, en especial, porque como Io señala la misma definición de Responsable y de encargado del Tratamiento, éstos pueden estar constituidos por una pluralidad de sujetos que pueden tener distintos grados de responsabilidad.

Finalmente, como ejemplifica la Directiva referida —ejemplos que la Sala considera también son aplicables a nuestro caso, el Responsable del Tratamiento puede surgir:

(i) cuando en el cumplimiento de una determinada función, se impone la recolección de datos, por ejemplo, en el caso de la seguridad social; la directiva en comento denomina esta situación competencia legal explicita;

(ii) cuando en el ámbito propio de la actividad se produce el Tratamiento, se trata del caso de los empleadores frente a sus trabajadores, lo que se denomina competencia jurídica implicita; y

(iii) cuando sin existir las competencias anteriores, se tiene la capacidad de determinación, hecho que se denomina capacidad de influencia de hecho.” (2).

Así, siguiendo el alcance de la definición de “Responsable del Tratamiento”, los administradores societarios serán corresponsables del Tratamiento cuando en conjunto con la persona jurídica determinen, respecto de unas operaciones de Tratamiento específicas, o bien los fines o bien aquellos elementos esenciales de los medios que caracterizan al Responsable del Tratamiento.

En materia de datos personales, la Superintendencia de Industria y Comercio tiene entre las funciones asignadas por la Ley Estatutaria 1581 de 2012, las de “velar por el cumplimiento de la legislación en materia de protección de datos personales” e “impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley” (3)

Las circulares no tienen como propósito repetir exactamente lo que la ley dice. Las circulares son instrumentos normativos para ampliar y actualizar nociones jurídicas. Las circulares tienen la vocación de dar alcance a lo establecido en la norma y ampliar, actualizar y adaptar el marco de aplicación como poder instructivo de la administración a luz de las facultades otorgadas por la Ley Estatutaria 1581 de 2012 a la Autoridad de datos personales. Justamente, afirma la Función Pública que “Las circulares deben expresar el criterio jurídico o interpretación que un Órgano administrativo formula en textos un tanto complejos sobre la legislación que aplica” (4). La naturaleza jurídica de los datos personales están determinada por cambios tecnológicos constantes, cambios sociales y practicas nuevas de las empresas. El rol de la Autoridad es responder a los nuevos desafíos jurídicos con un alto grado de especificidad y tecnicismo, buscando desarrollar un marco de Protección integral y reforzado al derecho fundamental al Habeas Data.

Por su parte, el numeral 55 del artículo 1° del Decreto 092 de 2022 señala que la Superintendencia de Industria y Comercio tiene la función de impartir instrucciones en materia de administración de datos personales, fijar criterios que faciliten su cumplimiento y señalar los procedimientos para su cabal aplicación.

Conductas y deberes de los administradores

La Superintendencia de Industria y Comercio instruye a los administradores societarios de entidades bajo nuestra vigilancia, acerca del alcance de las obligaciones en el Tratamiento de Datos personales, como se indica a continuación:

I. Los administradores están obligados al cumplimiento de los establecido por la regulación relativa a la protección de datos personales.

II. Las Políticas Internas Efectivas (5) que establezcan los administradores para garantizar el debido Tratamiento de Datos personales en la actividad económica deben ser objeto de monitoreo y control para garantizar su cumplimiento.

III. |La adopción de mecanismos internos para hacer cumplir las Políticas Internas Efectivas, incluyendo herramientas de implementación, entrenamiento y programas de sensibilización, deben ser conocidas y promovidas por los administradores. Para lograr estos objetivos, se puede:

i) designar a la persona o al área que asumirá la función de protección de Datos personales dentro de la organización;

ii) aprobar y verificar el real y efectivo cumplimiento de un manual interno de Políticas y procedimientos (6) para garantizar el adecuado cumplimiento de las normas;

iii) establecer canales de comunicación que le permitan a la persona o al área responsable informar de manera periódica a los administradores sobre la ejecución de las Políticas Internas Efectivas de la organización.

IV. Los administradores deben establecer los lineamientos corporativos adecuados para adoptar medidas precautorias o preventivas para proteger los derechos de los titulares de Datos personales, como lo son, por ejemplo, los estudios de impacto de privacidad (7).

Los estudios de impacto de privacidad podrían incluir, como mínimo, lo siguiente:

1. Una descripción detallada de las operaciones de Tratamiento de Datos personales.

2. Una evaluación de los riesgos específicos para los derechos y libertades de los Titulares de los Datos personales. En la evaluación de riesgos se espera, por lo menos, la identificación y clasificación estos.

3. Las medidas previstas para evitar la materialización de los riesgos, medidas de seguridad, diseño de software, tecnologías y mecanismos que garanticen la Protección de Datos personales, teniendo en cuenta los derechos e intereses legítimos de los Titulares de los datos y de otras personas que puedan eventualmente resultar afectadas.

V. Los administradores deben establecer los lineamientos para fortalecer continuamente las medidas de seguridad de la información. En especial, el manual interno de Políticas debería involucrar un componente de gestión de riesgos que le permita a la empresa identificar sus vulnerabilidades a tiempo y enfocar sus recursos en la adopción de las medidas de mitigación de riesgos, tanto para ellas como para los Titulares de la Información (8).

En armonía con las normas citadas y la jurisprudencia Constitucional, los administradores societarios serán corresponsables del Tratamiento cuando en conjunto con la persona jurídica determinen, respecto de unas operaciones de Tratamiento específicas, los fines o los medios sobre la base de datos y/o el Tratamiento de los datos.

De esa manera, estas instrucciones armonizan las anteriores normas para garantizar el fin Constitucional de una efectiva protección del derecho al Habeas Data y al debido Tratamiento de datos personales.

Cordialmente,

CIELO ELAINNE RUSINQUE URREGO

SUPERINTENDENTE DE INDUSTRIA Y COMERCIO

(1) Téngase presente: Decreto 2952 de 2010 (incorporado en el Decreto único Reglamentario 1074 de 2015), Decreto 1377 de 2013 (incorporado en el Decreto Único Reglamentario 1074 de 2015) y el Decreto 255 de 2022.

(2) Sobre el particular la Corte Constitucional trae a colacién el Dictamen 1/2010 sobre los conceptos de «Responsable del tratamiento» y «encargado del tratamiento» del Grupo del Artículo 29 sobre Proteccidn de Datos. Documento disponible en:

https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_es.pdf#:~:text=Dictamen%201%2F2010%20sobre%20los %20conceptos%20de%20%C2%ABResponsable%20del,protecci*C3%B3n%20de%20datos%20y%20derecho%20a%20la%20intimidad.

(3) Literales a) y e) del artículo 21 de la Ley Estatutaria 1581 de 2012.

(4) Concepto 100921 de 2021 Departamento Administrativo de la Función Pública del 23 de marzo del 2021.

(5) Artículo 27 del Decreto 1377 de 2013 (incorporado en el Decreto Unico Reglamentario 1074 de 2015).

(6) El literal k) de la Ley Estatutaria 1581 de 2012 establece el deber de “Adoptar un manual interno de Políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos’”.

(7) Previo al diseño y desarrollo del proyecto de cualquier organización, y en la medida en que sea probable que el mismo entrañe un alto riesgo de afectación del derecho a la Protección de Datos personales de los Titulares, se sugiere efectuar una evaluación de impacto en la con el fin de poner en funcionamiento un sistema efectivo de manejo de riesgos y controles internos para garantizar que los datos se trataran debidamente y conforme con la regulación existente.

(8) Esta Superintendencia de Industria y Comercio ha puesto a disposición de los sujetos obligados la “GUIA PARA LA GESTION DE INCIDENTES DE SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALESDATOS PERSONALES?”. Para mayor detalle en la materia:

https://www.sic.gov.co/sites/default/files/files/Publicaciones/Guia_gestion_incidentes dic21 2020.pdf

10Ago/24

Informe de la Comisión sobre la primera revisión del funcionamiento de las decisiones de adecuación adoptadas en virtud del artículo 25, apartado 6, de la Directiva 95/46/CE, de 15.1.2024

10 agosto, 2024Comisión Europea, InformeJosé Cuervo

Informe de la Comisión sobre la primera revisión del funcionamiento de las decisiones de adecuación adoptadas en virtud del artículo 25, apartado 6, de la Directiva 95/46/CE, de 15.1.2024 [COM(2024) 7 final] [y SWD(2024) 3 final].

1. PRIMERA REVISIÓN: ANTECEDENTES Y CONTEXTO

El presente informe contiene las conclusiones de la Comisión sobre la primera revisión de las decisiones de adecuación adoptadas con arreglo al artículo 25, apartado 6, de la Directiva 95/46/CE (1) (Directiva sobre protección de datos).

En dichas decisiones, la Comisión concluyó que once países o territorios garantizan un nivel adecuado de protección de los datos personales transferidos desde la Unión Europea (UE) (2): Andorra (3), Argentina (4), Canadá (para los operadores comerciales) (5), Guernesey (6,) las Islas Feroe (7), la Isla de Man (8), Israel (9), Jersey (10), Nueva Zelanda (11), Suiza (12) y el Uruguay (13). Por consiguiente, las transferencias de datos desde la UE a estos países o territorios pueden llevarse a cabo sin requisitos adicionales.

Cuando comenzó a aplicarse el Reglamento (UE) 2016/679 (14) (RGPD) el 25 de mayo de 2018, se mantuvieron en vigor las decisiones de adecuación adoptadas en virtud de la Directiva sobre protección de datos(15). Además, el RGPD ha aclarado que las decisiones de adecuación son «instrumentos vivos» y establece que la Comisión debe supervisar de manera continuada los acontecimientos producidos en terceros países que puedan afectar al funcionamiento de las decisiones de adecuación existentes (16). Asimismo, el artículo 97 del RGPD exige a la Comisión que revise periódicamente estas decisiones (cada cuatro años) con el fin de determinar si los países y territorios que hayan recibido una decisión de adecuación siguen ofreciendo un nivel de protección de los datos personales adecuado.

Esta primera revisión de las decisiones de adecuación adoptadas en virtud del anterior marco de protección de datos de la UE se inició como parte de una evaluación más amplia de la aplicación y el funcionamiento del RGPD, sobre la que la Comisión presentó sus conclusiones en la Comunicación titulada «La protección de datos como pilar del empoderamiento de los ciudadanos y del enfoque de la UE para la transición digital: dos años de aplicación del Reglamento General de Protección de Datos» (17). Sin embargo, la conclusión sobre este elemento de la revisión se aplazó para tener en cuenta la sentencia del Tribunal de Justicia en el asunto Schrems II (18), en la que el Tribunal aportó aclaraciones importantes sobre elementos clave de la norma de adecuación, así como otras novedades conexas. A su vez, esto dio lugar a intercambios detallados con los países y territorios implicados sobre aspectos pertinentes de su marco jurídico, sus mecanismos de control y su sistema de ejecución (19). El presente informe tiene plenamente en cuenta todos estos acontecimientos, tanto los acaecidos en la UE como en los terceros países y territorios implicados.

Es importante señalar que esta primera revisión tiene lugar en un contexto de desarrollo exponencial de las tecnologías digitales. La importancia de las decisiones de adecuación ha aumentado considerablemente durante las últimas décadas, ya que los flujos de datos han pasado a ser un elemento integral de la transformación digital de la sociedad y de la globalización de la economía. La transferencia transfronteriza de datos se ha convertido en parte de las operaciones cotidianas de empresas europeas de todos los tamaños y pertenecientes a todos los sectores. Más que nunca, el respeto de la intimidad es fundamental para que los flujos comerciales sean estables, seguros y competitivos. En este contexto, las decisiones de adecuación desempeñan un papel cada vez más importante en muchos aspectos. Al garantizar que la protección acompaña a los datos, se posibilita que los flujos de datos sean seguros y que respeten los derechos de las personas en consonancia con el enfoque para la transformación digital de la UE centrado en el ser humano. Al reconocer que el marco de privacidad de un tercer país proporciona un nivel de protección sustancialmente equivalente al de la UE, promueven la convergencia entre sistemas de privacidad basados en altos niveles de protección. Además, tal como se explica en el presente informe, en lugar de ser un «punto final», las decisiones de adecuación han sentado las bases para una cooperación más estrecha y una mayor convergencia normativa entre la UE y socios afines. Al permitir la libre circulación de datos personales, estas decisiones han abierto canales comerciales para los operadores de la UE, en particular al complementar y amplificar los beneficios de los acuerdos comerciales, además de facilitar la cooperación con socios extranjeros en una amplia gama de ámbitos normativos. Al ofrecer una solución sencilla y completa para las transferencias de datos, sin necesidad de que el exportador de datos facilite garantías adicionales u obtenga una autorización, facilitan el cumplimiento, en particular por parte de las pequeñas y medianas empresas, de los requisitos establecidos en el RGPD para las transferencias internacionales. Por último, gracias a su «efecto de red», las decisiones de adecuación adoptadas por la Comisión Europea son cada vez más importantes también fuera de la UE, ya que no solo permiten la libre circulación de datos con las treinta economías de la UE, sino también con muchas más jurisdicciones de todo el mundo (20) que reconocen a los países para los que existe una decisión de adecuación de la UE como «destinos seguros» con arreglo a sus propias normas de protección de datos.

Por todas estas razones, y tal como también confirma el intenso y fructífero diálogo mantenido con los terceros países o territorios implicados en el que se sustenta esta revisión, las decisiones de adecuación se han convertido en un componente estratégico de la relación general de la UE con estos socios extranjeros y se consideran un elemento facilitador importante para profundizar la cooperación en una amplia gama de ámbitos. Por lo tanto, es especialmente importante que estas decisiones sigan resultando apropiadas en un futuro y respondan a los nuevos acontecimientos y retos.

2. OBJETO Y METODOLOGÍA DE LA REVISIÓN

Las decisiones de adecuación examinadas en esta revisión se han adoptado con arreglo al marco de protección de datos de la UE previo al RGPD. Mientras que las decisiones más recientes se adoptaron hace aproximadamente una década (por ejemplo, las decisiones sobre Nueva Zelanda y el Uruguay, ambas de 2012), otras llevan más de veinte años en vigor (por ejemplo, las decisiones sobre Canadá, adoptada en 2001, y Suiza, adoptada en el año 2000). En este tiempo, los marcos de protección de datos de los once países y territorios han sufrido cambios, por ejemplo, debido a reformas legislativas o reglamentarias o a cambios en las prácticas de ejecución empleadas por las autoridades de protección de datos o en la jurisprudencia.

Al llevar a cabo su evaluación, la Comisión se ha centrado, por tanto, en los cambios en los marcos de protección de datos de los países y territorios pertinentes que han tenido lugar desde la adopción de la decisión de adecuación. Ha analizado la manera en que estos cambios han transformado el panorama de la protección de datos del país o territorio de que se trate y el hecho de si, teniendo en cuenta estos cambios, los distintos regímenes siguen garantizando un nivel de protección adecuado.

Para tal fin, se tuvieron plenamente en cuenta los cambios producidos en el propio régimen de protección de datos de la UE, en particular los derivados del comienzo de la aplicación del RGPD. En concreto, desde la adopción de estas decisiones de adecuación, se han aclarado con más detalle la norma jurídica aplicable a dichas decisiones y los elementos pertinentes para evaluar si un sistema extranjero garantiza un nivel de protección adecuado a través de la jurisprudencia del Tribunal de Justicia y las orientaciones adoptadas por el Grupo de Trabajo del Artículo 29 y su sucesor, el Comité Europeo de Protección de Datos (21) (CEPD).

Cabe destacar que, en su sentencia de 6 de octubre de 2015 en el asunto Schrems I, el Tribunal de Justicia estableció que, si bien no puede exigirse a un tercer país que asegure un nivel de protección idéntico al garantizado en la UE, debe entenderse que la prueba de adecuación exige un nivel de protección «sustancialmente equivalente» (22). En particular, el Tribunal aclaró que los medios de que se sirve el tercer país en cuestión para la protección de los datos personales pueden ser diferentes de los aplicados en la Unión, siempre que en la práctica demuestren ser eficaces para garantizar un nivel de protección adecuado (23). Por lo tanto, la prueba de adecuación requiere una evaluación exhaustiva del sistema del tercer país en su totalidad que incluya el contenido de las medidas de protección de la privacidad y su aplicación y cumplimiento efectivos.

Además, el Tribunal aclaró que la evaluación de la Comisión no debe limitarse al marco general de protección de datos del tercer país, sino que también debe incluir las normas que rigen el acceso a los datos personales por parte de los poderes públicos, en particular con fines de aplicación de las leyes y de seguridad nacional (24). Tomando la Carta de los Derechos Fundamentales como referencia, el Tribunal señaló varios requisitos que deben cumplir estas normas para ajustarse a la norma de la «equivalencia sustancial». Por ejemplo, la legislación en este ámbito debe establecer normas claras y precisas que regulen el alcance y la aplicación de una medida y que impongan unas exigencias mínimas, de modo que las personas cuyos datos personales resulten afectados dispongan de garantías suficientes que permitan proteger eficazmente sus datos contra el riesgo de abuso y contra cualquier acceso o utilización ilícitos (25). También debe ofrecer a las personas la posibilidad de emprender acciones legales para tener acceso a los datos personales que les conciernan o para lograr su rectificación o supresión (26).

El RGPD toma como base las aclaraciones facilitadas por el Tribunal de Justicia al establecer un catálogo detallado de elementos que la Comisión debe tener en cuenta a la hora de realizar una evaluación de la adecuación (27). Además, en su sentencia de 16 de julio de 2020 en el asunto Schrems II, el Tribunal de Justicia profundizó en mayor medida en la norma de la «equivalencia sustancial», en particular en lo que respecta a las normas sobre el acceso a los datos personales por parte de los poderes públicos con fines de aplicación de las leyes y seguridad nacional. En concreto, aclaró que la norma de la «equivalencia sustancial» exige que los marcos jurídicos pertinentes que resultan vinculantes para los poderes públicos de los terceros países y territorios en cuestión incluyan garantías mínimas que aseguren que dichos poderes no puedan acceder a los datos más allá de lo necesario y proporcionado para perseguir objetivos legítimos, así como que los interesados gocen de derechos efectivos y exigibles contra dichos poderes (28).

La evolución de la norma de adecuación también se refleja en las orientaciones adoptadas originalmente por el Grupo de Trabajo del Artículo 29 y aprobadas posteriormente por el CEPD (29). Estas orientaciones, y en especial las denominadas «referencias sobre adecuación», aclaran en mayor medida los elementos que debe tener en cuenta la Comisión a la hora de llevar a cabo una evaluación de la adecuación, en particular al proporcionar una visión general de las «garantías esenciales» para el acceso a los datos personales por parte de los poderes públicos. Dichas orientaciones se basan en particular en la jurisprudencia del Tribunal Europeo de Derechos Humanos, y el CEPD las actualizó para tener en cuenta las aclaraciones facilitadas por el Tribunal de Justicia en la sentencia Schrems II (30). Es importante señalar que las referencias sobre la adecuación también reconocen que la norma de la «equivalencia sustancial» no implica una reproducción punto a punto («fotocopia») de las normas de la UE, dado que los medios para garantizar un nivel de protección comparable pueden variar en los distintos sistemas de privacidad, consecuencia de las distintas tradiciones jurídicas.

Por lo tanto, para determinar si las once decisiones de adecuación adoptadas en virtud de las normas anteriores siguen cumpliendo la norma establecida por el RGPD, la Comisión no solo ha tenido en cuenta los cambios producidos en los marcos de protección de datos de los países y territorios en cuestión, sino también la forma en que ha evolucionado la interpretación de la propia norma de adecuación con arreglo al Derecho de la UE. Esto incluye también una evaluación del marco jurídico que rige el acceso a —y el uso de— los datos personales transferidos desde la UE por parte de los poderes públicos de los países o territorios respecto de los cuales se ha constatado que ofrecen un nivel de protección adecuado en virtud del artículo 25, apartado 6, de la Directiva sobre protección de datos.

3. PROCESO DE REVISIÓN

Tal como se ha explicado anteriormente, para cada uno de los países o territorios implicados, la evaluación de las decisiones de adecuación existentes abarca el marco de protección de datos y cualquier cambio producido en dicho marco jurídico desde que se adoptara la decisión de adecuación, así como las normas que rigen el acceso a los datos por parte de la administración, en particular para fines de aplicación de las leyes y seguridad nacional. Durante los últimos años, los servicios de la Comisión han tomado varias medidas para llevar a cabo esta evaluación, en estrecha cooperación con cada uno de los países o territorios pertinentes.

Para ayudar a la Comisión en sus obligaciones de seguimiento, cada uno de los once países o territorios le facilitó información exhaustiva sobre los cambios producidos en su régimen de protección de datos desde la adopción de la decisión de adecuación. Además, la Comisión solicitó información detallada a cada uno de los once países o territorios sobre las normas relativas al acceso a los datos personales por parte de la administración, en particular a efectos de aplicación de las leyes y seguridad nacional, que se aplican en dicho país o territorio. La Comisión también recopiló información de fuentes públicas, autoridades de control y encargadas del cumplimiento y expertos locales sobre el funcionamiento de las decisiones y sobre los cambios pertinentes en el Derecho y la práctica de cada uno de los países y territorios implicados, tanto en lo que se refiere a las normas de protección de datos aplicables a los operadores privados como en lo relativo al acceso por parte de la administración. Por último, en su caso, se han tenido debidamente en cuenta los compromisos internacionales suscritos por estos países o territorios en el marco de instrumentos regionales o universales.

Sobre esta base, la Comisión ha entablado un diálogo intenso con cada uno de los países y territorios en cuestión. En el contexto de este diálogo, muchos de dichos países y territorios han modernizado y reforzado su legislación en materia de privacidad a través de reformas generales o parciales (por ejemplo, Andorra, Canadá, las Islas Feroe, Suiza y Nueva Zelanda), impulsados, entre otros factores, por la necesidad de garantizar la continuidad de las decisiones de adecuación. Las autoridades de protección de datos de algunos de estos países han adoptado normativas u orientaciones para introducir nuevos requisitos de protección de datos (por ejemplo, Israel y el Uruguay) o para aclarar determinadas normas de privacidad (por ejemplo, Argentina, Canadá, Guernesey, Jersey, la Isla de Man, Israel y Nueva Zelanda), basándose en las prácticas de ejecución o la jurisprudencia. Además, con el fin de abordar las diferencias existentes en lo relativo al nivel de protección, se han negociado y acordado salvaguardias adicionales para los datos personales transferidos desde Europa con algunos de los países y territorios en cuestión, en aquellos casos en los que ha sido necesario para garantizar la continuidad de la decisión de adecuación. Por ejemplo, el Gobierno canadiense amplió los derechos de acceso y rectificación en lo relativo a los datos personales tratados por el sector público a todas las personas, independientemente de su nacionalidad o lugar de residencia (mientras que anteriormente estos derechos solo estaban disponibles para los ciudadanos canadienses, los residentes permanentes o las personas físicamente presentes en Canadá) (31). Otro ejemplo es el del Gobierno israelí, que introdujo salvaguardias específicas para reforzar la protección de los datos personales transferidos desde el Espacio Económico Europeo que en concreto crean nuevas obligaciones en términos de exactitud y conservación de los datos, refuerzan los derechos a la información y a la supresión e introducen categorías adicionales de datos sensibles (32).

Paralelamente, los servicios de la Comisión recabaron los puntos de vista del Parlamento Europeo (Comisión de Libertades Civiles, Justicia y Asuntos de Interior) (33), del Consejo (a través del Grupo «Protección de Datos») (34), del CEPD (35) y del Grupo multilateral de expertos del RGPD (36) (que incluye a representantes de la sociedad civil, la industria, el mundo académico y los profesionales de la Justicia) sobre los avances de la evaluación, y les informaron regularmente al respecto.

El presente informe y el documento de trabajo de los servicios de la Comisión que lo acompaña son, por lo tanto, el resultado de una estrecha cooperación con cada uno de los países y territorios implicados, así como de la consulta con las instituciones y los organismos pertinentes de la UE y de las observaciones realizadas por estos. Se basan en diversas fuentes, como la legislación, los actos reglamentarios, la jurisprudencia, las decisiones y orientaciones de las autoridades de protección de datos, los informes de organismos de control (independientes) y las aportaciones de las partes interesadas. Antes de adoptarse el presente informe, se ha dado a todos los países y territorios anteriormente señalados la oportunidad de verificar la exactitud material de la información facilitada sobre su sistema en el documento de trabajo de los servicios de la Comisión.

4. PRINCIPALES RESULTADOS Y CONCLUSIONES

La primera revisión ha puesto de relieve que, desde la adopción de las decisiones de adecuación, los marcos de protección de datos vigentes en cada uno de los once países o territorios se han acercado en mayor medida al marco de la UE. Además, en lo relativo al acceso a los datos personales por parte de la administración, la primera revisión ha puesto de manifiesto que el Derecho de estos países o territorios impone salvaguardias y limitaciones adecuadas y proporciona mecanismos de control y recurso en este sentido.

Las conclusiones detalladas relativas a cada uno de los once países o territorios se presentan en el documento de trabajo de los servicios de la Comisión que acompaña al presente informe. Sobre la base de estas conclusiones, la Comisión concluye que los once países y territorios siguen garantizando un nivel adecuado de protección para los datos personales transferidos desde la Unión Europea en el sentido del RGPD, según la interpretación del Tribunal de Justicia. A continuación, se resumen los resultados de cada uno de los países y territorios que se consideran adecuados.

4.1. Andorra

La Comisión acoge con satisfacción los cambios realizados en el marco jurídico andorrano desde la adopción de la decisión de adecuación, en concreto las modificaciones legislativas y las actividades de las autoridades de control. En particular, la adopción de laCov, que entró en vigor en mayo de 2022, ha contribuido a aumentar el nivel de protección de datos, ya que dicha Ley está sumamente en consonancia con el RGPD en lo relativo a su estructura y a sus principales componentes.

En lo relativo al acceso a los datos personales por parte de la administración, los poderes públicos de Andorra están sujetos a normas claras, precisas y accesibles en virtud de las cuales dichos poderes pueden acceder a datos transferidos desde la UE y utilizarlos posteriormente para fines de interés público, en particular con fines de aplicación del Derecho penal y de seguridad nacional. Estas limitaciones y salvaguardias se derivan del marco jurídico general y los compromisos internacionales, en particular de la Constitución andorrana, el Convenio Europeo de Derechos Humanos (CEDH) y el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108 y Protocolo modificativo por el que se crea el Convenio 108+ modernizado), así como de normas específicas sobre la protección de datos aplicables al tratamiento de datos personales en el contexto de la aplicación de las leyes que esencialmente reproducen los elementos fundamentales de la Directiva (UE) 2016/6802016/680 (37). Además, el Derecho andorrano impone una serie de requisitos y limitaciones específicos para el acceso a los datos personales y su uso por parte de los poderes públicos y establece mecanismos de control y recurso en este ámbito.

Basándose en las conclusiones generales expuestas en el documento de trabajo de los servicios de la Comisión, la Comisión concluye que Andorra sigue garantizando un nivel de protección adecuado para los datos personales transferidos desde la UE.

Por lo que se refiere a las normas específicas sobre protección de datos que se aplican actualmente al tratamiento de datos por parte de los servicios de seguridad, la Comisión acoge con satisfacción la intención del legislador andorrano de sustituir estas normas por un régimen más amplio que se ajuste en mayor medida a las normas aplicables en la UE. La Comisión seguirá de cerca la futura evolución de la situación en este ámbito.

4.2. Argentina

La Comisión acoge con satisfacción los cambios realizados en el marco jurídico argentino desde la adopción de la decisión de adecuación, en concreto las modificaciones legislativas, la jurisprudencia y las actividades de las autoridades de control, que han contribuido a lograr un mayor nivel de protección de datos. En particular, se reforzó considerablemente la independencia de la autoridad argentina para el control de la protección de datos mediante el Decreto n.º 746/17, que encomienda a la Agencia de Acceso a la Información Pública (AAIP) la responsabilidad de controlar el cumplimiento de la normativa en materia de protección de datos. Además, la AAIP emitió una serie de reglamentos y dictámenes vinculantes que aclaran cómo debe interpretarse y aplicarse en la práctica el marco de protección de datos, contribuyéndose de este modo a mantener actualizada la normativa en materia de protección de datos. Argentina también reforzó sus compromisos internacionales en el ámbito de la protección de datos al adherirse en 2019 al Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y a su Protocolo adicional y al ratificar en 2023 el Protocolo modificativo por el que se crea el Convenio 108+ modernizado.

En lo relativo al acceso a los datos personales por parte de la administración, los poderes públicos de Argentina están sujetos a normas claras, precisas y accesibles en virtud de las cuales dichos poderes pueden acceder a datos transferidos desde la UE y utilizarlos posteriormente para fines de interés público, en particular con fines de aplicación del Derecho penal y seguridad nacional. Estas limitaciones y salvaguardias se derivan del marco jurídico general y los compromisos internacionales, en particular de la Constitución argentina, la Convención Americana sobre Derechos Humanos, el Convenio 108 y el Convenio 108+, así como de las normas argentinas sobre protección de datos (Ley 25.326 de Protección de los Datos Personales, de 4 de octubre de 2000) que también se aplican al tratamiento de datos personales por parte de los poderes públicos argentinos, especialmente con fines de aplicación de las leyes y seguridad nacional. Además, el Derecho argentino impone una serie de requisitos y limitaciones específicos para el acceso a los datos personales y su uso para fines de aplicación del Derecho penal y de seguridad nacional y establece mecanismos de control y recurso en este ámbito.

Basándose en las conclusiones generales expuestas en el documento de trabajo de los servicios de la Comisión, la Comisión concluye que Argentina sigue garantizando un nivel de protección adecuado para los datos personales transferidos desde la UE.

Asimismo, la Comisión recomienda consagrar en la legislación las protecciones que se han creado a nivel sublegislativo a fin de aumentar la seguridad jurídica y consolidar estos requisitos. El proyecto de ley sobre la protección de datos presentado recientemente en el Congreso argentino podría brindar la oportunidad de codificar estos avances y, de este modo, reforzar aún más el marco de privacidad argentino. La Comisión seguirá de cerca la futura evolución de la situación en este ámbito.

4.3. Canadá

La Comisión acoge con satisfacción los cambios realizados en el marco jurídico canadiense desde la adopción de la decisión de adecuación, en concreto las diversas modificaciones legislativas, la jurisprudencia y las actividades de las autoridades de control, que han contribuido a lograr un mayor nivel de protección de datos. En particular, se ha reforzado la Ley de Protección de la Información Personal y Documentos Electrónicos (PIPEDA, por sus siglas en inglés) a través de diferentes modificaciones (por ejemplo, sobre las condiciones para la validez del consentimiento y las notificaciones de violación de la seguridad de los datos) y se han aclarado en mayor grado los requisitos clave en materia de protección de datos (por ejemplo, sobre el tratamiento de datos sensibles) a través de la jurisprudencia y de las orientaciones emitidas por la autoridad federal canadiense de protección de datos, la Oficina del Comisionado de Protección de la Vida Privada. Asimismo, la Comisión recomienda consagrar en la legislación algunas de las protecciones que se han creado a nivel sublegislativo a fin de aumentar la seguridad jurídica y consolidar estos requisitos. La reforma legislativa en curso de la PIPEDA podría ofrecer en concreto una oportunidad para codificar estos avances y, de este modo, seguir reforzando el marco canadiense de privacidad. La Comisión seguirá de cerca la futura evolución de la situación en este ámbito.

En lo relativo al acceso a los datos personales por parte de la administración, los poderes públicos de Canadá están sujetos a normas claras, precisas y accesibles en virtud de las cuales dichos poderes pueden acceder a datos transferidos desde la UE y utilizarlos posteriormente para fines de interés público, en particular con fines de aplicación del Derecho penal y de seguridad nacional. Estas limitaciones y salvaguardias se derivan del marco constitucional general (la Carta Canadiense de Derechos y Libertades), la jurisprudencia, la legislación específica que regula el acceso a los datos y las normas sobre protección de datos (es decir, la Ley de Privacidad y las leyes similares a nivel provincial) que también se aplican al tratamiento de datos personales por parte de los poderes públicos canadienses, especialmente con fines de aplicación de las leyes y seguridad nacional. Además, el sistema jurídico canadiense proporciona mecanismos de control y recurso eficaces en este ámbito, en particular mediante la reciente ampliación de los derechos de los interesados y de las posibilidades de recurso para los nacionales o residentes no canadienses.

Basándose en las conclusiones generales expuestas en el documento de trabajo de los servicios de la Comisión, la Comisión concluye que Canadá sigue garantizando un nivel de protección adecuado para los datos personales transferidos desde la UE a destinatarios sujetos a la PIPEDA. Tal como se ha señalado anteriormente, se está llevando a cabo una reforma legislativa de la PIPEDA que podría reforzar aún más la protección de la privacidad, en particular en ámbitos que son pertinentes para las decisiones de adecuación.

4.4. Islas Feroe

La Comisión acoge con satisfacción los cambios realizados en el marco jurídico feroés desde la adopción de la decisión de adecuación, en concreto las modificaciones legislativas, la jurisprudencia y las actividades de las autoridades de control, que han contribuido a lograr un mayor nivel de protección de datos. En particular, las Islas Feroe han modernizado considerablemente su marco de protección de datos mediante la adopción de la Ley de Protección de Datos, que entró en vigor en 2021 y acercó en gran medida el régimen feroés al RGPD.

En lo relativo al acceso a los datos personales por parte de la administración, los poderes públicos de las Islas Feroe están sujetos a normas claras, precisas y accesibles en virtud de las cuales dichos poderes pueden acceder a datos transferidos desde la UE y utilizarlos posteriormente para fines de interés público, en particular con fines de aplicación del Derecho penal y de seguridad nacional. Estas limitaciones y salvaguardias se derivan del marco jurídico general y los compromisos internacionales, en particular del marco constitucional y del CEDH, así como de leyes específicas que regulan el acceso a los datos por parte de la administración y de las normas de protección de datos que se aplican al tratamiento de datos personales con fines de aplicación del Derecho penal [Ley sobre el Tratamiento de Datos Personales por parte de los Servicios de Seguridad, que entró en vigor en las Islas Feroe en 2022 e integra en el Derecho feroés la legislación adoptada por Dinamarca para aplicar la Directiva (UE) 2016/680] y a efectos de seguridad nacional (contenidas en la Ley sobre el Servicio de Seguridad e Inteligencia). Además, existen mecanismos de control y recurso eficaces en este ámbito.

Basándose en las conclusiones generales expuestas en el documento de trabajo de los servicios de la Comisión, la Comisión concluye que las Islas Feroe siguen garantizando un nivel de protección adecuado para los datos personales transferidos desde la UE.

4.5. Guernesey

La Comisión acoge con satisfacción los cambios realizados en el marco jurídico de Guernesey desde la adopción de la decisión de adecuación, en concreto las modificaciones legislativas y las actividades de las autoridades de control, que han contribuido a lograr un mayor nivel de protección de datos. En particular, Guernesey ha modernizado considerablemente su marco de protección de datos mediante la adopción de la Ley de Protección de Datos (Bailía de Guernesey) de 2017, que se encuentra en vigor desde 2019 y acerca en gran medida el régimen de Guernesey al RGPD.

En lo relativo al acceso a los datos personales por parte de la administración, los poderes públicos de Guernesey están sujetos a normas claras, precisas y accesibles en virtud de las cuales dichos poderes pueden acceder a datos transferidos desde la UE y utilizarlos posteriormente para fines de interés público, en particular con fines de aplicación del Derecho penal y de seguridad nacional. Estas limitaciones y salvaguardias se derivan del marco jurídico general y los compromisos internacionales, en particular del CEDH y del Convenio 108, así como de las normas sobre protección de datos de Guernesey, especialmente las disposiciones específicas sobre el tratamiento de datos personales en el contexto de la aplicación de las leyes que se establecen en la Orden sobre Protección de Datos (Aplicación de las Leyes y Cuestiones Conexas) (Bailía de Guernesey) de 2018. Además, el Derecho de Guernesey impone una serie de requisitos y limitaciones específicos para el acceso a los datos personales y su uso con fines de aplicación del Derecho penal y de seguridad nacional y establece mecanismos de control y recurso en este ámbito.

Basándose en las conclusiones generales expuestas en el documento de trabajo de los servicios de la Comisión, la Comisión concluye que Guernesey sigue garantizando un nivel de protección adecuado para los datos personales transferidos desde la UE.

4.6. Isla de Man

La Comisión acoge con satisfacción los cambios realizados en el marco jurídico manés desde la adopción de la decisión de adecuación, en concreto las modificaciones legislativas y las actividades de las autoridades de control, que han contribuido a lograr un mayor nivel de protección de datos. En concreto, en 2018, la Isla de Man adoptó nueva legislación [Ley de Protección de Datos de 2018, complementada por la Orden sobre Protección de Datos (Aplicación del RGPD) de 2018] que incorpora la mayoría de las disposiciones del marco de protección de datos de la UE al ordenamiento jurídico manés, realizándose únicamente pequeños ajustes en aspectos específicos, en particular para adaptar el marco al contexto local.

En lo relativo al acceso a los datos personales por parte de la Administración, los poderes públicos de la Isla de Man están sujetos a normas claras, precisas y accesibles en virtud de las cuales dichos poderes pueden acceder a datos transferidos desde la UE y utilizarlos posteriormente para fines de interés público, en particular con fines de aplicación del Derecho penal y de seguridad nacional. Estas limitaciones y salvaguardias se derivan del marco jurídico general y los compromisos internacionales, en particular del CEDH y del Convenio 108, así como de las normas sobre protección de datos de la Isla de Man, especialmente de las disposiciones específicas sobre el tratamiento de datos personales en el ámbito penal que se establecen en la Orden sobre Protección de Datos (Aplicación de la Directiva sobre protección de datos en el ámbito penal) de 2018 y en el Reglamento de 2018 por el que se aplica la Directiva sobre protección de datos en el ámbito penal. Además, el Derecho manés impone una serie de limitaciones específicas para el acceso a los datos personales y su uso para fines de aplicación del Derecho penal y seguridad nacional y establece mecanismos de control y recurso en este ámbito.

Basándose en las conclusiones generales expuestas en el documento de trabajo de los servicios de la Comisión, la Comisión concluye que la Isla de Man sigue garantizando un nivel de protección adecuado para los datos personales transferidos desde la UE.

4.7. Israel

La Comisión acoge con satisfacción los cambios realizados en el marco jurídico israelí desde la adopción de la decisión de adecuación, en concreto las modificaciones legislativas, la jurisprudencia y las actividades de las autoridades de control, que han contribuido a lograr un mayor nivel de protección de datos. En concreto, Israel introdujo salvaguardias específicas para reforzar la protección de los datos personales transferidos desde el Espacio Económico Europeo mediante la adopción del Reglamento 5783-2023 sobre la Protección de la Privacidad (Instrucciones para los Datos Transferidos a Israel desde el Espacio Económico Europeo). Además, Israel reforzó los requisitos en materia de seguridad de los datos mediante la adopción del Reglamento 5777-2017 sobre la Protección de la Privacidad (Seguridad de los Datos) y consolidó la independencia de su autoridad de control de la protección de datos mediante una resolución gubernamental vinculante.

En lo relativo al acceso a los datos personales por parte de la administración, los poderes públicos de Israel están sujetos a normas claras, precisas y accesibles en virtud de las cuales dichos poderes pueden acceder a datos transferidos desde la UE y utilizarlos posteriormente para fines de interés público, en particular con fines de aplicación del Derecho penal y de seguridad nacional. Estas limitaciones y salvaguardias se derivan del marco jurídico general, en particular de la Ley Fundamental israelí, así como de la Ley 5741-1981 de Protección de la Privacidad y los Reglamentos adoptados en virtud de esta, que se aplican al tratamiento de datos personales por parte de los poderes públicos israelíes, especialmente con fines de aplicación de las leyes y seguridad nacional. Además, el Derecho israelí impone una serie de limitaciones específicas para el acceso a los datos personales y su uso para fines de aplicación del Derecho penal y de seguridad nacional y establece mecanismos de control y recurso en este ámbito.

Basándose en las conclusiones generales expuestas en el documento de trabajo de los servicios de la Comisión, la Comisión concluye que Israel sigue garantizando un nivel de protección adecuado para los datos personales transferidos desde la UE.

Asimismo, la Comisión recomienda consagrar en la legislación las protecciones que se han creado a nivel sublegislativo y a través de la jurisprudencia, con el fin de aumentar la seguridad jurídica y consolidar estos requisitos. El proyecto de Ley 5722-2022 sobre la Protección de la Privacidad (Enmienda n.º 14) presentado recientemente ante el Parlamento israelí ofrece una oportunidad importante para consolidar y codificar estos avances, con lo que se reforzaría en mayor medida el marco de privacidad israelí. La Comisión seguirá de cerca la futura evolución de la situación en este ámbito.

4.8. Jersey

La Comisión acoge con satisfacción los cambios realizados en el marco jurídico de Jersey desde la adopción de la decisión de adecuación, en concreto las modificaciones legislativas, la jurisprudencia y las actividades de las autoridades de control, que han contribuido a lograr un mayor nivel de protección de datos. En concreto, Jersey ha modernizado considerablemente su marco de protección de datos mediante la adopción de la Ley de Protección de Datos (Jersey) de 2018 y la Ley sobre la Autoridad de Protección de Datos (Jersey) de 2018, que entraron en vigor en 2018 y armonizan en gran medida el régimen de Jersey con el RGPD.

En lo relativo al acceso a los datos personales por parte de la administración, los poderes públicos de Jersey están sujetos a normas claras, precisas y accesibles en virtud de las cuales dichos poderes pueden acceder a datos transferidos desde la UE y utilizarlos posteriormente para fines de interés público, en particular con fines de aplicación del Derecho penal y de seguridad nacional. Estas limitaciones y salvaguardias se derivan del marco jurídico general y los compromisos internacionales, en particular del CEDH y del Convenio 108, así como de las normas sobre protección de datos de Jersey, especialmente las disposiciones específicas sobre el tratamiento de datos personales en el contexto de la aplicación de las leyes que se establecen en la Ley de Protección de Datos (Jersey) de 2018, en su versión modificada a través del anexo 1 de dicha Ley. Además, el Derecho de Jersey impone una serie de limitaciones específicas para el acceso a los datos personales y su uso para fines de aplicación del Derecho penal y seguridad nacional y establece mecanismos de control y recurso en este ámbito.

Basándose en las conclusiones generales expuestas en el documento de trabajo de los servicios de la Comisión, la Comisión concluye que Jersey sigue garantizando un nivel de protección adecuado para los datos personales transferidos desde la UE.

4.9. Nueva Zelanda

La Comisión acoge con satisfacción los cambios realizados en el marco jurídico neozelandés desde la adopción de la decisión de adecuación, en concreto las modificaciones legislativas, la jurisprudencia y las actividades de las autoridades de control, que han contribuido a lograr un mayor nivel de protección de datos. En concreto, se llevó a cabo una reforma integral del régimen de protección de datos mediante la adopción de la Ley de Privacidad de 2020, que aumentó aún más la convergencia con el marco de protección de datos de la UE, en particular en lo que se refiere a las normas aplicables a las transferencias internacionales de datos personales y a los poderes de la autoridad de protección de datos (la Oficina del Comisionado de Privacidad).

En lo relativo al acceso a los datos personales por parte de la administración, los poderes públicos de Nueva Zelanda están sujetos a normas claras, precisas y accesibles en virtud de las cuales dichos poderes pueden acceder a datos transferidos desde la UE y utilizarlos posteriormente para fines de interés público, en particular con fines de aplicación del Derecho penal y de seguridad nacional. Estas limitaciones y salvaguardias se derivan del marco constitucional general (por ejemplo, la Ley sobre la Carta de Derechos) y la jurisprudencia, así como de las leyes específicas que regulan el acceso a los datos por parte de la administración y de las disposiciones de la Ley de Privacidad que también se aplican al tratamiento de datos personales por parte de las autoridades encargadas de la aplicación del Derecho penal y de la seguridad nacional. Además, el sistema jurídico neozelandés ofrece diferentes mecanismos de control y recurso en este ámbito.

Basándose en las conclusiones generales expuestas en el documento de trabajo de los servicios de la Comisión, la Comisión concluye que Nueva Zelanda sigue garantizando un nivel de protección adecuado para los datos personales transferidos desde la UE. La Comisión también acoge con satisfacción el hecho de que el Gobierno neozelandés haya presentado recientemente un proyecto de ley ante el Parlamento con miras a modificar la Ley de Privacidad de 2020 a fin de reforzar los requisitos de transparencia existentes. La Comisión seguirá de cerca la futura evolución de la situación en este ámbito.

4.10. Suiza

La Comisión acoge con satisfacción los cambios realizados en el marco jurídico suizo desde la adopción de la decisión de adecuación, en concreto las modificaciones legislativas, la jurisprudencia y las actividades de las autoridades de control, que han contribuido a lograr un mayor nivel de protección de datos. En particular, la Ley Federal de Protección de Datos actualizada ha aumentado aún más la convergencia con el marco de protección de datos de la UE, especialmente en lo que respecta a la protección de los datos sensibles y a las normas sobre las transferencias de datos internacionales. Asimismo, Suiza reforzó sus compromisos internacionales en el ámbito de la protección de datos mediante la ratificación del Convenio 108+ en septiembre de 2023.

En lo relativo al acceso a los datos personales por parte de la administración, los poderes públicos de Suiza están sujetos a normas claras, precisas y accesibles en virtud de las cuales dichos poderes pueden acceder a datos transferidos desde la UE y utilizarlos posteriormente para fines de interés público, en particular con fines de aplicación del Derecho penal y de seguridad nacional. Estas limitaciones y salvaguardias se derivan del marco jurídico general y los compromisos internacionales, en particular de la Constitución Federal de Suiza, del CEDH y del Convenio 108+, así como de las normas suizas en materia de protección de datos, especialmente la Ley Federal de Protección de Datos y las normas específicas sobre protección de datos que se aplican a las autoridades encargadas de la aplicación del Derecho penal (por ejemplo, el Código Procesal Penal) y de la seguridad nacional (por ejemplo, la Ley del Servicio de Inteligencia). Además, el Derecho suizo impone una serie de limitaciones específicas para el acceso a los datos personales y su uso para fines de aplicación del Derecho penal y seguridad nacional y establece mecanismos de control y recurso en este ámbito.

Basándose en las conclusiones generales expuestas en el documento de trabajo de los servicios de la Comisión, la Comisión concluye que Suiza sigue garantizando un nivel de protección adecuado para los datos personales transferidos desde la UE.

4.11. Uruguay

La Comisión acoge con satisfacción los cambios realizados en el marco jurídico uruguayo desde la adopción de la decisión de adecuación, en concreto las diversas modificaciones legislativas, la jurisprudencia y las actividades de las autoridades de control, que han contribuido a lograr un mayor nivel de protección de datos. En particular, el Uruguay actualizó y reforzó la Ley 18.331 de Protección de Datos Personales y la Acción de Habeas Data de 2008 mediante modificaciones legislativas realizadas en 2018 y 2020, con las que se amplió el alcance territorial de la legislación sobre protección de datos, se crearon nuevos requisitos de rendición de cuentas (como evaluaciones de impacto, la protección de datos desde el diseño y por defecto, la notificación de violaciones de la seguridad de los datos y el nombramiento de delegados de protección de datos) y se introdujeron protecciones adicionales para los datos biométricos. Además, el Uruguay reforzó sus compromisos internacionales en el ámbito de la protección de datos al adherirse al Convenio 108 en 2019 y al ratificar el Convenio 108+ en 2021.

En lo relativo al acceso a los datos personales por parte de la administración, los poderes públicos del Uruguay están sujetos a normas claras, precisas y accesibles en virtud de las cuales dichos poderes pueden acceder a datos transferidos desde la UE y utilizarlos posteriormente para fines de interés público, en particular con fines de aplicación del Derecho penal y de seguridad nacional. Estas limitaciones y salvaguardias se derivan del marco jurídico general y los compromisos internacionales, en particular de la Constitución uruguaya, la Convención Americana sobre Derechos Humanos, el Convenio 108 y el Convenio 108+, así como de las normas sobre protección de datos recogidas en la Ley 18.331 de Protección de Datos Personales y la Acción de Habeas Data que se aplican al tratamiento de datos personales por parte de los poderes públicos uruguayos, especialmente con fines de aplicación de las leyes y seguridad nacional. Además, el Derecho uruguayo impone una serie de requisitos y limitaciones específicos para el acceso a los datos personales y su uso por parte de los poderes públicos y establece mecanismos de control y recurso en este ámbito.

Basándose en las conclusiones generales extraídas como parte de esta primera revisión, la Comisión concluye que el Uruguay sigue garantizando un nivel de protección adecuado para los datos personales transferidos desde la UE.

5. SEGUIMIENTO Y COOPERACIÓN EN EL FUTURO

La Comisión reconoce y valora muy positivamente la excelente cooperación mantenida con las autoridades competentes de cada uno de los países y territorios implicados a la hora de llevarse a cabo esta revisión. La Comisión seguirá efectuando un estrecho seguimiento de los avances en los marcos de protección y la práctica real en los países y territorios en cuestión. En el caso de que en uno de los países o territorios considerados adecuados se produzcan cambios que afecten negativamente al nivel de protección de datos que se estima apropiado, la Comisión hará uso, cuando sea necesario, de las facultades que le confiere el artículo 45, apartado 5, del RGPD para suspender, modificar o revocar una decisión de adecuación.

La presente revisión confirma que la adopción de una decisión de adecuación no es un «punto final», sino que brinda la oportunidad de intensificar el diálogo y la cooperación con socios internacionales afines en lo relativo a los flujos de datos y las cuestiones digitales en general. En este sentido, la Comisión espera con interés la celebración de futuros intercambios con las autoridades competentes para seguir reforzando la cooperación a nivel internacional en lo relativo al fomento de unos flujos de datos seguros y libres, en particular mediante una cooperación reforzada en materia de ejecución. A fin de intensificar este diálogo y promover el intercambio de información y experiencias, la Comisión tiene la intención de organizar una reunión de alto nivel en 2024 que reúna a representantes de la UE y de todos los países para los que se haya emitido una decisión de adecuación.

1 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

2 Tras su incorporación al Acuerdo sobre el Espacio Económico Europeo (EEE), el Reglamento General de Protección de Datos (RGPD) también se aplica a Noruega, Islandia y Liechtenstein. Las referencias a la UE contenidas en el presente informe deben entenderse en el sentido de que también abarcan a los Estados del EEE.

3 Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la adecuada protección de los datos personales en Andorra (DO L 277 de 21.10.2010, p. 27).

4 Decisión 2003/490/CE de la Comisión, de 30 de junio de 2003, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección de los datos personales en Argentina (DO L 168 de 5.7.2003, p. 19).

5 Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección de los datos personales conferida por la ley canadiense Personal Information and Electronic Documents Act (DO L 2 de 4.1.2002, p. 13).

6 Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003, relativa al carácter adecuado de la protección de los datos personales en Guernsey (DO L 308 de 25.11.2003, p. 27).

7 Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada dada en la Ley de las Islas Feroe sobre el tratamiento de datos personales (DO L 58 de 9.3.2010, p. 17).

8 Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004, relativa al carácter adecuado de la protección de los datos personales en la Isla de Man (DO L 151 de 30.4.2004, p. 48).

9 Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por el Estado de Israel en lo que respecta al tratamiento automatizado de los datos personales (DO L 27 de 1.2.2011, p. 39).

10 Decisión 2008/393/CE de la Comisión, de 8 de mayo de 2008, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales en Jersey (DO L 138 de 28.5.2008, p. 21).

11 Decisión de Ejecución 2013/65/UE de la Comisión, de 19 de diciembre de 2012, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por Nueva Zelanda (DO L 28 de 30.1.2013, p. 12).

12 Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa al nivel de protección adecuado de los datos personales en Suiza (DO L 215 de 25.8.2000, p. 1).

13 Decisión de Ejecución 2012/484/UE de la Comisión, de 21 de agosto de 2012, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por la República Oriental del Uruguay en lo que respecta al tratamiento automatizado de datos personales (DO L 227 de 23.8.2012, p. 11).

14 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

15 Véase el artículo 45, apartado 9, del RGPD, que establece que las decisiones adoptadas por la Comisión en virtud del artículo 25, apartado 6, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas por una decisión de la Comisión adoptada de conformidad con los apartados 3 o 5 del artículo 45.

16 Artículo 45, apartado 4, del RGPD. Véase también la sentencia del Tribunal de Justicia de la UE de 6 de octubre de 2015 en el asunto C-362/14, Maximillian Schrems/Data Protection Commissioner (Schrems I), ECLI:EU:C:2015:650, apartado 76.

17 La Comunicación se publicó en junio de 2020 y se encuentra disponible en el siguiente enlace: https://ec.europa.eu/info/law/law-topic/data-protection/communication-two-years-application-general-data-protection-regulation_es.

18 Sentencia del Tribunal de Justicia de la UE de 16 de julio de 2020 en el asunto C-311/18, Data Protection Commissioner / Facebook Ireland Limited y Maximillian Schrems (Schrems II), ECLI:EU:C:2020:559.

19 La decisión de adecuación relativa a Japón se adoptó tomando como base el RGPD y prevé una revisión periódica independiente. La primera revisión se concluyó en abril de 2023 con el informe de la Comisión al Parlamento Europeo y al Consejo sobre la primera revisión del funcionamiento de la decisión de adecuación relativa a Japón [COM(2023) 275 final], disponible en el siguiente enlace: https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=COM:2023:275:FIN.

20 Por ejemplo, Argentina, Colombia, Israel, Marruecos, Suiza y el Uruguay.

21 El Comité Europeo de Protección de Datos reúne a las autoridades de control de la protección de datos de los Estados miembros y al Supervisor Europeo de Protección de Datos.

22 Schrems I, apartados 73, 74 y 96. Véase también el considerando 104 del Reglamento (UE) 2016/679, que hace referencia a la norma de la equivalencia sustancial.

23 Schrems I, apartado 74.

24 Schrems I, apartado 90.

25 Schrems I, apartado 91.

26 Schrems I, apartado 95.

27 Artículo 45, apartado 2, del RGPD.

28 Schrems II, apartados 180 a 182.

29 Referencias sobre adecuación, WP 254 rev. 01, 6 de febrero de 2018 (disponible en: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108).

30 Recomendaciones 02/2020 sobre las garantías esenciales europeas para medidas de vigilancia (disponibles en https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-022020-european-essential-guarantees_es).

31 Artículo 12 de la Ley de Privacidad, Orden de Ampliación de la Ley de Privacidad n.º 1 y Orden de Ampliación de la Ley de Privacidad n.º 2.

32 Reglamento 5783-2023 sobre la protección de la privacidad (instrucciones para los datos transferidos a Israel desde el Espacio Económico Europeo), publicado en el Boletín Oficial de Israel (Reshumut) el 7 de mayo de 2023.

33 Véase, por ejemplo, la Resolución del Parlamento Europeo, de 25 de marzo de 2021, sobre el informe de evaluación de la Comisión sobre la ejecución del Reglamento General de Protección de Datos dos años después de su aplicación [2020/2717(RSP)], disponible en el siguiente enlace: https://eur-lex.europa.eu/legal-content/Es/TXT/?uri=CELEX%3A52021IP0111.

34 Véanse, por ejemplo, la posición del Consejo y las conclusiones acerca de la aplicación del Reglamento General de Protección de Datos (RGPD), adoptadas el 19 de diciembre de 2019 y disponibles en el siguiente enlace: https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-1/en/pdf.

35 Véase, por ejemplo, la contribución del CEPD a la evaluación del RGPD en virtud del artículo 97, adoptada el 18 de febrero de 2020 y disponible en el siguiente enlace: https://edpb.europa.eu/sites/default/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf.

36 Véase, por ejemplo, el informe del Grupo multilateral de expertos sobre la evaluación del RGPD, disponible en el siguiente enlace: https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=en&do=groupDetail.groupMeeting&meetingId=21356.

37 Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.

09Ago/24

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024

9 agosto, 2024Parlamento Europeo y del Consejo, Reglamentoarchivo electrónico, atributo, Autenticación, autenticación reforzada de usuario, Carteras europeas de identidad digital, certificados de autenticación de sitios web, certificados de sello electrónico, correspondencia de la identidad, creación firmas electrónicas, Creación sellos electrónicos, datos de identificación electrónica, Datos Personales, declaración electrónica de atributos, Declaración Europea sobre los Derechos y Principios Digitales, Derecho Informático, Derecho Informático Comunidad Europea, dispositivo, etiqueta de confianza de la UE, expedición de certificados de firma electrónica, fuente auténtica, identidad digital, Identificación electrónica, Legislación Informática, Legislación Informática Consejo Europeo, Legislación Informática Parlamento Europeo, libro mayor electrónico cualificado, Marco Europeo de identidad digital, modo fuera de línea, registro de datos, Reglamento UE 910/2014, sellos de tiempò electrónicos, servicio de confianza, Seudónimos en transacciones electrónicas, Tratamiento Datos Personales, validación, validación firmas electrónicasJosé Cuervo

Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) nº 910//2014 en lo que respecta al establecimiento del marco europeo de identidad digital.

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

Visto el dictamen del Comité de las Regiones (2),

De conformidad con el procedimiento legislativo ordinario (3),

Considerando lo siguiente:

(1) La Comunicación de la Comisión de 19 de febrero de 2020, titulada «Configurar el futuro digital de Europa», anuncia una revisión del Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo (4) para mejorar su eficacia, extender sus beneficios al sector privado y promover unas identidades digitales de confianza para todos los europeos.

(2) En sus Conclusiones de 1 y 2 de octubre de 2020, el Consejo Europeo instó a la Comisión a que presentara una propuesta relativa al desarrollo, a escala de la UE, de un marco para la identificación electrónica pública segura, en particular de las firmas digitales interoperables, de modo que los ciudadanos puedan tener el control de su identidad y sus datos en línea y se facilite el acceso a los servicios digitales públicos, privados y transfronterizos.

(3) El Programa Estratégico de la Década Digital para 2030, establecido por la Decisión (UE) 2022/2481 del Parlamento Europeo y del Consejo (5), fija los objetivos y las metas digitales de un marco de la Unión que, de aquí a 2030, deben dar lugar a la implantación generalizada de una identidad digital fiable, voluntaria y controlada por el usuario, reconocida en toda la Unión y que permita a todos los usuarios controlar sus datos en las interacciones en línea.

(4) La Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital, proclamada por el Parlamento Europeo, el Consejo y la Comisión (6) (en lo sucesivo, «Declaración»), subraya el derecho de todas las personas a acceder a tecnologías, productos y servicios digitales que sean seguros y protejan la privacidad desde el diseño. Esto incluye velar por que se ofrezca a todas las personas que viven en la Unión una identidad digital accesible, segura y fiable que permita acceder a una amplia gama de servicios en línea y fuera de línea, protegida contra los riesgos de ciberseguridad y los ciberdelitos, por ejemplo, la violación de la seguridad de los datos y la usurpación o la manipulación de identidad. En la Declaración también se afirma que toda persona tiene derecho a la protección de sus datos personales. Este derecho incluye el control de cómo se utilizan esos datos y con quién se comparten.

(5) Los ciudadanos de la Unión y los residentes en la Unión deben tener derecho a poseer una identidad digital que se mantenga bajo su control exclusivo y les permita ejercer sus derechos en el entorno digital y participar en la economía digital. Para alcanzar este objetivo, debe establecerse un marco europeo de identidad digital que permita a los ciudadanos de la Unión y los residentes en la Unión acceder a servicios públicos y privados en línea y fuera de línea en toda la Unión.

(6) Un marco de identidad digital armonizado debe contribuir a la creación de una Unión más integrada digitalmente al reducir los obstáculos digitales entre los Estados miembros y capacitar a los ciudadanos de la Unión y los residentes en la Unión para que disfruten de los beneficios de la digitalización, aumentando al mismo tiempo la transparencia y la protección de sus derechos.

(7) Un enfoque más armonizado en lo que respecta a la identificación electrónica debe reducir los riesgos y los costes asociados a la actual fragmentación derivada del uso de soluciones nacionales divergentes o, en algunos Estados miembros, a la ausencia de tales soluciones de identificación electrónica. Este enfoque debe reforzar el mercado interior al permitir que los ciudadanos de la Unión, los residentes en la Unión tal como se definen en el Derecho nacional y las empresas se identifiquen y proporcionen una autenticación de su identidad en línea y fuera de línea de manera segura, fiable, fácil de usar, cómoda, accesible y armonizada en toda la Unión. La cartera europea de identidad digital debe proporcionar a las personas físicas y jurídicas de la Unión un medio de identificación electrónica armonizado que permita autenticar y compartir datos relacionados con su identidad. Toda persona debe poder acceder de forma segura a servicios públicos y privados apoyándose en un ecosistema reforzado de servicios de confianza y en pruebas de identidad y declaraciones electrónicas de atributos verificadas, como cualificaciones académicas, por ejemplo, títulos universitarios u otros títulos profesionales o académicos. El marco europeo de identidad digital tiene por finalidad lograr un cambio que permita pasar de la utilización exclusiva de soluciones nacionales de identidad digital a la provisión de declaraciones electrónicas de atributos que sean válidas y estén legalmente reconocidas en toda la Unión. Los prestadores de declaraciones electrónicas de atributos deben beneficiarse de un conjunto de normas claras y uniformes, y las administraciones públicas deben poder confiar en los documentos electrónicos expedidos en un determinado formato.

(8) Varios Estados miembros han aplicado y emplean medios de identificación electrónica que son aceptados por prestadores de servicios en la Unión. Asimismo, se han realizado inversiones en soluciones tanto nacionales como transfronterizas atendiendo al Reglamento (UE) nº 910/2014, incluida la interoperabilidad de los sistemas de identificación electrónica notificados con arreglo a dicho Reglamento. Con el fin de garantizar la complementariedad y la rápida adopción de las carteras europeas de identidad digital por los usuarios existentes de los medios de identificación electrónica notificados, así como de reducir al mínimo las repercusiones sobre los prestadores de servicios existentes, se espera que las carteras europeas de identidad digital se beneficien de la experiencia adquirida con los medios de identificación electrónica existentes y de la infraestructura de los sistemas de identificación electrónica notificados implantada a escala nacional y de la Unión.

(9) El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (7) y, en su caso, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (8) se aplican a todas las actividades de tratamiento de datos personales en virtud del Reglamento (UE) nº 910/2014. Las soluciones que forman parte del marco de interoperabilidad previsto en el presente Reglamento también cumplen dichas normas. El Derecho de la Unión en materia de protección de datos establece principios, como los de minimización de datos y limitación de finalidad, y obligaciones, como la protección de datos desde el diseño y por defecto.

(10) Con el fin de fomentar la competitividad de las empresas de la Unión, los prestadores de servicios tanto en línea como fuera de línea deben poder contar con soluciones de identidad digital reconocidas en toda la Unión, independientemente del Estado miembro en el que se proporcionen, de tal manera que se beneficien de un enfoque armonizado de la Unión en lo que respecta a la confianza, la seguridad y la interoperabilidad. Tanto los usuarios como los prestadores de servicios deben poder beneficiarse de que se confiera el mismo valor jurídico a las declaraciones electrónicas de atributos en toda la Unión. El objetivo de un marco armonizado para una identidad digital es crear valor económico al facilitar el acceso a bienes y servicios y reducir considerablemente los costes de explotación asociados a los procedimientos de identificación y autenticación electrónicas, por ejemplo, durante la incorporación de nuevos clientes, así como las posibilidades de que se cometan ciberdelitos, como la usurpación de identidad, el robo de datos y el fraude en línea, y, así, propiciar una mayor eficiencia y una transformación digital segura de las pymes de la Unión.

(11) Las carteras europeas de identidad digital deben facilitar la aplicación del principio de «solo una vez» y, de esta manera, reducir la carga administrativa que recae sobre los ciudadanos de la Unión y los residentes en la Unión, así como sobre las empresas de toda la Unión, y apoyar su movilidad transfronteriza, además de fomentar el desarrollo de servicios de administración electrónica interoperables en toda la Unión.

(12) El Reglamento (UE) 2016/679, el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (9) y la Directiva 2002/58/CE son aplicables al tratamiento de datos personales efectuado en aplicación del presente Reglamento. En consecuencia, el presente Reglamento debe establecer salvaguardas específicas para evitar que los proveedores de medios de identificación electrónica y declaraciones electrónicas de atributos combinen los datos personales obtenidos al prestar otros servicios con los datos personales tratados para prestar los servicios contemplados en el ámbito de aplicación del presente Reglamento. Se debe establecer una separación lógica entre los datos personales relacionados con la provisión de carteras europeas de identidad digital y cualesquier otros datos que obren en poder del proveedor de la cartera. El presente Reglamento no debe impedir a los proveedores de las carteras europeas de identidad digital aplicar medidas técnicas adicionales que contribuyan a la protección de los datos personales, como por ejemplo la separación física entre los datos personales relacionados con la provisión de carteras europeas de identidad digital y cualesquier otros datos en poder del proveedor. Sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679, el presente Reglamento especifica la aplicación de los principios de limitación de finalidad, minimización de datos y protección de datos desde el diseño y por defecto.

(13) La función de panel común debe integrarse en el diseño de las carteras europeas de identidad digital, a fin de garantizar un mayor grado de transparencia, privacidad y control por parte de los usuarios de sus datos personales. Dicha función debe ofrecer una interfaz fácil y de uso sencillo con una visión general de todas las partes usuarias con las que el usuario comparte datos, incluidos los atributos, y el tipo de datos compartidos con cada parte usuaria. Debe permitir al usuario efectuar un seguimiento de todas las transacciones ejecutadas a través de la cartera europea de identidad digital con al menos los siguientes datos: la hora y la fecha de la transacción, la identificación de la contraparte, los datos personales solicitados y los datos compartidos. Tal información debe almacenarse aun cuando la transacción no se haya concluido. No debe ser posible repudiar la autenticidad de la información contenida en el historial de transacciones. Tal función debe estar activada por defecto. Debe permitir al usuario solicitar fácilmente a una parte usuaria que suprima inmediatamente datos personales en virtud del artículo 17 del Reglamento (UE) 2016/679 y denunciar fácilmente a una parte usuaria ante la autoridad nacional competente de protección de datos cuando se reciba una solicitud presuntamente ilícita o sospechosa de datos personales directamente a través de la cartera europea de identidad digital.

(14) Los Estados miembros deben integrar en la cartera europea de identidad digital distintas tecnologías de protección de la privacidad, como la prueba de conocimiento cero. Estos métodos criptográficos deben permitir que una parte usuaria valide si una declaración dada basada en los datos de identificación y la declaración de atributos de la persona es verdadera sin revelar ningún dato en que se base dicha declaración, preservando así la privacidad del usuario.

(15) El presente Reglamento define las condiciones armonizadas de cara al establecimiento de un marco para las carteras europeas de identidad digital que deben proporcionar los Estados miembros. Todos los ciudadanos de la Unión, y los residentes en la Unión tal como se definen en el Derecho nacional, deben estar facultados para solicitar, seleccionar, combinar, almacenar, eliminar, compartir y presentar datos relacionados con su identidad y solicitar la supresión de sus datos personales de una manera sencilla y cómoda que esté bajo el control exclusivo del usuario y permita al mismo tiempo la divulgación selectiva de datos personales. El presente Reglamento refleja los valores europeos comunes y respeta los derechos fundamentales, las garantías jurídicas y la responsabilidad y, para así proteger las sociedades democráticas, los ciudadanos de la Unión y los residentes en la Unión. Deben desarrollarse tecnologías que permitan lograr estos objetivos y que aspiren al máximo nivel de seguridad, privacidad, comodidad de uso y accesibilidad, garantizando asimismo una elevada facilidad de utilización y una interoperabilidad fluida. Los Estados miembros deben garantizar la igualdad de acceso a la identificación electrónica para todos sus ciudadanos y residentes. Los Estados miembros no deben limitar, directa o indirectamente, el acceso a los servicios públicos o privados a personas físicas o jurídicas que no opten por utilizar carteras europeas de identidad digital y deben facilitar otras soluciones adecuadas.

(16) Los Estados miembros deben aprovechar las posibilidades que ofrece el presente Reglamento para proporcionar, bajo su responsabilidad, carteras europeas de identidad digital, para su uso, a las personas físicas y jurídicas que residan en su territorio. A fin de ofrecer flexibilidad a los Estados miembros y aprovechar las tecnologías más avanzadas, el presente Reglamento debe permitir el suministro de carteras europeas de identidad digital directamente por un Estado miembro, en virtud de un mandato de un Estado miembro, o independientemente de un Estado miembro, pero con el reconocimiento de dicho Estado miembro.

(17) A efectos del registro, las partes usuarias deben facilitar la información necesaria para permitir su identificación y autenticación electrónicas en las carteras europeas de identidad digital. Al declarar el uso que pretenden hacer de la cartera europea de identidad digital, las partes usuarias deben facilitar información sobre los datos que solicitarán, en su caso, para prestar sus servicios, así como el motivo de la solicitud. El registro de las partes usuarias facilita las verificaciones por parte de los Estados miembros por lo que respecta a la legalidad de las actividades de las partes usuarias de conformidad con el Derecho de la Unión. La obligación de registro prevista en el presente Reglamento debe entenderse sin perjuicio de las obligaciones establecidas en el Derecho de la Unión o nacional, como la información que debe facilitarse a los interesados en virtud del Reglamento (UE) 2016/679. Las partes usuarias deben cumplir las garantías ofrecidas por los artículos 35 y 36 de dicho Reglamento, en particular realizando evaluaciones de impacto relativas a la protección de datos y consultando a las autoridades competentes en materia de protección de datos antes del tratamiento de datos en los casos en que las evaluaciones de impacto relativas a la protección de datos indiquen que el tratamiento daría lugar a un riesgo elevado. Dichas garantías deben apoyar el tratamiento lícito de datos personales por las partes usuarias, en particular por lo que respecta a las categorías especiales de datos personales, como los datos relativos a la salud. El registro de las partes usuarias tiene por objeto aumentar la transparencia y la confianza en el uso de las carteras europeas de identidad digital. El registro debe tener un coste razonable y proporcionado a los riesgos conexos, a fin de garantizar la aceptación por parte de los prestadores de servicios. En este contexto, el registro debe ofrecer la posibilidad de utilizar procedimientos automáticos, en particular de que los Estados miembros recurran a registros existentes y los utilicen, y no debe conllevar un proceso de autorización previa. El proceso de registro debe permitir diversos casos de uso que pueden presentar diferencias en cuanto al modo de operación, ya sea en línea o fuera de línea, o en lo que respecta al requisito de autenticar los dispositivos con el objetivo de interactuar con la cartera europea de identidad digital. El registro debe aplicarse exclusivamente a las partes usuarias que presten servicios mediante una interacción digital.

(18) A fin de que se confíe en las carteras europeas de identidad digital y de que estas carteras se adopten ampliamente, es muy importante proteger a los ciudadanos de la Unión y los residentes en la Unión frente al uso no autorizado o fraudulento de las carteras europeas de identidad digital. Debe ofrecerse a los usuarios una protección eficaz contra este uso indebido. En particular, cuando una autoridad judicial nacional establezca, en el contexto de otro procedimiento, hechos que constituyan la base de un uso fraudulento o ilegal de una cartera europea de identidad digital, los organismos de supervisión responsables de los emisores de carteras europeas de identidad digital deben adoptar, tras la notificación, las medidas necesarias para garantizar la retirada o la suspensión del registro de la parte usuaria y de la inclusión de las partes usuarias en el mecanismo de autenticación hasta que la autoridad notificante confirme que las irregularidades detectadas se han subsanado.

(19) Todas las carteras europeas de identidad digital deben permitir a los usuarios identificarse y autenticarse electrónicamente de forma transfronteriza, tanto en línea como en modo fuera de línea, para acceder a una amplia gama de servicios públicos y privados. Sin perjuicio de las prerrogativas de los Estados miembros en lo que respecta a la identificación de sus ciudadanos y residentes, las carteras europeas de identidad digital también pueden dar respuesta a las necesidades institucionales de las administraciones públicas, las organizaciones internacionales y las instituciones, órganos y organismos de la Unión. La autenticación en modo fuera de línea será importante en numerosos sectores, especialmente el sanitario, en el que los servicios se prestan a menudo mediante una interacción presencial, y las recetas electrónicas deben poder utilizar códigos QR o tecnologías similares para verificar su autenticidad. Basándose en el nivel de seguridad alto por lo que respecta a los sistemas de identificación electrónica, las carteras europeas de identidad digital deben beneficiarse del potencial que ofrecen las soluciones inalterables, como las medidas de protección, para cumplir los requisitos de seguridad previstos en el presente Reglamento. Asimismo, las carteras europeas de identidad digital deben permitir a los usuarios crear y utilizar firmas y sellos electrónicos cualificados que se acepten en toda la Unión. Una vez incorporadas a una cartera europea de identidad digital, las personas físicas deben poder utilizarla para firmar con firmas electrónicas cualificadas, por defecto y de forma gratuita, sin tener que seguir ningún otro procedimiento administrativo. Los usuarios deben poder firmar o sellar declaraciones personales o atributos autodeclarados. En aras de la simplificación y la reducción de costes en beneficio de las personas y empresas de toda la Unión, en particular mediante la posibilidad de otorgar poderes de representación y mandatos electrónicos, los Estados miembros deben proporcionar carteras europeas de identidad digital que utilicen normas y especificaciones técnicas comunes para garantizar una interoperabilidad fluida y elevar adecuadamente el nivel de seguridad informática, reforzar la solidez frente a los ciberataques y, de este modo, reducir considerablemente los riesgos que entraña la digitalización en curso para los ciudadanos de la Unión, los residentes en la Unión y las empresas. Las autoridades competentes de los Estados miembros son las únicas que pueden proporcionar un nivel de confianza alto en la determinación de la identidad de una persona y, por lo tanto, ofrecer garantías de que la persona que afirma o manifiesta poseer una determinada identidad es, de hecho, quien dice ser. Por lo tanto, para la provisión de carteras europeas de identidad digital, es necesario basarse en la identidad legal de los ciudadanos de la Unión, los residentes en la Unión o las personas jurídicas. La utilización de la identidad legal no debe impedir que los usuarios de carteras europeas de identidad digital accedan a servicios mediante un seudónimo cuando no exista una obligación jurídica de utilizar la identidad legal para la autenticación. La confianza en las carteras europeas de identidad digital aumentaría si se impusiera a las partes emisoras y gestoras el deber de introducir medidas técnicas y organizativas adecuadas para garantizar el nivel de seguridad más elevado que sea proporcional a los riesgos planteados para los derechos y libertades de las personas físicas, de conformidad con el Reglamento (UE) 2016/679.

(20) El uso de una firma electrónica cualificada debe ser gratuito para todas las personas físicas con fines no profesionales. Los Estados miembros deben tener la posibilidad de establecer medidas para impedir el uso gratuito de firmas electrónicas cualificadas con fines profesionales por parte de personas físicas, garantizando al mismo tiempo que tales medidas sean proporcionadas a los riesgos detectados y estén justificadas.

(21) Resulta beneficioso facilitar la implantación y la utilización de carteras europeas de identidad digital mediante su integración sin dificultades en el ecosistema de servicios públicos y privados ya vigente a escala nacional, local o regional. A fin de alcanzar este objetivo, los Estados miembros deben tener la posibilidad de establecer medidas jurídicas y organizativas que mejoren la flexibilidad para los proveedores de carteras europeas de identidad digital y que hagan posibles otras funcionalidades de las carteras europeas de identidad digital aparte de las establecidas en el presente Reglamento, en particular mediante un refuerzo de la interoperabilidad con los medios nacionales de identificación electrónica existentes. Tales funcionalidades adicionales no deben en ningún caso ir en detrimento de la prestación de las funciones esenciales de las carteras europeas de identidad digital establecidas en el presente Reglamento, ni promover soluciones nacionales existentes en lugar de las carteras europeas de identidad digital. Tales funcionalidades adicionales exceden el ámbito de aplicación del presente Reglamento, y por ello no se benefician de las disposiciones sobre el uso transfronterizo de las carteras europeas de identidad digital que figuran en el presente Reglamento.

(22) Las carteras europeas de identidad digital deben incluir una funcionalidad para generar seudónimos elegidos y gestionados por el usuario con fines de autenticación a la hora de acceder a servicios en línea.

(23) Para lograr un nivel de seguridad y fiabilidad alto, el presente Reglamento establece los requisitos que deben satisfacer las carteras europeas de identidad digital. La acreditación de la conformidad de las carteras europeas de identidad digital con estos requisitos corresponderá a organismos acreditados de evaluación de la conformidad designados por los Estados miembros.

(24) A fin de evitar enfoques divergentes y armonizar la aplicación de los requisitos establecidos en el presente Reglamento, la Comisión debe, a fin de certificar las carteras europeas de identidad digital, adoptar actos de ejecución para establecer una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos con el fin de establecer especificaciones técnicas detalladas para dichos requisitos. En la medida en que la certificación de la conformidad de las carteras europeas de identidad digital con los requisitos de ciberseguridad pertinentes no está cubierta por los esquemas de certificación de la ciberseguridad existentes a que se refiere el presente Reglamento, y en lo que respecta a los requisitos no relacionados con la ciberseguridad pertinentes para las carteras europeas de identidad digital, los Estados miembros deben establecer esquemas nacionales de certificación con arreglo a los requisitos armonizados establecidos en el presente Reglamento y adoptados en virtud de este. Los Estados miembros deben transmitir sus proyectos de esquemas nacionales de certificación al Grupo de Cooperación sobre la Identidad Digital Europea, que debe estar facultado para emitir dictámenes y recomendaciones.

(25) La certificación de la conformidad con los requisitos de ciberseguridad establecidos en el presente Reglamento debe basarse, cuando estén disponibles, en los esquemas europeos de certificación de la ciberseguridad pertinentes establecidos en virtud del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (10), que establece un marco europeo voluntario de certificación de la ciberseguridad para los productos, procesos y servicios de TIC.

(26) Con el fin de evaluar y mitigar continuamente los riesgos relacionados con la seguridad, las carteras europeas de identidad digital certificadas deben ser objeto de evaluaciones periódicas de las vulnerabilidades encaminadas a detectar cualquier vulnerabilidad en los componentes relacionados con los productos, procesos y servicios certificados de la cartera europea de identidad digital.

(27) Al proteger a los usuarios y a las empresas de los riesgos de ciberseguridad, los requisitos esenciales de ciberseguridad establecidos en el presente Reglamento también contribuyen a mejorar la protección de los datos personales y la privacidad de las personas. Deben tenerse en cuenta las sinergias tanto en materia de normalización como de certificación en los aspectos relativos a la ciberseguridad a través de la cooperación entre la Comisión, las organizaciones europeas de normalización, la Agencia de la Unión Europea para la Ciberseguridad (ENISA), el Comité Europeo de Protección de Datos creado por el Reglamento (UE) 2016/679 y las autoridades nacionales de supervisión de la protección de datos.

(28) Debe facilitarse la incorporación de los ciudadanos de la Unión y los residentes en la Unión a la cartera europea de identidad digital mediante la utilización de medios de identificación electrónica expedidos a un nivel de seguridad alto. Solo se debe recurrir a los medios de identificación electrónica expedidos a un nivel de seguridad sustancial cuando las especificaciones y procedimientos técnicos armonizados que empleen medios de identificación electrónica expedidos a un nivel de seguridad sustancial en combinación con medios complementarios de verificación de la identidad permitan el cumplimiento de los requisitos establecidos en el presente Reglamento en relación con el nivel de seguridad alto. Tales medios complementarios deben ser fiables y fáciles de utilizar, y se pueden desarrollar teniendo en cuenta la posibilidad de emplear procedimientos de incorporación a distancia, certificados cualificados sustentados en firmas electrónicas cualificadas, declaraciones electrónicas cualificadas de atributos o una combinación de estos. Para garantizar una implantación suficiente de las carteras europeas de identidad digital, deben establecerse, mediante actos de ejecución, especificaciones y procedimientos técnicos armonizados para la incorporación de los usuarios por medios de identificación electrónica, en particular aquellos expedidos a un nivel de seguridad sustancial.

(29) El objetivo del presente Reglamento consiste en proporcionar al usuario una cartera europea de identidad digital que sea completamente portátil, segura y fácil de utilizar. Como medida transitoria hasta que estén disponibles soluciones certificadas inalterables —por ejemplo, medidas de protección dentro de los dispositivos de los usuarios—, las carteras europeas de identidad digital deben poder emplear bien medidas de protección externas certificadas para proteger el material criptográfico y otros datos sensibles, bien medios de identificación electrónica notificados con un nivel de seguridad alto para demostrar el cumplimiento de los requisitos pertinentes del presente Reglamento en lo que respecta al nivel de seguridad de la cartera europea de identidad digital. El presente Reglamento se entiende sin perjuicio de las condiciones nacionales por lo que respecta a la expedición y utilización de una medida de protección externa certificada en caso de que esta medida transitoria las necesite.

(30) Las carteras europeas de identidad digital deben garantizar el máximo nivel de protección de datos y de seguridad a efectos de identificación y autenticación electrónicas para facilitar el acceso a los servicios públicos y privados, con independencia de que dichos datos se almacenen de forma local o mediante soluciones en la nube, teniendo debidamente en cuenta los diferentes niveles de riesgo.

(31) Las carteras europeas de identidad digital deben ser seguras desde el diseño y deben aplicar características de seguridad avanzadas para proteger contra la usurpación de identidad, el robo de datos, la denegación de servicio y cualquier otra ciberamenaza. Dichas medidas de seguridad deben incluir métodos de cifrado y almacenamiento de última generación que solo sean accesibles al usuario y descifrables por este, y basados en una comunicación cifrada de extremo a extremo con otras carteras europeas de identidad digital y las partes usuarias. Además, las carteras europeas de identidad digital deben requerir la confirmación segura, explícita y activa del usuario para las operaciones realizadas a través de dichas carteras.

(32) El uso gratuito de las carteras europeas de identidad digital no debe dar lugar a que el tratamiento de datos exceda lo necesario para la prestación de servicios de carteras europeas de identidad digital. El presente Reglamento no debe permitir el tratamiento de datos personales almacenados o que se deriven del uso de la cartera europea de identidad digital por el proveedor de esta con fines distintos a la prestación de servicios de cartera europea de identidad digital. Para garantizar la privacidad, los proveedores de carteras europeas de identidad digital deben garantizar la falta de observabilidad no recopilando datos y no pudiendo ver la información de las transacciones de los usuarios de la cartera europea de identidad digital. Dicha falta de observabilidad significa que los proveedores no pueden ver los detalles de las transacciones realizadas por el usuario. No obstante, en casos específicos, sobre la base del consentimiento explícito previo del usuario para cada uno de dichos casos específicos, y de plena conformidad con el Reglamento (UE) 2016/679, se puede conceder acceso a los proveedores de carteras europeas de identidad digital a la información necesaria para la prestación de un servicio concreto relacionado con las carteras europeas de identidad digital.

(33) La transparencia de las carteras europeas de identidad digital y la responsabilidad de sus proveedores son elementos clave para fomentar la confianza social y activar la aceptación del marco. Por tanto, el funcionamiento de las carteras europeas de identidad digital debe ser transparente y, en concreto, permitir un tratamiento verificable de los datos personales. Para lograrlo, los Estados miembros deben revelar el código fuente de los componentes de programas informáticos de las aplicaciones de usuario de las carteras europeas de identidad digital, incluidos los relacionados con el tratamiento de los datos personales y los datos de personas jurídicas. La publicación de este código fuente con una licencia de código abierto debe permitir a la sociedad, incluidos los usuarios y desarrolladores, comprender su funcionamiento y auditar y revisar el código. Esto aumentará la confianza de los usuarios en el ecosistema y contribuirá a la seguridad de las carteras europeas de identidad digital, al permitir que cualquier persona denuncie vulnerabilidades y errores en el código. En general, esto debe ser un incentivo para que los proveedores ofrezcan y mantengan un producto con un nivel de seguridad elevado. Sin embargo, en determinados casos, por razones debidamente justificadas, en especial con fines de seguridad pública, los Estados miembros pueden limitar la divulgación del código fuente de las librerías usadas, el canal de comunicación u otros elementos que no estén alojados en el dispositivo del usuario.

(34) El uso de las carteras europeas de identidad digital, así como la interrupción de su uso, debe ser un derecho y una opción exclusivos de los usuarios. Los Estados miembros deben desarrollar procedimientos sencillos y seguros para que los usuarios soliciten la revocación inmediata de la validez de las carteras europeas de identidad digital, también en el caso de pérdida o robo. En caso de fallecimiento del usuario o de cese de la actividad de una persona jurídica, debe establecerse un mecanismo que permita a la autoridad responsable de liquidar la sucesión de la persona física o los bienes de la persona jurídica solicitar la revocación inmediata de las carteras europeas de identidad digital.

(35) Con el fin de promover la adopción de las carteras europeas de identidad digital y un uso más extendido de las identidades digitales, los Estados miembros no solo deben promover los beneficios de los servicios pertinentes, sino también, en cooperación con el sector privado, los investigadores y el mundo académico, desarrollar programas de formación destinados a reforzar las capacidades digitales de sus ciudadanos y residentes, en particular en lo relativo a los grupos vulnerables, como las personas con discapacidad y las personas de edad avanzada. Los Estados miembros deben sensibilizar acerca de las ventajas y los riesgos de las carteras europeas de identidad digital mediante campañas de comunicación.

(36) Con el objetivo de garantizar que el marco europeo de identidad digital esté abierto a la innovación y al desarrollo tecnológico y ofrezca garantías ante el futuro, se alienta a los Estados miembros, conjuntamente, a que establezcan entornos de pruebas para experimentar con soluciones innovadoras en un entorno controlado y seguro, en particular para mejorar la funcionalidad, la protección de los datos personales, la seguridad y la interoperabilidad de las soluciones, así como para obtener información útil de cara a futuras actualizaciones de las referencias técnicas y los requisitos legales. Este entorno debe fomentar la inclusión de las pymes, las empresas emergentes y los innovadores e investigadores individuales, así como de las partes interesadas industriales pertinentes. Dichas iniciativas deben apoyar y reforzar el cumplimiento normativo y la solidez técnica de las carteras europeas de identidad digital que se proporcionará a los ciudadanos de la Unión y los residentes en la Unión, evitando así el desarrollo de soluciones que no cumplan el Derecho de la Unión en materia de protección de datos o que estén abiertas a vulnerabilidades de seguridad.

(37) El Reglamento (UE) 2019/1157 del Parlamento Europeo y del Consejo (11) refuerza la seguridad de los documentos de identidad con la introducción de características de seguridad reforzadas a más tardar en agosto de 2021. Los Estados miembros deben analizar la viabilidad de notificar estos documentos en el marco de los sistemas de identificación electrónica para ampliar la disponibilidad transfronteriza de medios de identificación electrónica.

(38) Es necesario simplificar y agilizar el proceso de notificación de los sistemas de identificación electrónica para favorecer el acceso a soluciones de autenticación e identificación cómodas, seguras, innovadoras y de confianza y, cuando proceda, alentar a los proveedores de identidades privados a que ofrezcan sistemas de identificación electrónica a las autoridades de los Estados miembros con fines de notificación, como los sistemas nacionales de identificación electrónica contemplados en el Reglamento (UE) nº 910/2014.

(39) La racionalización de los procedimientos de notificación y revisión inter pares vigentes evitará la heterogeneidad de enfoques con respecto a la evaluación de los diversos sistemas de identificación electrónica notificados y facilitará la instauración de confianza entre los Estados miembros. Los mecanismos nuevos y más sencillos están destinados a estimular la cooperación de los Estados miembros en materia de seguridad e interoperabilidad de sus sistemas de identificación electrónica notificados.

(40) Los Estados miembros deben beneficiarse de la disponibilidad de herramientas nuevas y flexibles que garanticen el cumplimiento de los requisitos del presente Reglamento y de los actos de ejecución pertinentes adoptados en virtud de este. El presente Reglamento debe permitir que los Estados miembros utilicen los informes elaborados y las evaluaciones realizadas por los organismos de evaluación de la conformidad acreditados, según lo previsto en el contexto de los esquemas de certificación que deben establecerse a escala de la Unión en virtud del Reglamento (UE) 2019/881, para respaldar sus afirmaciones sobre la conformidad de dichos esquemas o de determinadas partes de ellos con el Reglamento (UE) nº 910/2014.

(41) Los prestadores de servicios públicos utilizan los datos de identificación de la persona proporcionados por los medios de identificación electrónica en virtud del Reglamento (UE) nº 910/2014 para determinar que la identidad electrónica de los usuarios procedentes de otros Estados miembros se corresponde con los datos de identificación de la persona facilitados a dichos usuarios en el Estado miembro que lleva a cabo el proceso transfronterizo de correspondencia de la identidad. No obstante, en muchos casos, a pesar del uso del conjunto mínimo de datos facilitado por los sistemas de identificación electrónica notificados, para garantizar una correspondencia precisa de la identidad cuando los Estados miembros actúan como partes usuarias se necesita información adicional sobre el usuario y que se lleven a cabo procedimientos específicos complementarios de identificación única a escala nacional. Para mejorar la facilidad de uso de los medios de identificación electrónica, prestar un mejor servicio público en línea y aumentar la seguridad jurídica respecto a la identidad electrónica de los usuarios, el Reglamento (UE) nº 910/2014 debe establecer que los Estados miembros adopten medidas específicas en línea para garantizar la correspondencia inequívoca de la identidad cuando los usuarios pretenden acceder a servicios públicos transfronterizos en línea.

(42) Al desarrollar las carteras europeas de identidad digital es esencial tener en cuenta las necesidades de los usuarios. Deben existir casos de uso significativos y servicios en línea que utilicen las carteras europeas de identidad digital disponibles. En aras de la comodidad de los usuarios y con el fin de garantizar la disponibilidad transfronteriza de dichos servicios, es importante emprender acciones para facilitar un enfoque similar en el diseño, el desarrollo y la aplicación de los servicios en línea en todos los Estados miembros. Las directrices no vinculantes sobre cómo diseñar, desarrollar y aplicar servicios en línea que utilicen las carteras europeas de identidad digital tienen el potencial de convertirse en una herramienta útil para alcanzar ese objetivo. Dichas directrices deben elaborarse teniendo en cuenta el marco de interoperabilidad de la Unión. Los Estados miembros deben desempeñar un papel de liderazgo a la hora de adoptarlas.

(43) En consonancia con la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (12), las personas con discapacidad deben poder utilizar las carteras europeas de identidad digital, los servicios de confianza y los productos destinados a los usuarios finales empleados en la prestación de dichos servicios, en igualdad de condiciones que el resto de los usuarios.

(44) A fin de garantizar el cumplimiento efectivo del presente Reglamento, se debe establecer un mínimo para el máximo de las multas administrativas para los prestadores de servicios de confianza, tanto los cualificados como los no cualificados. Los Estados miembros deben establecer sanciones efectivas, proporcionales y disuasorias. Al determinar las sanciones, se deben tener debidamente en cuenta el tamaño de las entidades afectadas, sus modelos de negocio y la gravedad de las infracciones.

(45) Los Estados miembros deben establecer normas sobre las sanciones aplicables a las infracciones, como las prácticas directas o indirectas que den lugar a confusión entre servicios de confianza no cualificados y cualificados o al uso abusivo de la etiqueta de confianza de la UE por parte de prestadores no cualificados de servicios de confianza. La etiqueta de confianza de la UE no debe utilizarse en condiciones que, directa o indirectamente, lleven a la percepción de que los servicios de confianza no cualificados ofrecidos por esos prestadores están cualificados.

(46) El presente Reglamento no debe regular los aspectos relacionados con la celebración y validez de los contratos u otras obligaciones legales cuando existan requisitos de índole formal establecidos por el Derecho de la Unión o nacional. Por otro lado, no debe afectar a los requisitos nacionales de índole formal correspondientes a los registros públicos, en particular los registros mercantiles y de la propiedad.

(47) La prestación y utilización de servicios de confianza y las ventajas que conllevan en términos de comodidad y seguridad jurídica en el contexto de las transacciones transfronterizas, en especial cuando se utilizan servicios de confianza cualificados, está adquiriendo una importancia creciente para el comercio y la cooperación internacionales. Los socios internacionales de la Unión están creando marcos de confianza inspirados en el Reglamento (UE) nº 910/2014. Para facilitar el reconocimiento de servicios de confianza cualificados y de sus prestadores, la Comisión podrá adoptar actos de ejecución en los que se establezcan las condiciones en las que los marcos de confianza de terceros países podrían considerarse equivalentes al marco de confianza para servicios de confianza cualificados y sus prestadores previsto en el presente Reglamento. Dicho enfoque debe complementar la posibilidad del reconocimiento mutuo de los servicios de confianza y sus prestadores establecidos en la Unión y en terceros países de conformidad con el artículo 218 del Tratado de Funcionamiento de la Unión Europea (TFUE). Al establecer las condiciones en las que los marcos de confianza de terceros países podrían considerarse equivalentes al marco de confianza previsto con arreglo al Reglamento (UE) nº 910/2014 para los servicios de confianza cualificados y sus prestadores, debe garantizarse el cumplimiento de las disposiciones pertinentes de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (13) y del Reglamento (UE) 2016/679, así como el uso de listas de confianza por ser elementos esenciales para generar confianza.

(48) El presente Reglamento debe fomentar la elección entre carteras europeas de identidad digital y la posibilidad de cambiarlas cuando el Estado miembro haya refrendado más de una solución de carteras europeas de identidad digital en su territorio. Con el fin de evitar efectos de bloqueo en tales situaciones, cuando sea técnicamente posible, los proveedores de carteras europeas de identidad digital deben garantizar la portabilidad efectiva de los datos a petición de los usuarios de las carteras europeas de identidad digital, y no se les debe permitir que utilicen barreras contractuales, económicas o técnicas para impedir o desalentar el cambio efectivo entre diferentes carteras europeas de identidad digital.

(49) Para garantizar el correcto funcionamiento de las carteras europeas de identidad digital, los proveedores de estas necesitan una interoperabilidad efectiva y condiciones justas, razonables y no discriminatorias para que las carteras europeas de identidad digital accedan a las características y de equipo y programa informático específicas de los dispositivos móviles. Dichos componentes pueden incluir, en particular, antenas de comunicación de campo próximo y medidas de protección, como tarjetas de circuito integrado universal, medidas de protección integradas, tarjetas microSD y Bluetooth de baja energía. El acceso a estos componentes podría estar bajo el control de los operadores de redes móviles y los fabricantes de equipos. Por tanto, cuando se necesiten para ofrecer los servicios de las carteras europeas de identidad digital, los fabricantes de los equipos originales de dispositivos móviles o los prestadores de servicios de comunicación electrónica no deben rechazar el acceso a dichos componentes. Asimismo, las empresas designadas como guardianes de acceso para los prestadores de servicios básicos en la lista publicada por la Comisión en virtud del Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo (14) deben seguir sujetas a las disposiciones específicas de dicho Reglamento, sobre la base de su artículo 6, apartado 7.

(50) A fin de racionalizar las obligaciones impuestas a los prestadores de servicios de confianza en materia de ciberseguridad y de permitir a dichos prestadores y sus respectivas autoridades competentes beneficiarse del marco jurídico que se establece en la Directiva (UE) 2022/2555, los servicios de confianza deben adoptar medidas técnicas y organizativas adecuadas en virtud de dicha Directiva —como las dirigidas a corregir fallos del sistema, errores humanos, actos malintencionados o fenómenos naturales—, con objeto de gestionar los riesgos para la seguridad de las redes y los sistemas de información que emplean dichos prestadores en la prestación de sus servicios, y de notificar incidentes y ciberamenazas importantes de conformidad con dicha Directiva. Con respecto a la notificación de incidentes, los prestadores de servicios de confianza deben notificar cualquier incidente que tenga un efecto considerable en la prestación de sus servicios, especialmente los causados por el robo o extravío de dispositivos, el deterioro de los cables de red o incidentes que ocurran en el contexto de la identificación de personas. Los requisitos en materia de gestión de riesgos de la ciberseguridad y las obligaciones de notificación que contempla la Directiva (UE) 2022/2555 deben considerarse complementarios a los requisitos impuestos a los prestadores de servicios de confianza con arreglo al presente Reglamento. Cuando corresponda, las autoridades competentes designadas en virtud de la Directiva (UE) 2022/2555 deben seguir aplicando las prácticas u orientaciones nacionales establecidas en relación con la aplicación de los requisitos de seguridad y notificación y con la supervisión del cumplimiento de dichos requisitos en virtud del Reglamento (UE) nº 910/2014. El presente Reglamento no afecta a la obligación de notificar las violaciones de la seguridad de los datos personales en virtud del Reglamento (UE) 2016/679.

(51) Se debe prestar la debida atención para garantizar una cooperación eficaz entre los organismos de supervisión designados en virtud del artículo 46 ter del Reglamento (UE) nº 910/2014 y las autoridades competentes designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555. Cuando dicho organismo de supervisión sea distinto de dicha autoridad competente, deben cooperar estrechamente y de manera oportuna, intercambiando la información pertinente a fin de garantizar que se realiza una supervisión eficaz y que los prestadores de servicios de confianza cumplen los requisitos establecidos en el Reglamento (UE) nº 910/2014 y en la Directiva (UE) 2022/2555. En particular, los organismos de supervisión designados en virtud del Reglamento (UE) nº 910/2014 deben estar facultados para solicitar a la autoridad competente designada o establecida en virtud de la Directiva (UE) 2022/2555 que proporcione la información pertinente necesaria para otorgar la cualificación y que emprenda las acciones de supervisión requeridas para verificar que los prestadores de servicios de confianza cumplen los requisitos pertinentes de la Directiva (UE) 2022/2555 o exigir a estos que subsanen cualquier incumplimiento.

(52) Es esencial proporcionar un marco jurídico para facilitar el reconocimiento transfronterizo entre los ordenamientos jurídicos nacionales existentes relacionados con servicios de entrega electrónica certificada. Dicho marco puede abrir, además, nuevas oportunidades de mercado que permitan a los prestadores de servicios de confianza de la Unión ofrecer nuevos servicios de entrega electrónica certificada en toda la Unión. A fin de garantizar que los datos que utilizan un servicio cualificado de entrega electrónica certificada se entreguen al destinatario correcto, los servicios cualificados de entrega electrónica certificada deben garantizar con total certeza la identificación del destinatario, mientras que en lo que respecta a la identificación del remitente es suficiente un nivel de confianza alto. Los Estados miembros deben animar a los prestadores de servicios cualificados de entrega electrónica certificada a que sus servicios sean interoperables con los servicios cualificados de entrega electrónica certificada prestados por otros prestadores cualificados de servicios de confianza a fin de transferir fácilmente los datos electrónicos registrados entre dos o más prestadores cualificados de servicios de confianza y promover prácticas justas en el mercado interior.

(53) En la mayoría de los casos, los ciudadanos de la Unión y los residentes en la Unión no pueden intercambiar información digital relacionada con su identidad, como su dirección, su edad, sus cualificaciones profesionales, su permiso de conducción y otros permisos y datos de pago, a escala transfronteriza, de forma segura y con un nivel de protección de datos alto.

(54) Debe ser posible emitir y gestionar atributos electrónicos fiables, así como contribuir a reducir la carga administrativa, de modo que se faculte a los ciudadanos de la Unión y a los residentes en la Unión para utilizar estos atributos en sus transacciones públicas y privadas. Por ejemplo, los ciudadanos de la Unión y los residentes en la Unión han de poder demostrar la titularidad de un permiso de conducción válido expedido por una autoridad de un Estado miembro, susceptible de ser verificada y admitida por las autoridades competentes de otro Estado miembro, así como utilizar sus credenciales de seguridad social o los futuros documentos digitales de viaje en un contexto transfronterizo.

(55) Todo prestador de servicios que emita atributos declarados en formato electrónico —como diplomas, permisos, certificados de nacimiento o poderes y mandatos para representar a personas físicas o jurídicas o actuar en su nombre— debe considerarse un prestador de servicios de confianza de declaraciones electrónicas de atributos. No se deben denegar los efectos jurídicos de una declaración electrónica de atributos por el mero hecho de que esta haya sido emitida en formato electrónico o porque no cumpla todos los requisitos de la declaración electrónica cualificada de atributos. Deben establecerse requisitos generales para asegurar que una declaración electrónica cualificada de atributos tenga un efecto jurídico equivalente al de las declaraciones legalmente emitidas en papel. Sin embargo, tales requisitos deben aplicarse sin perjuicio de que el Derecho de la Unión o nacional defina requisitos de índole formal adicionales específicos del sector con efectos jurídicos subyacentes, y, en particular, el reconocimiento transfronterizo de la declaración electrónica cualificada de atributos, cuando corresponda.

(56) La amplia disponibilidad y facilidad de uso de las carteras europeas de identidad digital debe fomentar su aceptación y confianza tanto por los particulares como por los prestadores de servicios privados. Por consiguiente, las partes usuarias privadas que prestan servicios, por ejemplo, en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, las telecomunicaciones o la educación deben aceptar el uso de las carteras europeas de identidad digital para la prestación de servicios en los casos en los que el Derecho de la Unión, nacional o una obligación contractual requieran una autenticación reforzada de usuario para la identificación en línea. Toda solicitud formulada por una parte usuaria de información del usuario de una cartera europea de identificación digital debe ser necesaria y proporcionada al uso previsto en un caso determinado, debe seguir el principio de minimización de datos y debe garantizar la transparencia en lo que respecta a los datos que se comparten y sus fines. Para facilitar el uso y la aceptación de las carteras europeas de identidad digital, en su implantación deben tenerse en cuenta las normas y especificaciones industriales ampliamente aceptadas.

(57) Cuando las plataformas en línea de muy gran tamaño, en el sentido del artículo 33, apartado 1, del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo (15) exijan a los usuarios que están autenticados a fin de acceder a servicios en línea, debe requerirse a dichas plataformas que acepten el uso de carteras europeas de identidad digital si así lo solicita voluntariamente el usuario. Los usuarios no deben tener ninguna obligación de utilizar una cartera europea de identidad digital para acceder a servicios privados y su acceso a los servicios no debe verse restringido ni obstaculizado por no utilizar una cartera europea de identidad digital. No obstante, si los usuarios así lo desean, las plataformas en línea de muy gran tamaño deben aceptarlas a tal fin, respetando en todo momento el principio de minimización de datos y el derecho de los usuarios a utilizar seudónimos libremente elegidos. La obligación de aceptar carteras europeas de identidad digital es necesaria para incrementar la protección de los usuarios frente al fraude y garantizar un nivel de protección de datos alto, dada la importancia de las plataformas en línea de muy gran tamaño y debido a su alcance, en particular por lo que respecta al número de receptores del servicio y de transacciones económicas.

(58) Deben desarrollarse códigos de conducta a escala de la Unión para contribuir a una amplia disponibilidad y facilidad de uso de los medios de identificación electrónica (como las carteras europeas de identidad digital) contemplados en el ámbito de aplicación del presente Reglamento. Los códigos de conducta deben facilitar una aceptación amplia de los medios de identificación electrónica, incluidas las carteras europeas de identidad digital, por parte de los prestadores de servicios que no se ajusten a la definición de plataformas de muy gran tamaño y que recurran a servicios de identificación electrónica de terceros para autenticar a sus usuarios.

(59) La divulgación selectiva es un concepto que faculta al propietario de los datos para revelar solo determinadas partes de un conjunto de datos más amplio, a fin de que la entidad receptora obtenga únicamente la información que sea necesaria para la prestación de un servicio solicitado por el usuario. La cartera europea de identidad digital debe permitir técnicamente la divulgación selectiva de atributos a las partes usuarias. Debe ser técnicamente posible para el usuario divulgar esos atributos de manera selectiva, incluso a partir de varias declaraciones electrónicas distintas y combinarlos y presentarlos sin incidencias a las partes usuarias. Esta característica debe convertirse en una característica básica del diseño de las carteras europeas de identidad digital, reforzando así la comodidad y la protección de los datos personales, en especial la minimización de datos.

(60) A menos que haya normas específicas del Derecho de la Unión o nacional que exijan que los usuarios se identifiquen, no debe prohibirse el acceso a los servicios utilizando un seudónimo.

(61) Los atributos proporcionados por los prestadores cualificados de servicios de confianza como parte de la declaración cualificada de atributos deben ser cotejados con fuentes auténticas, ya sea directamente por el prestador cualificado de servicios de confianza o a través de intermediarios designados reconocidos a escala nacional, de conformidad con el Derecho de la Unión o nacional, a efectos de proteger el intercambio de atributos declarados entre los prestadores de servicios de identificación o de servicios de declaración de atributos y las partes usuarias. Los Estados miembros deben establecer mecanismos adecuados a escala nacional para garantizar que los prestadores cualificados de servicios de confianza que emitan declaraciones electrónicas cualificadas de atributos puedan, sobre la base del consentimiento de la persona a la que se expide la declaración, verificar la autenticidad de los atributos que dependen de fuentes auténticas. Debe ser posible que los mecanismos adecuados incluyan el recurso a intermediarios específicos o a soluciones técnicas de acuerdo con el Derecho nacional que permitan el acceso a fuentes auténticas. Garantizar la disponibilidad de un mecanismo que permita el cotejo de atributos con fuentes auténticas tiene por objeto facilitar que los prestadores cualificados de servicios de confianza de declaraciones electrónicas cualificadas de atributos cumplan las obligaciones que les impone el Reglamento (UE) nº 910/2014. Un nuevo anexo de dicho Reglamento debe contener una lista de categorías de atributos respecto de los cuales los Estados miembros deben velar por que se adopten medidas para que los prestadores cualificados de declaraciones electrónicas de atributos puedan cotejar su autenticidad con la fuente auténtica pertinente por medios electrónicos, a petición del usuario.

(62) La identificación electrónica segura y la provisión de declaraciones de atributos deben ofrecer flexibilidad y soluciones adicionales para el sector de los servicios financieros, con objeto de posibilitar la identificación de los clientes y el intercambio de los atributos específicos necesarios para cumplir, entre otros, los requisitos de debida diligencia con los clientes en virtud de un futuro Reglamento por el que se establezca la autoridad de lucha contra el blanqueo de capitales, [añádase la referencia una vez adoptada la propuesta], los requisitos de idoneidad que emanan del Derecho sobre la protección de los inversores, o para facilitar el cumplimiento de los requisitos de autenticación reforzada del cliente para la identificación en línea a efectos de la conexión a las cuentas o la realización de transacciones en el ámbito de los servicios de pago.

(63) No se han de impugnar los efectos jurídicos de una firma electrónica por el mero hecho de que se haya emitido en formato electrónico o porque no cumpla todos los requisitos de la firma electrónica cualificada. Sin embargo, corresponde al Derecho nacional determinar el efecto jurídico de la firma electrónica excepto los requisitos establecidos en el presente Reglamento conforme a los que el efecto jurídico de una firma electrónica se considera equivalente al de una firma manuscrita. Al determinar los efectos jurídicos de las firmas electrónicas, los Estados miembros deben tener en cuenta el principio de proporcionalidad entre el valor jurídico de un documento que debe firmarse y el nivel de seguridad y coste que exige una firma electrónica. Para aumentar la accesibilidad y el uso de las firmas electrónicas, se anima a los Estados miembros a considerar el uso de firmas electrónicas avanzadas en las transacciones diarias, para las que proporcionan un nivel suficiente de seguridad y confianza.

(64) A fin de garantizar la coherencia de las prácticas de certificación en toda la Unión, la Comisión debe emitir directrices sobre la certificación y la renovación de la certificación de los dispositivos cualificados de creación de firma electrónica y de los dispositivos cualificados de creación de sello electrónico, incluidas su validez y sus limitaciones temporales. El presente Reglamento no impide que los organismos públicos o privados que hayan certificado dispositivos cualificados de creación de firma electrónica recertifiquen temporalmente dicho producto durante un corto período de certificación, sobre la base del resultado del proceso de certificación anterior, cuando dicha recertificación no pueda realizarse dentro del plazo legalmente establecido por un motivo distinto de una infracción o incidente de seguridad, sin perjuicio de la obligación de llevar a cabo una evaluación de la vulnerabilidad y de la práctica de certificación aplicable.

(65) La expedición de certificados de autenticación de sitios web tiene la finalidad de proporcionar a los usuarios una certeza, con un nivel de confianza alto, sobre la identidad de la entidad que respalda la existencia del sitio web, independientemente de la plataforma utilizada para mostrar dicha identidad. Estos certificados deben contribuir a crear confianza en la realización de operaciones mercantiles en línea, dado que los usuarios confiarían en un sitio web que haya sido autenticado. El uso tales certificados por parte de los sitios web debe ser voluntario. Para que la autenticación de sitios web llegue a ser un medio a través del cual aumentar la confianza, proporcionar al usuario una experiencia mejor y fomentar el crecimiento en el mercado interior, el presente Reglamento establece un marco de confianza que incluye obligaciones mínimas de seguridad y responsabilidad para los proveedores de certificados cualificados de autenticación de sitios web y los requisitos para la expedición de dichos certificados. Las listas de confianza nacionales deben confirmar la cualificación de los servicios de autenticación de sitios web y de sus prestadores cualificados de servicios de confianza, incluido su pleno cumplimiento de los requisitos del presente Reglamento en lo que respecta a la expedición de certificados cualificados de autenticación de sitios web. El reconocimiento de certificados cualificados de autenticación de sitios web conlleva que los proveedores de navegadores web no deben denegar la autenticidad de los certificados cualificados de autenticación de sitios web a efectos de declarar el vínculo entre el nombre de dominio del sitio web y la persona física o jurídica a la que se expide el certificado o confirmar la identidad de dicha persona. Los proveedores de navegadores web deben mostrar los datos de identificación de la persona certificados y los demás atributos declarados al usuario final de manera fácil de usar en el entorno del navegador, mediante los medios técnicos de su elección. Con este fin, los proveedores de navegadores web deben garantizar la compatibilidad e interoperabilidad con los certificados cualificados para la autenticación de sitios web expedidos en pleno cumplimiento del presente Reglamento. La obligación de reconocimiento e interoperabilidad y apoyo de los certificados cualificados para la autenticación de sitios web no afecta a la libertad de los proveedores de navegadores web para garantizar la seguridad de la web, la autenticación de dominios y el cifrado del tráfico en la web de la manera y mediante la tecnología que consideren más adecuada. Con el fin de contribuir a la seguridad en línea de los usuarios finales, los proveedores de navegadores web deben poder —en circunstancias excepcionales— adoptar medidas cautelares necesarias y proporcionadas en respuesta a preocupaciones justificadas en relación con violaciones de la seguridad o pérdida de integridad de un certificado o conjunto de certificados identificados. Cuando adopten tales medidas cautelares, los proveedores de navegadores web deben notificar, sin demora indebida, a la Comisión, al organismo nacional de supervisión, a la entidad a la que se haya expedido el certificado y al prestador cualificado de servicios de confianza que haya emitido dicho certificado o conjunto de certificados, cualquier preocupación relacionada con una violación de la seguridad o pérdida de integridad de ese tipo, así como las medidas adoptadas en relación con el único certificado o conjunto de certificados. Dichas medidas deben entenderse sin perjuicio de la obligación de los proveedores de navegadores web de reconocer los certificados cualificados de autenticación de sitios web de conformidad con las listas de confianza nacionales. Para mejorar la protección de los ciudadanos de la Unión y los residentes en la Unión y promover el uso de certificados cualificados para la autenticación de sitios web, las autoridades públicas de los Estados miembros deben estudiar la posibilidad de incorporar dichos certificados en sus sitios web. Las medidas previstas en el presente Reglamento destinadas a aumentar la coherencia entre los enfoques y prácticas divergentes de los Estados miembros en relación con los procedimientos de supervisión tienen por objeto contribuir a mejorar la confianza en la seguridad, la calidad y la disponibilidad de los certificados cualificados para la autenticación de sitios web.

(66) Muchos Estados miembros han introducido requisitos nacionales aplicables a la prestación de servicios que proporcionen un archivo electrónico seguro y fiable con el objetivo de posibilitar la conservación a largo plazo de datos documentos electrónicos y de los servicios de confianza asociados a estos. A fin de garantizar la seguridad jurídica, la confianza y la armonización en todos los Estados miembros, debe establecerse un marco jurídico para los servicios cualificados de archivo electrónico, inspirado en el marco de los demás servicios de confianza establecidos en el presente Reglamento. El marco jurídico para los servicios cualificados de archivo electrónico debe ofrecer a los prestadores de servicios de confianza y a los usuarios un conjunto de herramientas eficiente que incluya requisitos funcionales aplicables al servicio de archivo electrónico, así como efectos jurídicos claros cuando se utilice un servicio cualificado de archivo electrónico. Dichas disposiciones deben aplicarse a los datos y documentos electrónicos creados en forma digital, así como a los documentos en papel escaneados y digitalizados. Cuando sea necesario, dichas disposiciones deben permitir la reproducción de los datos y documentos electrónicos conservados en diferentes soportes o formatos con el fin de ampliar su durabilidad y legibilidad después del período de validez tecnológica, evitando al mismo tiempo la pérdida y la alteración en la medida de lo posible. Cuando los datos y documentos electrónicos presentados al servicio de archivo electrónico contengan una o varias firmas electrónicas cualificadas o sellos electrónicos cualificados, el servicio debe utilizar procedimientos y tecnologías capaces de ampliar su fiabilidad durante el período de conservación de dichos datos, posiblemente basándose en el uso de otros servicios de confianza cualificados establecidos por el presente Reglamento. Con el fin de crear pruebas de conservación cuando se utilicen firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, deben utilizarse servicios de confianza cualificados. En la medida en que los servicios de archivo electrónico no están armonizados por el presente Reglamento, los Estados miembros deben poder mantener o introducir disposiciones nacionales, de conformidad con el Derecho de la Unión, relativas a dichos servicios, tales como disposiciones específicas para los servicios integrados en una organización y únicamente utilizados para los archivos internos de dicha organización. El presente Reglamento no debe distinguir entre datos y documentos electrónicos creados en forma digital y documentos físicos que han sido digitalizados.

(67) Las actividades de los archivos nacionales y las instituciones de la memoria, en su calidad de organizaciones dedicadas a la conservación del patrimonio documental en interés público, suelen estar reguladas por el Derecho nacional y no prestan necesariamente servicios de confianza en el sentido del presente Reglamento. En la medida en que dichas instituciones no presten tales servicios de confianza, el presente Reglamento se entiende sin perjuicio de su funcionamiento.

(68) Los libros mayores electrónicos son una secuencia de registros electrónicos de datos que deben garantizar su integridad y la exactitud de su orden cronológico. Los libros mayores electrónicos deben establecer una secuencia cronológica de registros de datos. Junto con otras tecnologías, deben contribuir a encontrar soluciones para unos servicios públicos más eficientes y con capacidad transformadora, como el voto electrónico, la cooperación transfronteriza de las autoridades aduaneras o de las instituciones académicas y la inscripción de la propiedad de bienes inmuebles en registros descentralizados de la propiedad inmobiliaria. Los libros mayores electrónicos cualificados deben establecer una presunción legal sobre el orden cronológico secuencial único y exacto y la integridad de los registros de datos del libro mayor. Habida cuenta de sus particularidades, como el orden cronológico secuencial de los registros de datos, los libros mayores electrónicos deben distinguirse de otros servicios de confianza, como los sellos de tiempo electrónicos y los servicios de entrega electrónica certificada. Para garantizar la seguridad jurídica y promover la innovación, debe establecerse un marco jurídico a escala de la Unión que prevea el reconocimiento transfronterizo de servicios de confianza para el registro de los datos en libros mayores electrónicos. Esto debe impedir suficientemente copiar y vender más de una vez el mismo activo digital a diferentes partes. El proceso de creación y actualización de un libro mayor electrónico depende del tipo de libro mayor utilizado; en particular, si es centralizado o distribuido. El presente Reglamento debe garantizar la neutralidad tecnológica; es decir, no favorecer ni discriminar a ninguna tecnología utilizada para implantar el nuevo servicio de confianza para libros mayores electrónicos. Además, la Comisión debe tener en cuenta los indicadores de sostenibilidad con respecto a cualquier repercusión negativa sobre el clima u otras repercusiones negativas relacionadas con el medio ambiente y utilizar métodos adecuados, a la hora de preparar los actos de ejecución que especifiquen los requisitos aplicables a los libros mayores electrónicos cualificados.

(69) El papel de los prestadores de servicios de confianza de los libros mayores electrónicos debe ser comprobar la actividad de registro secuencial de los datos en el libro mayor. El presente Reglamento se entiende sin perjuicio de las obligaciones jurídicas que tengan los usuarios de libros mayores electrónicos con arreglo al Derecho de la Unión o nacional. Por ejemplo, los casos de uso que conlleven el tratamiento de datos personales deben cumplir el Reglamento (UE) 2016/679 y los casos de uso que se relacionen con los servicios financieros deben cumplir con el Derecho pertinente de la Unión en materia de servicios financieros.

(70) Al objeto de evitar la fragmentación del mercado interior y los obstáculos en este, derivados de unas normas y unas restricciones técnicas divergentes, y de garantizar un proceso coordinado para impedir que se vea afectada la aplicación del futuro marco europeo de identidad digital, se necesita un proceso de cooperación estrecha y estructurada entre la Comisión, los Estados miembros, la sociedad civil, el mundo académico y el sector privado. Para lograr ese objetivo, los Estados miembros y la Comisión deben cooperar dentro del marco establecido en la Recomendación (UE) 2021/946 (16) de la Comisión para determinar un conjunto de instrumentos común de la Unión para el marco para una identidad digital europea. En este contexto, los Estados miembros deben ponerse de acuerdo sobre una arquitectura técnica y un marco de referencia detallados, un conjunto de normas y referencias técnicas comunes —incluidas las normas reconocidas existentes— y un conjunto de directrices y descripciones de las mejores prácticas que aborden, como mínimo, todas las funcionalidades y la interoperabilidad de las carteras europeas de identidad digital (incluidas las firmas electrónicas) y de los prestadores cualificados de servicios de confianza para la declaración electrónica de atributos, según lo dispuesto en el presente Reglamento. En este contexto, los Estados miembros deben alcanzar asimismo un acuerdo sobre los elementos comunes del modelo de negocio y la estructura de las tasas de las carteras europeas de identidad digital para facilitar su adopción, en particular por parte de las pequeñas y medianas empresas, en un contexto transfronterizo. El contenido del conjunto de herramientas debe reflejar los resultados del debate y del proceso de adopción del marco europeo de identidad digital, y evolucionar de forma paralela a dichos resultados.

(71) El presente Reglamento establece un nivel armonizado de calidad, fiabilidad y seguridad de los servicios de confianza cualificados, independientemente del lugar en el que se lleven a cabo las operaciones. Por lo tanto, un prestador cualificado de servicios de confianza debe estar autorizado a externalizar sus operaciones relacionadas con la prestación de un servicio de confianza cualificado en un tercer país, siempre que ese tercer país ofrezca garantías adecuadas de que las actividades de supervisión y las auditorías puedan ejecutarse como si estas se llevaran a cabo en la Unión. Cuando no pueda garantizarse plenamente el cumplimiento del presente Reglamento, los organismos de supervisión deben poder adoptar medidas proporcionadas y justificadas, incluida la retirada de la cualificación del servicio de confianza prestado.

(72) Para ofrecer seguridad jurídica en lo que respecta a la validez de las firmas electrónicas avanzadas basadas en certificados cualificados, es esencial que se especifique la evaluación por la parte usuaria que lleva a cabo la validación de dicha firma electrónica avanzada basada en certificados cualificados.

(73) Los prestadores de servicios de confianza deben utilizar métodos criptográficos que reflejen las mejores prácticas actuales y la ejecución fiable de los algoritmos a fin de garantizar la seguridad y fiabilidad de sus servicios de confianza.

(74) El presente Reglamento establece la obligación de que los prestadores cualificados de servicios de confianza verifiquen la identidad de una persona física o jurídica a la que se expida el certificado cualificado o la declaración electrónica cualificada de atributos conforme a diversos métodos armonizados en toda la Unión. Para garantizar que los certificados cualificados y las declaraciones electrónicas cualificadas de atributos se expidan a la persona a la que pertenecen y que atestigüen el conjunto de datos correcto y único que representa la identidad de dicha persona, los prestadores cualificados de servicios de confianza que expidan certificados cualificados o declaraciones electrónicas cualificadas de atributos deben, en el momento de la expedición de dichos certificados y declaraciones, garantizar con total certeza la identificación de dicha persona. Asimismo, además de la verificación obligatoria de la identidad de la persona, si procede para la expedición de los certificados cualificados y al expedir una declaración electrónica cualificada de atributos, los prestadores cualificados de servicios de confianza deben garantizar con total certeza la corrección y la exactitud de los atributos declarados de la persona a la que se expide el certificado cualificado o la declaración electrónica cualificada de atributos. Esas obligaciones de resultado y total certeza a la hora de verificar los datos declarados deben respaldarse a través de medios adecuados, en particular utilizando uno de los métodos concretos previstos en el presente Reglamento o, cuando sea necesario, una combinación de estos. Debe ser posible combinar dichos métodos a fin de proporcionar una base adecuada para la verificación de la identidad de la persona a la que se expide el certificado cualificado o una declaración electrónica cualificada de atributos. Dicha combinación debe poder incluir el recurso a medios de identificación electrónica que cumplan los requisitos del nivel de seguridad sustancial en combinación con otros medios de verificación de la identidad. Dicha identificación electrónica permitiría el cumplimiento de los requisitos armonizados establecidos en el presente Reglamento en lo que respecta al nivel de seguridad alto como parte de procedimientos a distancia armonizados adicionales que garanticen la identificación con un nivel de confianza alto. Dichos métodos deben incluir la posibilidad de que el prestador cualificado de servicios de confianza que expida una declaración electrónica cualificada de atributos coteje los atributos que deben declararse por medios electrónicos a petición del usuario, de conformidad con el Derecho de la Unión o nacional, también con fuentes auténticas.

(75) Para mantener el presente Reglamento en consonancia con la evolución mundial y seguir las mejores prácticas en el mercado interior, los actos delegados y de ejecución adoptados por la Comisión deben revisarse y, en caso necesario, actualizarse periódicamente. La evaluación de la necesidad de dichas actualizaciones debe tener en cuenta las nuevas tecnologías, prácticas, normas o especificaciones técnicas.

(76) Dado que los objetivos del presente Reglamento —a saber, el desarrollo del marco europeo de identidad digital a escala de la UE y de un marco de servicios de confianza— no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a sus dimensiones y efectos, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.

(77) Se ha consultado al Supervisor Europeo de Protección de Datos de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725.

(78) Por lo tanto, procede modificar el Reglamento (UE) nº 910/2014 en consecuencia.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1. Modificaciones al Reglamento (UE) nº 910/2014

El Reglamento (UE) nº 910/2014 se modifica como sigue:

1) El artículo 1 se sustituye por el texto siguiente:

«Artículo 1.Objeto

El presente Reglamento tiene por objeto garantizar el correcto funcionamiento del mercado interior y la existencia de un nivel de seguridad adecuado de los medios de identificación electrónica y los servicios de confianza utilizados en toda la Unión, a fin de permitir y facilitar que las personas físicas y jurídicas ejerzan el derecho a participar en la sociedad digital de forma segura y a acceder a los servicios públicos y privados en línea en toda la Unión. A tales efectos, el presente Reglamento:

a) establece las condiciones en las cuales los Estados miembros reconocerán los medios de identificación electrónica de las personas físicas y jurídicas pertenecientes a un sistema de identificación electrónica notificado de otro Estado miembro y en las que proporcionarán y reconocerán las carteras europeas de identidad digital;

b) establece normas para los servicios de confianza, en particular para las transacciones electrónicas;

c) establece un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada, los servicios certificados para la autenticación de sitios web, el archivo electrónico, la declaración electrónica de atributos, los dispositivos de creación de firmas electrónicas y de sellos electrónicos, y los libros mayores electrónicos.».

2) El artículo 2 se modifica como sigue:

a) el apartado 1 se sustituye por el texto siguiente:

«1. El presente Reglamento se aplica a los sistemas de identificación electrónica notificados por los Estados miembros, a las carteras europeas de identidad digital proporcionadas por los Estados miembros y a los prestadores de servicios de confianza establecidos en la Unión.»;

b) el apartado 3 se sustituye por el texto siguiente:

«3. El presente Reglamento no afecta al Derecho de la Unión o nacional relacionado con la celebración y validez de los contratos, otras obligaciones jurídicas o de procedimiento de índole formal o requisitos sectoriales de índole formal.

4. El presente Reglamento se entiende sin perjuicio del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (*1).

3) El artículo 3 se modifica como sigue:

a) los puntos 1 a 5 se sustituyen por el texto siguiente:

«1) “identificación electrónica”, proceso consistente en utilizar los datos de identificación de la persona en formato electrónico que representan de manera única a una persona física o jurídica o a una persona física que representa a otra persona física o a una persona jurídica;

2) “medios de identificación electrónica”, unidad material yo inmaterial que contiene los datos de identificación de la persona y que se utiliza para la autenticación en servicios en línea o, cuando proceda, en servicios fuera de línea;

3) “datos de identificación de la persona”, conjunto de datos que se emite de conformidad con el Derecho de la Unión o nacional y permite establecer la identidad de una persona física o jurídica, o de una persona física que representa a otra persona física o a una persona jurídica;

4) “sistema de identificación electrónica”, régimen para la identificación electrónica en virtud del cual se expiden medios de identificación electrónica a personas físicas o jurídicas o a personas físicas que representan a otras personas físicas o personas jurídicas;

5) “autenticación”, proceso electrónico que permite la confirmación de la identificación electrónica de una persona física o jurídica, o la confirmación del origen y la integridad de datos en formato electrónico;»;

b) se inserta el punto siguiente:

«5 bis)

“usuario”, persona física o jurídica, o persona física que representa a otra persona física o a una persona jurídica, que utiliza servicios de confianza o medios de identificación electrónica prestados de conformidad con el presente Reglamento;»;

c) el punto 6 se sustituye por el texto siguiente:

«6) “parte usuaria”, persona física o jurídica que confía en la identificación electrónica, las carteras europeas de identidad digital u otros medios de identificación electrónica, o en un servicio de confianza;»;

d) el punto 16 se sustituye por el texto siguiente:

«16) “servicio de confianza”, servicio electrónico prestado habitualmente a cambio de una remuneración, consistente en cualquiera de las actividades siguientes:

a) la expedición de certificados de firma electrónica, certificados de sello electrónico, certificados de autenticación de sitios web o certificados para la prestación de otros servicios de confianza;

b) la validación de certificados de firma electrónica, certificados de sello electrónico, certificados de autenticación de sitios web o certificados para la prestación de otros servicios de confianza;

c) la creación de firmas electrónicas o sellos electrónicos;

d) la validación de firmas electrónicas o sellos electrónicos;

e) la conservación de firmas electrónicas, sellos electrónicos, certificados de firma electrónica o certificados de sello electrónico;

f) la gestión de dispositivos de creación de firma electrónica a distancia o dispositivos de creación de sello electrónico a distancia;

g) la expedición de declaraciones electrónicas de atributos;

h) la validación de declaraciones electrónicas de atributos;

i) la creación de sellos de tiempo electrónicos;

j) la validación de sellos de tiempo electrónicos;

k) la prestación de servicios de entrega electrónica certificada;

l) la validación de los datos transmitidos a través de servicios de entrega electrónica certificada y las pruebas correspondientes;

m) el archivo electrónico de datos y documentos electrónicos;

n) la actividad de registro de datos electrónicos en un libro mayor electrónico.»;

e) el punto 18 se sustituye por el texto siguiente:

«18) “organismo de evaluación de la conformidad”, organismo de evaluación de la conformidad definido en el artículo 2, punto 13, del Reglamento (CE) nº 765/2008, cuya competencia para realizar una evaluación de la conformidad de un prestador cualificado de servicios de confianza y de los servicios de confianza cualificados que este presta, o cuya competencia para certificar carteras europeas de identidad digital o medios de identificación electrónica, esté acreditada en virtud de dicho Reglamento;»;

f) el punto 21 se sustituye por el texto siguiente:

«21) “producto”, equipo o programa informático o sus componentes correspondientes, destinado a ser utilizado para la prestación de servicios de identificación electrónica y servicios de confianza;»;

g) se insertan los puntos siguientes:

«23 bis) “dispositivo cualificado de creación de firma electrónica a distancia”, dispositivo cualificado de creación de firmas electrónicas que está gestionado por un prestador cualificado de servicios de confianza, de conformidad con el artículo 29 bis, en nombre de un firmante;

23 ter) “dispositivo cualificado de creación de sello electrónico a distancia”, dispositivo cualificado de creación de sellos electrónicos que está gestionado por un prestador cualificado de servicios de confianza, de conformidad con el artículo 39 bis, en nombre de un creador de sellos;»;

h) el punto 38 se sustituyen por el texto siguiente:

«38) “certificado de autenticación de sitio web”, declaración electrónica que permite autenticar un sitio web y vincula el sitio web con la persona física o jurídica a quien se ha expedido el certificado;»;

i) el punto 41 se sustituye por el texto siguiente:

«41) “validación”, proceso consistente en verificar y confirmar que los datos en formato electrónico son válidos de conformidad con el presente Reglamento;»;

j) se añaden los puntos siguientes:

«42) “cartera europea de identidad digital”, medio de identificación electrónica que permite al usuario almacenar, gestionar y validar de forma segura datos de identificación de la persona y declaraciones electrónicas de atributos con el fin de proporcionarlos a las partes usuarias y a otros usuarios de carteras europeas de identidad digital, así como firmar por medio de firmas electrónicas cualificadas o sellar por medio de sellos electrónicos cualificados;

43) “atributo”, característica, cualidad, derecho o permiso de una persona física o jurídica o de un objeto;

44) “declaración electrónica de atributos”, declaración en formato electrónico que permite la autenticación de atributos;

45) “declaración electrónica cualificada de atributos”, declaración electrónica de atributos expedida por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el anexo V;

46) “declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este”, declaración electrónica de atributos expedida por un organismo del sector público que sea responsable de una fuente auténtica o por un organismo del sector público que sea designado por el Estado miembro para expedir dichas declaraciones de atributos en nombre de los organismos del sector público responsables de las fuentes auténticas de conformidad con el artículo 45 septies y con el anexo VII;

47) “fuente auténtica”, repositorio o sistema, mantenido bajo la responsabilidad de un organismo del sector público o de una entidad privada, que contiene y proporciona atributos acerca de una persona física o jurídica, o de un objeto, y que se considera una fuente principal de dicha información, o que está reconocido como auténtico de conformidad con el Derecho de la Unión o nacional, incluidas las prácticas administrativas;

48) “archivo electrónico”, servicio que garantiza la recepción, el almacenamiento, la recuperación y la eliminación de datos electrónicos y documentos electrónicos para asegurar su durabilidad y legibilidad, así como para preservar su integridad, confidencialidad y prueba de origen durante todo el período de conservación;

49) “servicio cualificado de archivo electrónico”, servicio de archivo electrónico prestado por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el artículo 45 undecies;

50) “etiqueta de confianza de la UE para la cartera de identidad digital”, indicación verificable, sencilla y reconocible formulada de manera clara, de que la cartera europea de identidad digital de que se trate se ha proporcionado de conformidad con el presente Reglamento;

51) “autenticación reforzada de usuario”, autenticación basada en la utilización de al menos dos factores de identificación de diferentes categorías, ya sea conocimiento (algo que solo conoce el usuario), posesión (algo que solo posee el usuario) o inherencia (algo que es el usuario), que son independientes —es decir, que la vulneración de uno no compromete la fiabilidad de los demás—, y concebida de manera que se proteja la confidencialidad de los datos de autenticación;

52) “libro mayor electrónico”, secuencia de registros electrónicos de datos que garantiza la integridad de dichos registros y la exactitud de su orden cronológico;

53) “libro mayor electrónico cualificado”, libro mayor electrónico proporcionado por un prestador cualificado de servicios de confianza y que cumple los requisitos establecidos en el artículo 45 terdecies;

54) “datos personales”, toda información en el sentido del artículo 4, punto 1, del Reglamento (UE) 2016/679;

55) “correspondencia de la identidad”, proceso por el cual se establece una correspondencia o vínculo entre los datos o medios de identificación electrónica y una cuenta existente perteneciente a esa misma persona;

56) “registro de datos”, datos electrónicos registrados con metadatos relacionados que respaldan el tratamiento de los datos;

57) “modo fuera de línea”, en lo que respecta al uso de las carteras europeas de identidad digital, interacción entre un usuario y un tercero que tiene lugar en una ubicación física utilizando tecnologías de proximidad inmediata, sin necesidad de que la cartera europea de identidad digital acceda a sistemas a distancia a través de redes de comunicaciones electrónicas a efectos de la interacción.».

4) El artículo 5 se sustituye por el texto siguiente:

«Artículo 5. Seudónimos en transacciones electrónicas

Sin perjuicio de las normas específicas del Derecho de la Unión o nacional que exijan a los usuarios identificarse o de los efectos jurídicos que el Derecho nacional contemple para los seudónimos, no se prohibirá la utilización de seudónimos escogidos por los usuarios.».

5) En el capítulo II, se inserta la sección siguiente:

«SECCIÓN 1. CARTERA EUROPEA DE IDENTIDAD DIGITAL

Artículo 5 bis. Carteras europeas de identidad digital

1. A los efectos de garantizar que todas las personas físicas y jurídicas dispongan de un acceso transfronterizo seguro, de confianza y sin incidencias a servicios públicos y privados en la Unión, manteniendo al mismo tiempo el pleno control sobre sus datos, cada Estado miembro proporcionará al menos una cartera europea de identidad digital en los veinticuatro meses siguientes a la entrada en vigor de los actos de ejecución a que se refieren el apartado 23 del presente artículo y el artículo 5 quater, apartado 6.

2. Las carteras europeas de identidad digital se proporcionarán de una o varias de las maneras siguientes:

a) directamente por un Estado miembro;

b) con arreglo a un mandato de un Estado miembro;

c) de manera independiente de un Estado miembro, pero con el reconocimiento de dicho Estado miembro.

3. El código fuente de los componentes de programas informáticos de las carteras europeas de identidad digital tendrá licencia de código abierto. Los Estados miembros podrán disponer que, por razones debidamente justificadas, no se divulgue el código fuente de componentes específicos distintos de los instalados en los dispositivos de los usuarios.

4. Las carteras europeas de identidad digital permitirán al usuario, de manera intuitiva, transparente y rastreable por el usuario:

a) solicitar, obtener, seleccionar, combinar, almacenar, eliminar, compartir y presentar de forma segura, bajo el control exclusivo del usuario, datos de identificación de la persona y, cuando proceda, en combinación con declaraciones electrónicas de atributos, autenticarse ante partes usuarias en línea y, en su caso, en modo fuera de línea, con el fin de acceder a servicios públicos y privados, velando al mismo tiempo por que sea posible divulgar los datos selectivamente;

b) generar seudónimos y almacenarlos cifrados y localmente en la cartera europea de identidad digital;

c) autenticar de forma segura la cartera europea de identidad digital de otra persona, así como recibir y compartir datos de identificación de la persona y declaraciones electrónicas de atributos de manera segura entre las dos carteras europeas de identidad digital;

d) acceder a un registro de todas las transacciones realizadas a través de la cartera europea de identidad digital mediante un panel común que permita al usuario:

i) ver una lista actualizada de las partes usuarias con las que ha establecido una conexión y, en su caso, todos los datos intercambiados,

ii) solicitar fácilmente a una parte usuaria que suprima los datos personales en virtud del artículo 17 del Reglamento (UE) 2016/679,

iii) notificar fácilmente una parte usuaria a la autoridad nacional de protección de datos en los casos en los que se reciba una solicitud de datos presuntamente ilícita o sospechosa;

e) firmar por medio de firmas electrónicas cualificadas o sellar por medio de sellos electrónicos cualificados;

f) descargar, en la medida en que sea técnicamente viable, los datos, la declaración electrónica de atributos y las configuraciones del usuario;

g) ejercer los derechos del usuario a la portabilidad de los datos.

5. En particular, las carteras europeas de identidad digital:

a) admitirán protocolos e interfaces comunes:

i) para expedir datos de identificación de la persona, declaraciones electrónicas cualificadas y no cualificadas de atributos o certificados cualificados y no cualificados para la cartera europea de identidad digital,

ii)para que las partes usuarias soliciten y validen datos de identificación de la persona y declaraciones electrónicas de atributos,

iii) para compartir con las partes usuarias, y presentarles, datos de identificación de la persona, una declaración electrónica de atributos o datos conexos divulgados selectivamente, en línea y, cuando proceda, en modo fuera de línea,

iv) para que el usuario permita la interacción con la cartera europea de identidad digital y muestre una etiqueta de confianza de la UE para la cartera de identidad digital,

v) para incorporar al usuario de manera segura utilizando un medio de identificación electrónica de conformidad con el artículo 5 bis, apartado 24,

vi) para permitir la interacción entre las carteras europeas de identidad digital de dos personas a fin de recibir, validar y compartir datos de identificación de la persona y declaraciones electrónicas de atributos de manera segura,

vii) para autenticar e identificar a partes usuarias aplicando mecanismos de autenticación de conformidad con el artículo 5 ter,

viii) para que las partes usuarias verifiquen la autenticidad y la validez de las carteras europeas de identidad digital,

ix) para solicitar a una parte usuaria que suprima los datos personales en virtud del artículo 17 del Reglamento (UE) 2016/679,

x) para denunciar a una parte usuaria ante la autoridad nacional competente de protección de datos cuando se reciba una solicitud de datos presuntamente ilícita o sospechosa,

xi) para crear firmas electrónicas o sellos electrónicos cualificados mediante dispositivos cualificados de creación de firma electrónica o sello electrónico;

b) no facilitarán información alguna a los prestadores de servicios de confianza de declaraciones electrónicas de atributos sobre el uso de dichas declaraciones electrónicas;

c) garantizarán que la identidad de las partes usuarias pueda autenticarse e identificarse mediante la aplicación de mecanismos de autenticación de conformidad con el artículo 5 ter;

d) cumplirán los requisitos establecidos en el artículo 8 en lo referente al nivel de seguridad alto, en particular en lo que sea aplicable a los requisitos de acreditación y verificación de la identidad, así como a la gestión y autenticación de medios de identificación electrónica;

e) en el caso de las declaraciones electrónicas de atributos con políticas de divulgación incorporadas, aplicarán el mecanismo adecuado para informar al usuario de que la parte usuaria o el usuario de la cartera europea de identidad digital solicitante de la declaración electrónica de atributos tiene permiso para acceder a dicha declaración;

f) garantizarán que los datos de identificación personal disponibles a través del sistema de identificación electrónica en virtud del cual se proporciona la cartera europea de identidad digital correspondan de forma única, a la persona física, la persona jurídica o la persona física que representa a la persona física o jurídica y estén asociados con esa cartera europea de identidad digital;

g) ofrecerán a todas las personas físicas la posibilidad de firmar, por defecto y de forma gratuita, mediante firmas electrónicas cualificadas.

No obstante lo dispuesto en el párrafo primero, letra g), los Estados miembros podrán establecer medidas proporcionadas para garantizar que el uso gratuito de las firmas electrónicas cualificadas por parte de las personas físicas se limite a fines no profesionales.

6. Los Estados miembros informarán a los usuarios, sin demora, de toda violación de la seguridad que pueda haber comprometido total o parcialmente sus carteras europeas de identidad digital o su contenido, en particular si sus carteras europeas de identidad digital han sido suspendidas o revocadas en virtud del artículo 5 sexies;

7. Sin perjuicio de lo dispuesto en el artículo 5 septies, los Estados miembros podrán contemplar, de conformidad con el Derecho nacional, funcionalidades adicionales de las carteras europeas de identidad digital, como la interoperabilidad con los medios nacionales de identificación electrónica existentes. Dichas funcionalidades adicionales cumplirán lo dispuesto en el presente artículo.

8. Los Estados miembros proporcionarán mecanismos de validación gratuitos a fin de:

a) garantizar que se pueda verificar la autenticidad y validez de las carteras europeas de identidad digital;

b) permitir que los usuarios verifiquen la autenticidad y validez de la identidad de las partes usuarias registradas de conformidad con el artículo 5 ter.

9. Los Estados miembros velarán por que la validez de la cartera europea de identidad digital pueda revocarse en las siguientes circunstancias:

a) a petición expresa del usuario;

b) cuando la seguridad de la cartera europea de identidad digital se haya visto comprometida;

c) en caso de fallecimiento del usuario o cese de actividad de la persona jurídica.

10. Los proveedores de carteras europeas de identidad digital garantizarán que los usuarios puedan solicitar fácilmente apoyo técnico y notificar problemas técnicos o cualquier otro incidente que afecte negativamente al uso de las carteras europeas de identidad digital.

11. Las carteras europeas de identidad digital se proporcionarán en el marco de un sistema de identificación electrónica con nivel de seguridad alto.

12. Las carteras europeas de identidad digital respetarán el principio de seguridad desde el diseño.

13. La expedición, el uso y la revocación de las carteras europeas de identidad digital serán gratuitos para todas las personas físicas.

14. Los usuarios tendrán pleno control sobre el uso de su cartera europea de identidad digital y sobre los datos que consten en ella. El proveedor de la cartera europea de identidad digital no recopilará información sobre el uso de la cartera europea de identidad digital que no sea necesaria para la prestación de los servicios de esta, ni combinará datos de identificación de la persona u otros datos personales almacenados o relativos al uso de la cartera europea de identidad digital con datos personales obtenidos a través de otros servicios ofrecidos por dicho proveedor o a través de servicios de terceros que no sean necesarios para la prestación de los servicios de la cartera europea de identidad digital, a menos que el usuario haya solicitado expresamente lo contrario. Se establecerá una separación lógica entre los datos personales relacionados con la provisión de carteras europeas de identidad digital y cualesquier otros datos que obren en poder del proveedor de las carteras europeas de identidad digital. Si la cartera europea de identidad digital ha sido proporcionada por entidades privadas de conformidad con lo dispuesto en el apartado 2, letras b) y c), se aplicarán mutatis mutandis las disposiciones del artículo 45 nonies, apartado 3.

15. La utilización de las carteras europeas de identidad digital será voluntaria. El acceso a los servicios públicos y privados, el acceso al mercado laboral y la libertad de empresa no se restringirán de ninguna manera ni perjudicarán a las personas físicas o jurídicas que no utilicen las carteras europeas de identidad digital. Seguirá siendo posible acceder a los servicios públicos y privados mediante los otros medios de identificación y autenticación existentes.

16. El marco técnico de la cartera europea de identidad digital:

a) no permitirá que, tras la expedición de la declaración de atributos, los prestadores de declaraciones electrónicas de atributos o cualquier otra parte obtengan datos que permitan que se rastree, vincule o correlacione, u obtener de cualquier otra manera, conocimiento de las transacciones o del comportamiento del usuario a menos que este lo autorice explícitamente;

b) permitirá tecnologías de protección de la privacidad que garanticen la no vinculación, cuando la declaración de atributos no requiera la identificación del usuario.

17. Todo tratamiento de datos personales realizado por los Estados miembros o en su nombre por organismos o partes responsables de la provisión de carteras europeas de identidad digital como medio de identificación electrónica se llevará a cabo de conformidad con medidas adecuadas y efectivas de protección de datos. Se demostrará que dicho tratamiento cumple el Reglamento (UE) 2016/679. Los Estados miembros podrán introducir disposiciones nacionales para especificar en más detalle la aplicación de dichas medidas.

18. Sin dilación indebida, los Estados miembros comunicarán a la Comisión información sobre:

a) el organismo responsable de establecer y mantener la lista de partes usuarias registradas que utilizan las carteras europeas de identidad digital de conformidad con el artículo 5 ter, apartado 5, y la localización de dicha lista;

b) los organismos responsables de la provisión de carteras europeas de identidad digital de conformidad con el artículo 5 bis, apartado 1;

c) los organismos responsables de garantizar que los datos de identificación de la persona estén asociados a la cartera europea de identidad digital de conformidad con el artículo 5 bis, apartado 5, letra f);

d) el mecanismo que permite validar los datos de identificación de la persona a que se refiere el artículo 5 bis, apartado 5, letra f), y la identidad de las partes usuarias;

e) el mecanismo para validar la autenticidad y la validez de las carteras europeas de identidad digital.

La Comisión pondrá a disposición del público la información notificada en virtud del párrafo primero, a través de un canal seguro, la información a que se refiere el presente apartado en una forma firmada o sellada electrónicamente que sea apropiada para el tratamiento automático.

19. Sin perjuicio del apartado 22 del presente artículo, el artículo 11 se aplicará mutatis mutandis a la cartera europea de identidad digital.

20. El artículo 24, apartado 2, letras b) y d) a h), se aplicará mutatis mutandis a los proveedores de carteras europeas de identidad digital.

21. Se garantizará la accesibilidad de las carteras europeas de identidad digital para las personas con discapacidad, en igualdad de condiciones que el resto de los usuarios, conforme a los requisitos de accesibilidad previstos en la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (*2).

22. A efectos de la provisión de las carteras europeas de identidad digital, ni estas ni los sistemas de identificación electrónica con arreglo a los cuales se proporcionan estarán sujetos a los requisitos establecidos en los artículos 7, 9, 10, 12 y 12 bis.

23. A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables a los requisitos a que se refieren los apartados 4, 5, 8 y 18 del presente artículo sobre la implantación de las carteras europeas de identidad digital. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

24. La Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, cuando proceda, especificaciones y procedimientos, con el fin de facilitar la incorporación de los usuarios a la cartera europea de identidad digital utilizando bien medios de identificación electrónica conformes con el nivel de seguridad alto, bien medios de identificación electrónica conformes con el nivel de seguridad sustancial junto con procedimientos adicionales de incorporación a distancia, de modo que, en conjunto, cumplan los requisitos del nivel de seguridad alto. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 5 ter. Partes usuarias de las carteras europeas de identidad digital

1. Cuando una parte usuaria tenga previsto utilizar carteras europeas de identidad digital para prestar servicios públicos o privados mediante una interacción digital, se registrará en el Estado miembro en el que esté establecida.

2. El proceso de registro tendrá un coste razonable y proporcional al riesgo. La parte usuaria proporcionará, como mínimo:

a) la información necesaria para autenticarse en las carteras europeas de identidad digital, lo que como mínimo incluye:

i) el Estado miembro en el que la parte usuaria tiene su sede, y

ii) el nombre de la parte usuaria y, en su caso, su número de registro tal como figura en un registro oficial, junto con los datos de identificación de dicho registro oficial;

b) los datos de contacto de la parte usuaria;

c) el uso previsto de las carteras europeas de identidad digital, incluida una mención de los datos que la parte usuaria solicitará a los usuarios.

3. Las partes usuarias no solicitarán a los usuarios datos distintos de los mencionados en virtud del apartado 2, letra c).

4. Los apartados 1 y 2 se entenderán sin perjuicio del Derecho de la Unión o nacional aplicable a la prestación de servicios específicos.

5. Los Estados miembros publicarán la información a que se refiere el apartado 2 en línea en una forma firmada o sellada electrónicamente que sea apropiada para el tratamiento automático.

6. Las partes usuarias registradas de conformidad con el presente artículo informarán sin demora a los Estados miembros sobre cualquier cambio en la información facilitada en el registro en virtud del apartado 2.

7. Los Estados miembros facilitarán un mecanismo común para permitir la identificación y autenticación de las partes usuarias, tal como prevé el artículo 5 bis, apartado 5, letra c).

8. Cuando las partes usuarias tengan previsto utilizar carteras europeas de identidad digital, se identificarán respecto al usuario.

9. Las partes usuarias serán responsables de llevar a cabo el procedimiento de autenticación y validación de los datos de identificación personal y de las declaraciones electrónicas de atributos solicitados por las carteras europeas de identidad digital. Las partes usuarias no rechazarán el uso de seudónimos, cuando el Derecho de la Unión o nacional no exija la identificación del usuario.

10. Los intermediarios que actúen en nombre de las partes usuarias se considerarán partes usuarias y no almacenarán datos sobre el contenido de la transacción.

11. A más tardar el 21 de noviembre de 2024, la Comisión establecerá especificaciones técnicas y procedimientos para los requisitos mencionados en los apartados 2, 5 y 6 a 9 del presente artículo, mediante actos de ejecución relativos a la implantación de las carteras europeas de identidad digital, tal como prevé el artículo 5 bis, apartado 23. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 5 quater. Certificación de las carteras europeas de identidad digital

1. La conformidad de las carteras europeas de identidad digital y el sistema de identificación electrónica con arreglo al cual se proporcionan los requisitos establecidos en el artículo 5 bis, apartados 4, 5 y 8, el requisito de separación lógica establecido en el artículo 5 bis, apartado 14, y, cuando proceda, con las normas y especificaciones técnicas previstas en el artículo 5 bis, apartado 24, será certificada por organismos de evaluación de la conformidad designados por los Estados miembros.

2. La certificación de conformidad de las carteras europeas de identidad digital con los requisitos pertinentes de ciberseguridad previstos en el apartado 1 del presente artículo, o partes de ellos, que sean pertinentes para la ciberseguridad, será realizada de conformidad con los esquemas de certificación de la ciberseguridad adoptados en virtud del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (*3) e indicados en los actos de ejecución mencionados en el apartado 6 del presente artículo.

3. Para los requisitos a que se refiere el apartado 1 del presente artículo que no sean pertinentes para la ciberseguridad y para los requisitos a que se refiere el apartado 1 del presente artículo que sean pertinentes para la ciberseguridad, en la medida en que los esquemas de certificación de la ciberseguridad a que se refiere el apartado 2 del presente artículo no incluyan los requisitos de ciberseguridad pertinentes, o solo lo hagan parcialmente, los Estados miembros establecerán también para dichos requisitos esquemas nacionales de certificación con arreglo a los requisitos establecidos en los actos de ejecución a los que se refiere el apartado 6 del presente artículo. Los Estados miembros transmitirán sus proyectos de esquemas nacionales de certificación al Grupo de Cooperación sobre la Identidad Digital Europea establecido en virtud del artículo 46 sexies, apartado 1, (en lo sucesivo, “Grupo de Cooperación”). El Grupo de Cooperación podrá emitir dictámenes y recomendaciones.

4. La certificación en virtud del apartado 1 tendrá una validez máxima de cinco años, siempre que se realice una evaluación de la vulnerabilidad cada dos años. Cuando se detecte una vulnerabilidad y no se subsane oportunamente, se cancelará la certificación.

5. El cumplimiento de los requisitos establecidos en el artículo 5 bis del presente Reglamento para las operaciones de tratamiento de datos personales podrá ser certificado con arreglo al Reglamento (UE) 2016/679.

6. A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para la certificación de las carteras europeas de identidad digital a que se refieren los apartados 1, 2 y 3 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

7. Los Estados miembros comunicarán a la Comisión los nombres y direcciones de los organismos de evaluación de la conformidad a que se refiere el apartado 1. La Comisión pondrá dicha información a disposición de todos los Estados miembros.

8. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 47 por los que se establezcan los criterios específicos que deben satisfacer los organismos de evaluación de la conformidad designados a que se refiere el apartado 1 del presente artículo.

Artículo 5 quinquies. Publicación de una lista de carteras europeas de identidad digital certificadas

1. Los Estados miembros informarán a la Comisión y al Grupo de Cooperación establecido en virtud del artículo 46 sexies, apartado 1, sin dilación indebida, de las carteras europeas de identidad digital que se hayan proporcionado de conformidad con el artículo 5 bis y que hayan sido certificadas por los organismos de evaluación de la conformidad a que se refiere el artículo 5 quater, apartado 1. Informarán a la Comisión y al Grupo de Cooperación establecido en virtud del artículo 46 sexies, apartado 1, sin dilación indebida cuando se cancele alguna certificación y expondrán los motivos de la cancelación.

2. Sin perjuicio de lo dispuesto en el artículo 5 bis, apartado 18, la información facilitada por los Estados miembros mencionada en el apartado 1 del presente artículo incluirá, como mínimo:

a) el certificado y el informe de evaluación de la certificación de la cartera europea de identidad digital certificada;

b) una descripción del sistema de identificación electrónica en virtud del cual se proporciona la cartera europea de identidad digital;

c) el régimen de supervisión aplicable y la información sobre el régimen de responsabilidades respecto de la parte que proporciona la cartera europea de identidad digital;

d) la autoridad o autoridades responsables del sistema de identificación electrónica;

e) disposiciones relativas a la suspensión o revocación del sistema de identificación electrónica de la autenticación o de las partes afectadas.

3. A tenor de la información recibida en virtud del apartado 1, la Comisión establecerá, publicará en el Diario Oficial de la Unión Europea y mantendrá en un formato legible por máquina una lista de carteras europeas de identidad digital certificadas.

4. Todo Estado miembro podrá presentar a la Comisión una solicitud de suprimir de la lista a la que se refiere el apartado 3 una cartera europea de identidad digital y el sistema de identificación electrónica en virtud del cual se proporciona.

5. Cuando se produzcan cambios en la información facilitada en virtud del apartado 1, el Estado miembro facilitará a la Comisión información actualizada.

6. La Comisión mantendrá actualizada la lista a que se refiere el apartado 3 mediante la publicación en el Diario Oficial de la Unión Europea de las modificaciones correspondientes de la lista en el plazo de un mes a partir de la recepción de una solicitud con arreglo al apartado 4 o de información actualizada con arreglo al apartado 5.

7. A más tardar el 21 de noviembre de 2024, la Comisión establecerá los formatos y procedimientos aplicables a efectos de los apartados 1, 4 y 5 del presente artículo, mediante actos de ejecución relativos a la implantación de las carteras europeas de identidad digital, tal como prevé el artículo 5 bis, apartado 23. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 5 sexies. Violación de la seguridad de las carteras europeas de identidad digital

1. Cuando se viole o quede parcialmente comprometida la seguridad de las carteras europeas de identidad digital proporcionadas en virtud del artículo 5 bis, de los mecanismos de validación a que se refiere el artículo 5 bis, apartado 8, o del sistema de identificación electrónica en virtud del cual se proporcionan las carteras europeas de identidad digital de un modo que afecte a su fiabilidad o a la de otras carteras europeas de identidad digital, el Estado miembro que haya proporcionado las carteras europeas de identidad digital suspenderá, sin dilación indebida, la provisión y el uso de dichas carteras.

Cuando la gravedad de la violación o el compromiso de seguridad a que se refiere párrafo primero lo justifique, el Estado miembro retirará sin dilación indebida las carteras europeas de identidad digital.

El Estado miembro informará de ello a los usuarios afectados, a los puntos de contacto únicos designados con arreglo al artículo 46 quater, apartado 1, a las partes usuarias y a la Comisión.

2. Si la violación o el compromiso de seguridad a que se refiere el apartado 1, párrafo primero, del presente artículo no se subsana en un plazo de tres meses desde la suspensión, el Estado miembro que haya proporcionado las carteras europeas de identidad digital las retirará y revocará su validez. El Estado miembro informará, en consecuencia, de la retirada a los usuarios afectados, a los puntos de contacto únicos designados en virtud del artículo 46 quater, apartado 1, a las partes usuarias y a la Comisión.

3. Cuando se haya subsanado la violación o el compromiso de seguridad a que se refiere el apartado 1, párrafo primero, del presente artículo, el Estado miembro proveedor restablecerá la provisión y el uso de las carteras europeas de identidad digital e informará sin dilación indebida a los usuarios y partes usuarias afectados, a los puntos únicos de contacto designados en virtud del artículo 46 quater, apartado 1, y a la Comisión.

4. La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones correspondientes de la lista a que se refiere el artículo 5 quinquies, sin dilación indebida.

5. A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos relativos a las medidas a que se refieren los apartados 1, 2 y 3 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 5 septies. Uso transfronterizo de las carteras europeas de identidad digital

1. Cuando los Estados miembros exijan una identificación y una autenticación electrónicas para acceder a un servicio en línea prestado por un organismo del sector público, también aceptarán las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.

2. Cuando el Derecho de la Unión o nacional exija que las partes usuarias privadas que prestan servicios —con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión (*4)— utilicen una autenticación reforzada de usuario para la identificación en línea, o cuando se requiera una autenticación reforzada de usuario para la identificación en línea en virtud de una obligación contractual, en particular en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación o las telecomunicaciones, dichas partes usuarias privadas también aceptarán, a más tardar treinta y seis meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, y únicamente a petición voluntaria del usuario, las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.

3. Cuando los prestadores de plataformas en línea de muy gran tamaño a que se refiere el artículo 33 del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo (*5) exijan la autenticación del usuario para acceder a servicios en línea, también aceptarán y facilitarán el uso de las carteras europeas de identidad digital proporcionadas con arreglo al presente Reglamento para la autenticación del usuario, únicamente a petición voluntaria del usuario y en lo que respecta a los datos mínimos necesarios para el servicio en línea específico para el que se solicita la autenticación.

4. En cooperación con los Estados miembros, la Comisión facilitará la elaboración de códigos de conducta en estrecha colaboración con todas las partes interesadas pertinentes, en particular la sociedad civil, para contribuir a la amplia disponibilidad y la facilidad de uso de las carteras europeas de identidad digital contempladas en el ámbito de aplicación del presente Reglamento y alentar a los prestadores de servicios a ultimar la elaboración de códigos de conducta.

5. En un plazo de veinticuatro meses a partir de la implantación de las carteras europeas de identidad digital, la Comisión evaluará la demanda, disponibilidad y facilidad de uso de las carteras europeas de identidad digital, teniendo en cuenta criterios como la adopción por los usuarios, la presencia transfronteriza de prestadores de servicios, el desarrollo tecnológico, la evolución de los patrones de uso y la demanda de los usuarios.

6) Antes del artículo 6 se inserta el título siguiente:

«SECCIÓN 2. SISTEMAS DE IDENTIFICACIÓN ELECTRÓNICA».

7) En el artículo 7, la letra g) se sustituye por el texto siguiente:

«g) al menos seis meses antes de la notificación a la que se refiere el artículo 9, apartado 1, el Estado miembro que efectúa la notificación presentará a los demás Estados miembros, a efectos del artículo 12, apartado 5, una descripción de este sistema, de conformidad con las modalidades de procedimiento establecidas en los actos de ejecución adoptados en virtud del artículo 12, apartado 6;».

8) En el artículo 8, apartado 3, el párrafo primero se sustituye por el texto siguiente:

«3. A más tardar el 18 de septiembre de 2015, teniendo en cuenta las normas internacionales pertinentes, y en los términos del apartado 2, la Comisión establecerá, mediante actos de ejecución, las especificaciones técnicas mínimas, las normas y los procedimientos con referencia a los cuales se especificarán los niveles de seguridad bajo, sustancial y alto de los medios de identificación electrónica.».

9) En el artículo 9, los apartados 2 y 3 se sustituyen por el texto siguiente:

«2. La Comisión publicará en el Diario Oficial de la Unión Europea, sin dilación indebida, la lista de los sistemas de identificación electrónica notificados de conformidad con el apartado 1 junto con información básica sobre dichos sistemas.

3. La Comisión publicará en el Diario Oficial de la Unión Europea las modificaciones de la lista a que se hace referencia en el apartado 2 en el plazo de un mes desde la fecha en que se reciba la citada notificación.».

10) El título del artículo 10 se sustituye por el texto siguiente:

«Violación de la seguridad de los sistemas de identificación electrónica».

11) Se inserta el artículo siguiente:

«Artículo 11 bis. Correspondencia transfronteriza de la identidad

1. Cuando actúen como partes usuarias de servicios transfronterizos, los Estados miembros garantizarán una correspondencia inequívoca de la identidad para las personas físicas que utilicen medios de identificación electrónica notificados o carteras europeas de identidad digital.

2. Los Estados miembros establecerán medidas técnicas y organizativas para garantizar un elevado nivel de protección de los datos personales utilizados para la correspondencia de la identidad y para evitar la elaboración de perfiles de usuarios.

3. A más tardar el 21 de noviembre de 2024, la Comisión establecerá una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos relativos a los requisitos a que se refiere el apartado 1 del presente artículo por medio de actos de ejecución. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 48, apartado 2.».

12) El artículo 12 se modifica como sigue:

a) El título se sustituye por el texto siguiente:

«Interoperabilidad»;

b) el apartado 3 se modifica como sigue:

i) la letra c) se sustituye por el texto siguiente:

«c) facilitarla aplicación de la privacidad y la seguridad desde el diseño.»,

ii) se suprime la letra d);

c) en el apartado 4, la letra d) se sustituye por el texto siguiente:

«d) una referencia a un conjunto mínimo de datos de identificación de la persona necesarios para representar de manera única a una persona física o jurídica o a una persona física que representa a otra persona física o a una persona jurídica y que está disponible en los sistemas de identificación electrónica;»;

d) los apartados 5 y 6 se sustituyen por el texto siguiente:

«5. Los Estados miembros llevarán a cabo revisiones inter pares de los sistemas de identificación electrónica incluidos en el ámbito de aplicación del presente Reglamento y que habrán de notificarse en virtud del artículo 9, apartado 1, letra a).

6. A más tardar el 18 de marzo de 2025, la Comisión fijará, mediante actos de ejecución, las modalidades de procedimiento necesarias para las revisiones inter pares mencionadas en el apartado 5 del presente artículo, con vistas a fomentar un alto grado de confianza y seguridad que corresponda al nivel de riesgo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.»;

e) se suprime el apartado 7;

f) el apartado 8 se sustituye por el texto siguiente:

«8. A más tardar el 18 de septiembre de 2025, a efectos de establecer condiciones uniformes para la ejecución de los requisitos del apartado 1 del presente artículo, la Comisión, sin perjuicio de los criterios establecidos en el apartado 3 del presente artículo y teniendo en cuenta los resultados de la cooperación entre Estados miembros, adoptará actos de ejecución sobre el marco de interoperabilidad tal como se establece en el apartado 4 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

13) En el capítulo II se insertan los artículos siguientes:

«Artículo 12 bis. Certificación de los sistemas de identificación electrónica

1. La certificación de la conformidad de los sistemas de identificación electrónica que vayan a notificarse con los requisitos de ciberseguridad establecidos en el presente Reglamento, incluida la conformidad con los requisitos pertinentes en materia de ciberseguridad establecidos en el artículo 8, apartado 2, en relación con los niveles de seguridad de los sistemas de identificación electrónica, correrá a cargo de organismos de evaluación de la conformidad designados por los Estados miembros.

2. La certificación en virtud del apartado 1 del presente artículo se realizará con arreglo a un esquema de certificación de la ciberseguridad en virtud del Reglamento (UE) 2019/881 o partes de dicho esquema, en la medida en que el certificado de ciberseguridad o partes de este abarquen dichos requisitos de ciberseguridad.

3. La certificación en virtud del apartado 1 tendrá una validez de hasta cinco años, siempre que se realice una evaluación de la vulnerabilidad cada dos años. Cuando se detecte una vulnerabilidad y no se subsane en un plazo de tres meses desde dicha detección, se cancelará la certificación.

4. No obstante lo dispuesto en el apartado 2, los Estados miembros podrán solicitar, de conformidad con dicho apartado, información adicional al Estado miembro que efectúa la notificación sobre los sistemas de identificación electrónica, o parte de ellos, certificados.

5. La revisión inter pares de los sistemas de identificación electrónica a que se refiere el artículo 12, apartado 5, no se aplicará a sistemas de identificación electrónica, ni a partes de ellos, certificados de conformidad con el apartado 1 del presente artículo. Los Estados miembros podrán utilizar un certificado o una declaración de conformidad, expedida con arreglo a un esquema de certificación pertinente o partes de dichos esquemas, con los requisitos que no estén relacionados con la ciberseguridad establecidos en el artículo 8, apartado 2, en relación con el nivel de seguridad de los sistemas de identificación electrónica.

6. Los Estados miembros comunicarán a la Comisión los nombres y direcciones de los organismos de evaluación de la conformidad a que se refiere el apartado 1. La Comisión pondrá dicha información a disposición de todos los Estados miembros.

Artículo 12 ter. Acceso a características de equipo y programa informático

Cuando los proveedores de carteras europeas de identidad digital y los emisores de los medios de identificación electrónica notificados que actúen a título comercial o profesional y utilicen servicios básicos de plataforma según se definen en el artículo 2, punto 2, del Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo (*6), con el fin de ofrecer servicios de cartera europea de identidad digital y medios de identificación electrónica a usuarios finales, o en el marco de tal prestación, sean usuarios profesionales según se define en el artículo 2, apartado 21, de dicho Reglamento, los guardianes de acceso les permitirán, en particular, la interoperabilidad efectiva con las mismas características de sistema operativo, de equipo y o programa informático, así como el acceso a dichas características a efectos de interoperabilidad. La interoperabilidad efectiva y el acceso se permitirán de forma gratuita y con independencia de que las características de equipo y programa informático formen parte del sistema operativo, a las que puede acceder o que utiliza el guardián de acceso cuando presta tales servicios, en el sentido del artículo 6, apartado 7, del Reglamento (UE) 2022/1925. El presente artículo se entenderá sin perjuicio de lo dispuesto en el artículo 5 bis, apartado 14, del presente Reglamento.

14) En el artículo 13, el apartado 1 se sustituye por el texto siguiente:

«1. No obstante lo dispuesto en el apartado 2 del presente artículo y sin perjuicio del Reglamento (UE) 2016/679, los prestadores de servicios de confianza serán responsables de los perjuicios causados de forma intencional o por negligencia a cualquier persona física o jurídica debido al incumplimiento de las obligaciones establecidas en el presente Reglamento. Toda persona física o jurídica que haya sufrido perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento por parte de un prestador de servicios de confianza tendrá derecho a solicitar una indemnización de conformidad con el Derecho de la Unión y nacional.

La carga de la prueba de la intencionalidad o la negligencia de un prestador no cualificado de servicios de confianza corresponderá a la persona física o jurídica que alegue los perjuicios a que se refiere el párrafo primero.

Se presumirá la intencionalidad o la negligencia de un prestador cualificado de servicios de confianza salvo cuando ese prestador cualificado de servicios de confianza demuestre que los perjuicios a que se refiere el párrafo primero se produjeron sin intencionalidad ni negligencia por su parte.».

15) Los artículos 14, 15 y 16 se sustituyen por el texto siguiente:

«Artículo 14. Aspectos internacionales

1. Los servicios de confianza prestados por prestadores de servicios de confianza establecidos en un tercer país o por una organización internacional serán reconocidos como legalmente equivalentes a los servicios de confianza cualificados prestados por prestadores cualificados de servicios de confianza establecidos en la Unión si los servicios de confianza originarios del tercer país o los de la organización internacional son reconocidos mediante actos de ejecución o un acuerdo celebrado entre la Unión y el tercer país o la organización internacional en virtud del artículo 218 del TFUE.

Los actos de ejecución a que se refiere el párrafo primero se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

2. Los actos de ejecución y los acuerdos a que se refiere el apartado 1 garantizarán que los prestadores de servicios de confianza del tercer país de que se trate o las organizaciones internacionales y los servicios de confianza que prestan cumplen los requisitos aplicables a los prestadores cualificados de servicios de confianza establecidos en la Unión y a los servicios de confianza cualificados que prestan. En particular, los terceros países y las organizaciones internacionales establecerán, mantendrán y publicarán una lista de confianza de los prestadores reconocidos de servicios de confianza.

3. Los acuerdos a que se refiere el apartado 1 garantizarán que los servicios de confianza cualificados prestados por prestadores cualificados de servicios de confianza establecidos en la Unión sean reconocidos como legalmente equivalentes a los servicios de confianza prestados por prestadores de servicios en el tercer país o por la organización internacional con los que se celebra el acuerdo.

Artículo 15. Accesibilidad para las personas con discapacidad y necesidades especiales

La provisión de medios de identificación electrónica, así como la prestación de servicios de confianza y los productos destinados a los usuarios finales empleados en la prestación de dichos servicios, deberán estar disponibles en un lenguaje claro y comprensible, de conformidad con la Convención de las Naciones Unidas sobre los Derechos de las Personas con Discapacidad y con los requisitos de accesibilidad de la Directiva (UE) 2019/882, beneficiando así también a las personas que experimentan limitaciones funcionales, como las personas de edad avanzada y las personas con un acceso limitado a las tecnologías digitales.

Artículo 16. Sanciones

1. Sin perjuicio de lo dispuesto en el artículo 31 de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (*7), los Estados miembros establecerán el régimen de sanciones aplicables a las infracciones del presente Reglamento. Dichas sanciones serán efectivas, proporcionadas y disuasorias.

2. Los Estados miembros garantizarán que el incumplimiento del presente Reglamento por parte de prestadores cualificados y no cualificados de servicios de confianza se sancione con multas administrativas de un máximo de, al menos:

a) 5 000 000 EUR cuando el prestador de servicios de confianza sea una persona física, o

b) 5 000 000 EUR o una cuantía equivalente al 1 % del volumen de negocios anual total a nivel mundial de la empresa a la que perteneciera el prestador de servicios de confianza durante el ejercicio financiero anterior al año en que se haya producido el incumplimiento, optándose por la de mayor cuantía, cuando el prestador de servicios de confianza sea una persona jurídica.

3. En función del ordenamiento jurídico de los Estados miembros, las normas relativas a las multas administrativas podrán aplicarse de tal modo que la incoación de la multa corresponda al organismo de supervisión competente, y su imposición a los órganos jurisdiccionales nacionales competentes. La aplicación de tales normas en estos Estados miembros garantizará que estas vías de recurso sean efectivas y tengan un efecto equivalente a las multas administrativas impuestas directamente por las autoridades de control.

16) En el capítulo III, sección 2, el título se sustituye por el texto siguiente:

«Servicios de confianza no cualificados».

17) Se suprimen los artículos 17 y 18.

18) En el capítulo III, sección 2, se inserta el artículo siguiente:

«Artículo 19 bis. Requisitos aplicables a los prestadores no cualificados de servicios de confianza

1. Los prestadores no cualificados de servicios de confianza que prestan servicios de confianza no cualificados:

a) contarán con políticas adecuadas y adoptarán las medidas que procedan para gestionar los riesgos jurídicos, empresariales, operativos y otros riesgos directos o indirectos para la prestación del servicio de confianza no cualificado que, no obstante lo dispuesto en el artículo 21de la Directiva (UE) 2022/2555, deberá incluir, como mínimo, las medidas relacionadas con:

i) procedimientos de registro para un servicio de confianza e incorporación a este,

ii) controles administrativos o de procedimiento necesarios para prestar servicios de confianza,

iii) gestión e implantación de servicios de confianza;

b) notificarán al organismo de supervisión, a las personas afectadas identificables, al público si es de interés público y, cuando proceda, a otras autoridades competentes pertinentes cualquier violación de la seguridad o interrupción en la prestación del servicio o en la aplicación de las medidas a que se refiere la letra a), incisos i), ii) o iii), que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales mantenidos en él, sin dilación indebida y, en cualquier caso, a más tardar a las veinticuatro horas de haber tenido conocimiento de cualquier violación de la seguridad o interrupción.

2. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para el apartado 1, letra a), del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el presente artículo cuando se observen dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

19) El artículo 20 se modifica como sigue:

a) el apartado 1 se sustituye por el texto siguiente:

«1. Los prestadores cualificados de servicios de confianza serán auditados al menos cada veinticuatro meses, corriendo con los gastos que ello genere, por un organismo de evaluación de la conformidad. La auditoría confirmará que tanto los prestadores cualificados de servicios de confianza como los servicios de confianza cualificados que prestan cumplen los requisitos establecidos en el presente Reglamento y en el artículo 21 de la Directiva (UE) 2022/2555. Los prestadores cualificados de servicios de confianza enviarán el informe de evaluación de la conformidad correspondiente al organismo de supervisión en el plazo de tres días hábiles tras su recepción.»;

b) Se insertan los apartados siguientes:

«1 bis. Los prestadores cualificados de servicios de confianza informarán al organismo de supervisión al menos un mes antes de cualquier auditoría prevista y permitirán la participación del organismo de supervisión en calidad de observador.

1 ter. Los Estados miembros notificarán a la Comisión, sin dilación indebida, los nombres, direcciones y datos de acreditación de los organismos de evaluación de la conformidad a que se refiere el apartado 1, así como cualquier modificación posterior de los mismos. La Comisión pondrá dicha información a disposición de todos los Estados miembros.»;

c) los apartados 2, 3 y 4 se sustituyen por el texto siguiente:

«2. Sin perjuicio de lo dispuesto en el apartado 1, el organismo de supervisión podrá en cualquier momento auditar o solicitar a un organismo de evaluación de la conformidad que realice una evaluación de la conformidad de prestadores cualificados de servicios de confianza, con cargo a dichos prestadores cualificados de servicios de confianza, para confirmar que estos y los servicios de confianza cualificados prestados cumplen los requisitos establecidos en el presente Reglamento. En caso de posible vulneración de las normas sobre protección de datos personales, el organismo de supervisión informará, sin dilación indebida, a las autoridades de control competentes establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679.

3. Cuando el prestador cualificado de servicios de confianza incumpla cualquiera de los requisitos que se establecen en el presente Reglamento, el organismo de supervisión le exigirá subsanar dicho incumplimiento dentro de un plazo determinado, si procede.

Si el prestador no subsanase el incumplimiento, en su caso, dentro del plazo fijado por el organismo de supervisión, este, cuando esté justificado en particular por el alcance, la duración y las consecuencias del incumplimiento, retirará la cualificación a dicho prestador o al servicio en cuestión que este presta.

3 bis. Cuando las autoridades competentes designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555 informen al organismo de supervisión de que el prestador cualificado de servicios de confianza incumple alguno de los requisitos establecidos en el artículo 21 de dicha Directiva, el organismo de supervisión, cuando esté justificado en particular por el alcance, la duración y las consecuencias del incumplimiento, retirará la cualificación a dicho prestador o al servicio en cuestión que este presta.

3 ter. Cuando las autoridades de control establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679 informen al organismo de supervisión de que el prestador cualificado de servicios de confianza incumple alguno de los requisitos establecidos en dicho Reglamento, el organismo de supervisión, cuando esté justificado en particular por el alcance, la duración y las consecuencias del incumplimiento, retirará la cualificación a dicho prestador o al servicio en cuestión que este presta.

3 quater. El organismo de supervisión comunicará al prestador cualificado de servicios de confianza la retirada de su cualificación o de la cualificación del servicio de que se trate. El organismo de supervisión informará al organismo notificado con arreglo al artículo 22, apartado 3, del presente Reglamento a efectos de actualizar las listas de confianza a que se refiere el apartado 1 de dicho artículo y a la autoridad competente designada o establecida en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555.

4. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, especificaciones y procedimientos para lo siguiente:

a) la acreditación de los organismos de evaluación de la conformidad y el informe de evaluación de la conformidad a que se refiere el apartado 1;

b) los requisitos de auditoría con arreglo a los cuales los organismos de evaluación de la conformidad realizarán la evaluación de la conformidad, incluida la evaluación compuesta, de los prestadores cualificados de servicios de confianza a que se refiere el apartado 1;

c) los sistemas de evaluación de la conformidad que utilizarán los organismos de evaluación de la conformidad para evaluar la conformidad de los prestadores cualificados de servicios de confianza y para proporcionar el informe a que se refiere el apartado 1.

Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

20) El artículo 21 se modifica como sigue:

a) los apartados 1 y 2 se sustituyen por el texto siguiente:

«1. Cuando los prestadores de servicios de confianza tengan intención de iniciar la prestación de un servicio de confianza cualificado, notificarán al organismo de supervisión su intención junto con un informe de evaluación de la conformidad expedido por un organismo de evaluación de la conformidad que confirme el cumplimiento de los requisitos establecidos en el presente Reglamento y en el artículo 21 de la Directiva (UE) 2022/2555.

2. El organismo de supervisión verificará si el prestador de servicios de confianza y los servicios de confianza que presta cumplen los requisitos establecidos en el presente Reglamento, y en particular, los requisitos aplicables a los prestadores cualificados de servicios de confianza y a los servicios de confianza cualificados que estos prestan.

Con el fin de verificar que el prestador de servicios de confianza cumple los requisitos establecidos en el artículo 21 de la Directiva (UE) 2022/2555, el organismo de supervisión solicitará a las autoridades competentes designadas o establecidas en virtud del artículo 8, apartado 1, de dicha Directiva que emprendan acciones de supervisión en ese sentido y que proporcionen información sobre los resultados de dichas acciones sin dilación indebida y en cualquier caso en el plazo de dos meses desde la recepción de dicha solicitud. Si la verificación no ha concluido en el plazo de dos meses desde la notificación, dichas autoridades competentes informarán al organismo de supervisión especificando los motivos de la dilación y el plazo previsto para concluir la verificación.

Si el organismo de supervisión concluye que el prestador de servicios de confianza y los servicios de confianza que este presta cumplen los requisitos establecidos en el presente Reglamento, el organismo de supervisión concederá la cualificación al prestador de servicios de confianza y a los servicios de confianza que este presta y lo comunicará al organismo a que se refiere el artículo 22, apartado 3, a efectos de actualizar las listas de confianza previstas en el artículo 22, apartado 1, a más tardar tres meses después de la notificación efectuada de conformidad con el apartado 1 del presente artículo.

Si la verificación no ha concluido en el plazo de tres meses desde la notificación, el organismo de supervisión informará al prestador de servicios de confianza especificando los motivos de la dilación y el plazo previsto para concluir la verificación.»;

b) el apartado 4 se sustituye por el texto siguiente:

«4. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, los formatos y procedimientos de la notificación y la verificación a efectos de lo dispuesto en los apartados 1 y 2 del presente artículo. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

21) El artículo 24 se modifica como sigue:

a) el apartado 1 se sustituye por el texto siguiente:

«1. Al expedir un certificado cualificado o una declaración electrónica cualificada de atributos, el prestador cualificado de servicios de confianza verificará la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expida el certificado cualificado o la declaración electrónica cualificada de atributos.

1 bis. La verificación de la identidad a que se refiere el apartado 1 se llevará a cabo por los medios adecuados, por el prestador cualificado de servicios de confianza, bien directamente o bien por medio de un tercero, sobre la base de uno de los siguientes métodos o de una combinación de los mismos cuando sea necesario de conformidad con los actos de ejecución a que se refiere el apartado 1 quater:

a) a través de la cartera europea de identidad digital o de un medio de identificación electrónica notificado que satisfaga los requisitos establecidos en el artículo 8 con respecto al nivel de seguridad alto;

b) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a), c) o d);

c) utilizando otros métodos de identificación que garanticen la identificación de la persona con un nivel alto de confianza, cuya conformidad será confirmada por un organismo de evaluación de la conformidad;

d) a través de la presencia física de la persona física o de un representante autorizado de la persona jurídica, mediante pruebas y procedimientos adecuados, de conformidad con el Derecho nacional.

1 ter. La verificación de los atributos a que se refiere el apartado 1 se llevará a cabo, por los medios adecuados, por el prestador cualificado de servicios de confianza, bien directamente o bien por medio de un tercero, sobre la base de uno de los siguientes métodos o, cuando sea necesario, de una combinación de estos, de conformidad con los actos de ejecución a que se refiere el apartado 1 quater:

b) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con el apartado 1 bis, letra a), c) o d);

c) por medio de una declaración electrónica cualificada de atributos;

d) utilizando otros métodos que garanticen la verificación de los atributos con un nivel alto de confianza, cuya conformidad será confirmada por un organismo de evaluación de la conformidad;

e) mediante la presencia física de la persona física o de un representante autorizado de la persona jurídica, mediante pruebas y procedimientos adecuados, de conformidad con el Derecho nacional.»;

«1 quater. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para la verificación de la identidad y los atributos de conformidad con los apartados 1, 1 bis y 1 ter del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.»;

b) el apartado 2 se modifica como sigue:

i) la letra a) se sustituye por el texto siguiente:

«a) informarán al organismo de supervisión de cualquier cambio en la prestación de servicios de confianza cualificados al menos un mes antes de llevarlo a cabo, y con una antelación de al menos tres meses en caso de que tengan intención de cesar tales actividades;»;

ii) las letras d) y e) se sustituyen por el texto siguiente:

«d) antes de entrar en una relación contractual, informarán, de manera clara, comprensible y fácilmente accesible, en un espacio públicamente accesible y de forma individual, a cualquier persona que desee utilizar un servicio de confianza cualificado acerca de las condiciones precisas relativas a la utilización de dicho servicio, incluidas las limitaciones de su utilización;

e) utilizarán sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad y la fiabilidad técnicas de los procesos que sustenten, en particular utilizando técnicas criptográficas adecuadas;»,

iii) se insertan los puntos siguientes:

«f bis) No obstante lo dispuesto en el artículo 21 de la Directiva (UE) 2022/2555, contarán con políticas adecuadas y adoptarán las medidas que procedan para gestionar los riesgos jurídicos, empresariales, operativos y otros riesgos directos o indirectos para la prestación del servicio de confianza cualificado, en particular al menos medidas relacionadas con lo siguiente:

i) procedimientos de registro en un servicio e incorporación a este,

ii) controles administrativos o de procedimiento,

iii) gestión e implantación de servicios;

f ter) notificarán al organismo de supervisión, a las personas afectadas identificables, a otros organismos competentes pertinentes cuando proceda y, a solicitud del organismo de supervisión, al público si es de interés público, cualquier violación de la seguridad o interrupción en la prestación del servicio o en la aplicación de las medidas a que se refiere la letra f bis), incisos i), ii) o iii), que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales mantenidos en él, sin dilación indebida y, en cualquier caso, a más tardar veinticuatro horas después de haberse producido el incidente;»,

iv) las letras g), h) e i) se sustituyen por el texto siguiente:

«g) adoptarán medidas adecuadas contra la falsificación, el robo o la apropiación indebida de datos o contra la eliminación, alteración o bloqueo de dichos datos sin tener derecho a ello;

h) registrarán y mantendrán accesible, durante el tiempo que sea necesario cuando hayan cesado las actividades del prestador cualificado de servicios de confianza, toda la información pertinente referente a los datos expedidos y recibidos por el prestador cualificado de servicios de confianza, al objeto de que sirvan de prueba en los procedimientos legales y para garantizar la continuidad del servicio. Esta actividad de registro podrá realizarse por medios electrónicos;

i) contarán con un plan de cese actualizado para garantizar la continuidad del servicio de conformidad con las disposiciones que sean verificadas por el organismo de supervisión en virtud del artículo 46 ter, apartado 4, letra i);»,

v) se suprime la letra j),

vi) se añade el párrafo siguiente:

«El organismo de supervisión podrá solicitar información adicional a la información notificada en virtud del párrafo primero, letra a), o el resultado de una evaluación de la conformidad y podrá condicionar la concesión de la autorización para aplicar los cambios previstos a los servicios de confianza cualificados. Si la verificación no ha concluido en el plazo de tres meses desde la notificación, el organismo de supervisión informará al prestador de servicios de confianza especificando los motivos de la dilación y el plazo previsto para concluir la verificación.»;

c) el apartado 5 se sustituye por el texto siguiente:

«4 bis. Los apartados 3 y 4 se aplicarán, en consecuencia, a la revocación de declaraciones electrónicas cualificadas de atributos.

4 ter. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 47 por el que se establecen las medidas adicionales mencionadas en el apartado 2, punto f bis) del presente artículo.

5. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos aplicables a los requisitos a que se refiere el apartado 2, del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el presente apartado cuando se observen dichas normas, especificaciones y procedimientos. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

22) En el capítulo III, sección 3, se añade el artículo siguiente:

«Artículo 24 bis. Reconocimiento de servicios de confianza cualificados

1. Las firmas electrónicas cualificadas basadas en un certificado cualificado expedido en un Estado miembro y los sellos electrónicos cualificados basados en un certificado cualificado expedido en un Estado miembro serán reconocidos, respectivamente, como firmas electrónicas cualificadas y sellos electrónicos cualificados en todos los demás Estados miembros.

2. Los dispositivos cualificados de creación de firma electrónica y los dispositivos cualificados de creación de sello electrónico certificados en un Estado miembro serán reconocidos, respectivamente, como dispositivos cualificados de creación de firma electrónica y dispositivos cualificados de creación de sello electrónico en todos los demás Estados miembros.

3. Un certificado cualificado de firma electrónica, un certificado cualificado de sello electrónico, un servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de firma electrónica a distancia y un servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de sello electrónico a distancia proporcionados en un Estado miembro serán reconocidos, respectivamente, como certificado cualificado de firma electrónica, certificado cualificado de sello electrónico, servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de firma electrónica a distancia y servicio de confianza cualificado para la gestión de dispositivos cualificados de creación de sello electrónico a distancia en todos los demás Estados miembros.

4. Un servicio de validación cualificado de firmas electrónicas cualificadas y un servicio de validación cualificado de sellos electrónicos cualificados prestado en un Estado miembro serán reconocidos, respectivamente, como servicio de validación cualificado de firmas electrónicas cualificadas y servicio de validación cualificado de sellos electrónicos cualificados en todos los demás Estados miembros.

5. Un servicio cualificado de conservación de firmas electrónicas cualificadas y un servicio cualificado de conservación de sellos electrónicos cualificados prestados en un Estado miembro serán reconocidos, respectivamente, como servicio cualificado de conservación de firmas electrónicas cualificadas y servicio cualificado de conservación de sellos electrónicos cualificados en todos los demás Estados miembros.

6. Un sello cualificado de tiempo electrónico proporcionado en un Estado miembro será reconocido como sello cualificado de tiempo electrónico en todos los demás Estados miembros.

7. Un certificado cualificado de autenticación de sitio web expedido en un Estado miembro será reconocido como certificado cualificado de autenticación de sitio web en cualquier otro Estado miembro.

8. Un servicio cualificado de entrega electrónica certificada proporcionado en un Estado miembro será reconocido como servicio cualificado de entrega electrónica certificada en todos los demás Estados miembros.

9. Una declaración electrónica cualificada de atributos expedida en un Estado miembro será reconocida como declaración electrónica cualificada de atributos en todos los demás Estados miembros.

10. Un servicio cualificado de archivo electrónico prestado en un Estado miembro será reconocido como servicio cualificado de archivo electrónico en todos los demás Estados miembros.

11. Un libro mayor electrónico cualificado proporcionado en un Estado miembro será reconocido como libro mayor electrónico cualificado en todos los demás Estados miembros.».

23) En el artículo 25, se suprime el apartado 3.

24) El artículo 26 se modifica como sigue:

a) el párrafo primero pasa a ser apartado 1;

b) se añade el apartado siguiente:

«2. A más tardar el 21 de mayo de 2026, la Comisión evaluará sobre si es necesario adoptar actos de ejecución para establecer una lista de normas de referencia y, en su caso, establecer especificaciones y procedimientos para firmas electrónicas avanzadas. Sobre la base de dicha evaluación, la Comisión puede adoptar tales actos de ejecución. Se presumirá el cumplimiento de los requisitos aplicables a las firmas electrónicas avanzadas cuando la firma electrónica avanzada sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

25) En el artículo 27, se suprime el apartado 4.

26) En el artículo 28, el apartado 6 se sustituye por el texto siguiente:

«6. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para los certificados cualificados de firma electrónica. Se presumirá el cumplimiento de los requisitos establecidos en el anexo I cuando el certificado cualificado de firma electrónica sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

27) En el artículo 29, se inserta el apartado siguiente:

«1 bis. La creación o la gestión de datos de creación de firma electrónica o la duplicación de estos datos de creación de firma con fines de copia de seguridad se llevará a cabo únicamente en nombre del firmante, a solicitud de este, y por un prestador cualificado de servicios de confianza que preste un servicio de confianza cualificado para la gestión de un dispositivo cualificado de creación de firma electrónica a distancia.».

28) Se inserta el artículo siguiente:

«Artículo 29 bis. Requisitos aplicables a un servicio cualificado para la gestión de dispositivos cualificados de creación de firma electrónica a distancia

1. La gestión de dispositivos cualificados de creación de firma electrónica a distancia como servicio cualificado se llevará a cabo únicamente por un prestador cualificado de servicios de confianza que:

a) cree o gestione datos de creación de firmas electrónicas en nombre del signatario;

b) no obstante lo dispuesto en el punto 1, letra d), del anexo II, duplique los datos de creación de firmas electrónicas exclusivamente con fines de copia de seguridad, siempre y cuando se cumplan los requisitos siguientes:

i) la seguridad de los conjuntos de datos duplicados debe ser del mismo nivel que el previsto para los conjuntos de datos originales,

ii) el número de conjuntos de datos duplicados no debe superar el mínimo necesario para garantizar la continuidad del servicio;

c) cumpla todos los requisitos definidos en el informe de certificación del dispositivo cualificado específico de creación de firmas electrónicas a distancia expedido en virtud del artículo 30.

2. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos a los efectos del apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

29) En el artículo 30, se inserta el apartado siguiente:

«3 bis. La certificación a que se refiere el apartado 1 tendrá una validez máxima de cinco años, siempre que se lleve a cabo una evaluación de las vulnerabilidades cada dos años. Cuando se detecten vulnerabilidades y no se subsanen, se cancelará la certificación.».

30) En el artículo 31, el apartado 3 se sustituye por el texto siguiente:

«3. A más tardar el 21 de mayo de 2025, la Comisión establecerá, por medio de actos de ejecución, los formatos y procedimientos aplicables a efectos de lo dispuesto en el apartado 1 del presente artículo. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

31) El artículo 32 se modifica como sigue:

a) en el apartado 1 se añade el párrafo siguiente:

«Se presumirá el cumplimiento de los requisitos establecidos en el párrafo primero del presente apartado cuando la validación de firmas electrónicas cualificadas sea conforme a las normas, las especificaciones y los procedimientos a que se refiere el apartado 3.»;

b) el apartado 3 se sustituye por el texto siguiente:

«3. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para la validación de firmas electrónicas cualificadas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

32) Se inserta el artículo siguiente:

«Artículo 32 bis. Requisitos aplicables a la validación de las firmas electrónicas avanzadas basadas en certificados cualificados

1. El proceso de validación de una firma electrónica avanzada basada en un certificado cualificado confirmará la validez de dicha firma siempre que:

a) el certificado que respalda la firma fuera, en el momento de la firma, un certificado cualificado de firma electrónica que se ajusta al anexo I;

b) el certificado cualificado fuera expedido por un prestador cualificado de servicios de confianza y fuera válido en el momento de la firma;

c) los datos de validación de la firma correspondan a los datos proporcionados a la parte usuaria;

d) el conjunto único de datos que representa al firmante en el certificado se facilite correctamente a la parte usuaria;

e) en caso de que se utilice un seudónimo, la utilización de este se indique claramente a la parte usuaria en el momento de la firma;

f) la integridad de los datos firmados no se haya visto comprometida;

g) se hayan cumplido los requisitos previstos en el artículo 26 en el momento de la firma.

2. El sistema utilizado para validar la firma electrónica avanzada basada en un certificado cualificado ofrecerá a la parte usuaria el resultado correcto del proceso de validación y le permitirá detectar cualquier problema que afecte a la seguridad.

3. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para la validación de firmas electrónicas avanzadas basadas en certificados cualificados. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo cuando la validación de firmas electrónicas avanzadas basadas en certificados cualificados sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

33) En el artículo 33, el apartado 2 se sustituye por el texto siguiente:

«2. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos aplicables al servicio de validación cualificado a que se refiere el apartado 1 del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo cuando el servicio de validación cualificado para firmas electrónicas cualificadas sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

34) El artículo 34 se modifica como sigue:

a) se inserta el apartado siguiente:

«1 bis. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando los mecanismos del servicio cualificado de conservación de firmas electrónicas cualificadas sean conformes a los procedimientos, las especificaciones y las normas a que se refiere el apartado 2.»;

b) el apartado 2 se sustituye por el texto siguiente:

«2. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para los mecanismos del servicio cualificado de conservación de firmas electrónicas cualificadas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.».

35) En el artículo 35, se suprime el apartado 3.

36) El artículo 36 se modifica como sigue:

a) el párrafo primero pasa a ser apartado 1;

b) se añade el apartado siguiente:

«2. A más tardar el 21 de mayo de 2026, la Comisión realizará una evaluación sobre si es necesario adoptar actos de ejecución para establecer una lista de normas de referencia y, en su caso, establecer especificaciones y procedimientos para sellos electrónicos avanzados. Sobre la base de dicha evaluación, la Comisión puede adoptar dichos actos de ejecución. Se presumirá el cumplimiento de los requisitos aplicables a los sellos electrónicos avanzados cuando el sello electrónico avanzado sea conforme a dichos procedimientos, especificaciones y normas. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

37) En el artículo 37, se suprime el apartado 4.

38) En el artículo 38, el apartado 6 se sustituye por el texto siguiente:

«6. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, establecerá las especificaciones y los procedimientos para los certificados cualificados de sello electrónico. Se presumirá el cumplimiento de los requisitos establecidos en el anexo III cuando el certificado cualificado de sello electrónico sea conforme a dichos procedimientos, especificaciones y normas. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

39) Se inserta el artículo siguiente:

«Artículo 39 bis. Requisitos aplicables a un servicio cualificado para la gestión de dispositivos cualificados de creación de sello electrónico a distancia

El artículo 29 bis se aplicará mutatis mutandis a los servicios cualificados para la gestión de dispositivos cualificados de creación de sello electrónico a distancia.».

40) En el capítulo III, sección 5 se inserta el artículo siguiente:

«Artículo 40 bis. Requisitos aplicables a la validación de los sellos electrónicos avanzados basados en certificados cualificados

El artículo 32 bis se aplicará mutatis mutandis a la validación de los sellos electrónicos avanzados basados en certificados cualificados.».

41) En el artículo 41, se suprime el apartado 3.

42) El artículo 42 se modifica como sigue:

a) se inserta el apartado siguiente:

«1 bis. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando la vinculación de la fecha y hora con los datos y exactitud de la fuente de información temporal sea conforme a las normas, las especificaciones y procedimientos a que se refiere el apartado 2.»;

b) el apartado 2 se sustituye por el texto siguiente:

«2. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para la vinculación de la fecha y hora con los datos y para el establecimiento de la exactitud de las fuentes de información temporal. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

43) El artículo 44 se modifica como sigue:

a) se inserta el apartado siguiente:

«1 bis. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando el proceso de envío y recepción de datos sea conforme a las normas, especificaciones y procedimientos a que se refiere el apartado 2.»;

b) el apartado 2 se sustituye por el texto siguiente:

«2. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para los procesos de envío y recepción de datos. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.»;

c) se insertan los apartados siguientes:

«2 bis. Los prestadores de servicios cualificados de entrega electrónica certificada podrán acordar la interoperabilidad entre los servicios cualificados de entrega electrónica certificada que presten. Dicho marco de interoperabilidad cumplirá los requisitos establecidos en el apartado 1 y dicho cumplimiento será confirmado por un organismo de evaluación de la conformidad.

2 ter. La Comisión podrá establecer, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables al marco de interoperabilidad a que se refiere el apartado 2 bis del presente artículo. Las especificaciones técnicas y el contenido de las normas serán rentables y proporcionados. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

44)El artículo 45 se sustituye por el texto siguiente:

«Artículo 45. Requisitos aplicables a los certificados cualificados de autenticación de sitios web

1. Los certificados cualificados de autenticación de sitios web cumplirán los requisitos establecidos en el anexo IV. La evaluación del cumplimiento de dichos requisitos se llevará a cabo de conformidad con las normas, especificaciones y procedimientos a que se refiere el apartado 2 del presente artículo.

1 bis. Los proveedores de navegadores web reconocerán los certificados cualificados de autenticación de sitios web expedidos de conformidad con el apartado 1 del presente artículo. Los proveedores de navegadores web garantizarán que los datos de identificación de la persona declarados en el certificado y los atributos declarados adicionales se muestren al usuario de un modo fácil de consultar. Los proveedores de navegadores web garantizarán la compatibilidad e interoperabilidad con los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1 del presente artículo, con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE durante sus primeros cinco años de actividad como prestadores de servicios de navegación web.

1 ter. Los certificados cualificados de autenticación de sitios web no estarán sometidos a ningún requisito obligatorio que no sean los requisitos establecidos en el apartado 1.

2. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables a los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

45) Se inserta al artículo siguiente:

«Artículo 45 bis. Medidas cautelares en materia de ciberseguridad

1. Los proveedores de navegadores web no adoptarán ninguna medida contraria a sus obligaciones establecidas en el artículo 45, en particular los requisitos de reconocer los certificados cualificados de autenticación de sitios web y de mostrar los datos de identificación de la persona proporcionados de un modo que sea fácil de consultar.

2. No obstante lo dispuesto en el apartado 1 y solo en caso de preocupaciones justificadas relacionadas con violaciones de la seguridad o la pérdida de integridad de un certificado o conjunto de certificados identificados, los proveedores de navegadores web podrán adoptar medidas cautelares en relación con dicho certificado o conjunto de certificados.

3. Cuando se adopten medidas, los proveedores de navegadores web notificarán, en virtud del apartado 2, sus preocupaciones por escrito, sin demora indebida, junto con una descripción de las medidas adoptadas para mitigarlas, a la Comisión, al organismo de supervisión competente, a la entidad a la que se haya expedido el certificado y al prestador cualificado de servicios de confianza que haya expedido dicho certificado o conjunto de certificados. Tras la recepción de dicha notificación, el organismo de supervisión competente expedirá un acuse de recibo al proveedor del navegador web en cuestión.

4. El organismo de supervisión competente investigará las cuestiones planteadas en la notificación, de conformidad con el artículo 46 ter, apartado 4, letra k). Cuando el resultado de la investigación no implique la retirada de la cualificación del certificado, el organismo de supervisión informará de ello al proveedor del navegador web y solicitará que ese proveedor ponga fin a las medidas cautelares a que se refiere el apartado 2 del presente artículo.».

46) En el capítulo III se insertan las secciones siguientes:

«SECCIÓN 9. DECLARACIÓN ELECTRÓNICA DE ATRIBUTOS

Artículo 45 ter. Efectos jurídicos de la declaración electrónica de atributos

1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una declaración electrónica de atributos por el mero hecho de estar en formato electrónico o de no cumplir los requisitos aplicables a las declaraciones electrónicas cualificadas de atributos.

2. Las declaraciones electrónicas cualificadas de atributos y las declaraciones de atributos expedidas por, o en nombre de, un organismo del sector público responsable de una fuente auténtica tendrán los mismos efectos jurídicos que las declaraciones lícitamente expedidas en papel.

3. Una declaración de atributos expedida por, o en nombre de, un organismo del sector público responsable de una fuente auténtica en un Estado miembro será reconocida en todos los Estados miembros como declaración de atributos expedida por, o en nombre de, un organismo del sector público responsable de una fuente auténtica.

Artículo 45 quater. Declaración electrónica de atributos en servicios públicos

Cuando el Derecho nacional exija una identificación electrónica en la que se utilice un medio de identificación electrónica y una autenticación para acceder a un servicio en línea prestado por un organismo del sector público, los datos de identificación de la persona contenidos en la declaración electrónica de atributos no sustituirán a la identificación electrónica en la que se utilice un medio de identificación electrónica y una autenticación para la identificación electrónica a menos que el Estado miembro lo autorice expresamente. En tal caso, también se aceptarán las declaraciones electrónicas cualificadas de atributos procedentes de otros Estados miembros.

Artículo 45 quinquies. Requisitos aplicables a la declaración electrónica cualificada de atributos

1. La declaración electrónica cualificada de atributos cumplirá los requisitos establecidos en el anexo V.

2. La evaluación del cumplimiento de los requisitos establecidos en el anexo V se llevará a cabo de conformidad con las normas, especificaciones y procedimientos a que se refiere el apartado 5 del presente artículo.

3. Las declaraciones electrónicas cualificadas de atributos no estarán sometidas a ningún requisito obligatorio además de los requisitos establecidos en el anexo V.

4. Si una declaración electrónica cualificada de atributos ha sido revocada después de su emisión inicial, perderá su validez desde el momento de su revocación y no podrá en ninguna circunstancia recuperar su estado.

5. A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para las declaraciones electrónicas cualificadas de atributos. Dichos actos de ejecución serán coherentes con los actos de ejecución a que se refiere el artículo 5 bis, apartado 23, sobre la implantación de la cartera europea de identidad digital. Se adoptarán con arreglo al procedimiento de examen tal como prevé el artículo 48, apartado 2.

Artículo 45 sexies. Cotejo de atributos con fuentes auténticas

1. En un plazo de veinticuatro meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, los Estados miembros garantizarán que, al menos para los atributos que se enumeran en el anexo VI, cuando tales atributos se basen en fuentes auténticas pertenecientes al sector público, se adopten medidas para permitir que los prestadores cualificados de servicios de confianza de declaraciones electrónicas de atributos verifiquen dichos atributos por medios electrónicos, a petición del usuario, de conformidad con el Derecho de la Unión o nacional.

2. A más tardar el 21 de noviembre de 2024, la Comisión, teniendo en cuenta las normas internacionales aplicables, mediante actos de ejecución, establecerá una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos en lo que respecta al catálogo de atributos, así como a los sistemas de declaración de atributos y a los procedimientos de verificación de declaraciones electrónicas cualificadas de atributos a los efectos del apartado 1 del presente artículo. Dichos actos de ejecución serán coherentes con el acto de ejecución a que se refiere el artículo 5 bis, apartado 23, sobre la implantación de la cartera europea de identidad digital. Se adoptarán con arreglo al procedimiento de examen tal como prevé el artículo 48, apartado 2.

Artículo 45 septies. Requisitos aplicables a la declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este

1. Las declaraciones electrónicas de atributos expedidas por un organismo del sector público responsable de una fuente auténtica, o en su nombre cumplirán los requisitos siguientes:

a) los establecidos en el anexo VII;

b) el certificado cualificado que respalde la firma electrónica cualificada o el sello electrónico cualificado del organismo del sector público a que se refiere el artículo 3, punto 46, identificado como el emisor a que se refiere el anexo VII, letra b), contendrá un conjunto específico de atributos certificados en un formato adecuado para el tratamiento automático que:

i) indicará que el organismo emisor está establecido de conformidad con el Derecho de la Unión o nacional, bien como responsable de la fuente auténtica con arreglo a la cual se expide la declaración electrónica de atributos, bien como el organismo designado para actuar en su nombre,

ii) proporcionará un conjunto de datos que representen inequívocamente la fuente auténtica a que se refiere el inciso i), y

iii) determinará el Derecho de la Unión o nacional a que se refiere el inciso i).

2. El Estado miembro en el que estén establecidos los organismos del sector público a que se refiere el artículo 3, punto 46, velará por que los organismos del sector público que expidan declaraciones electrónicas de atributos cumplan un nivel de fiabilidad equivalente al de los prestadores cualificados de servicios de confianza de conformidad con el artículo 24.

3. Los Estados miembros notificarán a la Comisión los organismos del sector público a que se refiere el artículo 3, punto 46. Dicha notificación incluirá un informe de evaluación de la conformidad expedido por un organismo de evaluación de la conformidad que confirme que se cumplen los requisitos establecidos en los apartados 1, 2 y 6 del presente artículo. La Comisión pondrá a disposición del público, a través de un canal seguro, la información de los organismos del sector público a que se refiere el artículo 3, punto 46, en una forma firmada o sellada electrónicamente adecuada para el tratamiento automático.

4. Si una declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este ha sido revocada después de su emisión inicial, perderá su validez desde el momento de su revocación y su estado será irreversible.

5. Se considerará que una declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica, o en nombre de este cumple los requisitos establecidos en el apartado 1 del presente artículo cuando sea conforme a las normas, especificaciones y procedimientos a que se refiere el apartado 6.

6. A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para la declaración electrónica de atributos expedida por un organismo del sector público responsable de una fuente auténtica o en nombre de este. Dichos actos de ejecución serán coherentes con los actos de ejecución a que se refiere el artículo 5 bis, apartado 23, sobre la implantación de la cartera europea de identidad digital. Se adoptarán con arreglo al procedimiento de examen tal como prevé el artículo 48, apartado 2.

7. A más tardar el 21 de noviembre de 2024, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para el apartado 3 del presente artículo. Dichos actos de ejecución serán coherentes con los actos de ejecución a que se refiere el artículo 5 bis, apartado 23, sobre la implantación de la cartera europea de identidad digital. Se adoptarán con arreglo al procedimiento de examen tal como prevé el artículo 48, apartado 2.

8. Los organismos del sector público a que se refiere el artículo 3, punto 46, que expidan declaraciones electrónicas de atributos facilitarán una interfaz con las carteras europeas de identidad digital que se proporcionen de conformidad con el artículo 5 bis.

Artículo 45 octies. Emisión de declaraciones electrónicas de atributos a las carteras europeas de identidad digital

1. Los prestadores de declaraciones electrónicas de atributos brindarán a los usuarios de carteras europeas de identidad digital la posibilidad de solicitar, obtener, almacenar y gestionar la declaración electrónica de atributos independientemente del Estado miembro en el que se proporcione la cartera europea de identidad digital.

2. Los prestadores de declaraciones electrónicas cualificadas de atributos facilitarán una interfaz con las carteras europeas de identidad digital que se proporcionen con arreglo al artículo 5 bis.

Artículo 45 nonies. Normas adicionales para la prestación de servicios de declaración electrónica de atributos

1. Los prestadores de servicios cualificados y no cualificados de declaración electrónica de atributos se abstendrán de combinar datos personales relacionados con la prestación de dichos servicios con datos personales obtenidos a través de otros servicios que ofrezcan ellos o sus socios comerciales.

2. Se establecerá una separación lógica entre los datos personales relacionados con la prestación de servicios de declaración electrónica de atributos y otros datos que obren en poder del prestador de declaraciones electrónicas de atributos.

3. Los prestadores de servicios de declaraciones electrónicas cualificadas de atributos llevarán a cabo la prestación de dichos servicios de confianza cualificados de manera funcionalmente separada de otros servicios que presten.

SECCIÓN 10. SERVICIOS DE ARCHIVO ELECTRÓNICO

Artículo 45 decies

Efecto jurídico de los servicios de archivo electrónico

1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a los datos electrónicos ni a los documentos electrónicos conservados mediante un servicio de archivo electrónico por el mero hecho de que estén en formato electrónico o no estén conservados mediante un servicio cualificado de archivo electrónico.

2. Los datos electrónicos y documentos electrónicos conservados mediante un servicio cualificado de archivo electrónico gozarán de la presunción de su integridad y origen durante el período de conservación por el prestador cualificado de servicios de confianza.

Artículo 45 undecies. Requisitos aplicables a los servicios cualificados de archivo electrónico

1. Los servicios cualificados de archivo electrónico cumplirán los requisitos siguientes:

a) ser prestados por prestadores cualificados de servicios de confianza;

b) utilizar procedimientos y tecnologías capaces de asegurar la durabilidad y legibilidad de los datos y documentos electrónicos más allá del período de validez tecnológica y, al menos, durante el período de conservación legal o contractual, manteniendo al mismo tiempo su integridad y la exactitud de su origen;

c) garantizar que dichos datos y documentos electrónicos se conserven de tal manera que queden protegidos contra su pérdida o alteración, excepto en el caso de los cambios relativos a su soporte o formato electrónico;

d) permitir que las partes usuarias autorizadas reciban de forma automatizada un informe que confirme que los datos o documentos electrónicos recuperados de un archivo electrónico cualificado gozan de la presunción de integridad desde el inicio del período de conservación hasta el momento de su recuperación.

El informe a que se refiere el párrafo primero, letra d), se proporcionará de manera fiable y eficiente e incluirá la firma electrónica cualificada o el sello electrónico cualificado del prestador del servicio cualificado de archivo electrónico.

2. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para los servicios cualificados de archivo electrónico. Se presumirá el cumplimiento de los requisitos aplicables a los servicios cualificados de archivo electrónico cuando un servicio cualificado de archivo electrónico sea conforme a dichas normas, especificaciones y procedimientos. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

SECCIÓN 11. LIBROS MAYORES ELECTRÓNICOS

Artículo 45 duodecies. Efectos jurídicos de los libros mayores electrónicos

1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un libro mayor electrónico por el mero hecho de estar en formato electrónico o de no cumplir los requisitos aplicables a los libros mayores electrónicos cualificados.

2. Los registros de datos contenidos en un libro mayor electrónico cualificado gozarán de la presunción de unicidad y exactitud de su orden cronológico secuencial y de su integridad.

Artículo 45 terdecies. Requisitos aplicables a los libros mayores electrónicos cualificados

1. Un libro mayor electrónico cualificado cumplirá los requisitos siguientes:

a) estar creado y gestionado por uno o más prestadores cualificados de servicios de confianza;

b) establecer el origen de los registros de datos en el libro mayor;

c) garantizar la unicidad del orden cronológico secuencial de los registros de datos en el libro mayor;

d) grabar datos de modo que sea posible detectar de forma inmediata cualquier modificación posterior de estos, garantizando su integridad a lo largo del tiempo.

2. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando un libro mayor electrónico sea conforme a las normas, especificaciones y procedimientos a que se refiere el apartado 3.

3. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos para los requisitos a que se refiere el apartado 1 del presente artículo. Los actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

47) Se inserta el capítulo siguiente:

«CAPÍTULO IV bis. MARCO DE GOBERNANZA

Artículo 46 bis. Supervisión del marco de la cartera europea de identidad digital

1. Los Estados miembros designarán uno o más organismos de supervisión establecidos en su territorio.

Los organismos de supervisión designados en virtud del párrafo primero disfrutarán de las competencias necesarias y los recursos adecuados para el ejercicio de sus funciones de forma eficaz, eficiente e independiente.

2. Los Estados miembros notificarán a la Comisión los nombres y direcciones de los organismos de supervisión designados en virtud del apartado 1, así como cualquier modificación posterior de los mismos. La Comisión publicará una lista de los organismos de supervisión notificados.

3. Las funciones de los organismos de supervisión designados en virtud del apartado 1 serán las siguientes:

a) supervisar a los proveedores de carteras europeas de identidad digital establecidos en el Estado miembro que lo designa y garantizar, mediante actividades de supervisión previas y posteriores, que dichos proveedores y las carteras europeas de identidad digital que proporcionan cumplen los requisitos establecidos en el presente Reglamento;

b) adoptar medidas, en caso necesario, en relación con los proveedores de carteras europeas de identidad digital establecidos en el territorio del Estado miembro que lo designa, mediante actividades de supervisión posteriores, cuando se les haya informado de que los proveedores o las carteras europeas de identidad digital que proporcionan infringen el presente Reglamento.

4. Las tareas de los organismos de supervisión designados s en virtud del apartado 1 incluirán, en concreto, las siguientes:

a) cooperar con otros organismos de supervisión y prestarles asistencia de conformidad con los artículos 46 quater y 46 sexies;

b) solicitar la información necesaria para controlar el cumplimiento del presente Reglamento;

c) informar a las autoridades competentes pertinentes designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555 de los Estados miembros de que se trate de cualquier violación significativa de la seguridad o la pérdida de integridad de la que tengan conocimiento en el desempeño de sus funciones y, en caso de violación significativa de la seguridad o la pérdida de integridad que afecte a otros Estados miembros, informar al punto de contacto único designado con arreglo al artículo 8, apartado 3, de la Directiva (UE) 2022/2555 del Estado miembro de que se trate y a los puntos de contacto únicos designados de conformidad con el artículo 46 quater, apartado 1, del presente Reglamento en los demás Estados miembros de que se trate, e informar al público o exigir a los proveedores de carteras europeas de identidad digital que lo hagan en caso de que el organismo de supervisión determine que la divulgación de la violación de la seguridad o la pérdida de integridad reviste interés público;

d) emprender inspecciones in situ y actividades de supervisión externa;

e) requerir que los proveedores de carteras europeas de identidad digital corrijan cualquier incumplimiento de los requisitos establecidos en el presente Reglamento;

f) suspender o cancelar el registro y la inclusión de las partes usuarias en el mecanismo a que se refiere el artículo 5 ter, apartado 7, en caso de uso ilegal o fraudulento de la cartera europea de identidad digital;

g) cooperar con las autoridades de control competentes establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679, en particular, informándolas sin dilación indebida en caso de posible vulneración de las normas de protección de datos personales, así como sobre violaciones de la seguridad que parezcan constituir violaciones de la seguridad de los datos personales;

5. Cuando el organismo de supervisión designado en virtud del apartado 1 exija al proveedor de una cartera europea de identidad digital que subsane cualquier incumplimiento de los requisitos establecidos en el presente Reglamento de conformidad con el apartado 4, letra e), y dicho proveedor no actúe en consecuencia y, si procede, dentro del plazo fijado por dicho organismo de supervisión, el organismo de supervisión designado en virtud del apartado 1, teniendo en cuenta, en particular, el alcance, la duración y las consecuencias de dicho incumplimiento, podrá ordenar al proveedor que suspenda o cese la provisión de la cartera europea de identidad digital. El organismo de supervisión informará a los organismos de supervisión de otros Estados miembros, a la Comisión, a las partes usuarias y a los usuarios de la cartera europea de identidad digital, sin demora indebida, de la decisión de exigir la suspensión o el cese de la provisión de la cartera europea de identidad digital.

6. A más tardar el 31 de marzo de cada año, cada organismo de supervisión designado en virtud del apartado 1 presentará a la Comisión un informe sobre las principales actividades que haya llevado a cabo en el año natural anterior. La Comisión pondrá dichos informes anuales a disposición del Parlamento Europeo y del Consejo.

7. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, los formatos y procedimientos para el informe a que se refiere el apartado 6 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 46 ter. Supervisión de los servicios de confianza

1. Los Estados miembros designarán un organismo de supervisión establecido en su territorio o designarán, previo acuerdo mutuo con otro Estado miembro, un organismo de supervisión establecido en ese otro Estado miembro. Dicho organismo de supervisión será responsable de las funciones de supervisión en el Estado miembro que efectúa la designación en lo que respecta a los servicios de confianza.

Los organismos de supervisión designados en virtud del párrafo primero disfrutarán de las competencias necesarias y los recursos adecuados para el ejercicio de sus funciones.

2. Los Estados miembros notificarán a la Comisión los nombres y direcciones de sus organismos de supervisión, designados en virtud del apartado 1, así como cualquier modificación posterior a este respecto. La Comisión publicará una lista de los organismos de supervisión notificados.

3. La función de los organismos de supervisión designados en virtud del apartado 1 será la siguiente:

a) supervisar a los prestadores cualificados de servicios de confianza establecidos en el territorio del Estado miembro que lo designa y garantizar, mediante actividades de supervisión previas y posteriores, que dichos prestadores cualificados de servicios de confianza, y los servicios de confianza cualificados prestados por ellos, cumplen los requisitos establecidos en el presente Reglamento;

b) adoptar medidas, en caso necesario, en relación con los prestadores no cualificados de servicios de confianza establecidos en el territorio del Estado miembro que lo designa, mediante actividades de supervisión posteriores, cuando se le informe de que dichos prestadores no cualificados de servicios de confianza, o los servicios de confianza prestados por ellos incumplen presuntamente los requisitos establecidos en el presente Reglamento.

4. Las funciones del organismo de supervisión designado en virtud del apartado 1 incluirán, en particular, las siguientes:

a) informar a las autoridades competentes pertinentes de los Estados miembros de que trate designadas o establecidas en virtud del artículo 8, apartado 1, de la Directiva (UE) 2022/2555 de cualquier violación significativa de la seguridad o pérdida de integridad de las que tenga conocimiento en el desempeño de sus funciones y, en caso de una violación significativa de la seguridad o pérdida de integridad que afecte a otros Estados miembros, informar al punto de contacto único del Estado miembro de que se trate designado o establecido en virtud del artículo 8, apartado 3, de la Directiva (UE) 2022/2555 y a los puntos de contacto únicos de los demás Estados miembros de que se trate designados en virtud del artículo 46 quater, apartado 1, del presente Reglamento, e informar al público —o exigir al prestador de servicios de confianza que lo haga— en caso de que el organismo de supervisión considere que la divulgación de la violación de la seguridad o pérdida de integridad revistiera interés público;

b) cooperar con otros organismos de supervisión y prestarles asistencia de conformidad con los artículos 46 quater y 46 sexies;

c) analizar los informes de evaluación de la conformidad a que se refieren el artículo 20, apartado 1, y el artículo 21, apartado 1;

d) informar a la Comisión de sus actividades principales de conformidad con el apartado 6 del presente artículo;

e) realizar auditorías o solicitar a un organismo de evaluación de la conformidad que realice una evaluación de la conformidad de prestadores cualificados de servicios de confianza, de conformidad con el artículo 20, apartado 2;

f) cooperar con las autoridades de control competentes establecidas en virtud del artículo 51 del Reglamento (UE) 2016/679, en particular, informándolas, sin dilación indebida, en caso de posible vulneración de las normas de protección de datos personales, así como sobre violaciones de la seguridad que parezcan constituir violaciones de la seguridad de los datos personales;

g) conceder la cualificación a los prestadores de servicios de confianza y a los servicios de confianza que prestan, y retirar dicha cualificación, de conformidad con los artículos 20 y 21;

h) comunicar al organismo responsable de la lista de confianza a que se refiere el artículo 22, apartado 3, de su decisión de conceder o retirar la cualificación, salvo si dicho organismo es también el organismo de supervisión designado en virtud del apartado 1 del presente artículo;

i) verificar la existencia y la correcta aplicación de las disposiciones relativas a los planes de cese cuando los prestadores cualificados de servicios de confianza cesen sus actividades, con inclusión de la forma en que se hace accesible la información, de conformidad con el artículo 24, apartado 2, letra h);

j) requerir que los prestadores de servicios de confianza corrijan cualquier incumplimiento de los requisitos establecidos en el presente Reglamento;

k) investigar las denuncias de los proveedores de navegadores web en virtud del artículo 45 bis y tomar medidas en caso necesario.

5. Los Estados miembros podrán disponer que el organismo de supervisión designado en virtud del apartado 1 establezca, mantenga y actualice una infraestructura de confianza de conformidad con el Derecho nacional.

7. A más tardar el 21 de mayo de 2025, la Comisión adoptará directrices sobre el ejercicio, por los organismos de supervisión designado en virtud del apartado 1 del presente artículo, de las funciones a que se refiere el apartado 4 del presente artículo y, mediante actos de ejecución, definirá los formatos y procedimientos del informe previsto en el apartado 6 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 48, apartado 2.

Artículo 46 quater. Puntos de contacto únicos

1. Cada Estado miembro designará un punto de contacto único para los servicios de confianza, las carteras europeas de identidad digital y los sistemas de identificación electrónica notificados.

2. Cada punto de contacto único ejercerá una función de enlace para facilitar la cooperación transfronteriza entre los organismos de supervisión de los prestadores de servicios de confianza y entre los organismos de supervisión de los proveedores de carteras europeas de identidad digital y, cuando proceda, con la Comisión y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y con otras autoridades competentes de su Estado miembro.

3. Cada Estado miembro hará públicos y, sin demora indebida, notificará a la Comisión los nombres y direcciones del punto de contacto único designado en virtud del apartado 1, así como cualquier modificación posterior a este respecto.

4. La Comisión publicará una lista de los puntos de contacto únicos notificados en virtud del apartado 3.

Artículo 46 quinquies. Asistencia mutua

1. A fin de facilitar la supervisión y el cumplimiento de las obligaciones establecidas en virtud del presente Reglamento, los organismos de supervisión designados en virtud del artículo 46 bis, apartado 1, y del artículo 46 ter, apartado 1, podrán solicitar —también a través del Grupo de Cooperación establecido de conformidad con el artículo 46 sexies, apartado 1— asistencia mutua de organismos de supervisión de otro Estado miembro en el que el prestador de la cartera europea de identidad digital o el prestador de servicios de confianza esté establecido, o en el que se encuentren sus redes y sistemas de información o se presten sus servicios.

2. La asistencia mutua implicará, como mínimo, lo siguiente:

a) el organismo de supervisión que aplique medidas de supervisión y ejecución en un Estado miembro informará y consultará al organismo de supervisión del otro Estado miembro afectado;

b) un organismo de supervisión podrá solicitar al organismo de supervisión de otro Estado miembro afectado que adopte medidas de supervisión o ejecución, entre las que se podrá contar, por ejemplo, cursar solicitudes de inspección en relación con los informes de evaluación de la conformidad contemplados en los artículos 20 y 21 en lo referente a la prestación de servicios de confianza;

c) cuando proceda, los organismos de supervisión podrán llevar a cabo investigaciones conjuntas con los organismos de supervisión de otros Estados miembros.

Los acuerdos y procedimientos para las acciones conjuntas con arreglo al párrafo primero serán aprobados y establecidos por los Estados miembros de que se trate de conformidad con su Derecho nacional.

3. El organismo de supervisión al que se haya dirigido una solicitud de asistencia podrá denegar dicha solicitud por alguno de los motivos siguientes:

a) la asistencia solicitada no guarda proporción con las actividades de supervisión del organismo de supervisión realizadas de conformidad con los artículos 46 bis y 46 ter;

b) el organismo de supervisión no es competente para prestar la asistencia solicitada;

c) la prestación de la asistencia solicitada sería incompatible con el presente Reglamento.

4. A más tardar el 21 de mayo de 2025, y posteriormente cada dos años, el Grupo de Cooperación establecido en virtud del artículo 46 sexies, apartado 1, formulará orientaciones sobre los aspectos organizativos y los procedimientos para la asistencia mutua a que se refieren los apartados 1 y 2 del presente artículo.

Artículo 46 sexies. El Grupo de Cooperación sobre la Identidad Digital Europea

1. Con el fin de apoyar y facilitar la cooperación transfronteriza de los Estados miembros y el intercambio de información sobre los servicios de confianza, las carteras europeas de identidad digital y los sistemas de identificación electrónica notificados, la Comisión creará el Grupo de Cooperación sobre la Identidad Digital Europea.

2. El Grupo de Cooperación estará formado por representantes nombrados por los Estados miembros y la Comisión. El Grupo de Cooperación estará presidido por la Comisión. La Comisión asumirá la secretaría del Grupo de Cooperación.

3. Podrá invitarse a representantes de las partes interesadas pertinentes a asistir a las reuniones del Grupo de Cooperación y a participar en sus trabajos en calidad de observadores ad hoc.

4. Se invitará a la ENISA a participar en calidad de observadora en los trabajos del Grupo de Cooperación cuando este intercambie puntos de vista, mejores prácticas e información sobre aspectos pertinentes en materia de ciberseguridad, como la notificación de violaciones de la seguridad, y cuando se trate del uso de certificados o las normas sobre ciberseguridad.

5. El Grupo de Cooperación desempeñará las siguientes funciones:

a) intercambiar recomendaciones y cooperar con la Comisión en las iniciativas políticas emergentes en el ámbito de las carteras de identidad digital, los medios de identificación electrónica y los servicios de confianza;

b) asesorar a la Comisión, según proceda, en la preparación temprana de los proyectos de actos delegados y de ejecución que deban adoptarse en virtud del presente Reglamento;

c) con el fin de apoyar a los organismos de supervisión en la aplicación de las disposiciones del presente Reglamento:

i) intercambiar las mejores prácticas e información sobre la aplicación de las disposiciones del presente Reglamento,

ii) evaluar los avances pertinentes en el ámbito de los sectores de la cartera de identidad digital, la identificación electrónica y los servicios de confianza,

iii) organizar reuniones conjuntas con las partes interesadas pertinentes de toda la Unión para tratar las actividades realizadas por el Grupo de Cooperación y recabar apreciaciones sobre los desafíos políticos emergentes,

iv) con el apoyo de la ENISA, intercambiar opiniones, mejores prácticas e información sobre los aspectos de ciberseguridad pertinentes relativos a las carteras europeas de identidad digital, los sistemas de identificación electrónica y los servicios de confianza,

v) intercambiar mejores prácticas en relación con el desarrollo y la ejecución de políticas sobre la notificación de violaciones de la seguridad y las medidas comunes a que se refieren los artículos 5 sexies y 10,

vi) organizar reuniones conjuntas con el Grupo de Cooperación SRI establecido en virtud del artículo 14, apartado 1, de la Directiva (UE) 2022/2555 para intercambiar la información pertinente referente a ciberamenazas, incidencias, vulnerabilidades, iniciativas de sensibilización, formación, ejercicios y destrezas, desarrollo de capacidades, capacidad relativa a las normas y especificaciones técnicas y las propias normas y especificaciones técnicas en relación con los servicios de confianza y la identificación electrónica,

vii) debatir, a petición de un organismo de supervisión, las solicitudes concretas de asistencia mutua a que se refiere el artículo 46 quinquies,

viii) facilitar el intercambio de información entre los organismos de supervisión, orientando sobre los aspectos organizativos y los procedimientos de la asistencia mutua a que se refiere el artículo 46 quinquies;

d) organizar revisiones inter pares de los sistemas de identificación electrónica que vayan a notificarse con arreglo al presente Reglamento.

6. Los Estados miembros garantizarán una cooperación efectiva y eficiente de sus representantes designados en el Grupo de cooperación.

7. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, los mecanismos de procedimiento necesarios para facilitar la cooperación entre los Estados miembros a que se refiere el apartado 5, letra d), del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen a que se refiere el artículo 48, apartado 2.».

48) El artículo 47 se modifica como sigue:

a) los apartados 2 y 3 se sustituyen por el texto siguiente:

«2. Los poderes para adoptar actos delegados mencionados en el artículo 5 quater, apartado 7, el artículo 24, apartado 4 ter, y el artículo 30, apartado 4, se otorgan a la Comisión por un período de tiempo indefinido a partir del 17 de septiembre de 2014.

3. La delegación de poderes mencionada en el artículo 5 quater, apartado 7, el artículo 24, apartado 4 ter, y el artículo 30, apartado 4, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que ya estén en vigor.»;

b) el apartado 5 se sustituye por el texto siguiente:

«5. Los actos delegados adoptados en virtud del artículo 5 quater, apartado 7, el artículo 24, apartado 4 ter, y el artículo 30, apartado 4, entrarán en vigor únicamente si, en un plazo de dos meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo.».

49) En el capítulo VI se inserta el artículo siguiente:

«Artículo 48 bis. Requisitos de información

1. Los Estados miembros garantizarán la recopilación de estadísticas relativas al funcionamiento de las carteras europeas de identidad digital y los servicios de confianza cualificados prestados en su territorio.

2. Las estadísticas recopiladas de conformidad con el apartado 1 incluirán los siguientes elementos:

a) el número de personas físicas y jurídicas poseedoras de una cartera europea de identidad digital válida;

b) el tipo y cantidad de servicios que aceptan el uso de la cartera europea de identidad digital;

c) la cantidad de reclamaciones de usuarios e incidencias de protección de los consumidores o de protección de datos relacionadas con las partes usuarias y los servicios de confianza cualificados;

d) un informe resumido que incluya datos sobre las incidencias que impidan utilizar la cartera europea de identidad digital;

e) un resumen de las incidencias de seguridad importantes, de las violaciones de la seguridad de los datos y de los usuarios de carteras europeas de identidad digital o de servicios de confianza cualificados que hayan resultado afectados.

3. Las estadísticas a que se refiere el apartado 2 se harán públicas en un formato abierto, de uso común y legible por máquina.

4. Cada año, a más tardar el 31 de marzo, los Estados miembros presentarán a la Comisión un informe sobre las estadísticas recopiladas de conformidad con el apartado 2.».

50) El artículo 49 se sustituye por el texto siguiente:

«Artículo 49. Revisión

1. La Comisión revisará la aplicación del presente Reglamento y, a más tardar el 21 de mayo de 2026, informará al Parlamento Europeo y al Consejo. En dicho informe, la Comisión evaluará, en particular, si es apropiado modificar el ámbito de aplicación del presente Reglamento o sus disposiciones específicas, incluidas, en concreto, las disposiciones que figuran en el artículo 5 quater, apartado 5, teniendo en cuenta la experiencia adquirida en la aplicación del presente Reglamento, así como la evolución tecnológica, del mercado y jurídica. Si fuera necesario, dicho informe irá acompañado de una propuesta de modificación del presente Reglamento.

2. El informe a que se refiere el apartado 1 incluirá una evaluación de la disponibilidad, seguridad y facilidad de uso de los medios de identificación electrónica notificados y las carteras europeas de identidad digital que entran dentro del ámbito de aplicación del presente Reglamento y evaluarán si debe requerirse a todos los prestadores de servicios privados en línea que se apoyan en servicios de identificación electrónica de terceros con fines de autenticación de los usuarios que acepten el uso de los medios de identificación electrónicos notificados y la cartera europea de identidad digital.

3. A más tardar el 21 de mayo de 2030, la Comisión presentará un informe al Parlamento Europeo y al Consejo sobre la marcha hacia el logro de los objetivos del presente Reglamento.».

51) El artículo 51 se sustituye por el texto siguiente:

«Artículo 51. Disposiciones transitorias

1. Los dispositivos de creación de firma segura cuya conformidad se haya determinado con arreglo al artículo 3, apartado 4, de la Directiva 1999/93/CE continuarán considerándose dispositivos cualificados de creación de firma electrónica con arreglo al presente Reglamento hasta el 21 de mayo de 2027.

2. Los certificados cualificados expedidos a personas físicas con arreglo a la Directiva 1999/93/CE seguirán considerándose certificados cualificados de firma electrónica en virtud del presente Reglamento hasta el 21 de mayo de 2026.

3. Los prestadores cualificados de servicios de confianza distintos de aquellos que presten servicios cualificados de confianza para la gestión de dispositivos cualificados de creación de firma y sello electrónicos a distancia de conformidad con los artículos 29 bis y 39 bis podrán seguir llevando a cabo la gestión de certificados cualificados de firma electrónica sin la necesidad de obtener la cualificación para la prestación de dichos servicios de gestión hasta el 21 de mayo de 2026.

4. Los prestadores cualificados de servicios de confianza a los que se haya concedido su cualificación en virtud del presente Reglamento antes del 20 de mayo de 2024 presentarán al organismo de supervisión un informe de evaluación de la conformidad que demuestre el cumplimiento del artículo 24, apartados 1, 1 bis y 1 ter, tan pronto como sea posible y, en cualquier caso, antes del 21 de mayo de 2026.».

52) Los anexos I a IV se modifican, respectivamente, de conformidad con lo dispuesto en los anexos I a IV del presente Reglamento.

53) Se añaden los nuevos anexos V, VI y VII, tal como figuran en los anexos V, VI y VII del presente Reglamento.

Artículo 2. Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 11 de abril de 2024.

Por el Parlamento Europeo, La Presidenta, R. METSOLA

Por el Consejo, La Presidenta, H. LAHBIB

(*1) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).».”

(*2) Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70).”

(*3) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) nº 526/2013 (“Reglamento sobre la Ciberseguridad”) (DO L 151 de 7.6.2019, p. 15).”

(*4) Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).”

(*5) Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).».”

(*6) Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo, de 14 de septiembre de 2022, sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Reglamento de Mercados Digitales) (DO L 265 de 12.10.2022, p. 1).».”

(*7) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).».”

——————————————

(1) DO C 105 de 4.3.2022, p. 81.

(2) DO C 61 de 4.2.2022, p. 42.

(3) Posición del Parlamento Europeo de 29 de febrero de 2024 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 26 de marzo de 2024.

(4) Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73).

(5) Decisión (UE) 2022/2481 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, por la que se establece el programa estratégico de la Década Digital para 2030 (DO L 323 de 19.12.2022, p. 4).

(6) DO C 23 de 23.1.2023, p. 1.

(7) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO L 119 de 4.5.2016, p. 1).

(8) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(9) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(10) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) nº 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).

(11) Reglamento (UE) 2019/1157 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el refuerzo de la seguridad de los documentos de identidad de los ciudadanos de la Unión y de los documentos de residencia expedidos a ciudadanos de la Unión y a los miembros de sus familias que ejerzan su derecho a la libre circulación (DO L 188 de 12.7.2019, p. 67).

(12) Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70).

(13) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).

(14) Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo, de 14 de septiembre de 2022, sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Reglamento de Mercados Digitales) (DO L 265 de 12.10.2022, p. 1).

(15) Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).

(16) Recomendación (UE) 2021/946 de la Comisión, de 3 de junio de 2021, sobre un conjunto de instrumentos común de la Unión para adoptar un enfoque coordinado de cara a un Marco para una Identidad Digital Europea (DO L 210 de 14.6.2021, p. 51).

—————————————————————-

ANEXO I. En el anexo I del Reglamento (UE) nº 910/2014, la letra i) se sustituye por el texto siguiente:

«i) la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado;».

ANEXO II. En el anexo II del Reglamento (UE) nº 910/2014, se suprimen los puntos 3 y 4.

ANEXO III. En el anexo III del Reglamento (UE) nº 910/2014, la letra i) se sustituye por el texto siguiente:

«i) la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado;».

ANEXO IV. El anexo IV del Reglamento (UE) nº 910/2014 se modifica como sigue:

1) La letra c) se sustituye por el texto siguiente:

«c) para las personas físicas: al menos el nombre de la persona a la que se expida el certificado, o un seudónimo; y, cuando se use un seudónimo, una indicación clara en este sentido;

c bis) para las personas jurídicas: un conjunto único de datos que represente inequívocamente a la persona jurídica a la que se expide el certificado, con al menos el nombre de la persona jurídica a la que se expide el certificado y, en su caso, el número de registro tal como figura en los registros oficiales;».

2) La letra j) se sustituye por el texto siguiente:

«j) la información o la localización de los servicios de estado de validez del certificado que pueden utilizarse para consultar el estado de validez del certificado cualificado.».

ANEXO V.

«ANEXO V. REQUISITOS APLICABLES A LA DECLARACIÓN ELECTRÓNICA CUALIFICADA DE ATRIBUTOS

La declaración electrónica cualificada de atributos contendrá:

a) una indicación, al menos en una forma adecuada para el tratamiento automático, de que la declaración ha sido expedida como declaración electrónica cualificada de atributos;

b) un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de confianza que expide la declaración electrónica cualificada de atributos, que ha de incluir, como mínimo, el Estado miembro en el que dicho prestador está establecido, y:

i) para personas jurídicas, el nombre y, cuando proceda, el número de registro según consten en los registros oficiales,

ii) para personas físicas, el nombre de la persona;

c) un conjunto de datos que represente inequívocamente a la entidad a que se refieren los atributos declarados; y, cuando se use un seudónimo, una indicación clara en este sentido;

d) el atributo o atributos declarados, incluida, cuando proceda, la información necesaria para identificar el alcance de dichos atributos;

e) los datos relativos al inicio y final del período de validez de la declaración;

f) el código de identidad de la declaración, que debe ser único para el prestador cualificado de servicios de confianza y, si procede, la indicación del régimen de declaraciones al que pertenece la declaración de atributos;

g) la firma electrónica cualificada o el sello electrónico cualificado del prestador cualificado de servicios de confianza expedidor;

h) el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica cualificada o el sello electrónico cualificado a que se refiere la letra g);

i) la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez de la declaración cualificada.».

ANEXO VI

«ANEXO VI. LISTA MÍNIMA DE ATRIBUTOS

En virtud de lo dispuesto en el artículo 45 sexies, los Estados miembros garantizarán la adopción de medidas que permitan a los prestadores cualificados de servicios de confianza de declaraciones electrónicas de atributos verificar por medios electrónicos, a petición del usuario, la autenticidad de los atributos siguientes, cotejándolos con las fuentes auténticas pertinentes a escala nacional o a través de intermediarios designados reconocidos a escala nacional, de conformidad con el Derecho de la Unión o nacional y cuando tales atributos se basen en fuentes auténticas pertenecientes al sector público:

1. dirección,

2. edad,

3. sexo,

4. estado civil,

5. composición familiar,

6. nacionalidad o ciudadanía,

7. cualificaciones, títulos y licencias académicos,

8. cualificaciones, títulos y licencias profesionales,

9. facultades y mandatos para representar a personas físicas o jurídicas,

10. permisos y licencias públicos,

11. en el caso de las personas jurídicas, datos financieros y sociales.».

ANEXO VII.

«ANEXO VII. REQUISITOS APLICABLES A LA DECLARACIÓN ELECTRÓNICA DE ATRIBUTOS EXPEDIDA POR UN ORGANISMO PÚBLICO RESPONSABLE DE UNA FUENTE AUTÉNTICA O EN NOMBRE DE ESTE

Las declaraciones electrónicas de atributos expedidas por un organismo público responsable de una fuente auténtica, o en nombre de este, contendrán:

a) una indicación, al menos en una forma adecuada para el tratamiento automático, de que la declaración ha sido expedida como declaración electrónica de atributos por un organismo público responsable de una fuente auténtica, o en nombre de este;

b) un conjunto de datos que represente inequívocamente al organismo público que expide la declaración electrónica de atributos, que ha de incluir, como mínimo, el Estado miembro en el que dicho organismo público tiene su sede y su nombre y, en su caso, su número de registro tal como figura en los registros oficiales;

c) un conjunto de datos que represente inequívocamente a la entidad a que se refieren los atributos declarados; y, cuando se use un seudónimo, una indicación clara en este sentido;

d) el atributo o atributos declarados, incluida, cuando proceda, la información necesaria para identificar el alcance de dichos atributos;

e) los datos relativos al inicio y final del período de validez de la declaración;

f) el código de identidad de la declaración, que debe ser único para el organismo público expedidor y, si procede, una indicación del régimen de declaraciones al que pertenece la declaración de atributos;

g) la firma electrónica cualificada o el sello electrónico cualificado del organismo expedidor;

h) el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica cualificada o el sello electrónico cualificado a que se refiere la letra g);

i) la información o la localización de los servicios que pueden utilizarse para consultar el estado de validez de la declaración.».

08Ago/24

Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital 2023/C 23/01

8 agosto, 2024DeclaraciónAccesibilidad, Capacidaes digitales, Conectividad, Control efectivo de los datos personales, Control individual de los datos, Decada Digital, Derecho Informático, Derecho Informático Unión Europea, derechos fundamentales, Desarrollo de las tecnologias digitales, Desarrollo tecnologias digitales sostenibles, empoderamiento, entorno digital justo, Entorno digital seguro y protegido, Legislación Informática, Libertad de elección, Libertad de expresión y de información, Libertad y pluralismo de los medios de comunicación, Participación en el espacio público digital, Plataformas en línea, Principios Digitales, Privacidad de los datos, protección, Seguridad, Servicios públicos digitales en línea, Sistemas de Inteligencia artificial, Solidaridad e inclusión, Sostenibilidad, Transformación Digital, Trazabilidad de los productosJosé Cuervo

Declaraciones Comunes Parlamento Europeo. Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital 2023/C 23/01 (Diario Oficial de la Unión Europea 23.1.2023)

DECLARACIONES COMUNES

PARLAMENTO EUROPEO

CONSEJO COMISIÓN EUROPEA

Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital (2023/C 23/01)

El Parlamento Europeo, el Consejo y la Comisión proclaman solemnemente la siguiente Declaración conjunta sobre los Derechos y Principios Digitales para la Década Digital

Preámbulo

Considerando lo siguiente:

(2) La transformación digital afecta a todos los aspectos de la vida de las personas. Brinda grandes oportunidades para una mejor calidad de vida, el crecimiento económico y la sostenibilidad.

Declaración sobre los Derechos y Principios Digitales para la Década Digital

Por consiguiente, declaramos lo siguiente:

CAPÍTULO I. Una transformación digital centrada en las personas

Nos comprometemos a:

a) fortalecer el marco democrático para una transformación digital que beneficie a todas las personas y mejore las vidas de todas las personas que viven en la UE;

b) adoptar las medidas necesarias para que los valores de la UE y los derechos de los ciudadanos reconocidos por el Derecho de la Unión se respeten tanto en línea como fuera de línea;

c) fomentar y garantizar una acción responsable y diligente por parte de todos los agentes digitales, públicos y privados, en el entorno digital;

d) promover activamente esta visión de la transformación digital, también en nuestras relaciones internacionales.

CAPÍTULO II. Solidaridad e inclusión

2. La tecnología debe utilizarse para unir a las personas, no para dividirlas. La transformación digital debería contribuir a una sociedad y una economía equitativas e inclusivas en la UE.

Nos comprometemos a:

Conectividad

3. Toda persona, con independencia del lugar de la UE en que se encuentre, debería tener acceso a una conectividad digital asequible y de alta velocidad.

Nos comprometemos a:

a) velar por que, en cualquier lugar de la UE, todas las personas, también aquellas con bajos ingresos, tengan acceso a una conectividad de alta calidad y dispongan de acceso a internet;

b) proteger y promover una internet neutral y abierta en la que no se bloqueen ni degraden injustificadamente los contenidos, los servicios ni las aplicaciones.

Educación, formación y capacidades digitales

4. Toda persona tiene derecho a la educación, la formación y el aprendizaje permanente y debería poder adquirir todas las capacidades digitales básicas y avanzadas.

Nos comprometemos a:

a) promover una educación y una formación digitales de alta calidad, también con vistas a colmar la brecha digital de género;

c) promover y respaldar los esfuerzos por dotar de conectividad, infraestructuras y herramientas digitales a todas las instituciones de educación y formación;

d) brindar a toda persona la posibilidad de adaptarse a los cambios provocados por la digitalización del trabajo mediante el perfeccionamiento y el reciclaje profesionales.

Condiciones de trabajo justas y equitativas

5.Toda persona tiene derecho a unas condiciones de trabajo equitativas, justas, saludables y seguras, así como a una protección adecuada en el entorno digital y en el puesto de trabajo físico, con independencia de su situación laboral y de la modalidad o la duración del empleo.

Nos comprometemos a:

a) velar por que toda persona pueda desconectar y beneficiarse de salvaguardias para asegurar el equilibrio entre vida privada y vida laboral en un entorno digital;

b) garantizar que las herramientas digitales no supongan ningún tipo de riesgo para la salud física y mental de los trabajadores en el entorno de trabajo;

Servicios públicos digitales en línea

Nos comprometemos a:

velar por que se ofrezca a las personas que viven en la UE la posibilidad de una identidad digital accesible, voluntaria, segura y fiable que proporcione acceso a una amplia gama de servicios en línea;

b) garantizar una accesibilidad y una reutilización a gran escala de la información del sector público;

CAPÍTULO III. Libertad de elección

Interacciones con algoritmos y sistemas de inteligencia artificial

8. La inteligencia artificial debe ser un instrumento al servicio de las personas y su fin último debe ser aumentar el bienestar humano.

Nos comprometemos a:

a) promover sistemas de inteligencia artificial centrados en el ser humano, fiables y éticos a lo largo de todo su desarrollo, despliegue y uso, en consonancia con los valores de la UE;

f) adoptar medidas para garantizar que la investigación en inteligencia artificial respete las normas éticas más estrictas y la legislación pertinente de la UE.

Un entorno digital justo

10. Toda persona debería poder elegir de manera efectiva y libre qué servicios digitales utiliza sobre la base de información objetiva, transparente, fácilmente accesible y fiable.

11. Toda persona debería tener la posibilidad de competir en condiciones equitativas e innovar en el entorno digital. Esto también debería beneficiar a las empresas, incluidas las pymes.

Nos comprometemos a:

CAPÍTULO IV. Participación en el espacio público digital

13. Toda persona tiene derecho a la libertad de expresión y de información, así como a la libertad de reunión y de asociación en el entorno digital.

14. Toda persona debería poder acceder a la información sobre quién posee o controla los servicios de comunicación que utiliza.

Nos comprometemos a:

a) seguir salvaguardando todos los derechos fundamentales en línea, en particular la libertad de expresión y de información, incluida la libertad y pluralismo de los medios de comunicación;

b) apoyar el desarrollo y el mejor uso de las tecnologías digitales para fomentar la implicación de las personas y la participación democrática;

e) apoyar el acceso efectivo a contenidos digitales que reflejen la diversidad cultural y lingüística de la UE;

CAPÍTULO V. Seguridad, protección y empoderamiento

Un entorno digital protegido y seguro

Nos comprometemos a:

c) combatir y responsabilizar a quienes traten de socavar, en la UE, la seguridad en línea y la integridad del entorno digital o fomenten la violencia y el odio por medios digitales.

Privacidad y control individual de los datos

19. Toda persona debería poder determinar su legado digital y decidir lo que debe hacerse tras su muerte con sus cuentas personales y la información que le concierna.

Nos comprometemos a:

c) proteger eficazmente las comunicaciones contra el acceso no autorizado de terceros;

d) prohibir la identificación ilegal y la conservación ilícita de registros de actividades.

Protección y empoderamiento de los niños y jóvenes en el entorno digital

20. Debería empoderarse a los niños y los jóvenes para que puedan tomar decisiones seguras y con conocimiento de causa y expresar su creatividad en el entorno digital.

21. Los materiales y servicios adaptados a cada edad deberían mejorar las experiencias, el bienestar y la participación de niños y jóvenes en el entorno digital.

22. Debe prestarse especial atención al derecho de los niños y los jóvenes a ser protegidos frente a todo tipo de delincuencia cometida o facilitada a través de tecnologías digitales.

Nos comprometemos a:

b) promover experiencias positivas para niños y jóvenes en un entorno digital seguro y adaptado a su edad;

d) proteger a todos los niños y todos los jóvenes frente al seguimiento, la elaboración de perfiles y la segmentación ilegales, en particular con fines comerciales;

e) implicar a los niños y los jóvenes en el desarrollo de políticas digitales que les afecten.

CAPÍTULO VI. Sostenibilidad

Nos comprometemos a:

a) apoyar el desarrollo y la utilización de tecnologías digitales sostenibles que tengan un mínimo impacto negativo ambiental y social;

d) promover normas y etiquetas de sostenibilidad aplicables a los productos y servicios digitales.

————————————–

(1)2020/2216(INI); 2020/2018(INL); 2020/2019(INL); 2020/2022(INI); 2020/2012(INL); 2020/2014(INL); 2020/2015(INI); 2020/2017(INI); 2019/2186(INI); 2019/2181(INL); 2022/2266(INI).

05Ago/24

Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024

5 agosto, 2024Parlamento Europeo y del Consejo, ReglamentoDerecho Informático, Derecho Unión Europea, Directiva (UE) 2016/797, Directiva (UE) 2020/1828, Directiva 2014/90/UE, IA, inteligencia artificial, Legislación Informática, Legislación Unión Europea, Reglamento ((UE) 2018/858, Reglamento (CE) nº 300/2008, Reglamento (UE) nº 167/2013, Reglamento (UE) nº 168/2013, Reglamento (UE) nº 2018/1139, Reglamento (UE) nº 2019/2144, Reglamento de IAJosé Cuervo

Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) n.° 300/2008, (UE) n.° 167/2013, (UE) n.° 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial) (DO L, 2024/1689, 12.7.2024).

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular sus artículos 16 y 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (1),

Visto el dictamen del Banco Central Europeo (2),

Visto el dictamen del Comité de las Regiones (3),

De conformidad con el procedimiento legislativo ordinario (4),

Considerando lo siguiente:

(1)

El objetivo del presente Reglamento es mejorar el funcionamiento del mercado interior mediante el establecimiento de un marco jurídico uniforme, en particular para el desarrollo, la introducción en el mercado, la puesta en servicio y la utilización de sistemas de inteligencia artificial (en lo sucesivo, «sistemas de IA») en la Unión, de conformidad con los valores de la Unión, a fin de promover la adopción de una inteligencia artificial (IA) centrada en el ser humano y fiable, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), incluidos la democracia, el Estado de Derecho y la protección del medio ambiente, proteger frente a los efectos perjudiciales de los sistemas de IA en la Unión, así como brindar apoyo a la innovación. El presente Reglamento garantiza la libre circulación transfronteriza de mercancías y servicios basados en la IA, con lo que impide que los Estados miembros impongan restricciones al desarrollo, la comercialización y la utilización de sistemas de IA, a menos que el presente Reglamento lo autorice expresamente.

(2)

El presente Reglamento debe aplicarse de conformidad con los valores de la Unión consagrados en la Carta, lo que facilitará la protección de las personas físicas, las empresas, la democracia, el Estado de Derecho y la protección del medio ambiente y, al mismo tiempo, impulsará la innovación y el empleo y convertirá a la Unión en líder en la adopción de una IA fiable.

(3)

Los sistemas de IA pueden desplegarse con facilidad en sectores muy diversos de la economía y en muchas partes de la sociedad, también a escala transfronteriza, y circular fácilmente por toda la Unión. Algunos Estados miembros ya han estudiado adopción de normas nacionales destinadas a garantizar que la IA sea fiable y segura y se desarrolle y utilice de conformidad con las obligaciones relativas a los derechos fundamentales. La existencia de normas nacionales divergentes puede dar lugar a la fragmentación del mercado interior y reducir la seguridad jurídica de los operadores que desarrollan, importan o utilizan sistemas de IA. Por lo tanto, es preciso garantizar un nivel elevado y coherente de protección en toda la Unión para lograr una IA fiable, así como evitar las divergencias que obstaculizan la libre circulación, la innovación, el despliegue y la adopción en el mercado interior de los sistemas de IA y los productos y servicios conexos mediante el establecimiento de obligaciones uniformes para los operadores y la garantía de una protección uniforme de los fines imperiosos de interés general y de los derechos de las personas en todo el mercado interior, sobre la base del artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE). En la medida en que el presente Reglamento contiene normas específicas para la protección de las personas en relación con el tratamiento de datos personales que restringen el uso de sistemas de IA para la identificación biométrica remota con fines de garantía del cumplimiento del Derecho, el uso de sistemas de IA para la realización de evaluaciones de riesgos de personas físicas con fines de garantía del cumplimiento del Derecho y el uso de sistemas de IA de categorización biométrica con fines de garantía del cumplimiento del Derecho, resulta adecuado basar este Reglamento, en lo que atañe a dichas normas específicas, en el artículo 16 del TFUE. A la luz de dichas normas específicas y del recurso al artículo 16 del TFUE, conviene consultar al Comité Europeo de Protección de Datos.

(4)

La IA es un conjunto de tecnologías en rápida evolución que contribuye a generar beneficios económicos, medioambientales y sociales muy diversos en todos los sectores económicos y las actividades sociales. El uso de la IA puede proporcionar ventajas competitivas esenciales a las empresas y facilitar la obtención de resultados positivos desde el punto de vista social y medioambiental en los ámbitos de la asistencia sanitaria, la agricultura, la seguridad alimentaria, la educación y la formación, los medios de comunicación, el deporte, la cultura, la gestión de infraestructuras, la energía, el transporte y la logística, los servicios públicos, la seguridad, la justicia, la eficiencia de los recursos y la energía, el seguimiento ambiental, la conservación y restauración de la biodiversidad y los ecosistemas, y la mitigación del cambio climático y la adaptación a él, entre otros, al mejorar la predicción, optimizar las operaciones y la asignación de los recursos, y personalizar las soluciones digitales que se encuentran a disposición de la población y las organizaciones.

(5)

Al mismo tiempo, dependiendo de las circunstancias relativas a su aplicación, utilización y nivel de desarrollo tecnológico concretos, la IA puede generar riesgos y menoscabar los intereses públicos y los derechos fundamentales que protege el Derecho de la Unión. Dicho menoscabo puede ser tangible o intangible e incluye los perjuicios físicos, psíquicos, sociales o económicos.

(6)

Dadas las importantes repercusiones que la IA puede tener en la sociedad y la necesidad de generar confianza, es fundamental que la IA y su marco reglamentario se desarrollen de conformidad con los valores de la Unión consagrados en el artículo 2 del Tratado de la Unión Europea (TUE), los derechos y libertades fundamentales consagrados en los Tratados y, de conformidad con el artículo 6 del TUE, la Carta. Como requisito previo, la IA debe ser una tecnología centrada en el ser humano. Además, debe ser una herramienta para las personas y tener por objetivo último aumentar el bienestar humano.

(7)

Conviene establecer normas comunes para los sistemas de IA de alto riesgo al objeto de garantizar un nivel elevado y coherente de protección de los intereses públicos en lo que respecta a la salud, la seguridad y los derechos fundamentales. Estas normas deben ser coherentes con la Carta, no deben ser discriminatorias y deben estar en consonancia con los compromisos de la Unión en materia de comercio internacional. También deben tener en cuenta la Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital y las Directrices éticas para una IA fiable del Grupo independiente de expertos de alto nivel sobre inteligencia artificial.

(8)

En consecuencia, se necesita un marco jurídico de la Unión que establezca unas normas armonizadas en materia de IA para impulsar el desarrollo, la utilización y la adopción en el mercado interior de la IA y que, al mismo tiempo, ofrezca un nivel elevado de protección de los intereses públicos, como la salud y la seguridad y la protección de los derechos fundamentales, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente, reconocidos y protegidos por el Derecho de la Unión. Para alcanzar dicho objetivo, conviene establecer normas que regulen la introducción en el mercado, la puesta en servicio y la utilización de determinados sistemas de IA, lo que garantizará el buen funcionamiento del mercado interior y permitirá que dichos sistemas se beneficien del principio de libre circulación de mercancías y servicios. Esas normas deben ser claras y firmes por lo que respecta a proteger los derechos fundamentales, apoyar nuevas soluciones innovadoras, posibilitar un ecosistema europeo de agentes públicos y privados que creen sistemas de IA en consonancia con los valores de la Unión y liberar el potencial de la transformación digital en todas las regiones de la Unión. Al establecer tales normas, así como medidas en apoyo de la innovación que prestan especial atención a las pequeñas y medianas empresas (pymes), incluidas las empresas emergentes, el presente Reglamento respalda el objetivo de promover el enfoque europeo de la IA centrado en el ser humano y de ser un líder mundial en el desarrollo de IA segura, digna de confianza y ética, como indicó el Consejo Europeo (5), y garantiza la protección de los principios éticos, como solicitó específicamente el Parlamento Europeo (6).

(9)

Deben establecerse normas armonizadas aplicables a la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA de alto riesgo en consonancia con el Reglamento (CE) nº 765/2008 del Parlamento Europeo y del Consejo (7), la Decisión nº 768/2008/CE del Parlamento Europeo y del Consejo (8) y el Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo (9) (en lo sucesivo, «nuevo marco legislativo»). Las normas armonizadas que se establecen en el presente Reglamento deben aplicarse en todos los sectores y, en consonancia con el nuevo marco legislativo, deben entenderse sin perjuicio del Derecho vigente de la Unión, en particular en materia de protección de datos, protección de los consumidores, derechos fundamentales, empleo, protección de los trabajadores y seguridad de los productos, al que complementa el presente Reglamento. En consecuencia, permanecen inalterados y siguen siendo plenamente aplicables todos los derechos y vías de recurso que el citado Derecho de la Unión otorga a los consumidores y demás personas que puedan verse afectados negativamente por los sistemas de IA, también en lo que respecta a la reparación de los posibles daños de conformidad con la Directiva 85/374/CEE del Consejo (10). Además, en el contexto del empleo y la protección de los trabajadores, el presente Reglamento no debe afectar, por tanto, al Derecho de la Unión en materia de política social ni al Derecho laboral nacional —de conformidad con el Derecho de la Unión— relativa a las condiciones de empleo y de trabajo, incluidas la salud y seguridad en el trabajo y la relación entre empleadores y trabajadores. El presente Reglamento tampoco debe afectar en modo alguno al ejercicio de los derechos fundamentales reconocidos en los Estados miembros y a escala de la Unión, incluidos el derecho o la libertad de huelga o de emprender otras acciones contempladas en los sistemas de relaciones laborales específicos de los Estados miembros y el derecho a negociar, concluir y hacer cumplir convenios colectivos o a llevar a cabo acciones colectivas conforme al Derecho nacional. El presente Reglamento no debe afectar a las disposiciones destinadas a mejorar las condiciones laborales en el trabajo en plataformas digitales establecidas en una Directiva del Parlamento Europeo y del Consejo relativa a la mejora de las condiciones laborales en el trabajo en plataformas digitales. Además, el presente Reglamento tiene por objeto reforzar la eficacia de tales derechos y vías de recurso vigentes mediante el establecimiento de requisitos y obligaciones específicos, también en lo que respecta a la transparencia, la documentación técnica y la conservación de registros de los sistemas de IA. Asimismo, las obligaciones impuestas a los distintos operadores que participan en la cadena de valor de la IA en virtud del presente Reglamento deben aplicarse sin perjuicio del Derecho nacional que, de conformidad con el Derecho de la Unión, tenga por efecto limitar el uso de determinados sistemas de IA cuando dicho Derecho quede fuera del ámbito de aplicación del presente Reglamento o persiga objetivos legítimos de interés público distintos de los perseguidos por el presente Reglamento. Así, por ejemplo, el presente Reglamento no debe afectar al Derecho laboral nacional ni al Derecho en materia de protección de menores, a saber, de personas de menos de dieciocho años, que tienen en cuenta la Observación general nº 25 (2021) de la Convención sobre los Derechos del Niño de las Naciones Unidas relativa a los derechos de los niños en relación con el entorno digital, en la medida en que no son específicas a los sistemas de IA y persiguen otros objetivos legítimos de interés público.

(10)

El derecho fundamental a la protección de los datos personales está garantizado, en particular, por los Reglamentos (UE) 2016/679 (11) y (UE) 2018/1725 (12) del Parlamento Europeo y del Consejo y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (13). Además, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (14) protege la vida privada y la confidencialidad de las comunicaciones, también estableciendo condiciones para cualquier almacenamiento de datos personales y no personales en los equipos terminales, y el acceso desde estos. Dichos actos legislativos de la Unión constituyen la base para un tratamiento de datos sostenible y responsable, también cuando los conjuntos de datos contengan una combinación de datos personales y no personales. El presente Reglamento no pretende afectar a la aplicación del Derecho de la Unión vigente que regula el tratamiento de datos personales, incluidas las funciones y competencias de las autoridades de supervisión independientes competentes para vigilar el cumplimiento de dichos instrumentos. Tampoco afecta a las obligaciones de los proveedores y los responsables del despliegue de sistemas de IA en su papel de responsables o encargados del tratamiento de datos derivadas del Derecho de la Unión o nacional en materia de protección de datos personales en la medida en que el diseño, el desarrollo o el uso de sistemas de IA impliquen el tratamiento de datos personales. También conviene aclarar que los interesados siguen disfrutando de todos los derechos y garantías que les confiere dicho Derecho de la Unión, incluidos los derechos relacionados con las decisiones individuales totalmente automatizadas, como la elaboración de perfiles. Unas normas armonizadas para la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA establecidas en virtud del presente Reglamento deben facilitar la aplicación efectiva y permitir el ejercicio de los derechos y otras vías de recurso de los interesados garantizados por el Derecho de la Unión en materia de protección de datos personales, así como de otros derechos fundamentales.

(11)

El presente Reglamento debe interpretarse sin perjuicio de las disposiciones del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo (15) relativas a la responsabilidad de los prestadores de servicios intermediarios.

(12)

Debe definirse con claridad el concepto de «sistema de IA» en el presente Reglamento y armonizarlo estrechamente con los trabajos de las organizaciones internacionales que se ocupan de la IA, a fin de garantizar la seguridad jurídica y facilitar la convergencia a escala internacional y una amplia aceptación, al mismo tiempo que se prevé la flexibilidad necesaria para dar cabida a los rápidos avances tecnológicos en este ámbito. Además, la definición debe basarse en las principales características de los sistemas de IA que los distinguen de los sistemas de software o los planteamientos de programación tradicionales y más sencillos, y no debe incluir los sistemas basados en las normas definidas únicamente por personas físicas para ejecutar automáticamente operaciones. Una característica principal de los sistemas de IA es su capacidad de inferencia. Esta capacidad de inferencia se refiere al proceso de obtención de resultados de salida, como predicciones, contenidos, recomendaciones o decisiones, que puede influir en entornos físicos y virtuales, y a la capacidad de los sistemas de IA para deducir modelos o algoritmos, o ambos, a partir de información de entrada o datos. Las técnicas que permiten la inferencia al construir un sistema de IA incluyen estrategias de aprendizaje automático que aprenden de los datos cómo alcanzar determinados objetivos y estrategias basadas en la lógica y el conocimiento que infieren a partir de conocimientos codificados o de una representación simbólica de la tarea que debe resolverse. La capacidad de inferencia de un sistema de IA trasciende el tratamiento básico de datos, al permitir el aprendizaje, el razonamiento o la modelización. El término «basado en una máquina» se refiere al hecho de que los sistemas de IA se ejecutan en máquinas.La referencia a objetivos explícitos o implícitos subraya que los sistemas de IA pueden funcionar con arreglo a objetivos definidos explícitos o a objetivos implícitos. Los objetivos del sistema de IA pueden ser diferentes de la finalidad prevista del sistema de IA en un contexto específico. A los efectos del presente Reglamento, debe entenderse por entornos los contextos en los que funcionan los sistemas de IA, mientras que los resultados de salida generados por el sistema de IA reflejan las distintas funciones desempeñadas por los sistemas de IA e incluyen predicciones, contenidos, recomendaciones o decisiones. Los sistemas de IA están diseñados para funcionar con distintos niveles de autonomía, lo que significa que pueden actuar con cierto grado de independencia con respecto a la actuación humana y tienen ciertas capacidades para funcionar sin intervención humana. La capacidad de adaptación que un sistema de IA podría mostrar tras su despliegue se refiere a las capacidades de autoaprendizaje que permiten al sistema cambiar mientras está en uso. Los sistemas de IA pueden utilizarse de manera independiente o como componentes de un producto, con independencia de si el sistema forma parte físicamente del producto (integrado) o contribuye a la funcionalidad del producto sin formar parte de él (no integrado).

(13)

El concepto de «responsable del despliegue» a que hace referencia el presente Reglamento debe interpretarse como cualquier persona física o jurídica, incluida cualquier autoridad pública, órgano u organismo, que utilice un sistema de IA bajo su propia autoridad, salvo cuando su uso se enmarque en una actividad personal de carácter no profesional. Dependiendo del tipo de sistema de IA, el uso del sistema puede afectar a personas distintas del responsable del despliegue.

(14)

El concepto de «datos biométricos» empleado en el presente Reglamento debe interpretarse a la luz del concepto de «datos biométricos» tal como se define en el artículo 4, punto 14, del Reglamento (UE) 2016/679, en el artículo 3, punto 18, del Reglamento (UE) 2018/1725, y en el artículo 3, punto 13, de la Directiva (UE) 2016/680. Los datos biométricos pueden permitir la autenticación, la identificación o la categorización de las personas físicas y el reconocimiento de las emociones de las personas físicas.

(15)

El concepto de «identificación biométrica» a que hace referencia el presente Reglamento debe definirse como el reconocimiento automatizado de características humanas de tipo físico, fisiológico o conductual, como la cara, el movimiento ocular, la forma del cuerpo, la voz, la entonación, el modo de andar, la postura, la frecuencia cardíaca, la presión arterial, el olor o las características de las pulsaciones de tecla, a fin de determinar la identidad de una persona comparando sus datos biométricos con los datos biométricos de personas almacenados en una base de datos de referencia, independientemente de que la persona haya dado o no su consentimiento. Quedan excluidos los sistemas de IA destinados a la verificación biométrica, que comprende la autenticación, cuyo único propósito es confirmar que una persona física concreta es la persona que dice ser, así como la identidad de una persona física con la finalidad exclusiva de que tenga acceso a un servicio, desbloquee un dispositivo o tenga acceso de seguridad a un local.

(16)

El concepto de «categorización biométrica» a que hace referencia el presente Reglamento debe definirse como la inclusión de personas físicas en categorías específicas en función de sus datos biométricos. Estas categorías específicas pueden referirse a aspectos como el sexo, la edad, el color del pelo, el color de los ojos, los tatuajes, los rasgos conductuales o de la personalidad, la lengua, la religión, la pertenencia a una minoría nacional o la orientación sexual o política. No se incluyen los sistemas de categorización biométrica que sean una característica meramente accesoria intrínsecamente vinculada a otro servicio comercial, lo que significa que la característica no puede utilizarse, por razones técnicas objetivas, sin el servicio principal y que la integración de dicha característica o funcionalidad no es un medio para eludir la aplicabilidad de las normas del presente Reglamento. Por ejemplo, los filtros que clasifican las características faciales o corporales utilizados en los mercados en línea podrían constituir una característica accesoria de este tipo, ya que solo pueden utilizarse en relación con el servicio principal, que consiste en vender un producto permitiendo al consumidor previsualizar cómo le quedaría y ayudarlo a tomar una decisión de compra. Los filtros utilizados en los servicios de redes sociales que clasifican las características faciales o corporales a fin de que los usuarios puedan añadir o modificar imágenes o vídeos también podrían considerarse una característica accesoria, ya que dichos filtros no pueden utilizarse sin el servicio principal de las redes sociales, que consiste en compartir contenidos en línea.

(17)

El concepto de «sistema de identificación biométrica remota» a que hace referencia el presente Reglamento debe definirse de manera funcional como un sistema de IA destinado a identificar a personas físicas sin su participación activa, generalmente a distancia, comparando sus datos biométricos con los que figuren en una base de datos de referencia, con independencia de la tecnología, los procesos o los tipos de datos biométricos concretos que se usen. Estos sistemas de identificación biométrica remota suelen utilizarse para detectar a varias personas o su comportamiento de forma simultánea, a fin de simplificar considerablemente la identificación de personas sin su participación activa. Quedan excluidos los sistemas de IA destinados a la verificación biométrica, que comprende la autenticación, cuyo único propósito es confirmar que una persona física concreta es la persona que dice ser, así como la identidad de una persona física con la finalidad exclusiva de que tenga acceso a un servicio, desbloquee un dispositivo o tenga acceso de seguridad a un local. Esa exclusión se justifica por el hecho de que tales sistemas probablemente tengan una repercusión menor en los derechos fundamentales de las personas físicas que los sistemas de identificación biométrica remota que puedan utilizarse para el tratamiento de los datos biométricos de un gran número de personas sin su participación activa. En el caso de los sistemas «en tiempo real», la recogida de los datos biométricos, la comparación y la identificación se producen de manera instantánea, casi instantánea o, en cualquier caso, sin una importante demora. En este sentido, no debe existir la posibilidad de eludir las normas contempladas en el presente Reglamento en relación con el uso «en tiempo real» de los sistemas de IA de que se trate generando demoras mínimas. Los sistemas «en tiempo real» implican el uso de materiales «en directo» o «casi en directo», como grabaciones de vídeo, generados por una cámara u otro dispositivo con funciones similares. En cambio, en los sistemas «en diferido» ya se han recabado los datos biométricos y la comparación e identificación se producen con una importante demora. A tal fin se utilizan materiales, como imágenes o grabaciones de vídeo captadas por cámaras de televisión en circuito cerrado o dispositivos privados, generados con anterioridad a la utilización del sistema en relación con las personas físicas afectadas.

(18)

El concepto de «sistema de reconocimiento de emociones» a que hace referencia el presente Reglamento debe definirse como un sistema de IA destinado a distinguir o deducir las emociones o las intenciones de las personas físicas a partir de sus datos biométricos. El concepto se refiere a emociones o intenciones como la felicidad, la tristeza, la indignación, la sorpresa, el asco, el apuro, el entusiasmo, la vergüenza, el desprecio, la satisfacción y la diversión. No incluye los estados físicos, como el dolor o el cansancio, como, por ejemplo, los sistemas utilizados para detectar el cansancio de los pilotos o conductores profesionales con el fin de evitar accidentes. Tampoco incluye la mera detección de expresiones, gestos o movimientos que resulten obvios, salvo que se utilicen para distinguir o deducir emociones. Esas expresiones pueden ser expresiones faciales básicas, como un ceño fruncido o una sonrisa; gestos como el movimiento de las manos, los brazos o la cabeza, o características de la voz de una persona, como una voz alzada o un susurro.

(19)

A los efectos del presente Reglamento, debe entenderse que el concepto de «espacio de acceso público» se refiere a cualquier espacio físico al que pueda acceder un número indeterminado de personas físicas y con independencia de si es de propiedad privada o pública y de la actividad para la que pueda utilizarse el espacio, ya sean actividades comerciales, por ejemplo, tiendas, restaurantes, cafeterías; de prestación de servicios, por ejemplo, bancos, actividades profesionales, hostelería; deportivas, por ejemplo, piscinas, gimnasios, estadios; de transporte, por ejemplo, estaciones de autobús, metro y ferrocarril, aeropuertos, medios de transporte; de entretenimiento, por ejemplo, cines, teatros, museos, salas de conciertos, salas de conferencias; de ocio o de otro tipo, por ejemplo, vías y plazas públicas, parques, bosques, parques infantiles. Asimismo, debe considerarse que un espacio es de acceso público si, con independencia de posibles restricciones de capacidad o de seguridad, el acceso está sujeto a determinadas condiciones previamente definidas que puede satisfacer un número indeterminado de personas, como la adquisición de una entrada o un título de transporte, el registro previo o tener una determinada edad. Por el contrario, un espacio no debe considerarse de acceso público si únicamente pueden acceder a él determinadas personas físicas definidas, ya sea en virtud del Derecho de la Unión o del Derecho nacional directamente relacionado con la seguridad pública o en virtud de una clara manifestación de voluntad de la persona que ejerza la autoridad pertinente sobre dicho espacio. La posibilidad real de acceso, como una puerta no cerrada con llave o una verja abierta, no implica por sí sola que el espacio sea de acceso público si hay indicios o circunstancias que sugieran lo contrario, como señales que prohíban o restrinjan el acceso. Los locales de empresas y fábricas, así como las oficinas y lugares de trabajo a los que solo se pretende que accedan los empleados y proveedores de servicios pertinentes, no son espacios de acceso público. No deben incluirse en los espacios de acceso público las prisiones ni las zonas en que se realizan inspecciones fronterizas. Algunos espacios pueden incluir tanto zonas de acceso público como zonas que no son de acceso público, como los aeropuertos o el vestíbulo de un edificio residencial privado por el que se accede a una consulta médica. Los espacios en línea no son lugares de acceso público, ya que no son espacios físicos. No obstante, se debe determinar caso por caso si un espacio es de acceso público o no teniendo en cuenta las particularidades de la situación concreta.

(20)

Con el fin de obtener los mayores beneficios de los sistemas de IA, protegiendo al mismo tiempo los derechos fundamentales, la salud y la seguridad, y de posibilitar el control democrático, la alfabetización en materia de IA debe dotar a los proveedores, responsables del despliegue y personas afectadas de los conceptos necesarios para tomar decisiones con conocimiento de causa en relación con los sistemas de IA. Esos conceptos pueden variar en función del contexto pertinente e incluir el entendimiento de la correcta aplicación de los elementos técnicos durante la fase de desarrollo del sistema de IA, las medidas que deben aplicarse durante su uso, las formas adecuadas de interpretar los resultados de salida del sistema de IA y, en el caso de las personas afectadas, los conocimientos necesarios para comprender el modo en que las decisiones adoptadas con la ayuda de la IA tendrán repercusiones para ellas. En el contexto de la aplicación del presente Reglamento, la alfabetización en materia de IA debe proporcionar a todos los agentes pertinentes de la cadena de valor de la IA los conocimientos necesarios para garantizar el cumplimiento adecuado y la correcta ejecución. Además, la puesta en práctica general de medidas de alfabetización en materia de IA y la introducción de acciones de seguimiento adecuadas podrían contribuir a mejorar las condiciones de trabajo y, en última instancia, sostener la consolidación y la senda de innovación de una IA fiable en la Unión. El Consejo Europeo de Inteligencia Artificial (en lo sucesivo, «Consejo de IA») debe apoyar a la Comisión para promover las herramientas de alfabetización en materia de IA, la sensibilización pública y la comprensión de los beneficios, los riesgos, las salvaguardias, los derechos y las obligaciones en relación con el uso de sistemas de IA. En cooperación con las partes interesadas pertinentes, la Comisión y los Estados miembros deben facilitar la elaboración de códigos de conducta voluntarios para promover la alfabetización en materia de IA entre las personas que se ocupan del desarrollo, el manejo y el uso de la IA.

(21)

Con el objetivo de garantizar la igualdad de condiciones y la protección efectiva de los derechos y libertades de las personas en toda la Unión, las normas establecidas en el presente Reglamento deben aplicarse a los proveedores de sistemas de IA sin discriminación, con independencia de si están establecidos en la Unión o en un tercer país, y a los responsables del despliegue de sistemas de IA establecidos en la Unión.

(22)

Debido a su carácter digital, algunos sistemas de IA deben entrar en el ámbito de aplicación del presente Reglamento aunque no se introduzcan en el mercado, se pongan en servicio ni se utilicen en la Unión. Esto sucede, por ejemplo, cuando un operador establecido en la Unión firma con un operador establecido en un tercer país un contrato para la prestación de determinados servicios en relación con una actividad que llevará a cabo un sistema de IA que se consideraría de alto riesgo. En dichas circunstancias, el sistema de IA usado en un tercer país por el operador podría tratar datos recabados lícitamente en la Unión y transferidos desde su territorio, y proporcionar al operador contratante ubicado en la Unión los resultados de salida generados por dicho sistema de IA a raíz de este tratamiento sin que el sistema de IA de que se trate se introduzca en el mercado, se ponga en servicio o se utilice en la Unión. Para evitar la elusión de este Reglamento y garantizar la protección efectiva de las personas físicas ubicadas en la Unión, el presente Reglamento también debe aplicarse a los proveedores y responsables del despliegue de sistemas de IA establecidos en un tercer país, en la medida en que los resultados de salida generados por dichos sistemas estén destinados a utilizarse en la Unión. No obstante, con el objetivo de tener en cuenta los acuerdos existentes y las necesidades especiales de cooperación futura con socios extranjeros con los que se intercambian información y pruebas, el presente Reglamento no debe aplicarse a las autoridades públicas de un tercer país ni a organizaciones internacionales cuando actúen en el marco de acuerdos internacionales o de cooperación celebrados a escala nacional o de la Unión con fines de cooperación policial y judicial con la Unión o sus Estados miembros si el tercer país o la organización internacional correspondiente ofrece garantías suficientes con respecto a la protección de los derechos y libertades fundamentales de las personas. Cuando proceda, ello podrá incluir las actividades de entidades a las que los terceros países hayan encomendado tareas específicas en apoyo de dicha cooperación policial y judicial. Dichos marcos de cooperación o acuerdos se han establecido bilateralmente entre los Estados miembros y terceros países o entre la Unión Europea, Europol y otros órganos de la Unión y terceros países y organizaciones internacionales. Las autoridades competentes para la supervisión de las autoridades policiales y judiciales en virtud del presente Reglamento deben evaluar si dichos marcos de cooperación o acuerdos internacionales incluyen garantías suficientes con respecto a la protección de los derechos y libertades fundamentales de las personas. Las autoridades nacionales y las instituciones, órganos y organismos de la Unión que sean destinatarios de dichos resultados de salida y que la utilicen en la Unión siguen siendo responsables de garantizar que su utilización de la información está en consonancia con el Derecho de la Unión. Cuando, en el futuro, dichos acuerdos internacionales se revisen o se celebren otros nuevos, las partes contratantes deben hacer todo lo posible por que dichos acuerdos se ajusten a los requisitos del presente Reglamento.

(23)

El presente Reglamento también debe aplicarse a las instituciones, órganos y organismos de la Unión cuando actúen como proveedores o responsables del despliegue de un sistema de IA.

(24)

En caso de que, y en la medida en que, los sistemas de IA se introduzcan en el mercado, se pongan en servicio o se utilicen, con o sin modificación, con fines militares, de defensa o de seguridad nacional, deben excluirse del ámbito de aplicación del presente Reglamento, independientemente del tipo de entidad que lleve a cabo esas actividades, por ejemplo, con independencia de que se trate de una entidad pública o de una entidad privada. Por lo que respecta a los fines militares y de defensa, dicha exclusión está justificada tanto por el artículo 4, apartado 2, del TUE como por las especificidades de la política de defensa de los Estados miembros y de la política común de defensa de la Unión a que se refiere el título V, capítulo 2, del TUE, que están sujetas al Derecho internacional público que, por lo tanto, es el marco jurídico más adecuado para la regulación de los sistemas de IA en el contexto del uso de la fuerza letal y de otros sistemas de IA en el contexto de las actividades militares y de defensa. Por lo que respecta a los fines de seguridad nacional, la exclusión está justificada tanto por el hecho de que la seguridad nacional sigue siendo responsabilidad exclusiva de los Estados miembros de conformidad con el artículo 4, apartado 2, del TUE, como por la naturaleza específica y las necesidades operativas de las actividades de seguridad nacional y por las normas nacionales específicas aplicables a dichas actividades. No obstante, si un sistema de IA desarrollado, introducido en el mercado, puesto en servicio o utilizado con fines militares, de defensa o de seguridad nacional se utilizara temporal o permanentemente fuera de estos ámbitos con otros fines (por ejemplo, con fines civiles o humanitarios, de garantía del cumplimiento del Derecho o de seguridad pública), dicho sistema entraría en el ámbito de aplicación del presente Reglamento. En tal caso, la entidad que utilice el sistema de IA con fines que no sean militares, de defensa o de seguridad nacional debe garantizar que el sistema de IA cumple lo dispuesto en el presente Reglamento, a menos que el sistema ya lo haga. Los sistemas de IA introducidos en el mercado o puestos en servicio para un fin excluido, a saber, militar, de defensa o de seguridad nacional, y uno o varios fines no excluidos, como fines civiles o de garantía del cumplimiento del Derecho, entran en el ámbito de aplicación del presente Reglamento y los proveedores de dichos sistemas deben garantizar el cumplimiento del presente Reglamento. En esos casos, el hecho de que un sistema de IA pueda entrar en el ámbito de aplicación del presente Reglamento no debe afectar a la posibilidad de que las entidades que llevan a cabo actividades militares, de defensa y de seguridad nacional, independientemente del tipo de entidad que lleve a cabo estas actividades, utilicen sistemas de IA con fines de seguridad nacional, militares y de defensa, cuyo uso está excluido del ámbito de aplicación del presente Reglamento. Un sistema de IA introducido en el mercado con fines civiles o de garantía del cumplimiento del Derecho que se utilice, con o sin modificaciones, con fines militares, de defensa o de seguridad nacional no debe entrar en el ámbito de aplicación del presente Reglamento, independientemente del tipo de entidad que lleve a cabo esas actividades.

(25)

El presente Reglamento debe apoyar la innovación, respetar la libertad de ciencia y no socavar la actividad de investigación y desarrollo. Por consiguiente, es necesario excluir de su ámbito de aplicación los sistemas y modelos de IA desarrollados específicamente y puestos en servicio únicamente con fines de investigación y desarrollo científicos. Además, es necesario garantizar que el presente Reglamento no afecte de otro modo a la actividad de investigación y desarrollo científicos sobre sistemas o modelos de IA antes de su introducción en el mercado o su puesta en servicio. Por lo que se refiere a la actividad de investigación, prueba y desarrollo orientada a productos en relación con sistemas o modelos de IA, las disposiciones del presente Reglamento tampoco deben aplicarse antes de que dichos sistemas y modelos se pongan en servicio o se introduzcan en el mercado. Esa exclusión se entiende sin perjuicio de la obligación de cumplir el presente Reglamento cuando se introduzca en el mercado o se ponga en servicio como resultado de dicha actividad de investigación y desarrollo un sistema de IA que entre en el ámbito de aplicación del presente Reglamento, así como de la aplicación de disposiciones sobre espacios controlados de pruebas para la IA y pruebas en condiciones reales. Además, sin perjuicio de la exclusión de los sistemas de IA desarrollados específicamente y puestos en servicio únicamente con fines de investigación y desarrollo científicos, cualquier otro sistema de IA que pueda utilizarse para llevar a cabo cualquier actividad de investigación y desarrollo debe seguir estando sujeto a las disposiciones del presente Reglamento. En cualquier caso, toda actividad de investigación y desarrollo debe llevarse a cabo de conformidad con normas éticas y profesionales reconocidas para la investigación científica y con el Derecho aplicable de la Unión.

(26)

Con el fin de establecer un conjunto proporcionado y eficaz de normas vinculantes para los sistemas de IA, es preciso aplicar un enfoque basado en los riesgos claramente definido, que adapte el tipo y contenido de las normas a la intensidad y el alcance de los riesgos que puedan generar los sistemas de IA de que se trate. Por consiguiente, es necesario prohibir determinadas prácticas de IA que no son aceptables, definir los requisitos que deben cumplir los sistemas de IA de alto riesgo y las obligaciones aplicables a los operadores pertinentes, así como imponer obligaciones de transparencia a determinados sistemas de IA.

(27)

Si bien el enfoque basado en el riesgo es la base de un conjunto proporcionado y eficaz de normas vinculantes, es importante recordar las Directrices éticas para una IA fiable, de 2019, elaboradas por el Grupo independiente de expertos de alto nivel sobre IA creado por la Comisión. En dichas directrices, el Grupo independiente de expertos de alto nivel sobre IA desarrolló siete principios éticos no vinculantes para la IA que tienen por objeto contribuir a garantizar la fiabilidad y el fundamento ético de la IA. Los siete principios son: acción y supervisión humanas; solidez técnica y seguridad; gestión de la privacidad y de los datos; transparencia; diversidad, no discriminación y equidad; bienestar social y ambiental, y rendición de cuentas. Sin perjuicio de los requisitos jurídicamente vinculantes del presente Reglamento y de cualquier otro acto aplicable del Derecho de la Unión, esas directrices contribuyen al diseño de una IA coherente, fiable y centrada en el ser humano, en consonancia con la Carta y con los valores en los que se fundamenta la Unión. De acuerdo con las directrices del Grupo independiente de expertos de alto nivel sobre IA, por «acción y supervisión humanas» se entiende que los sistemas de IA se desarrollan y utilizan como herramienta al servicio de las personas, que respeta la dignidad humana y la autonomía personal, y que funciona de manera que pueda ser controlada y vigilada adecuadamente por seres humanos. Por «solidez técnica y seguridad» se entiende que los sistemas de IA se desarrollan y utilizan de manera que sean sólidos en caso de problemas y resilientes frente a los intentos de alterar el uso o el funcionamiento del sistema de IA para permitir su uso ilícito por terceros y reducir al mínimo los daños no deseados. Por «gestión de la privacidad y de los datos» se entiende que los sistemas de IA se desarrollan y utilizan de conformidad con normas en materia de protección de la intimidad y de los datos, al tiempo que tratan datos que cumplen normas estrictas en términos de calidad e integridad. Por «transparencia» se entiende que los sistemas de IA se desarrollan y utilizan de un modo que permita una trazabilidad y explicabilidad adecuadas, y que, al mismo tiempo, haga que las personas sean conscientes de que se comunican o interactúan con un sistema de IA e informe debidamente a los responsables del despliegue acerca de las capacidades y limitaciones de dicho sistema de IA y a las personas afectadas acerca de sus derechos. Por «diversidad, no discriminación y equidad» se entiende que los sistemas de IA se desarrollan y utilizan de un modo que incluya a diversos agentes y promueve la igualdad de acceso, la igualdad de género y la diversidad cultural, al tiempo que se evitan los efectos discriminatorios y los sesgos injustos prohibidos por el Derecho nacional o de la Unión. Por «bienestar social y ambiental» se entiende que los sistemas de IA se desarrollan y utilizan de manera sostenible y respetuosa con el medio ambiente, así como en beneficio de todos los seres humanos, al tiempo que se supervisan y evalúan los efectos a largo plazo en las personas, la sociedad y la democracia. La aplicación de esos principios debe traducirse, cuando sea posible, en el diseño y el uso de modelos de IA. En cualquier caso, deben servir de base para la elaboración de códigos de conducta en virtud del presente Reglamento. Se anima a todas las partes interesadas, incluidos la industria, el mundo académico, la sociedad civil y las organizaciones de normalización, a que tengan en cuenta, según proceda, los principios éticos para el desarrollo de normas y mejores prácticas voluntarias.

(28)

Al margen de los múltiples usos beneficiosos de la IA, esta también puede utilizarse indebidamente y proporcionar nuevas y poderosas herramientas para llevar a cabo prácticas de manipulación, explotación y control social. Dichas prácticas son sumamente perjudiciales e incorrectas y deben estar prohibidas, pues van en contra de los valores de la Unión de respeto de la dignidad humana, la libertad, la igualdad, la democracia y el Estado de Derecho y de los derechos fundamentales consagrados en la Carta, como el derecho a la no discriminación, a la protección de datos y a la intimidad y los derechos del niño.

(29)

Las técnicas de manipulación que posibilita la IA pueden utilizarse para persuadir a las personas de que adopten comportamientos no deseados o para engañarlas empujándolas a tomar decisiones de una manera que socava y perjudica su autonomía, su toma de decisiones y su capacidad de elegir libremente. Son especialmente peligrosos y, por tanto, deben prohibirse la introducción en el mercado, la puesta en servicio o la utilización de determinados sistemas de IA con el objetivo o al efecto de alterar de manera sustancial el comportamiento humano, con la consiguiente probabilidad de que se produzcan perjuicios considerables, en particular perjuicios con efectos adversos suficientemente importantes en la salud física o mental o en los intereses financieros. Esos sistemas de IA utilizan componentes subliminales, como estímulos de audio, imagen o vídeo que las personas no pueden percibir —ya que dichos estímulos trascienden la percepción humana—, u otras técnicas manipulativas o engañosas que socavan o perjudican la autonomía, la toma de decisiones o la capacidad de elegir libremente de las personas de maneras de las que estas no son realmente conscientes de dichas técnicas o, cuando lo son, pueden seguir siendo engañadas o no pueden controlarlas u oponerles resistencia. Esto podría facilitarse, por ejemplo, mediante interfaces cerebro-máquina o realidad virtual, dado que permiten un mayor grado de control acerca de qué estímulos se presentan a las personas, en la medida en que pueden alterar sustancialmente su comportamiento de un modo que suponga un perjuicio considerable. Además, los sistemas de IA también pueden explotar de otras maneras las vulnerabilidades de una persona o un colectivo específico de personas derivadas de su edad, su discapacidad en el sentido de lo dispuesto en la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (16) o de una situación social o económica concreta que probablemente aumente su vulnerabilidad a la explotación, como vivir en condiciones de pobreza extrema o pertenecer a minorías étnicas o religiosas. Estos sistemas de IA pueden introducirse en el mercado, ponerse en servicio o utilizarse con el objetivo de alterar de manera sustancial el comportamiento de una persona, o tener ese efecto, y de un modo que provoque, o sea razonablemente probable que provoque, perjuicios considerables a esa persona o a otra persona o colectivo de personas, incluidos perjuicios que pueden acumularse a lo largo del tiempo y que, por tanto, deben prohibirse. No puede presuponerse que existe la intención de alterar el comportamiento si la alteración es el resultado de factores externos al sistema de IA que escapan al control del proveedor o del responsable del despliegue, a saber, factores que no es lógico prever y que, por tanto, el proveedor o el responsable del despliegue del sistema de IA no pueden mitigar. En cualquier caso, no es necesario que el proveedor o el responsable del despliegue tengan la intención de causar un perjuicio considerable, siempre que dicho perjuicio se derive de las prácticas de manipulación o explotación que posibilita la IA. La prohibición de tales prácticas de IA complementa lo dispuesto en la Directiva 2005/29/CE del Parlamento Europeo y del Consejo (17), en particular la prohibición, en cualquier circunstancia, de las prácticas comerciales desleales que causan perjuicios económicos o financieros a los consumidores, hayan sido establecidas mediante de sistemas de IA o de otra manera. La prohibición de las prácticas de manipulación y explotación establecida en el presente Reglamento no debe afectar a prácticas lícitas en el contexto de un tratamiento médico, como el tratamiento psicológico de una enfermedad mental o la rehabilitación física, cuando dichas prácticas se lleven a cabo de conformidad con el Derecho y las normas médicas aplicables, por ejemplo, con el consentimiento expreso de las personas o de sus representantes legales. Asimismo, no debe considerarse que las prácticas comerciales comunes y legítimas (por ejemplo, en el campo de la publicidad) que cumplan el Derecho aplicable son, en sí mismas, prácticas de manipulación perjudiciales que posibilita la IA.

(30)

Deben prohibirse los sistemas de categorización biométrica basados en datos biométricos de las personas físicas, como la cara o las impresiones dactilares de una persona física, para deducir o inferir las opiniones políticas, la afiliación sindical, las convicciones religiosas o filosóficas, la raza, la vida sexual o la orientación sexual de una persona física. Dicha prohibición no debe aplicarse al etiquetado, al filtrado ni a la categorización lícitos de conjuntos de datos biométricos adquiridos de conformidad con el Derecho nacional o de la Unión en función de datos biométricos, como la clasificación de imágenes en función del color del pelo o del color de ojos, que pueden utilizarse, por ejemplo, en el ámbito de la garantía del cumplimiento del Derecho.

(31)

Los sistemas de IA que permiten a agentes públicos o privados llevar a cabo una puntuación ciudadana de las personas físicas pueden tener resultados discriminatorios y abocar a la exclusión a determinados colectivos. Pueden menoscabar el derecho a la dignidad y a la no discriminación y los valores de igualdad y justicia. Dichos sistemas de IA evalúan o clasifican a las personas físicas o a grupos de estas sobre la base de varios puntos de datos relacionados con su comportamiento social en múltiples contextos o de características personales o de su personalidad conocidas, inferidas o predichas durante determinados períodos de tiempo. La puntuación ciudadana resultante de dichos sistemas de IA puede dar lugar a un trato perjudicial o desfavorable de determinadas personas físicas o colectivos enteros en contextos sociales que no guardan relación con el contexto donde se generaron o recabaron los datos originalmente, o a un trato perjudicial desproporcionado o injustificado en relación con la gravedad de su comportamiento social. Por lo tanto, deben prohibirse los sistemas de IA que impliquen esas prácticas inaceptables de puntuación y den lugar a esos resultados perjudiciales o desfavorables. Esa prohibición no debe afectar a prácticas lícitas de evaluación de las personas físicas que se efectúen para un fin específico de conformidad con el Derecho de la Unión y nacional.

(32)

El uso de sistemas de IA para la identificación biométrica remota «en tiempo real» de personas físicas en espacios de acceso público con fines de garantía del cumplimiento del Derecho invade de forma especialmente grave los derechos y las libertades de las personas afectadas, en la medida en que puede afectar a la vida privada de una gran parte de la población, provocar la sensación de estar bajo una vigilancia constante y disuadir indirectamente a los ciudadanos de ejercer su libertad de reunión y otros derechos fundamentales. Las imprecisiones técnicas de los sistemas de IA destinados a la identificación biométrica remota de las personas físicas pueden dar lugar a resultados sesgados y tener efectos discriminatorios. Tales posibles resultados sesgados y efectos discriminatorios son especialmente pertinentes por lo que respecta a la edad, la etnia, la raza, el sexo o la discapacidad. Además, la inmediatez de las consecuencias y las escasas oportunidades para realizar comprobaciones o correcciones adicionales en relación con el uso de sistemas que operan «en tiempo real» acrecientan el riesgo que estos conllevan para los derechos y las libertades de las personas afectadas en el contexto de actividades de garantía del cumplimiento del Derecho, o afectadas por estas.

(33)

En consecuencia, debe prohibirse el uso de dichos sistemas con fines de garantía del cumplimiento del Derecho, salvo en situaciones enumeradas de manera limitativa y definidas con precisión en las que su utilización sea estrictamente necesaria para lograr un interés público esencial cuya importancia compense los riesgos. Esas situaciones son la búsqueda de determinadas víctimas de un delito, incluidas personas desaparecidas; determinadas amenazas para la vida o para la seguridad física de las personas físicas o amenazas de atentado terrorista; y la localización o identificación de los autores o sospechosos de los delitos enumerados en un anexo del presente Reglamento, cuando dichas infracciones se castiguen en el Estado miembro de que se trate con una pena o una medida de seguridad privativas de libertad cuya duración máxima sea de al menos cuatro años, y como se definan en el Derecho de dicho Estado miembro. Fijar ese umbral para la pena o la medida de seguridad privativas de libertad con arreglo al Derecho nacional contribuye a garantizar que la infracción sea lo suficientemente grave como para llegar a justificar el uso de sistemas de identificación biométrica remota «en tiempo real». Por otro lado, la lista de delitos proporcionada en un anexo del presente Reglamento se basa en los treinta y dos delitos enumerados en la Decisión Marco 2002/584/JAI del Consejo (18), si bien es preciso tener en cuenta que, en la práctica, es probable que algunas sean más relevantes que otras en el sentido de que es previsible que recurrir a la identificación biométrica remota «en tiempo real» podría ser necesario y proporcionado en grados muy distintos para llevar a cabo la localización o la identificación de los autores o sospechosos de las distintas infracciones enumeradas, y que es probable que haya diferencias en la gravedad, la probabilidad y la magnitud de los perjuicios o las posibles consecuencias negativas. Una amenaza inminente para la vida o la seguridad física de las personas físicas también podría derivarse de una perturbación grave de infraestructuras críticas, tal como se definen en el artículo 2, punto 4, de la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo (19), cuando la perturbación o destrucción de dichas infraestructuras críticas suponga una amenaza inminente para la vida o la seguridad física de una persona, también al perjudicar gravemente el suministro de productos básicos a la población o el ejercicio de la función esencial del Estado. Además, el presente Reglamento debe preservar la capacidad de las autoridades garantes del cumplimiento del Derecho, de control fronterizo, de la inmigración o del asilo para llevar a cabo controles de identidad en presencia de la persona afectada, de conformidad con las condiciones establecidas en el Derecho de la Unión y en el Derecho nacional para estos controles. En particular, las autoridades garantes del cumplimiento del Derecho, del control fronterizo, de la inmigración o del asilo deben poder utilizar sistemas de información, de conformidad con el Derecho de la Unión o el Derecho nacional, para identificar a las personas que, durante un control de identidad, se nieguen a ser identificadas o no puedan declarar o demostrar su identidad, sin que el presente Reglamento exija que se obtenga una autorización previa. Puede tratarse, por ejemplo, de una persona implicada en un delito que no quiera revelar su identidad a las autoridades garantes del cumplimiento del Derecho, o que no pueda hacerlo debido a un accidente o a una afección médica.

(34)

Para velar por que dichos sistemas se utilicen de manera responsable y proporcionada, también es importante establecer que, en esas situaciones enumeradas de manera limitativa y definidas con precisión, se tengan en cuenta determinados elementos, en particular en lo que se refiere a la naturaleza de la situación que dé lugar a la solicitud, a las consecuencias que su uso puede tener sobre los derechos y las libertades de todas las personas implicadas, y a las garantías y condiciones que acompañen a su uso. Además, el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho debe llevarse a cabo únicamente para confirmar la identidad de la persona que constituya el objetivo específico y limitarse a lo estrictamente necesario en lo que se refiere al período de tiempo, así como al ámbito geográfico y personal, teniendo en cuenta, en particular, las pruebas o indicios relativos a las amenazas, las víctimas o los autores. El uso del sistema de identificación biométrica remota en tiempo real en espacios de acceso público solo debe autorizarse si la correspondiente autoridad garante del cumplimiento del Derecho ha llevado a cabo una evaluación de impacto relativa a los derechos fundamentales y, salvo que se disponga otra cosa en el presente Reglamento, si ha registrado el sistema en la base de datos establecida en el presente Reglamento. La base de datos de personas de referencia debe ser adecuada para cada supuesto de uso en cada una de las situaciones antes mencionadas.

(35)

Todo uso de un sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho debe haber sido autorizado de manera expresa y específica por una autoridad judicial o por una autoridad administrativa independiente de un Estado miembro y cuya decisión sea vinculante. En principio, dicha autorización debe obtenerse antes de utilizar el sistema de IA con el fin de identificar a una o varias personas. Deben permitirse excepciones a esa norma en situaciones debidamente justificadas por motivos de urgencia, a saber, en aquellas en las que la necesidad de utilizar los sistemas de que se trate sea tan imperiosa que resulte efectiva y objetivamente imposible obtener una autorización antes de iniciar el uso del sistema de IA. En tales situaciones de urgencia, el uso debe limitarse al mínimo imprescindible y satisfacer las garantías y condiciones oportunas, conforme a lo dispuesto en el Derecho nacional y según corresponda en cada supuesto concreto de uso urgente por parte de la propia autoridad garante del cumplimiento del Derecho. Además, en esas situaciones las autoridades garantes del cumplimiento del Derecho deben solicitar dicha autorización e indicar los motivos por los que no han podido hacerlo antes, sin demora indebida y, como máximo, en un plazo de veinticuatro horas. Si se rechaza dicha autorización, el uso de sistemas de identificación biométrica en tiempo real vinculados a la autorización debe interrumpirse con efecto inmediato y todos los datos relacionados con dicho uso deben desecharse y suprimirse. Entre esos datos se incluyen los datos de entrada directamente adquiridos por un sistema de IA durante el uso de dicho sistema, así como los resultados y la información de salida del uso vinculados a dicha autorización. No debe incluir la información de entrada adquirida legalmente de conformidad con otro acto del Derecho nacional o de la Unión. En cualquier caso, no debe adoptarse ninguna decisión que produzca efectos jurídicos adversos para una persona exclusivamente sobre la base de los resultados de salida del sistema de identificación biométrica remota.

(36)

A fin de desempeñar sus funciones de conformidad con los requisitos establecidos en el presente Reglamento, así como en las normas nacionales, debe notificarse a la autoridad de vigilancia del mercado pertinente y a la autoridad nacional de protección de datos cada uso del sistema de identificación biométrica en tiempo real. Las autoridades de vigilancia del mercado y las autoridades nacionales de protección de datos que hayan recibido una notificación deben presentar a la Comisión un informe anual sobre el uso de sistemas de identificación biométrica en tiempo real.

(37)

Por otro lado, conviene disponer, en el marco exhaustivo que establece este Reglamento, que dicho uso en el territorio de un Estado miembro conforme a lo dispuesto en el presente Reglamento solo debe ser posible cuando el Estado miembro de que se trate haya decidido contemplar expresamente la posibilidad de autorizarlo en las normas detalladas de su Derecho nacional, y en la medida en que lo haya contemplado. En consecuencia, con arreglo al presente Reglamento los Estados miembros siguen teniendo la libertad de no ofrecer esta posibilidad en absoluto o de ofrecerla únicamente en relación con algunos de los objetivos que pueden justificar un uso autorizado conforme al presente Reglamento. Dichas normas nacionales deben notificarse a la Comisión en un plazo de treinta días a partir de su adopción.

(38)

La utilización de sistemas de IA para la identificación biométrica remota en tiempo real de personas físicas en espacios de acceso público con fines de garantía del cumplimiento del Derecho implica, necesariamente, el tratamiento de datos biométricos. Las normas del presente Reglamento que prohíben, con algunas excepciones, ese uso, basadas en el artículo 16 del TFUE, deben aplicarse como lex specialis con respecto a las normas sobre el tratamiento de datos biométricos que figuran en el artículo 10 de la Directiva (UE) 2016/680, con lo que se regula de manera exhaustiva dicho uso y el tratamiento de los correspondientes datos biométricos. Por lo tanto, ese uso y tratamiento deben ser posibles únicamente en la medida en que sean compatibles con el marco establecido por el presente Reglamento, sin que haya margen, fuera de dicho marco, para que las autoridades competentes, cuando actúen con fines de garantía del cumplimiento del Derecho, utilicen tales sistemas y traten dichos datos en los supuestos previstos en el artículo 10 de la Directiva (UE) 2016/680. En ese sentido, el presente Reglamento no tiene por objeto proporcionar la base jurídica para el tratamiento de datos personales en virtud del artículo 8 de la Directiva (UE) 2016/680. Sin embargo, el uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines distintos de la garantía del cumplimiento del Derecho, también por parte de las autoridades competentes, no debe estar sujeto al marco específico establecido por el presente Reglamento en lo que respecta al uso de dichos sistemas con fines de garantía del cumplimiento del Derecho. Por consiguiente, su uso con fines distintos de la garantía del cumplimiento del Derecho no debe estar sujeto al requisito de obtener una autorización previsto en el presente Reglamento ni a las normas de desarrollo aplicables del Derecho nacional que puedan hacer efectiva dicha autorización.

(39)

Todo tratamiento de datos biométricos y de datos personales de otra índole asociado al uso de sistemas de IA para la identificación biométrica, salvo el asociado al uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho regulado por el presente Reglamento, debe seguir cumpliendo todos los requisitos derivados del artículo 10 de la Directiva (UE) 2016/680. El artículo 9, apartado 1, del Reglamento (UE) 2016/679 y el artículo 10, apartado 1, del Reglamento (UE) 2018/1725 prohíben el tratamiento de datos biométricos con fines distintos de la garantía del cumplimiento del Derecho, con las excepciones limitadas previstas en dichos artículos. En la aplicación del artículo 9, apartado 1, del Reglamento (UE) 2016/679, el uso de la identificación biométrica remota para fines distintos de la garantía del cumplimiento del Derecho ya ha sido objeto de decisiones de prohibición por parte de las autoridades nacionales de protección de datos.

(40)

De conformidad con el artículo 6 bis del Protocolo nº 21 sobre la Posición del Reino Unido y de Irlanda respecto del Espacio de Libertad, Seguridad y Justicia, anejo al TUE y al TFUE, las normas establecidas en el artículo 5, apartado 1, párrafo primero, letra g), en la medida en que se aplica al uso de sistemas de categorización biométrica para actividades en el ámbito de la cooperación policial y la cooperación judicial en materia penal, el artículo 5, apartado 1, párrafo primero, letra d), en la medida en que se aplica al uso de sistemas de IA comprendidos en el ámbito de aplicación de dicho artículo, el artículo 5, apartado 1, párrafo primero, letra h), y apartados 2 a 6, y el artículo 26, apartado 10, del presente Reglamento, adoptadas basándose en el artículo 16 del TFUE que se refieran al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación de la tercera parte, título V, capítulos 4 o 5, de dicho Tratado solo serán vinculantes para Irlanda en la medida en que sean vinculantes para este Estado normas de la Unión que regulen formas de cooperación judicial en materia penal y de cooperación policial en cuyo marco deban respetarse las disposiciones establecidas basándose en el artículo 16 del TFUE.

(41)

De conformidad con lo dispuesto en los artículos 2 y 2 bis del Protocolo nº 22 sobre la Posición de Dinamarca, anejo al TUE y al TFUE, las normas establecidas en el artículo 5, apartado 1, párrafo primero, letra g), en la medida en que se aplica al uso de sistemas de categorización biométrica para actividades en el ámbito de la cooperación policial y la cooperación judicial en materia penal, el artículo 5, apartado 1, párrafo primero, letra d), en la medida en que se aplican al uso de sistemas de IA comprendidos en el ámbito de aplicación de dicho artículo, el artículo 5, apartado 1, párrafo primero, letra h), y apartados 2 a 6, y el artículo 26, apartado 10, del presente Reglamento, adoptadas sobre la base del artículo 16 del TFUE que se refieran al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación de la tercera parte, título V, capítulos 4 o 5, de dicho Tratado, no vincularán a Dinamarca ni le serán aplicables.

(42)

En consonancia con la presunción de inocencia, las personas físicas de la Unión siempre deben ser juzgadas basándose en su comportamiento real. Las personas físicas nunca deben ser juzgadas a partir de comportamientos predichos por una IA basados únicamente en la elaboración de sus perfiles, en los rasgos o características de su personalidad, como la nacionalidad, el lugar de nacimiento, el lugar de residencia, el número de hijos, el nivel de endeudamiento o el tipo de vehículo, sin una valoración humana y sin que exista una sospecha razonable, basada en hechos objetivos comprobables, de que dicha persona está implicada en una actividad delictiva. Por lo tanto, deben prohibirse las evaluaciones de riesgos realizadas con respecto a personas físicas para evaluar la probabilidad de que cometan un delito o para predecir la comisión de un delito real o potencial basándose únicamente en la elaboración de perfiles de esas personas físicas o la evaluación de los rasgos y características de su personalidad. En cualquier caso, dicha prohibición no se refiere o atañe a los análisis de riesgos que no estén basados en la elaboración de perfiles de personas o en los rasgos y características de la personalidad de las personas, como los sistemas de IA que utilizan los análisis de riesgos para evaluar la probabilidad de fraude financiero por parte de empresas sobre la base de transacciones sospechosas o las herramientas de análisis de riesgo para predecir la probabilidad de localización de estupefacientes y mercancías ilícitas por parte de las autoridades aduaneras, por ejemplo basándose en las rutas de tráfico conocidas.

(43)

La introducción en el mercado, la puesta en servicio para ese fin concreto o la utilización de sistemas de IA que creen o amplíen bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales a partir de internet o de imágenes de circuito cerrado de televisión deben estar prohibidas, pues esas prácticas agravan el sentimiento de vigilancia masiva y pueden dar lugar a graves violaciones de los derechos fundamentales, incluido el derecho a la intimidad.

(44)

Existe una gran preocupación respecto a la base científica de los sistemas de IA que procuran detectar o deducir las emociones, especialmente porque la expresión de las emociones varía de forma considerable entre culturas y situaciones, e incluso en una misma persona. Algunas de las deficiencias principales de estos sistemas son la fiabilidad limitada, la falta de especificidad y la limitada posibilidad de generalizar. Por consiguiente, los sistemas de IA que detectan o deducen las emociones o las intenciones de las personas físicas a partir de sus datos biométricos pueden tener resultados discriminatorios y pueden invadir los derechos y las libertades de las personas afectadas. Teniendo en cuenta el desequilibrio de poder en el contexto laboral o educativo, unido al carácter intrusivo de estos sistemas, dichos sistemas podrían dar lugar a un trato perjudicial o desfavorable de determinadas personas físicas o colectivos enteros. Por tanto, debe prohibirse la introducción en el mercado, la puesta en servicio y el uso de sistemas de IA destinados a ser utilizados para detectar el estado emocional de las personas en situaciones relacionadas con el lugar de trabajo y el ámbito educativo. Dicha prohibición no debe aplicarse a los sistemas de IA introducidos en el mercado estrictamente con fines médicos o de seguridad, como los sistemas destinados a un uso terapéutico.

(45)

El presente Reglamento no debe afectar a las prácticas prohibidas por el Derecho de la Unión, incluido el Derecho de la Unión en materia de protección de datos, de no discriminación, de protección de los consumidores y sobre competencia.

(46)

La introducción en el mercado de la Unión, la puesta en servicio o la utilización de sistemas de IA de alto riesgo debe supeditarse al cumplimiento por su parte de determinados requisitos obligatorios, los cuales deben garantizar que los sistemas de IA de alto riesgo disponibles en la Unión o cuyos resultados de salida se utilicen en la Unión no planteen riesgos inaceptables para intereses públicos importantes de la Unión, reconocidos y protegidos por el Derecho de la Unión. Sobre la base del nuevo marco legislativo, tal como se aclara en la Comunicación de la Comisión titulada «“Guía azul” sobre la aplicación de la normativa europea relativa a los productos, de 2022» (20), la norma general es que más de un acto jurídico de la legislación de armonización de la Unión, como los Reglamentos (UE) 2017/745 (21) y (UE) 2017/746 (22) del Parlamento Europeo y del Consejo o la Directiva 2006/42/CE del Parlamento Europeo y del Consejo (23) puedan aplicarse a un producto, dado que la introducción en el mercado o la puesta en servicio solo pueden tener lugar cuando el producto cumple toda la legislación de armonización de la Unión aplicable. A fin de garantizar la coherencia y evitar cargas administrativas o costes innecesarios, los proveedores de un producto que contenga uno o varios sistemas de IA de alto riesgo, a los que se apliquen los requisitos del presente Reglamento y de la legislación de armonización de la Unión incluida en una lista de un anexo del presente Reglamento, deben ser flexibles en lo que respecta a las decisiones operativas relativas a la manera de garantizar la conformidad de un producto que contenga uno o varios sistemas de IA con todos los requisitos aplicables de la legislación de armonización de la Unión de manera óptima. La clasificación de un sistema de IA como «de alto riesgo» debe limitarse a aquellos sistemas de IA que tengan un efecto perjudicial considerable en la salud, la seguridad y los derechos fundamentales de las personas de la Unión, y dicha limitación debe reducir al mínimo cualquier posible restricción del comercio internacional.

(47)

Los sistemas de IA pueden tener un efecto adverso para la salud y la seguridad de las personas, en particular cuando funcionan como componentes de seguridad de productos. En consonancia con los objetivos de la legislación de armonización de la Unión de facilitar la libre circulación de productos en el mercado interior y de velar por que solo lleguen al mercado aquellos productos que sean seguros y conformes, es importante prevenir y mitigar debidamente los riesgos de seguridad que pueda generar un producto en su conjunto debido a sus componentes digitales, entre los que pueden figurar los sistemas de IA. Por ejemplo, los robots cada vez más autónomos que se utilizan en las fábricas o con fines de asistencia y atención personal deben poder funcionar y desempeñar sus funciones de manera segura en entornos complejos. Del mismo modo, en el sector sanitario, donde puede haber repercusiones especialmente importantes en la vida y la salud, los sistemas de diagnóstico y de apoyo a las decisiones humanas, cuya sofisticación es cada vez mayor, deben ser fiables y precisos.

(48)

La magnitud de las consecuencias adversas de un sistema de IA para los derechos fundamentales protegidos por la Carta es especialmente importante a la hora de clasificar un sistema de IA como de alto riesgo. Entre dichos derechos se incluyen el derecho a la dignidad humana, el respeto de la vida privada y familiar, la protección de datos de carácter personal, la libertad de expresión y de información, la libertad de reunión y de asociación, el derecho a la no discriminación, el derecho a la educación, la protección de los consumidores, los derechos de los trabajadores, los derechos de las personas discapacitadas, la igualdad entre hombres y mujeres, los derechos de propiedad intelectual, el derecho a la tutela judicial efectiva y a un juez imparcial, los derechos de la defensa y la presunción de inocencia, y el derecho a una buena administración. Además de esos derechos, conviene poner de relieve el hecho de que los menores poseen unos derechos específicos consagrados en el artículo 24 de la Carta y en la Convención sobre los Derechos del Niño de las Naciones Unidas, que se desarrollan con más detalle en la observación general nº 25 de la Convención sobre los Derechos del Niño de Naciones Unidas relativa a los derechos de los niños en relación con el entorno digital. Ambos instrumentos exigen que se tengan en consideración las vulnerabilidades de los menores y que se les brinde la protección y la asistencia necesarias para su bienestar. Cuando se evalúe la gravedad del perjuicio que puede ocasionar un sistema de IA, también en lo que respecta a la salud y la seguridad de las personas, también se debe tener en cuenta el derecho fundamental a un nivel elevado de protección del medio ambiente consagrado en la Carta y aplicado en las políticas de la Unión.

(49)

En relación con los sistemas de IA de alto riesgo que son componentes de seguridad de productos o sistemas, o que son en sí mismos productos o sistemas que entran en el ámbito de aplicación del Reglamento (CE) nº 300/2008 del Parlamento Europeo y del Consejo (24), el Reglamento (UE) nº 167/2013 del Parlamento Europeo y del Consejo (25), el Reglamento (UE) nº 168/2013 del Parlamento Europeo y del Consejo (26), la Directiva 2014/90/UE del Parlamento Europeo y del Consejo (27), la Directiva (UE) 2016/797 del Parlamento Europeo y del Consejo (28), el Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo (29), el Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo (30), y el Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo (31), procede modificar dichos actos para garantizar que, cuando la Comisión adopte actos delegados o de ejecución pertinentes basados en ellos, tenga en cuenta los requisitos obligatorios para los sistemas de IA de alto riesgo previstos en el presente Reglamento, atendiendo a las particularidades técnicas y reglamentarias de los distintos sectores y sin interferir con los mecanismos y las autoridades de gobernanza, evaluación de la conformidad y control del cumplimiento vigentes establecidos en dichos actos.

(50)

En cuanto a los sistemas de IA que son componentes de seguridad de productos, o que son productos en sí mismos, y entran dentro del ámbito de aplicación de determinados actos legislativos de armonización de la Unión enumerados en un anexo del presente Reglamento, procede clasificarlos como de alto riesgo en virtud del presente Reglamento si el producto de que se trate es sometido a un procedimiento de evaluación de la conformidad con un organismo de evaluación de la conformidad de terceros de acuerdo con dichos actos legislativos de armonización de la Unión. Esos productos son, en concreto, máquinas, juguetes, ascensores, equipo y sistemas de protección para uso en atmósferas potencialmente explosivas, equipos radioeléctricos, equipos a presión, equipos de embarcaciones de recreo, instalaciones de transporte por cable, aparatos que queman combustibles gaseosos, productos sanitarios, productos sanitarios para diagnóstico in vitro, automoción y aviación.

(51)

Que un sistema de IA se clasifique como de alto riesgo en virtud del presente Reglamento no significa necesariamente que el producto del que sea componente de seguridad, o el propio sistema de IA como producto, se considere de «alto riesgo» conforme a los criterios establecidos en la correspondiente legislación de armonización de la Unión que se aplique al producto. Tal es el caso, en particular, de los Reglamentos (UE) 2017/745 y (UE) 2017/746, que prevén una evaluación de la conformidad de terceros de los productos de riesgo medio y alto.

(52)

En cuanto a los sistemas de IA independientes, a saber, aquellos sistemas de IA de alto riesgo que no son componentes de seguridad de productos, o que son productos en sí mismos, deben clasificarse como de alto riesgo si, a la luz de su finalidad prevista, presentan un alto riesgo de ser perjudiciales para la salud y la seguridad o los derechos fundamentales de las personas, teniendo en cuenta tanto la gravedad del posible perjuicio como la probabilidad de que se produzca, y se utilizan en varios ámbitos predefinidos especificados en el presente Reglamento. Para identificar dichos sistemas, se emplean la misma metodología y los mismos criterios previstos para la posible modificación futura de la lista de sistemas de IA de alto riesgo, que la Comisión debe estar facultada para adoptar, mediante actos delegados, a fin de tener en cuenta el rápido ritmo del desarrollo tecnológico, así como los posibles cambios en el uso de los sistemas de IA.

(53)

También es importante aclarar que pueden existir casos específicos en los que los sistemas de IA referidos en ámbitos predefinidos especificados en el presente Reglamento no entrañen un riesgo considerable de causar un perjuicio a los intereses jurídicos amparados por dichos ámbitos, dado que no influyen sustancialmente en la toma de decisiones o no perjudican dichos intereses sustancialmente. A efectos del presente Reglamento, por sistema de IA que no influye sustancialmente en el resultado de la toma de decisiones debe entenderse un sistema de IA que no afecta al fondo, ni por consiguiente al resultado, de la toma de decisiones, ya sea humana o automatizada. Un sistema de IA que no influye sustancialmente en el resultado de la toma de decisiones podría incluir situaciones en las que se cumplen una o varias de las siguientes condiciones. La primera de dichas condiciones debe ser que el sistema de IA esté destinado a realizar una tarea de procedimiento delimitada, como un sistema de IA que transforme datos no estructurados en datos estructurados, un sistema de IA que clasifique en categorías los documentos recibidos o un sistema de IA que se utilice para detectar duplicados entre un gran número de aplicaciones. La naturaleza de esas tareas es tan restringida y limitada que solo presentan riesgos limitados que no aumentan por la utilización de un sistema de IA en un contexto que un anexo al presente Reglamento recoja como uso de alto riesgo. La segunda condición debe ser que la tarea realizada por el sistema de IA esté destinada a mejorar el resultado de una actividad previa llevada a cabo por un ser humano, que pudiera ser pertinente a efectos de las utilizaciones de alto riesgo enumeradas en un anexo del presente Reglamento. Teniendo en cuenta esas características, el sistema de IA solo añade un nivel adicional a la actividad humana, entrañando por consiguiente un riesgo menor. Esa condición se aplicaría, por ejemplo, a los sistemas de IA destinados a mejorar el lenguaje utilizado en documentos ya redactados, por ejemplo, en lo referente al empleo de un tono profesional o de un registro lingüístico académico o a la adaptación del texto a una determinada comunicación de marca. La tercera condición debe ser que el sistema de IA esté destinado a detectar patrones de toma de decisiones o desviaciones respecto de patrones de toma de decisiones anteriores. El riesgo sería menor debido a que el sistema de IA se utiliza tras una valoración humana previamente realizada y no pretende sustituirla o influir en ella sin una revisión adecuada por parte de un ser humano. Por ejemplo, entre los sistemas de IA de este tipo, se incluyen aquellos que pueden utilizarse para comprobar a posteriori si un profesor puede haberse desviado de su patrón de calificación determinado, a fin de llamar la atención sobre posibles incoherencias o anomalías. La cuarta condición debe ser que el sistema de IA esté destinado a realizar una tarea que solo sea preparatoria de cara a una evaluación pertinente a efectos de los sistemas de IA enumerados en el anexo del presente Reglamento, con lo que la posible repercusión de los resultados de salida del sistema sería muy escasa en términos de representar un riesgo para la subsiguiente evaluación. Esa condición comprende, entre otras cosas, soluciones inteligentes para la gestión de archivos, lo que incluye funciones diversas tales como la indexación, la búsqueda, el tratamiento de texto y del habla o la vinculación de datos a otras fuentes de datos, o bien los sistemas de IA utilizados para la traducción de los documentos iniciales. En cualquier caso, debe considerarse que los sistemas de IA utilizados en casos de alto riesgo enumerados en un anexo del presente Reglamento presentan un riesgo significativo de menoscabar la salud y la seguridad o los derechos fundamentales si el sistema de IA conlleva la elaboración de perfiles en el sentido del artículo 4, punto 4, del Reglamento (UE) 2016/679, del artículo 3, punto 4, de la Directiva (UE) 2016/680 o del artículo 3, punto 5, del Reglamento (UE) 2018/1725. Para garantizar la trazabilidad y la transparencia, los proveedores que, basándose en las condiciones antes citadas, consideren que un sistema de IA no es de alto riesgo, deben elaborar la documentación de la evaluación previamente a la introducción en el mercado o la entrada en servicio de dicho sistema de IA y facilitarla a las autoridades nacionales competentes cuando estas lo soliciten. Dichos proveedores deben tener la obligación de registrar el sistema en la base de datos de la UE creada en virtud del presente Reglamento. Con el fin de proporcionar orientaciones adicionales sobre la aplicación práctica de las condiciones con arreglo a las cuales los sistemas de IA enumerados en un anexo del presente Reglamento no se consideran, con carácter excepcional, de alto riesgo, la Comisión debe, previa consulta al Consejo de IA, proporcionar directrices que especifiquen dicha aplicación práctica, completadas por una lista exhaustiva de ejemplos prácticos de casos de uso de sistemas de IA que sean de alto riesgo y de casos de uso que no lo sean.

(54)

Dado que los datos biométricos constituyen una categoría de datos personales sensibles, procede clasificar como de alto riesgo varios casos de uso críticos de sistemas biométricos, en la medida que su utilización esté permitida con arreglo al Derecho de la Unión y nacional pertinente. Las imprecisiones técnicas de los sistemas de IA destinados a la identificación biométrica remota de las personas físicas pueden dar lugar a resultados sesgados y tener efectos discriminatorios. El riesgo de dichos resultados sesgados y efectos discriminatorios es especialmente pertinente por lo que respecta a la edad, la etnia, la raza, el sexo o la discapacidad. Por lo tanto, los sistemas de identificación biométrica remota deben clasificarse como de alto riesgo debido a los riesgos que entrañan. Quedan excluidos de dicha clasificación los sistemas de IA destinados a la verificación biométrica, que incluye la autenticación, cuyo único propósito es confirmar que una persona física concreta es quien dicha persona dice ser, así como confirmar la identidad de una persona física con la finalidad exclusiva de que tenga acceso a un servicio, desbloquee un dispositivo o tenga un acceso seguro a un local. Además, deben clasificarse como de alto riesgo los sistemas de IA destinados a ser utilizados para la categorización biométrica conforme a atributos o características sensibles protegidos en virtud del artículo 9, apartado 1, del Reglamento (UE) 2016/679 sobre la base de datos biométricos, en la medida en que no estén prohibidos en virtud del presente Reglamento, así como los sistemas de reconocimiento de emociones que no estén prohibidos con arreglo al presente Reglamento. Los sistemas biométricos destinados a ser utilizados exclusivamente a efectos de posibilitar la ciberseguridad y las medidas de protección de los datos personales no deben considerarse sistemas de IA de alto riesgo.

(55)

Por lo que respecta a la gestión y el funcionamiento de infraestructuras críticas, procede clasificar como de alto riesgo los sistemas de IA destinados a ser utilizados como componentes de seguridad en la gestión y el funcionamiento de las infraestructuras digitales críticas que se enumeran en el anexo, punto 8, de la Directiva (UE) 2022/2557; del tráfico rodado y del suministro de agua, gas, calefacción y electricidad, pues un fallo o un defecto de funcionamiento de estos componentes puede poner en peligro la vida y la salud de las personas a gran escala y alterar de manera considerable el desarrollo habitual de las actividades sociales y económicas. Los componentes de seguridad de las infraestructuras críticas, como las infraestructuras digitales críticas, son sistemas utilizados para proteger directamente la integridad física de las infraestructuras críticas o la salud y la seguridad de las personas y los bienes, pero que no son necesarios para el funcionamiento del sistema. El fallo o el defecto de funcionamiento de estos componentes podría dar lugar directamente a riesgos para la integridad física de las infraestructuras críticas y, por tanto, a riesgos para la salud y la seguridad de las personas y los bienes. Los componentes destinados a ser utilizados exclusivamente con fines de ciberseguridad no deben considerarse componentes de seguridad. Entre los componentes de seguridad de esas infraestructuras críticas cabe citar los sistemas de control de la presión del agua o los sistemas de control de las alarmas contra incendios en los centros de computación en la nube.

(56)

El despliegue de sistemas de IA en el ámbito educativo es importante para fomentar una educación y formación digitales de alta calidad y para que todos los estudiantes y profesores puedan adquirir y compartir las capacidades y competencias digitales necesarias, incluidos la alfabetización mediática, y el pensamiento crítico, para participar activamente en la economía, la sociedad y los procesos democráticos. No obstante, deben clasificarse como de alto riesgo los sistemas de IA que se utilizan en la educación o la formación profesional, y en particular aquellos que determinan el acceso o la admisión, distribuyen a las personas entre distintas instituciones educativas y de formación profesional o programas de todos los niveles, evalúan los resultados del aprendizaje de las personas, evalúan el nivel apropiado de educación de una persona e influyen sustancialmente en el nivel de educación y formación que las personas recibirán o al que podrán acceder, o supervisan y detectan comportamientos prohibidos de los estudiantes durante las pruebas, ya que pueden decidir la trayectoria formativa y profesional de una persona y, en consecuencia, puede afectar a su capacidad para asegurar su subsistencia. Cuando no se diseñan y utilizan correctamente, estos sistemas pueden invadir especialmente y violar el derecho a la educación y la formación, y el derecho a no sufrir discriminación, además de perpetuar patrones históricos de discriminación, por ejemplo contra las mujeres, determinados grupos de edad, las personas con discapacidad o las personas de cierto origen racial o étnico o con una determinada orientación sexual.

(57)

También deben clasificarse como de alto riesgo los sistemas de IA que se utilizan en los ámbitos del empleo, la gestión de los trabajadores y el acceso al autoempleo, en particular para la contratación y la selección de personal, para la toma de decisiones que afecten a las condiciones de las relaciones de índole laboral, la promoción y la rescisión de relaciones contractuales de índole laboral, para la asignación de tareas a partir de comportamientos individuales o rasgos o características personales y para la supervisión o evaluación de las personas en el marco de las relaciones contractuales de índole laboral, dado que pueden afectar de un modo considerable a las futuras perspectivas laborales, a los medios de subsistencia de dichas personas y a los derechos de los trabajadores. Las relaciones contractuales de índole laboral deben incluir, de manera significativa, a los empleados y las personas que prestan servicios a través de plataformas, como indica el programa de trabajo de la Comisión para 2021. Dichos sistemas pueden perpetuar patrones históricos de discriminación, por ejemplo contra las mujeres, determinados grupos de edad, las personas con discapacidad o las personas de orígenes raciales o étnicos concretos o con una orientación sexual determinada, durante todo el proceso de contratación y en la evaluación, promoción o retención de personas en las relaciones contractuales de índole laboral. Los sistemas de IA empleados para controlar el rendimiento y el comportamiento de estas personas también pueden socavar sus derechos fundamentales a la protección de los datos personales y a la intimidad.

(58)

El acceso a determinados servicios y prestaciones esenciales, de carácter público y privado, necesarios para que las personas puedan participar plenamente en la sociedad o mejorar su nivel de vida, y el disfrute de dichos servicios y prestaciones, es otro ámbito en el que conviene prestar especial atención a la utilización de sistemas de IA. En particular, las personas físicas que solicitan a las autoridades públicas o reciben de estas prestaciones y servicios esenciales de asistencia pública, a saber, servicios de asistencia sanitaria, prestaciones de seguridad social, servicios sociales que garantizan una protección en casos como la maternidad, la enfermedad, los accidentes laborales, la dependencia o la vejez y la pérdida de empleo, asistencia social y ayudas a la vivienda, suelen depender de dichas prestaciones y servicios y, por lo general, se encuentran en una posición de vulnerabilidad respecto de las autoridades responsables. La utilización de sistemas de IA para decidir si las autoridades deben conceder, denegar, reducir o revocar dichas prestaciones y servicios o reclamar su devolución, lo que incluye decidir, por ejemplo, si los beneficiarios tienen legítimamente derecho a dichas prestaciones y servicios, podría tener un efecto considerable en los medios de subsistencia de las personas y vulnerar sus derechos fundamentales, como el derecho a la protección social, a la no discriminación, a la dignidad humana o a la tutela judicial efectiva y, por lo tanto, deben clasificarse como de alto riesgo. No obstante, el presente Reglamento no debe obstaculizar el desarrollo y el uso de enfoques innovadores en la Administración, que podrían beneficiarse de una mayor utilización de sistemas de IA conformes y seguros, siempre y cuando dichos sistemas no supongan un alto riesgo para las personas jurídicas y físicas. Además, deben clasificarse como de alto riesgo los sistemas de IA usados para evaluar la calificación crediticia o solvencia de las personas físicas, ya que deciden si dichas personas pueden acceder a recursos financieros o servicios esenciales como la vivienda, la electricidad y los servicios de telecomunicaciones. Los sistemas de IA usados con esos fines pueden discriminar a determinadas personas o colectivos y perpetuar patrones históricos de discriminación, como por motivos de origen racial o étnico, género, discapacidad, edad u orientación sexual, o generar nuevas formas de discriminación. No obstante, los sistemas de IA previstos por el Derecho de la Unión con vistas a detectar fraudes en la oferta de servicios financieros y, a efectos prudenciales, para calcular los requisitos de capital de las entidades de crédito y las empresas de seguros no deben considerarse de alto riesgo en virtud del presente Reglamento. Además, los sistemas de IA destinados a ser utilizados para la evaluación de riesgos y la fijación de precios en relación con las personas físicas en el caso de los seguros de vida y de salud también pueden afectar de un modo considerable a los medios de subsistencia de las personas y, si no se diseñan, desarrollan y utilizan debidamente, pueden vulnerar sus derechos fundamentales y pueden tener graves consecuencias para la vida y la salud de las personas, como la exclusión financiera y la discriminación. Por último, los sistemas de IA empleados para evaluar y clasificar llamadas de emergencia de personas físicas o el envío o el establecimiento de prioridades en el envío de servicios de primera intervención en situaciones de emergencia, incluidos policía, bomberos y servicios de asistencia médica, así como sistemas de triaje de pacientes para la asistencia sanitaria de emergencia, también deben considerarse de alto riesgo, dado que adoptan decisiones en situaciones sumamente críticas para la vida y la salud de las personas y de sus bienes.

(59)

Dado su papel y su responsabilidad, las actuaciones de las autoridades garantes del cumplimiento del Derecho que implican determinados usos de los sistemas de IA se caracterizan por un importante desequilibrio de poder y pueden dar lugar a la vigilancia, la detención o la privación de libertad de una persona física, así como tener otros efectos negativos sobre los derechos fundamentales consagrados en la Carta. En particular, si el sistema de IA no está entrenado con datos de buena calidad, no cumple los requisitos adecuados en términos de rendimiento, de precisión o de solidez, o no se diseña y prueba debidamente antes de introducirlo en el mercado o ponerlo en servicio, es posible que señale a personas de manera discriminatoria, incorrecta o injusta. Además, podría impedir el ejercicio de importantes derechos procesales fundamentales, como el derecho a la tutela judicial efectiva y a un juez imparcial, así como el derecho a la defensa y a la presunción de inocencia, sobre todo cuando dichos sistemas de IA no sean lo suficientemente transparentes y explicables ni estén suficientemente bien documentados. Por consiguiente, en la medida en que su uso esté permitido conforme al Derecho de la Unión y nacional pertinente, procede clasificar como de alto riesgo varios sistemas de IA destinados a ser utilizados con fines de garantía del cumplimiento del Derecho cuando su precisión, fiabilidad y transparencia sean especialmente importantes para evitar consecuencias adversas, conservar la confianza de la población y garantizar la rendición de cuentas y unas vías de recurso efectivas. En vista de la naturaleza de las actividades y de los riesgos conexos, entre dichos sistemas de IA de alto riesgo deben incluirse, en particular, los sistemas de IA destinados a ser utilizados por las autoridades garantes del cumplimiento del Derecho, o en nombre de estas, o por las instituciones, órganos u organismos de la Unión en apoyo de las primeras, para evaluar el riesgo de que una persona física sea víctima de delitos, como los polígrafos y otras herramientas similares, para evaluar la fiabilidad de las pruebas durante la investigación o el enjuiciamiento de delitos y, en la medida en que no esté prohibido conforme al presente Reglamento, para evaluar el riesgo de que una persona física cometa un delito o reincida, no solo sobre la base de la elaboración de perfiles de personas físicas o la evaluación de rasgos y características de la personalidad o comportamientos delictivos pasados de personas físicas o grupos de personas, o para elaborar perfiles durante la detección, la investigación o el enjuiciamiento de delitos. Los sistemas de IA destinados específicamente a ser utilizados en procesos administrativos por las autoridades fiscales y aduaneras y las unidades de inteligencia financiera que desempeñan tareas administrativas de análisis de información de conformidad con el Derecho de la Unión en materia de lucha contra el blanqueo de capitales no deben clasificarse como sistemas de IA de alto riesgo usados por las autoridades garantes del cumplimiento del Derecho con el fin de prevenir, detectar, investigar y enjuiciar delitos. El uso de herramientas de IA por parte de las autoridades garantes del cumplimiento del Derecho y otras autoridades pertinentes no debe convertirse en un factor de desigualdad o exclusión. No debe ignorarse el impacto del uso de herramientas de IA en los derechos de defensa de los sospechosos, en particular la dificultad para obtener información significativa sobre el funcionamiento de dichos sistemas y la consiguiente dificultad para impugnar sus resultados ante los tribunales, en particular por parte de las personas físicas investigadas.

(60)

Los sistemas de IA empleados en la migración, el asilo y la gestión del control fronterizo afectan a personas que con frecuencia se encuentran en una situación especialmente vulnerable y que dependen del resultado de las actuaciones de las autoridades públicas competentes. Por este motivo, es sumamente importante que los sistemas de IA que se utilicen en estos contextos sean precisos, no discriminatorios y transparentes, a fin de garantizar que se respeten los derechos fundamentales de las personas afectadas y, en particular, su derecho a la libre circulación, a la no discriminación, a la intimidad personal y la protección de los datos personales, a la protección internacional y a una buena administración. Por lo tanto, procede clasificar como de alto riesgo, en la medida en que su utilización esté permitida en virtud del Derecho de la Unión y nacional, aquellos sistemas de IA destinados a ser utilizados por las autoridades públicas competentes, o en su nombre, o por las instituciones, órganos u organismos de la Unión que realizan tareas en el ámbito de la migración, el asilo y la gestión del control fronterizo como polígrafos y herramientas similares, para evaluar determinados riesgos que presenten las personas físicas que entren en el territorio de un Estado miembro o que soliciten un visado o asilo, para ayudar a las autoridades públicas competentes a examinar, con inclusión de la evaluación conexa de la fiabilidad de las pruebas, las solicitudes de asilo, visado y permiso de residencia, así como las reclamaciones conexas en relación con el objetivo de determinar si las personas físicas solicitantes reúnen los requisitos necesarios para que se conceda su solicitud, a efectos de detectar, reconocer o identificar a las personas físicas en el contexto de la migración, el asilo y la gestión del control fronterizo, con excepción de la verificación de los documentos de viaje. Los sistemas de IA en el ámbito de la migración, el asilo y la gestión del control fronterizo sujetos al presente Reglamento deben cumplir los requisitos procedimentales pertinentes establecidos por el Reglamento (CE) nº 810/2009 del Parlamento Europeo y del Consejo (32), la Directiva 2013/32/UE del Parlamento Europeo y del Consejo (33) y otro Derecho de la Unión pertinente. El empleo de los sistemas de IA en la migración, el asilo y la gestión del control fronterizo no debe, en ningún caso, ser utilizado por los Estados miembros o las instituciones, órganos u organismos de la Unión como medio para eludir sus obligaciones internacionales en virtud de la Convención de las Naciones Unidas sobre el Estatuto de los Refugiados, hecha en Ginebra el 28 de julio de 1951, modificada por el Protocolo de 31 de enero de 1967. Tampoco debe ser utilizado para infringir en modo alguno el principio de no devolución, ni para negar unas vías jurídicas seguras y efectivas de acceso al territorio de la Unión, incluido el derecho a la protección internacional.

(61)

Deben clasificarse como de alto riesgo determinados sistemas de IA destinados a la administración de justicia y los procesos democráticos, dado que pueden tener efectos potencialmente importantes para la democracia, el Estado de Derecho, las libertades individuales y el derecho a la tutela judicial efectiva y a un juez imparcial. En particular, a fin de hacer frente al riesgo de posibles sesgos, errores y opacidades, procede clasificar como de alto riesgo aquellos sistemas de IA destinados a ser utilizados por una autoridad judicial o en su nombre para ayudar a las autoridades judiciales a investigar e interpretar los hechos y el Derecho y a aplicar la ley a unos hechos concretos. También deben considerarse de alto riesgo los sistemas de IA destinados a ser utilizados por los organismos de resolución alternativa de litigios con esos fines, cuando los resultados de los procedimientos de resolución alternativa de litigios surtan efectos jurídicos para las partes. La utilización de herramientas de IA puede apoyar el poder de decisión de los jueces o la independencia judicial, pero no debe substituirlas: la toma de decisiones finales debe seguir siendo una actividad humana. No obstante, la clasificación de los sistemas de IA como de alto riesgo no debe hacerse extensiva a los sistemas de IA destinados a actividades administrativas meramente accesorias que no afectan a la administración de justicia propiamente dicha en casos concretos, como la anonimización o seudonimización de resoluciones judiciales, documentos o datos, la comunicación entre los miembros del personal o las tareas administrativas.

(62)

Sin perjuicio de las normas previstas en el Reglamento (UE) 2024/900 del Parlamento Europeo y del Consejo (34), y a fin de hacer frente a los riesgos de injerencia externa indebida en el derecho de voto consagrado en el artículo 39 de la Carta, y de efectos adversos sobre la democracia y el Estado de Derecho, deben clasificarse como sistemas de IA de alto riesgo los sistemas de IA destinados a ser utilizados para influir en el resultado de una elección o un referéndum, o en el comportamiento electoral de las personas físicas en el ejercicio de su voto en elecciones o referendos, con excepción de los sistemas de IA a cuyos resultados de salida las personas físicas no están directamente expuestas, como las herramientas utilizadas para organizar, optimizar y estructurar campañas políticas desde un punto de vista administrativo y logístico.

(63)

El hecho de que un sistema de IA sea clasificado como un sistema de IA de alto riesgo en virtud del presente Reglamento no debe interpretarse como indicador de que su uso sea lícito con arreglo a otros actos del Derecho de la Unión o del Derecho nacional compatible con el Derecho de la Unión, por ejemplo, en materia de protección de los datos personales o la utilización de polígrafos y herramientas similares u otros sistemas para detectar el estado emocional de las personas físicas. Todo uso de ese tipo debe seguir realizándose exclusivamente en consonancia con los requisitos oportunos derivados de la Carta y de los actos aplicables del Derecho derivado de la Unión y del Derecho nacional. No debe entenderse que el presente Reglamento constituye un fundamento jurídico para el tratamiento de datos personales, incluidas las categorías especiales de datos personales, en su caso, salvo que el presente Reglamento disponga específicamente otra cosa.

(64)

Con el objetivo de mitigar los riesgos que presentan los sistemas de IA de alto riesgo que se introducen en el mercado o se ponen en servicio, y para garantizar un alto nivel de fiabilidad, deben aplicarse a los sistemas de IA de alto riesgo ciertos requisitos obligatorios que tengan en cuenta la finalidad prevista y el contexto del uso del sistema de IA y estén en consonancia con el sistema de gestión de riesgos que debe establecer el proveedor. Las medidas adoptadas por los proveedores para cumplir los requisitos obligatorios del presente Reglamento deben tener en cuenta el estado actual de la técnica generalmente reconocido en materia de IA, ser proporcionadas y eficaces para alcanzar los objetivos del presente Reglamento. Sobre la base del nuevo marco legislativo, como se aclara en la Comunicación de la Comisión titulada «“Guía azul” sobre la aplicación de la normativa europea relativa a los productos, de 2022», la norma general es que más de un acto jurídico de la legislación de armonización de la Unión puede ser aplicable a un producto, ya que la comercialización o la puesta en servicio solamente puede producirse cuando el producto cumple toda la legislación de armonización de la Unión aplicable. Los peligros de los sistemas de IA cubiertos por los requisitos del presente Reglamento se refieren a aspectos diferentes de los contemplados en la legislación de armonización de la Unión existente y, por consiguiente, los requisitos del presente Reglamento completarían el conjunto existente de legislación de armonización de la Unión. Por ejemplo, las máquinas o los productos sanitarios que incorporan un sistema de IA pueden presentar riesgos de los que no se ocupan los requisitos esenciales de salud y seguridad establecidos en la legislación armonizada de la Unión pertinente, ya que esa legislación sectorial no aborda los riesgos específicos de los sistemas de IA. Esto exige una aplicación simultánea y complementaria de diversos actos legislativos. A fin de garantizar la coherencia y evitar una carga administrativa innecesaria y costes innecesarios, los proveedores de un producto que contenga uno o varios sistemas de IA de alto riesgo, a los que se apliquen los requisitos del presente Reglamento y de los actos legislativos de armonización de la Unión basados en el nuevo marco legislativo y enumerados en un anexo del presente Reglamento, deben ser flexibles en lo que respecta a las decisiones operativas relativas a la manera de garantizar la conformidad de un producto que contenga uno o varios sistemas de IA con todos los requisitos aplicables de la legislación armonizada de la Unión de manera óptima. Esa flexibilidad podría significar, por ejemplo, la decisión del proveedor de integrar una parte de los procesos de prueba y notificación necesarios, así como la información y la documentación exigidas en virtud del presente Reglamento, en la documentación y los procedimientos ya existentes exigidos en virtud de los actos legislativos de armonización de la Unión vigentes basados en el nuevo marco legislativo y enumerados en un anexo del presente Reglamento. Esto no debe socavar en modo alguno la obligación del proveedor de cumplir todos los requisitos aplicables.

(65)

El sistema de gestión de riesgos debe consistir en un proceso iterativo continuo que sea planificado y ejecutado durante todo el ciclo de vida del sistema de IA de alto riesgo. Dicho proceso debe tener por objeto detectar y mitigar los riesgos pertinentes de los sistemas de IA para la salud, la seguridad y los derechos fundamentales. El sistema de gestión de riesgos debe revisarse y actualizarse periódicamente para garantizar su eficacia continua, así como la justificación y documentación de cualesquiera decisiones y acciones significativas adoptadas con arreglo al presente Reglamento. Este proceso debe garantizar que el proveedor determine los riesgos o efectos negativos y aplique medidas de mitigación de los riesgos conocidos y razonablemente previsibles de los sistemas de IA para la salud, la seguridad y los derechos fundamentales, habida cuenta de su finalidad prevista y de su uso indebido razonablemente previsible, incluidos los posibles riesgos derivados de la interacción entre el sistema de IA y el entorno en el que opera. El sistema de gestión de riesgos debe adoptar las medidas de gestión de riesgos más adecuadas a la luz del estado actual de la técnica en materia de IA. Al determinar las medidas de gestión de riesgos más adecuadas, el proveedor debe documentar y explicar las elecciones realizadas y, cuando proceda, contar con la participación de expertos y partes interesadas externas. Al determinar el uso indebido razonablemente previsible de los sistemas de IA de alto riesgo, el proveedor debe tener en cuenta los usos de los sistemas de IA que, aunque no estén directamente cubiertos por la finalidad prevista ni establecidos en las instrucciones de uso, cabe esperar razonablemente que se deriven de un comportamiento humano fácilmente previsible en el contexto de las características específicas y del uso de un sistema de IA concreto. Debe incluirse en las instrucciones de uso que sean facilitadas por el proveedor cualquier circunstancia conocida o previsible, asociada a la utilización del sistema de IA de alto riesgo conforme a su finalidad prevista o a un uso indebido razonablemente previsible, que pueda dar lugar a riesgos para la salud y la seguridad o los derechos fundamentales. Con ello se pretende garantizar que el responsable del despliegue sea consciente de estos riesgos y los tenga en cuenta al utilizar el sistema de IA de alto riesgo. La identificación y la aplicación de medidas de reducción del riesgo en caso de uso indebido previsible con arreglo al presente Reglamento no deben suponer la exigencia, para su acometida, de entrenamiento adicional específico para el sistema de IA de alto riesgo por parte del proveedor para hacer frente a usos indebidos previsibles. No obstante, se anima a los proveedores a considerar dichas medidas de entrenamiento adicionales para mitigar los usos indebidos razonablemente previsibles, cuando resulte necesario y oportuno.

(66)

Deben aplicarse a los sistemas de IA de alto riesgo requisitos referentes a la gestión de riesgos, la calidad y la pertinencia de los conjuntos de datos utilizados, la documentación técnica y la conservación de registros, la transparencia y la comunicación de información a los responsables del despliegue, la supervisión humana, la solidez, la precisión y la ciberseguridad. Dichos requisitos son necesarios para mitigar de forma efectiva los riesgos para la salud, la seguridad y los derechos fundamentales. Al no disponerse razonablemente de otras medidas menos restrictivas del comercio, dichos requisitos no son restricciones injustificadas al comercio.

(67)

Los datos de alta calidad y el acceso a datos de alta calidad desempeñan un papel esencial a la hora de proporcionar una estructura y garantizar el funcionamiento de muchos sistemas de IA, en especial cuando se emplean técnicas que implican el entrenamiento de modelos, con vistas a garantizar que el sistema de IA de alto riesgo funcione del modo previsto y en condiciones de seguridad y no se convierta en una fuente de algún tipo de discriminación prohibida por el Derecho de la Unión. Es preciso instaurar prácticas adecuadas de gestión y gobernanza de datos para lograr que los conjuntos de datos para el entrenamiento, la validación y la prueba sean de alta calidad. Los conjuntos de datos para el entrenamiento, la validación y la prueba, incluidas las etiquetas, deben ser pertinentes, lo suficientemente representativos y, en la mayor medida posible, estar libres de errores y ser completos en vista de la finalidad prevista del sistema. A fin de facilitar el cumplimiento del Derecho de la Unión en materia de protección de datos, como el Reglamento (UE) 2016/679, las prácticas de gestión y gobernanza de datos deben incluir, en el caso de los datos personales, la transparencia sobre el fin original de la recopilación de datos. Los conjuntos de datos deben tener las propiedades estadísticas adecuadas, también en lo que respecta a las personas o los colectivos de personas en relación con los que esté previsto utilizar el sistema de IA de alto riesgo, prestando una atención especial a la mitigación de los posibles sesgos en los conjuntos de datos que puedan afectar a la salud y la seguridad de las personas físicas, tener repercusiones negativas en los derechos fundamentales o dar lugar a algún tipo de discriminación prohibida por el Derecho de la Unión, especialmente cuando los datos de salida influyan en la información de entrada de futuras operaciones (bucles de retroalimentación). Los sesgos, por ejemplo, pueden ser inherentes a los conjuntos de datos subyacentes, especialmente cuando se utilizan datos históricos, o generados cuando los sistemas se despliegan en entornos del mundo real. Los resultados de los sistemas de IA dependen de dichos sesgos inherentes, que tienden a aumentar gradualmente y, por tanto, perpetúan y amplifican la discriminación existente, en particular con respecto a las personas pertenecientes a determinados colectivos vulnerables, incluidos colectivos raciales o étnicos. El requisito de que los conjuntos de datos, en la mayor medida posible, sean completos y estén libres de errores no debe afectar al uso de técnicas de protección de la intimidad en el contexto del desarrollo y la prueba de sistemas de IA. En particular, los conjuntos de datos deben tener en cuenta, en la medida en que lo exija su finalidad prevista, los rasgos, características o elementos particulares del entorno geográfico, contextual, conductual o funcional específico en el que esté previsto que se utilice el sistema de IA. Los requisitos relacionados con la gobernanza de datos pueden cumplirse recurriendo a terceros que ofrezcan servicios certificados de cumplimiento, incluida la verificación de la gobernanza de datos, la integridad del conjunto de datos y las prácticas de entrenamiento, validación y prueba de datos, en la medida en que se garantice el cumplimiento de los requisitos en materia de datos del presente Reglamento.

(68)

Para poder desarrollar y evaluar sistemas de IA de alto riesgo, determinados agentes, tales como proveedores, organismos notificados y otras entidades pertinentes, como centros europeos de innovación digital, instalaciones de ensayo y experimentación e investigadores, deben tener acceso a conjuntos de datos de alta calidad en sus campos de actividad relacionados con el presente Reglamento y deben poder utilizarlos. Los espacios comunes europeos de datos establecidos por la Comisión y la facilitación del intercambio de datos entre empresas y con los Gobiernos en favor del interés público serán esenciales para brindar un acceso fiable, responsable y no discriminatorio a datos de alta calidad con los que entrenar, validar y probar los sistemas de IA. Por ejemplo, en el ámbito de la salud, el espacio europeo de datos sanitarios facilitará el acceso no discriminatorio a datos sanitarios y el entrenamiento, a partir de esos conjuntos de datos, de algoritmos de IA de una manera segura, oportuna, transparente, fiable y que respete la intimidad, y contando con la debida gobernanza institucional. Las autoridades competentes pertinentes, incluidas las sectoriales, que proporcionan acceso a datos o lo facilitan también pueden brindar apoyo al suministro de datos de alta calidad con los que entrenar, validar y probar los sistemas de IA.

(69)

El derecho a la intimidad y a la protección de datos personales debe garantizarse a lo largo de todo el ciclo de vida del sistema de IA. A este respecto, los principios de minimización de datos y de protección de datos desde el diseño y por defecto, establecidos en el Derecho de la Unión en materia de protección de datos, son aplicables cuando se tratan datos personales. Las medidas adoptadas por los proveedores para garantizar el cumplimiento de estos principios podrán incluir no solo la anonimización y el cifrado, sino también el uso de una tecnología que permita llevar los algoritmos a los datos y el entrenamiento de los sistemas de IA sin que sea necesaria la transmisión entre las partes ni la copia de los datos brutos o estructurados, sin perjuicio de los requisitos en materia de gobernanza de datos establecidos en el presente Reglamento.

(70)

A fin de proteger los derechos de terceros frente a la discriminación que podría provocar el sesgo de los sistemas de IA, los proveedores deben —con carácter excepcional, en la medida en que sea estrictamente necesario para garantizar la detección y corrección de los sesgos asociados a los sistemas de IA de alto riesgo, con sujeción a las garantías adecuadas para los derechos y libertades fundamentales de las personas físicas y tras la aplicación de todas las condiciones aplicables establecidas en el presente Reglamento, además de las condiciones establecidas en los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva (UE) 2016/680— ser capaces de tratar también categorías especiales de datos personales, como cuestión de interés público esencial en el sentido del artículo 9, apartado 2, letra g), del Reglamento (UE) 2016/679 y del artículo 10, apartado 2, letra g), del Reglamento (UE) 2018/1725.

(71)

Para permitir la trazabilidad de los sistemas de IA de alto riesgo, verificar si cumplen los requisitos previstos en el presente Reglamento, así como vigilar su funcionamiento y llevar a cabo la vigilancia poscomercialización, resulta esencial disponer de información comprensible sobre el modo en que se han desarrollado y sobre su funcionamiento durante toda su vida útil. A tal fin, es preciso llevar registros y disponer de documentación técnica que contenga la información necesaria para evaluar si el sistema de IA de que se trate cumple los requisitos pertinentes y facilitar la vigilancia poscomercialización. Dicha información debe incluir las características generales, las capacidades y las limitaciones del sistema y los algoritmos, datos y procesos de entrenamiento, prueba y validación empleados, así como documentación sobre el sistema de gestión de riesgos pertinente, elaborada de manera clara y completa. La documentación técnica debe mantenerse adecuadamente actualizada durante toda la vida útil del sistema de IA. Además, los sistemas de IA de alto riesgo deben permitir técnicamente el registro automático de acontecimientos, mediante archivos de registro, durante toda la vida útil del sistema.

(72)

A fin de abordar las preocupaciones relacionadas con la opacidad y complejidad de determinados sistemas de IA y ayudar a los responsables del despliegue a cumplir sus obligaciones en virtud del presente Reglamento, debe exigirse transparencia respecto de los sistemas de IA de alto riesgo antes de su introducción en el mercado o su puesta en servicio. Los sistemas de IA de alto riesgo deben diseñarse de modo que permitan a los responsables del despliegue comprender la manera en que el sistema de IA funciona, evaluar su funcionalidad y comprender sus fortalezas y limitaciones. Los sistemas de IA de alto riesgo deben ir acompañados de la información adecuada en forma de instrucciones de uso. Dicha información debe incluir las características, las capacidades y las limitaciones del funcionamiento del sistema de IA. Estas comprenderían la información sobre las posibles circunstancias conocidas y previsibles relacionadas con el uso del sistema de IA de alto riesgo, incluida la actuación del responsable del despliegue capaz de influir en el comportamiento y el funcionamiento del sistema, en cuyo marco el sistema de IA puede dar lugar a riesgos para la salud, la seguridad y los derechos fundamentales, sobre los cambios que el proveedor haya predeterminado y evaluado para comprobar su conformidad y sobre las medidas pertinentes de supervisión humana, incluidas las medidas para facilitar la interpretación de los resultados de salida del sistema de IA por parte de los responsables del despliegue. La transparencia, incluidas las instrucciones de uso que acompañan a los sistemas de IA, debe ayudar a los responsables del despliegue a utilizar el sistema y tomar decisiones con conocimiento de causa. Los responsables del despliegue deben, entre otras cosas, estar en mejores condiciones para elegir correctamente el sistema que pretenden utilizar a la luz de las obligaciones que les son aplicables, estar informados sobre los usos previstos y excluidos y utilizar el sistema de IA correctamente y según proceda. A fin de mejorar la legibilidad y la accesibilidad de la información incluida en las instrucciones de uso, cuando proceda, deben incluirse ejemplos ilustrativos, por ejemplo sobre las limitaciones y sobre los usos previstos y excluidos del sistema de IA. Los proveedores deben garantizar que toda la documentación, incluidas las instrucciones de uso, contenga información significativa, exhaustiva, accesible y comprensible, que tenga en cuenta las necesidades y los conocimientos previsibles de los responsables del despliegue destinatarios. Las instrucciones de uso deben estar disponibles en una lengua fácilmente comprensible para los responsables del despliegue destinatarios, según lo que decida el Estado miembro de que se trate.

(73)

Los sistemas de IA de alto riesgo deben diseñarse y desarrollarse de tal modo que las personas físicas puedan supervisar su funcionamiento, así como asegurarse de que se usan según lo previsto y de que sus repercusiones se abordan a lo largo del ciclo de vida del sistema. A tal fin, el proveedor del sistema debe definir las medidas adecuadas de supervisión humana antes de su introducción en el mercado o puesta en servicio. Cuando proceda, dichas medidas deben garantizar, en concreto, que el sistema esté sujeto a limitaciones operativas incorporadas en el propio sistema que este no pueda desactivar, que responda al operador humano y que las personas físicas a quienes se haya encomendado la supervisión humana posean las competencias, la formación y la autoridad necesarias para desempeñar esa función. También es esencial, según proceda, garantizar que los sistemas de IA de alto riesgo incluyan mecanismos destinados a orientar e informar a las personas físicas a las que se haya asignado la supervisión humana para que tomen decisiones con conocimiento de causa acerca de si intervenir, cuándo hacerlo y de qué manera, a fin de evitar consecuencias negativas o riesgos, o de detener el sistema si no funciona según lo previsto. Teniendo en cuenta las enormes consecuencias para las personas en caso de una correspondencia incorrecta efectuada por determinados sistemas de identificación biométrica, conviene establecer un requisito de supervisión humana reforzada para dichos sistemas, de modo que el responsable del despliegue no pueda actuar ni tomar ninguna decisión basándose en la identificación generada por el sistema, salvo si al menos dos personas físicas la han verificado y confirmado por separado. Dichas personas podrían proceder de una o varias entidades e incluir a la persona que maneja o utiliza el sistema. Este requisito no debe suponer una carga ni retrasos innecesarios y podría bastar con que las verificaciones que las distintas personas efectúen por separado se registren automáticamente en los registros generados por el sistema. Dadas las especificidades de los ámbitos de la garantía del cumplimiento del Derecho, la migración, el control fronterizo y el asilo, ese requisito no debe aplicarse cuando el Derecho nacional o de la Unión considere que su aplicación es desproporcionada.

(74)

Los sistemas de IA de alto riesgo deben funcionar de manera uniforme durante todo su ciclo de vida y presentar un nivel adecuado de precisión, solidez y ciberseguridad, a la luz de su finalidad prevista y con arreglo al estado actual de la técnica generalmente reconocido. Se anima a la Comisión y las organizaciones y partes interesadas pertinentes a que tengan debidamente en cuenta la mitigación de los riesgos y las repercusiones negativas del sistema de IA. El nivel previsto de los parámetros de funcionamiento debe declararse en las instrucciones de uso que acompañen a los sistemas de IA. Se insta a los proveedores a que comuniquen dicha información a los responsables del despliegue de manera clara y fácilmente comprensible, sin malentendidos ni afirmaciones engañosas. El Derecho de la Unión en materia de metrología legal, incluidas las Directivas 2014/31/UE (35) y 2014/32/UE (36) del Parlamento Europeo y del Consejo, tiene por objeto garantizar la precisión de las mediciones y contribuir a la transparencia y la equidad de las transacciones comerciales. En ese contexto, en cooperación con las partes interesadas y las organizaciones pertinentes, como las autoridades de metrología y de evaluación comparativa, la Comisión debe fomentar, según proceda, el desarrollo de parámetros de referencia y metodologías de medición para los sistemas de IA. Al hacerlo, la Comisión debe tomar nota de los socios internacionales que trabajan en la metrología y los indicadores de medición pertinentes relacionados con la IA y colaborar con ellos.

(75)

La solidez técnica es un requisito clave para los sistemas de IA de alto riesgo, que deben ser resilientes en relación con los comportamientos perjudiciales o indeseables por otros motivos que puedan derivarse de limitaciones en los sistemas o del entorno en el que estos funcionan (p. ej., errores, fallos, incoherencias o situaciones inesperadas). Por consiguiente, deben adoptarse medidas técnicas y organizativas para garantizar la solidez de los sistemas de IA de alto riesgo, por ejemplo mediante el diseño y desarrollo de soluciones técnicas adecuadas para prevenir o reducir al mínimo ese comportamiento perjudicial o indeseable. Estas soluciones técnicas pueden incluir, por ejemplo, mecanismos que permitan al sistema interrumpir de forma segura su funcionamiento (planes de prevención contra fallos) en presencia de determinadas anomalías o cuando el funcionamiento tenga lugar fuera de determinados límites predeterminados. El hecho de no adoptar medidas de protección frente a estos riesgos podría tener consecuencias para la seguridad o afectar de manera negativa a los derechos fundamentales, por ejemplo, debido a decisiones equivocadas o resultados de salida erróneos o sesgados generados por el sistema de IA.

(76)

La ciberseguridad es fundamental para garantizar que los sistemas de IA resistan a las actuaciones de terceros maliciosos que, aprovechando las vulnerabilidades del sistema, traten de alterar su uso, comportamiento o funcionamiento o de poner en peligro sus propiedades de seguridad. Los ciberataques contra sistemas de IA pueden dirigirse contra activos específicos de la IA, como los conjuntos de datos de entrenamiento (p. ej., envenenamiento de datos) o los modelos entrenados (p. ej., ataques adversarios o inferencia de pertenencia), o aprovechar las vulnerabilidades de los activos digitales del sistema de IA o la infraestructura de TIC subyacente. Por lo tanto, para garantizar un nivel de ciberseguridad adecuado a los riesgos, los proveedores de sistemas de IA de alto riesgo deben adoptar medidas adecuadas, como los controles de seguridad, teniendo también en cuenta, cuando proceda, la infraestructura de TIC subyacente.

(77)

Sin perjuicio de los requisitos relacionados con la solidez y la precisión establecidos en el presente Reglamento, los sistemas de IA de alto riesgo que entren en el ámbito de aplicación de un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, de conformidad con dicho reglamento, pueden demostrar el cumplimiento con los requisitos de ciberseguridad del presente Reglamento mediante el cumplimiento de los requisitos esenciales de ciberseguridad establecidos en dicho reglamento. Cuando los sistemas de IA de alto riesgo cumplan los requisitos esenciales de ciberseguridad de un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, debe presumirse que cumplen los requisitos de ciberseguridad del presente Reglamento en la medida en que la satisfacción de esos requisitos se demuestre en la declaración UE de conformidad de emitida con arreglo a dicho reglamento, o partes de esta. A tal fin, la evaluación de los riesgos de ciberseguridad asociados a un producto con elementos digitales clasificado como un sistema de IA de alto riesgo con arreglo al presente Reglamento, realizada en virtud de un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, debe tener en cuenta los riesgos para la ciberresiliencia de un sistema de IA por lo que respecta a los intentos de terceros no autorizados de alterar su uso, comportamiento o funcionamiento, incluidas las vulnerabilidades específicas de la IA, como el envenenamiento de datos o los ataques adversarios, así como, en su caso, los riesgos para los derechos fundamentales, tal como exige el presente Reglamento.

(78)

El procedimiento de evaluación de la conformidad establecido en el presente Reglamento debe aplicarse en relación con los requisitos esenciales de ciberseguridad de un producto con elementos digitales regulado por un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y clasificado como sistema de IA de alto riesgo con arreglo al presente Reglamento. Sin embargo, esta norma no debe dar lugar a una reducción del nivel de garantía necesario para los productos críticos con elementos digitales sujetos a un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales. Por consiguiente, no obstante lo dispuesto en esta norma, los sistemas de IA de alto riesgo que entran dentro del ámbito de aplicación del presente Reglamento y que también se consideran productos críticos importantes con elementos digitales en virtud de un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales, y a los que se aplica el procedimiento de evaluación de la conformidad fundamentado en un control interno que se establece en un anexo del presente Reglamento, están sujetos a lo dispuesto en un reglamento del Parlamento Europeo y del Consejo relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales en materia de evaluación de la conformidad por lo que se refiere a los requisitos esenciales de ciberseguridad de dicho reglamento. En tal caso, en relación con todos los demás aspectos que entren en el ámbito de aplicación del presente Reglamento, debe aplicarse lo dispuesto en el anexo VI del presente Reglamento en materia de evaluación de la conformidad fundamentada en un control interno. Habida cuenta de los conocimientos y la experiencia de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en materia de política de ciberseguridad y de las tareas que se le encomiendan en virtud del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo (37), la Comisión debe cooperar con ENISA en las cuestiones relacionadas con la ciberseguridad de los sistemas de IA.

(79)

Conviene que una persona física o jurídica concreta, definida como el proveedor, asuma la responsabilidad asociada a la introducción en el mercado o la puesta en servicio de un sistema de IA de alto riesgo, con independencia de si dicha persona física o jurídica es o no quien diseñó o desarrolló el sistema.

(80)

Como signatarios de la Convención sobre los Derechos de las Personas con Discapacidad, la Unión y todos los Estados miembros están legalmente obligados a proteger a las personas con discapacidad contra la discriminación y a promover su igualdad, a garantizar que las personas con discapacidad tengan acceso, en igualdad de condiciones con las demás, a las tecnologías y sistemas de la información y las comunicaciones, y a garantizar el respeto a la intimidad de las personas con discapacidad. Habida cuenta de la importancia y el uso crecientes de los sistemas de IA, la aplicación de los principios de diseño universal a todas las nuevas tecnologías y servicios debe garantizar el acceso pleno e igualitario de todas las personas a las que puedan afectar las tecnologías de IA o que puedan utilizar dichas tecnologías, incluidas las personas con discapacidad, de forma que se tenga plenamente en cuenta su dignidad y diversidad inherentes. Por ello es esencial que los proveedores garanticen el pleno cumplimiento de los requisitos de accesibilidad, incluidas la Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo (38) y la Directiva (UE) 2019/882. Los proveedores deben garantizar el cumplimiento de estos requisitos desde el diseño. Por consiguiente, las medidas necesarias deben integrarse en la medida de lo posible en el diseño de los sistemas de IA de alto riesgo.

(81)

El proveedor debe instaurar un sistema de gestión de la calidad sólido, velar por que se siga el procedimiento de evaluación de la conformidad necesario, elaborar la documentación pertinente y establecer un sistema de vigilancia poscomercialización sólido. Los proveedores de sistemas de IA de alto riesgo que estén sujetos a obligaciones relativas a los sistemas de gestión de la calidad con arreglo al Derecho sectorial pertinente de la Unión deben tener la posibilidad de integrar los elementos del sistema de gestión de la calidad establecido en el presente Reglamento en el sistema de gestión de la calidad establecido en dicho Derecho sectorial de la Unión. La complementariedad entre el presente Reglamento y el Derecho sectorial vigente de la Unión también debe tenerse en cuenta en las futuras actividades de normalización o en las orientaciones adoptadas por la Comisión al respecto. Las autoridades públicas que pongan en servicio sistemas de IA de alto riesgo para su propio uso pueden aprobar y aplicar las normas que regulen el sistema de gestión de la calidad en el marco del sistema de gestión de la calidad adoptado a escala nacional o regional, según proceda, teniendo en cuenta las particularidades del sector y las competencias y la organización de la autoridad pública de que se trate.

(82)

Para permitir la ejecución del presente Reglamento y ofrecer igualdad de condiciones a los operadores, es importante velar por que una persona establecida en la Unión pueda, en cualquier circunstancia, facilitar a las autoridades toda la información necesaria sobre la conformidad de un sistema de IA, teniendo en cuenta las distintas formas en que se pueden ofrecer productos digitales. Por lo tanto, antes de comercializar sus sistemas de IA en la Unión, los proveedores establecidos fuera de su territorio deben designar, mediante un mandato escrito, a un representante autorizado que se encuentre en la Unión. El representante autorizado desempeña un papel fundamental a la hora de velar por la conformidad de los sistemas de IA de alto riesgo introducidos en el mercado o puestos en servicio en la Unión por esos proveedores no establecidos en la Unión y servir de persona de contacto establecida en la Unión.

(83)

Teniendo en cuenta la naturaleza y la complejidad de la cadena de valor de los sistemas de IA y de conformidad con el nuevo marco legislativo, es esencial garantizar la seguridad jurídica y facilitar el cumplimiento del presente Reglamento. Por ello es necesario aclarar la función y las obligaciones específicas de los operadores pertinentes de toda dicha cadena de valor, como los importadores y los distribuidores, que pueden contribuir al desarrollo de sistemas de IA. En determinadas situaciones, esos operadores pueden desempeñar más de una función al mismo tiempo y, por lo tanto, deben cumplir de forma acumulativa todas las obligaciones pertinentes asociadas a dichas funciones. Por ejemplo, un operador puede actuar como distribuidor e importador al mismo tiempo.

(84)

Para garantizar la seguridad jurídica, es necesario aclarar que, en determinadas condiciones específicas, debe considerarse proveedor de un sistema de IA de alto riesgo a cualquier distribuidor, importador, responsable del despliegue u otro tercero que, por tanto, debe asumir todas las obligaciones pertinentes. Este sería el caso si, por ejemplo, esa persona pone su nombre o marca en un sistema de IA de alto riesgo ya introducido en el mercado o puesto en servicio, sin perjuicio de los acuerdos contractuales que estipulen otra distribución de las obligaciones. Este también sería el caso si dicha parte modifica sustancialmente un sistema de IA de alto riesgo que ya se haya introducido en el mercado o puesto en servicio de tal manera que el sistema modificado siga siendo un sistema de IA de alto riesgo de conformidad con el presente Reglamento, o si modifica la finalidad prevista de un sistema de IA, como un sistema de IA de uso general, que ya se haya introducido en el mercado o puesto en servicio y que no esté clasificado como sistema de alto riesgo, de tal manera que el sistema modificado pase a ser un sistema de IA de alto riesgo de conformidad con el presente Reglamento. Esas disposiciones deben aplicarse sin perjuicio de las disposiciones más específicas establecidas en determinados actos legislativos de armonización de la Unión basados en el nuevo marco legislativo que se deben aplicar en conjunción con el presente Reglamento. Por ejemplo, el artículo 16, apartado 2, del Reglamento (UE) 2017/745, que establece que determinados cambios no deben considerarse modificaciones de un producto que puedan afectar al cumplimiento de los requisitos aplicables, debe seguir aplicándose a los sistemas de IA de alto riesgo que sean productos sanitarios en el sentido de dicho Reglamento.

(85)

Los sistemas de IA de uso general pueden utilizarse como sistemas de IA de alto riesgo por sí solos o ser componentes de sistemas de IA de alto riesgo. Así pues, debido a su particular naturaleza y a fin de garantizar un reparto equitativo de responsabilidades a lo largo de toda la cadena de valor, los proveedores de tales sistemas, con independencia de que estos sistemas puedan ser utilizados como sistemas de IA de alto riesgo por sí solos por otros proveedores o como componentes de sistemas de IA de alto riesgo, y salvo que se disponga otra cosa en el presente Reglamento, deben cooperar estrechamente con los proveedores de los sistemas de IA de alto riesgo correspondientes para que estos puedan cumplir las obligaciones pertinentes en virtud del presente Reglamento, así como con las autoridades competentes establecidas en virtud del presente Reglamento.

(86)

Cuando, con arreglo a las condiciones establecidas en el presente Reglamento, el proveedor que introdujo inicialmente el sistema de IA en el mercado o lo puso en servicio ya no deba considerarse el proveedor a los efectos del presente Reglamento, y cuando dicho proveedor no haya excluido expresamente la transformación del sistema de IA en un sistema de IA de alto riesgo, el primer proveedor debe, no obstante, cooperar estrechamente, facilitar la información necesaria y proporcionar el acceso técnico u otra asistencia que quepa esperar razonablemente y que sean necesarios para el cumplimiento de las obligaciones establecidas en el presente Reglamento, en particular en lo que respecta al cumplimiento de la evaluación de la conformidad de los sistemas de IA de alto riesgo.

(87)

Además, cuando un sistema de IA de alto riesgo que sea un componente de seguridad de un producto que entre dentro del ámbito de aplicación de un acto legislativo de armonización de la Unión basado en el nuevo marco legislativo no se introduzca en el mercado ni se ponga en servicio de forma independiente del producto, el fabricante del producto, tal como se define en el acto legislativo pertinente, debe cumplir las obligaciones que el presente Reglamento impone al proveedor y, en particular, debe garantizar que el sistema de IA integrado en el producto final cumpla los requisitos del presente Reglamento.

(88)

A lo largo de la cadena de valor de la IA, numerosas partes suministran a menudo no solo sistemas, herramientas y servicios de IA, sino también componentes o procesos que el proveedor incorpora al sistema de IA con diversos objetivos, como el entrenamiento de modelos, el reentrenamiento de modelos, la prueba y evaluación de modelos, la integración en el software u otros aspectos del desarrollo de modelos. Dichas partes desempeñan un papel importante en la cadena de valor en relación con el proveedor del sistema de IA de alto riesgo en el que se integran sus sistemas, herramientas, servicios, componentes o procesos de IA, y deben proporcionar a dicho proveedor, mediante acuerdo escrito, la información, las capacidades, el acceso técnico y demás asistencia que sean necesarios habida cuenta del estado actual de la técnica generalmente reconocido, a fin de que el proveedor pueda cumplir íntegramente las obligaciones establecidas en el presente Reglamento, sin comprometer sus propios derechos de propiedad intelectual e industrial o secretos comerciales.

(89)

A los terceros que ponen a disposición del público herramientas, servicios, procesos o componentes de IA que no sean modelos de IA de uso general no se les debe imponer la obligación de cumplir los requisitos relativos a las responsabilidades a lo largo de la cadena de valor de la IA, en particular por lo que respecta al proveedor que haya utilizado o integrado dichas herramientas, servicios, procesos o componentes de IA, cuando el acceso a dichas herramientas, servicios, procesos o componentes de IA esté sujeto a una licencia libre y de código abierto. No obstante, se debe animar a los desarrolladores de herramientas, servicios, procesos o componentes de IA libres y de código abierto que no sean modelos de IA de uso general a que apliquen prácticas de documentación ampliamente adoptadas, como tarjetas de modelo y hojas de datos, como una forma de acelerar el intercambio de información a lo largo de la cadena de valor de la IA, permitiendo la promoción en la Unión de sistemas de IA fiables.

(90)

La Comisión podría elaborar y recomendar cláusulas contractuales tipo, de carácter voluntario, entre los proveedores de sistemas de IA de alto riesgo y los terceros que suministren herramientas, servicios, componentes o procesos que se utilicen o integren en los sistemas de IA de alto riesgo, a fin de facilitar la cooperación a lo largo de la cadena de valor. Cuando elabore estas cláusulas contractuales tipo de carácter voluntario, la Comisión también debe tener en cuenta los posibles requisitos contractuales aplicables en determinados sectores o modelos de negocio.

(91)

Habida cuenta de las características de los sistemas de IA y de los riesgos que su uso lleva aparejado para la seguridad y los derechos fundamentales, también en lo que respecta a la necesidad de garantizar la correcta vigilancia del funcionamiento de un sistema de IA en un entorno real, conviene establecer las responsabilidades específicas de los responsables del despliegue. En particular, los responsables del despliegue deben adoptar las medidas técnicas y organizativas adecuadas para garantizar que utilizan los sistemas de IA de alto riesgo conforme a las instrucciones de uso. Además, es preciso definir otras obligaciones en relación con la vigilancia del funcionamiento de los sistemas de IA y la conservación de registros, según proceda. Asimismo, los responsables del despliegue deben garantizar que las personas encargadas de poner en práctica las instrucciones de uso y la supervisión humana establecidas en el presente Reglamento tengan las competencias necesarias, en particular un nivel adecuado de alfabetización, formación y autoridad en materia de IA para desempeñar adecuadamente dichas tareas. Dichas obligaciones deben entenderse sin perjuicio de otras obligaciones que tenga el responsable del despliegue en relación con los sistemas de IA de alto riesgo con arreglo al Derecho nacional o de la Unión.

(92)

El presente Reglamento se entiende sin perjuicio de la obligación de los empleadores de informar o de informar y consultar a los trabajadores o a sus representantes, en virtud del Derecho o las prácticas nacionales o de la Unión, incluida la Directiva 2002/14/CE del Parlamento Europeo y del Consejo (39), sobre la decisión de poner en servicio o utilizar sistemas de IA. Se debe velar por que se informe a los trabajadores y a sus representantes sobre el despliegue previsto de sistemas de IA de alto riesgo en el lugar de trabajo incluso aunque no se cumplan las condiciones de las citadas obligaciones de información o de información y consulta previstas en otros instrumentos jurídicos. Además, este derecho de información es accesorio y necesario para el objetivo de protección de los derechos fundamentales que subyace al presente Reglamento. Por consiguiente, debe establecerse en el presente Reglamento un requisito de información a tal efecto, sin que dicho requisito afecte a ningún derecho vigente de los trabajadores.

(93)

Aunque los riesgos relacionados con los sistemas de IA pueden derivarse de su diseño, también pueden derivarse riesgos del uso que se hace de ellos. Por ello, los responsables del despliegue de un sistema de IA de alto riesgo desempeñan un papel fundamental a la hora de garantizar la protección de los derechos fundamentales, como complemento de las obligaciones del proveedor al desarrollar el sistema de IA. Los responsables del despliegue se encuentran en una posición óptima para comprender el uso concreto que se le dará al sistema de IA de alto riesgo y pueden, por lo tanto, detectar potenciales riesgos significativos que no se previeron en la fase de desarrollo, al tener un conocimiento más preciso del contexto de uso y de las personas o los colectivos de personas que probablemente se vean afectados, entre los que se incluyen colectivos vulnerables. Los responsables del despliegue de los sistemas de IA de alto riesgo que se enumeran en un anexo del presente Reglamento también desempeñan un papel fundamental a la hora de informar a las personas físicas y, cuando tomen decisiones o ayuden a tomar decisiones relacionadas con personas físicas, deben, en su caso, informar a las personas físicas de que son objeto de la utilización de un sistema de IA de alto riesgo. Esta información debe incluir la finalidad prevista y el tipo de decisiones que se toman. El responsable del despliegue también debe informar a las personas físicas de su derecho a una explicación con arreglo al presente Reglamento. Por lo que respecta a los sistemas de IA de alto riesgo que se utilizan a efectos de la garantía del cumplimiento del Derecho, esa obligación debe ejecutarse de conformidad con el artículo 13 de la Directiva (UE) 2016/680.

(94)

Todo tratamiento de datos biométricos que se produzca en el marco de la utilización de un sistema de IA para la identificación biométrica con fines de garantía del cumplimiento del Derecho debe cumplir lo dispuesto en el artículo 10 de la Directiva (UE) 2016/680, que permite dicho tratamiento solo cuando sea estrictamente necesario, con sujeción a las salvaguardias adecuadas para los derechos y libertades del interesado y cuando así lo autorice el Derecho de la Unión o de los Estados miembros. Dicho uso, cuando esté autorizado, también debe respetar los principios establecidos en el artículo 4, apartado 1, de la Directiva (UE) 2016/680, como, entre otros, que el tratamiento sea lícito y leal, la transparencia, la limitación de la finalidad, la exactitud y la limitación del plazo de conservación.

(95)

Sin perjuicio del Derecho de la Unión aplicable, en particular el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680, teniendo en cuenta el carácter intrusivo de los sistemas de identificación biométrica remota en diferido, el uso de este tipo de sistemas debe estar sujeto a garantías. Los sistemas de identificación biométrica remota en diferido deben utilizarse siempre de manera proporcionada y legítima, en la medida de lo estrictamente necesario y, por ende, de forma selectiva por lo que respecta a las personas que deben identificarse, la ubicación y el alcance temporal y a partir de un conjunto limitado de datos de grabaciones de vídeo obtenidas legalmente. En cualquier caso, los sistemas de identificación biométrica remota en diferido no deben utilizarse en el marco de la garantía del cumplimiento del Derecho de tal forma que se produzca una vigilancia indiscriminada. Las condiciones para la identificación biométrica remota en diferido en ningún caso deben servir para eludir las condiciones de la prohibición y las estrictas excepciones aplicables a la identificación biométrica remota en tiempo real.

(96)

A fin de garantizar eficazmente la protección de los derechos fundamentales, los responsables del despliegue de sistemas de IA de alto riesgo que sean organismos de Derecho público, o las entidades privadas que presten servicios públicos y los responsables del despliegue de determinados sistemas de IA de alto riesgo enumerados en un anexo del presente Reglamento, como las entidades bancarias o de seguros, deben llevar a cabo una evaluación de impacto relativa a los derechos fundamentales antes de su puesta en funcionamiento. Algunos servicios importantes para las personas que son de carácter público también pueden ser prestados por entidades privadas. Las entidades privadas que prestan estos servicios públicos se vinculan a funciones de interés público, por ejemplo, en el ámbito de la educación, la asistencia sanitaria, los servicios sociales, la vivienda y la administración de justicia. El objetivo de la evaluación de impacto relativa a los derechos fundamentales es que el responsable del despliegue determine los riesgos específicos para los derechos de las personas o colectivos de personas que probablemente se vean afectados y defina las medidas que deben adoptarse en caso de que se materialicen dichos riesgos. La evaluación de impacto debe llevarse a cabo antes del despliegue del sistema de IA de alto riesgo y debe actualizarse cuando el responsable del despliegue considere que alguno de los factores pertinentes ha cambiado. La evaluación de impacto debe determinar los procesos pertinentes del responsable del despliegue en los que se utilizará el sistema de IA de alto riesgo en consonancia con su finalidad prevista y debe incluir una descripción del plazo de tiempo y la frecuencia en que se pretende utilizar el sistema, así como de las categorías concretas de personas físicas y de colectivos de personas que probablemente se vean afectados por el uso del sistema de IA de alto riesgo en ese contexto de uso específico. La evaluación también debe determinar los riesgos de perjuicio específicos que probablemente afecten a los derechos fundamentales de dichas personas o colectivos. Al llevar a cabo esta evaluación, el responsable del despliegue debe tener en cuenta la información pertinente para una evaluación adecuada del impacto, lo que incluye, por ejemplo, la información facilitada por el proveedor del sistema de IA de alto riesgo en las instrucciones de uso. A la luz de los riesgos detectados, los responsables del despliegue deben determinar las medidas que han de adoptarse en caso de que se materialicen dichos riesgos, entre las que se incluyen, por ejemplo, sistemas de gobernanza para ese contexto de uso específico, como los mecanismos de supervisión humana con arreglo a las instrucciones de uso, los procedimientos de tramitación de reclamaciones y de recurso, ya que podrían ser fundamentales para mitigar los riesgos para los derechos fundamentales en casos de uso concretos. Tras llevar a cabo dicha evaluación de impacto, el responsable del despliegue debe notificarlo a la autoridad de vigilancia del mercado pertinente. Cuando proceda, para recopilar la información pertinente necesaria para llevar a cabo la evaluación de impacto, los responsables del despliegue de un sistema de IA de alto riesgo, en particular cuando el sistema de IA se utilice en el sector público, pueden contar con la participación de las partes interesadas pertinentes, como, por ejemplo, los representantes de colectivos de personas que probablemente se vean afectados por el sistema de IA, expertos independientes u organizaciones de la sociedad civil, en la realización de dichas evaluaciones de impacto y en el diseño de las medidas que deben adoptarse en caso de materialización de los riesgos. La Oficina Europea de Inteligencia Artificial (en lo sucesivo, «Oficina de IA») debe elaborar un modelo de cuestionario con el fin de facilitar el cumplimiento y reducir la carga administrativa para los responsables del despliegue.

(97)

El concepto de modelos de IA de uso general debe definirse claramente y diferenciarse del concepto de sistemas de IA con el fin de garantizar la seguridad jurídica. La definición debe basarse en las características funcionales esenciales de un modelo de IA de uso general, en particular la generalidad y la capacidad de realizar de manera competente una amplia variedad de tareas diferenciadas. Estos modelos suelen entrenarse usando grandes volúmenes de datos y a través de diversos métodos, como el aprendizaje autosupervisado, no supervisado o por refuerzo. Los modelos de IA de uso general pueden introducirse en el mercado de diversas maneras, por ejemplo, a través de bibliotecas, interfaces de programación de aplicaciones (API), como descarga directa o como copia física. Estos modelos pueden modificarse o perfeccionarse y transformarse en nuevos modelos. Aunque los modelos de IA son componentes esenciales de los sistemas de IA, no constituyen por sí mismos sistemas de IA. Los modelos de IA requieren que se les añadan otros componentes, como, por ejemplo, una interfaz de usuario, para convertirse en sistemas de IA. Los modelos de IA suelen estar integrados en los sistemas de IA y formar parte de dichos sistemas. El presente Reglamento establece normas específicas para los modelos de IA de uso general y para los modelos de IA de uso general que entrañan riesgos sistémicos, que deben aplicarse también cuando estos modelos estén integrados en un sistema de IA o formen parte de un sistema de IA. Debe entenderse que las obligaciones de los proveedores de modelos de IA de uso general deben aplicarse una vez que los modelos de IA de uso general se introduzcan en el mercado. Cuando el proveedor de un modelo de IA de uso general integre un modelo propio en un sistema de IA propio que se comercialice o ponga en servicio, se debe considerar que dicho modelo se ha introducido en el mercado y, por tanto, se deben seguir aplicando las obligaciones establecidas en el presente Reglamento en relación con los modelos, además de las establecidas en relación con los sistemas de IA. En cualquier caso, las obligaciones establecidas en relación con los modelos no deben aplicarse cuando un modelo propio se utilice en procesos puramente internos que no sean esenciales para suministrar un producto o un servicio a un tercero y los derechos de las personas físicas no se vean afectados. Teniendo en cuenta su potencial para causar efectos negativos importantes, los modelos de IA de uso general con riesgo sistémico deben estar siempre sujetos a las obligaciones pertinentes establecidas en el presente Reglamento. La definición no debe incluir los modelos de IA utilizados antes de su introducción en el mercado únicamente para actividades de investigación, desarrollo y creación de prototipos. Lo anterior se entiende sin perjuicio de la obligación de cumplir lo dispuesto en el presente Reglamento cuando, tras haber realizado dichas actividades, el modelo se introduzca en el mercado.

(98)

Aunque la generalidad de un modelo también podría determinarse, entre otras cosas, mediante una serie de parámetros, debe considerarse que los modelos que tengan al menos mil millones de parámetros y se hayan entrenado con un gran volumen de datos utilizando la autosupervisión a escala presentan un grado significativo de generalidad y realizan de manera competente una amplia variedad de tareas diferenciadas.

(99)

Los grandes modelos de IA generativa son un ejemplo típico de un modelo de IA de uso general, ya que permiten la generación flexible de contenidos, por ejemplo, en formato de texto, audio, imágenes o vídeo, que pueden adaptarse fácilmente a una amplia gama de tareas diferenciadas.

(100)

Cuando un modelo de IA de uso general esté integrado en un sistema de IA o forme parte de él, este sistema debe considerarse un sistema de IA de uso general cuando, debido a esta integración, el sistema tenga la capacidad de servir a diversos fines. Un sistema de IA de uso general puede utilizarse directamente e integrarse en otros sistemas de IA.

(101)

Los proveedores de modelos de IA de uso general tienen una función y una responsabilidad particulares a lo largo de la cadena de valor de la IA, ya que los modelos que suministran pueden constituir la base de diversos sistemas de etapas posteriores, que a menudo son suministrados por proveedores posteriores que necesitan entender bien los modelos y sus capacidades, tanto para permitir la integración de dichos modelos en sus productos como para cumplir sus obligaciones en virtud del presente Reglamento o de otros reglamentos. Por consiguiente, deben establecerse medidas de transparencia proporcionadas, lo que incluye elaborar documentación y mantenerla actualizada y facilitar información sobre el modelo de IA de uso general para su uso por parte de los proveedores posteriores. El proveedor del modelo de IA de uso general debe elaborar y mantener actualizada la documentación técnica con el fin de ponerla a disposición, previa solicitud, de la Oficina de IA y de las autoridades nacionales competentes. Los elementos mínimos que debe contener dicha documentación deben establecerse en anexos específicos del presente Reglamento. La Comisión debe estar facultada para modificar dichos anexos mediante actos delegados en función de los avances tecnológicos.

(102)

El software y los datos, incluidos los modelos, divulgados con arreglo a una licencia libre y de código abierto que permita compartirlos abiertamente y que los usuarios puedan acceder a ellos, o a versiones modificadas de dicho software y dichos datos, o utilizarlos, modificarlos y redistribuirlos libremente, pueden contribuir a la investigación y la innovación en el mercado y pueden ofrecer importantes oportunidades de crecimiento para la economía de la Unión. Debe considerarse que los modelos de IA de uso general divulgados con arreglo a una licencia libre y de código abierto garantizan altos niveles de transparencia y apertura si sus parámetros, incluidos los pesos, la información sobre la arquitectura del modelo y la información sobre el uso del modelo, se ponen a disposición del público. La licencia debe considerarse libre y de código abierto cuando permita a los usuarios ejecutar, copiar, distribuir, estudiar, modificar y mejorar el software y los datos, incluidos los modelos a condición de que se cite al proveedor original del modelo, si se respetan unas condiciones de distribución idénticas o comparables.

(103)

Los componentes de IA libres y de código abierto comprenden el software y los datos, incluidos los modelos y los modelos de IA de uso general, las herramientas, los servicios y los procesos de un sistema de IA. Los componentes de IA libres y de código abierto pueden suministrarse a través de diferentes canales, lo que incluye la posibilidad de desarrollarlos en repositorios abiertos. A los efectos del presente Reglamento, los componentes de IA que se suministren a cambio de una contraprestación o que se moneticen de cualquier otro modo, como, por ejemplo, mediante la prestación de apoyo técnico u otros servicios en relación con el componente de IA, ya sea a través de una plataforma de software o por otros medios, o mediante el uso de datos personales con fines que no se refieran exclusivamente a la mejora de la seguridad, la compatibilidad o la interoperabilidad del software, salvo si se trata de operaciones entre microempresas, no deben poder acogerse a las excepciones previstas para los componentes de IA libres y de código abierto. La disponibilidad de un componente de IA a través de repositorios abiertos no debe constituir, de por sí, una monetización.

(104)

Los proveedores de modelos de IA de uso general divulgados con arreglo a una licencia libre y de código abierto cuyos parámetros, incluidos los pesos, la información sobre la arquitectura del modelo y la información sobre el uso del modelo, se ponen a disposición del público deben estar sujetos a excepciones por lo que respecta a los requisitos de transparencia que se imponen a los modelos de IA de uso general, a menos que pueda considerarse que presentan un riesgo sistémico, en cuyo caso la circunstancia de que el modelo sea transparente y vaya acompañado de una licencia de código abierto no debe considerarse una razón suficiente para que quede exento del cumplimiento de las obligaciones establecidas en el presente Reglamento. En cualquier caso, dado que la divulgación de modelos de IA de uso general con arreglo a una licencia libre y de código abierto no necesariamente revela información sustancial sobre el conjunto de datos utilizado para entrenar el modelo o realizar ajustes en relación con este ni sobre la manera en que se garantizó el cumplimiento del Derecho en materia de derechos de autor, la excepción prevista para los modelos de IA de uso general en relación con el cumplimiento de los requisitos de transparencia no debe eximir de la obligación de presentar un resumen del contenido utilizado para el entrenamiento del modelo ni de la obligación de adoptar directrices para el cumplimiento del Derecho de la Unión en materia de derechos de autor, en particular para identificar y respetar la reserva de derechos prevista en el artículo 4, apartado 3, de la Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo (40).

(105)

Los modelos de IA de uso general, en particular los grandes modelos de IA generativos, capaces de generar texto, imágenes y otros contenidos, presentan unas oportunidades de innovación únicas, pero también representan un desafío para los artistas, autores y demás creadores y para la manera en que se crea, distribuye, utiliza y consume su contenido creativo. El desarrollo y el entrenamiento de estos modelos requiere acceder a grandes cantidades de texto, imágenes, vídeos y otros datos. Las técnicas de prospección de textos y datos pueden utilizarse ampliamente en este contexto para la recuperación y el análisis de tales contenidos, que pueden estar protegidos por derechos de autor y derechos afines. Todo uso de contenidos protegidos por derechos de autor requiere la autorización del titular de los derechos de que se trate, salvo que se apliquen las excepciones y limitaciones pertinentes en materia de derechos de autor. La Directiva (UE) 2019/790 introdujo excepciones y limitaciones que permiten reproducciones y extracciones de obras y otras prestaciones con fines de prospección de textos y datos en determinadas circunstancias. Con arreglo a estas normas, los titulares de derechos pueden optar por reservarse sus derechos en relación con sus obras u otras prestaciones para evitar la prospección de textos y datos, salvo que su finalidad sea la investigación científica. Cuando el titular del derecho se haya reservado de manera adecuada el derecho de exclusión, los proveedores de modelos de IA de uso general deben obtener su autorización para llevar a cabo una prospección de textos y datos con dichas obras.

(106)

Los proveedores que introduzcan modelos de IA de uso general en el mercado de la Unión deben garantizar el cumplimiento de las obligaciones pertinentes establecidas en el presente Reglamento. A tal fin, los proveedores de modelos de IA de uso general deben adoptar directrices para el cumplimiento del Derecho de la Unión en materia de derechos de autor y derechos afines, en particular para detectar y cumplir la reserva de derechos expresada por los titulares de derechos con arreglo al artículo 4, apartado 3, de la Directiva (UE) 2019/790. Todo proveedor que introduzca un modelo de IA de uso general en el mercado de la Unión debe cumplir esta obligación, independientemente de la jurisdicción en la que tengan lugar los actos pertinentes en materia de derechos de autor que sustentan el entrenamiento de dichos modelos de IA de uso general. Esta medida es necesaria para garantizar unas condiciones de competencia equitativas entre los proveedores de modelos de IA de uso general que impidan que un proveedor obtenga una ventaja competitiva en el mercado de la Unión aplicando normas en materia de derechos de autor menos estrictas que las establecidas en la Unión.

(107)

Con el fin de aumentar la transparencia en relación con los datos utilizados en el entrenamiento previo y el entrenamiento de los modelos de IA de uso general, incluidos los textos y los datos protegidos por el Derecho en materia de derechos de autor, procede que los proveedores de dichos modelos elaboren y pongan a disposición del público un resumen suficientemente detallado de los contenidos utilizados para el entrenamiento del modelo de IA de uso general. Este resumen debe tener debidamente en cuenta la necesidad de proteger los secretos comerciales y la información empresarial confidencial y, al mismo tiempo, debe ser exhaustivo en general en su alcance en vez de técnicamente detallado, a fin de facilitar que las partes con intereses legítimos, incluidos los titulares de derechos de autor, ejerzan y hagan cumplir sus derechos en virtud del Derecho de la Unión, por ejemplo, enumerando los principales conjuntos o recopilaciones de datos que hayan servido para entrenar al modelo, como los grandes archivos de datos o bases de datos privados o públicos, y proporcionando una explicación descriptiva sobre otras fuentes de datos utilizadas. Conviene que la Oficina de IA proporcione un modelo para el resumen, que debe ser sencillo y eficaz y permitir que el proveedor proporcione el resumen requerido en forma descriptiva.

(108)

Por lo que se refiere a las obligaciones impuestas a los proveedores de modelos de IA de uso general de adoptar directrices para el cumplimiento del Derecho de la Unión en materia de derechos de autor y de poner a disposición del público un resumen de los contenidos utilizados para el entrenamiento, la Oficina de IA debe supervisar si el proveedor ha cumplido dichas obligaciones sin verificar ni proceder a una evaluación obra por obra de los datos de entrenamiento en cuanto al respeto de los derechos de autor. El presente Reglamento no afecta al cumplimiento de las normas en materia de derechos de autor previstas en el Derecho de la Unión.

(109)

El cumplimiento de las obligaciones aplicables a los proveedores de modelos de IA de uso general debe ser proporcionado y adecuado al tipo de proveedor de modelos. Debe eximirse de la obligación de cumplimiento a las personas que desarrollan o utilizan modelos con fines no profesionales o de investigación científica. No obstante, debe animarse a estas personas a cumplir voluntariamente estos requisitos. Sin perjuicio del Derecho de la Unión en materia de derechos de autor, el cumplimiento de esas obligaciones debe tener debidamente en cuenta el tamaño del proveedor y permitir formas simplificadas de cumplimiento para las pymes, incluidas las empresas emergentes, que no deben suponer un coste excesivo ni desincentivar el uso de dichos modelos. En caso de que se modifique o ajuste un modelo, las obligaciones de los proveedores de modelos de IA de uso general deben limitarse a esa modificación o esos ajustes, por ejemplo, complementando la documentación técnica ya existente con información sobre las modificaciones, incluidas las nuevas fuentes de datos de entrenamiento, para cumplir las obligaciones relacionadas con la cadena de valor establecidas en el presente Reglamento.

(110)

Los modelos de IA de uso general pueden plantear riesgos sistémicos, por ejemplo, cualquier efecto negativo real o razonablemente previsible en relación con accidentes graves, perturbaciones de sectores críticos y consecuencias graves para la salud y la seguridad públicas, cualquier efecto negativo real o razonablemente previsible sobre los procesos democráticos y la seguridad pública y económica o la difusión de contenidos ilícitos, falsos o discriminatorios. Debe entenderse que los riesgos sistémicos aumentan con las capacidades y el alcance de los modelos, pueden surgir durante todo el ciclo de vida del modelo y se ven influidos por las condiciones de uso indebido, la fiabilidad del modelo, la equidad y la seguridad del modelo, el nivel de autonomía del modelo, su acceso a herramientas, modalidades novedosas o combinadas, las estrategias de divulgación y distribución, la posibilidad de eliminar las salvaguardias y otros factores. En particular, los enfoques internacionales han establecido hasta la fecha la necesidad de prestar atención a los riesgos derivados de posibles usos indebidos intencionados o de problemas en materia de control relacionados con la armonización con la intención humana no deseados, a los riesgos químicos, biológicos, radiológicos y nucleares, como las maneras en que las barreras a la entrada pueden reducirse, también para el desarrollo, el diseño, la adquisición o el uso de armas, a las cibercapacidades ofensivas, como las maneras en que pueden propiciarse el descubrimiento, la explotación o el uso operativo de vulnerabilidades, a los efectos de la interacción y el uso de herramientas, incluida, por ejemplo, la capacidad de controlar sistemas físicos e interferir en el funcionamiento de infraestructuras críticas, a los riesgos derivados del hecho que los modelos hagan copias de sí mismos o se «autorrepliquen» o entrenen a otros modelos, a las maneras en que los modelos pueden dar lugar a sesgos dañinos y discriminación que entrañan riesgos para las personas, las comunidades o las sociedades, a la facilitación de la desinformación o el menoscabo de la intimidad, que suponen una amenaza para los valores democráticos y los derechos humanos, al riesgo de que un acontecimiento concreto dé lugar a una reacción en cadena con efectos negativos considerables que podrían afectar incluso a una ciudad entera, un ámbito de actividad entero o una comunidad entera.

(111)

Conviene establecer una metodología para la clasificación de los modelos de IA de uso general como modelos de IA de uso general con riesgos sistémicos. Dado que los riesgos sistémicos se derivan de capacidades especialmente elevadas, debe considerarse que un modelo de IA de uso general presenta riesgos sistémicos si tiene capacidades de gran impacto —evaluadas mediante herramientas y metodologías técnicas adecuadas— o unas repercusiones considerables en el mercado interior debido a su alcance. Las capacidades de gran impacto en modelos de IA de uso general son capacidades que igualan o superan las capacidades mostradas por los modelos de IA de uso general más avanzados. La introducción en el mercado de un modelo o las interacciones de los responsables del despliegue con él permiten comprender mejor el conjunto de sus capacidades. Según el estado de la técnica en el momento de la entrada en vigor del presente Reglamento, la cantidad acumulada de cálculo utilizado para el entrenamiento del modelo de IA de uso general, medida en operaciones de coma flotante, es una de las aproximaciones pertinentes para las capacidades del modelo. La cantidad acumulada de cálculo utilizado para el entrenamiento incluye los cálculos utilizados en las distintas actividades y métodos destinados a mejorar las capacidades del modelo antes del despliegue, como el entrenamiento previo, la generación de datos sintéticos y la realización de ajustes. Por lo tanto, debe establecerse un umbral inicial de operaciones de coma flotante que, de ser alcanzado por un modelo de IA de uso general, dé lugar a la presunción de que el modelo es un modelo de IA de uso general con riesgos sistémicos. Este umbral deberá irse ajustando para reflejar los cambios tecnológicos e industriales, como las mejoras algorítmicas o el aumento de la eficiencia del hardware, y debe complementarse con parámetros de referencia e indicadores de la capacidad de los modelos. Para fundamentar esto, la Oficina de IA debe colaborar con la comunidad científica, la industria, la sociedad civil y otros expertos. Los umbrales, así como las herramientas y los parámetros de referencia para la evaluación de las capacidades de gran impacto, deben servir para predecir con fiabilidad la generalidad, las capacidades y el riesgo sistémico asociado de los modelos de IA de uso general, y podrían tener en cuenta la manera en que el modelo se introducirá en el mercado o el número de usuarios a los que podría afectar. Para complementar este sistema, la Comisión debe poder adoptar decisiones individuales por las que se designe un modelo de IA de uso general como modelo de IA de uso general con riesgo sistémico si se determina que dicho modelo tiene capacidades o repercusiones equivalentes a las reflejadas por el umbral establecido. Dicha decisión debe adoptarse atendiendo a una evaluación global de los criterios para la designación de modelos de IA de uso general con riesgo sistémico establecidos en un anexo del presente Reglamento, como la calidad o el tamaño del conjunto de datos de entrenamiento, el número de usuarios profesionales y finales, sus modalidades de entrada y de salida, su nivel de autonomía y escalabilidad o las herramientas a las que tiene acceso. Previa solicitud motivada de un proveedor cuyo modelo haya sido designado como modelo de IA de uso general con riesgo sistémico, la Comisión debe tener en cuenta la solicitud y podrá decidir reevaluar si puede seguir considerándose que el modelo de IA de uso general presenta riesgos sistémicos.

(112)

También es necesario aclarar un procedimiento para la clasificación de un modelo de IA de uso general con riesgos sistémicos. Debe presumirse que un modelo de IA de uso general que alcanza el umbral aplicable para las capacidades de gran impacto es un modelo de IA de uso general con riesgo sistémico. El proveedor debe enviar una notificación a la Oficina de IA a más tardar dos semanas después de que se cumplan los requisitos o de que se sepa que un modelo de IA de uso general cumplirá los requisitos que conducen a la presunción. Esto es especialmente pertinente en relación con el umbral de operaciones de coma flotante, ya que el entrenamiento de los modelos de IA de uso general requiere una planificación considerable que incluye la asignación previa de recursos computacionales y, por tanto, los proveedores de modelos de IA de uso general pueden saber si su modelo alcanzará el umbral antes del fin del entrenamiento. En el contexto de dicha notificación, el proveedor debe poder demostrar que, debido a sus características específicas, un modelo de IA de uso general no presenta excepcionalmente riesgos sistémicos y que, por tanto, no debe clasificarse como modelo de IA de uso general con riesgos sistémicos. Esa información es valiosa para que la Oficina de IA anticipe la introducción en el mercado de modelos de IA de uso general con riesgos sistémicos y para que los proveedores pueden empezar a colaborar con la Oficina de IA en una fase temprana. Dicha información es especialmente importante cuando esté previsto divulgar un modelo de IA de uso general como modelo de código abierto, dado que, tras la divulgación de modelos de código abierto, puede resultar más difícil aplicar las medidas necesarias para garantizar el cumplimiento de las obligaciones establecidas en el presente Reglamento.

(113)

Si la Comisión descubre que un modelo de IA de uso general del que no tenía conocimiento o que el proveedor pertinente no le había notificado cumple los requisitos para ser clasificado como modelo de IA de uso general con riesgo sistémico, la Comisión debe estar facultada para designarlo. Además de las actividades de supervisión de la Oficina de IA, un sistema de alertas cualificadas debe garantizar que la Oficina de IA sea informada por el grupo de expertos científicos de la existencia de modelos de IA de uso general que podrían ser clasificados como modelos de IA de uso general con riesgo sistémico.

(114)

Los proveedores de modelos de IA de uso general que presenten riesgos sistémicos deben estar sujetos, además de a las obligaciones impuestas a los proveedores de modelos de IA de uso general, a obligaciones encaminadas a detectar y atenuar dichos riesgos y a garantizar un nivel adecuado de protección en materia de ciberseguridad, independientemente de si dichos modelos se ofrecen como modelos independientes o están integrados en sistemas de IA o en productos. Para alcanzar esos objetivos, el presente Reglamento debe exigir a los proveedores que lleven a cabo las evaluaciones de los modelos necesarias, en particular antes de la primera introducción en el mercado, y que, por ejemplo, lleven a cabo y documenten pruebas de simulación de adversarios, también, según proceda, mediante pruebas externas independientes o pruebas internas. Además, los proveedores de modelos de IA de uso general con riesgos sistémicos deben evaluar y mitigar continuamente los riesgos sistémicos, por ejemplo, mediante el establecimiento de políticas de gestión de riesgos, como procesos de rendición de cuentas y gobernanza, la puesta en práctica de la vigilancia poscomercialización, la adopción de medidas adecuadas durante todo el ciclo de vida del modelo y la cooperación con los agentes pertinentes a lo largo de la cadena de valor de la IA.

(115)

Los proveedores de modelos de IA de uso general con riesgos sistémicos deben evaluar y mitigar los posibles riesgos sistémicos. Si, a pesar de los esfuerzos por detectar y prevenir los riesgos relacionados con un modelo de IA de uso general que pueda presentar riesgos sistémicos, el desarrollo o el uso del modelo provoca un incidente grave, el proveedor del modelo de IA de uso general debe, sin demora indebida, hacer un seguimiento del incidente y comunicar toda la información pertinente y las posibles medidas correctoras a la Comisión y a las autoridades nacionales competentes. Además, los proveedores deben garantizar que el modelo y su infraestructura física, si procede, tengan un nivel adecuado de protección en materia de ciberseguridad durante todo el ciclo de vida del modelo. La protección en materia de ciberseguridad relacionada con los riesgos sistémicos asociados al uso malintencionado o a los ataques debe tener debidamente en cuenta las fugas accidentales de modelos, las divulgaciones no autorizadas, la elusión de las medidas de seguridad y la defensa contra los ciberataques, el acceso no autorizado o el robo de modelos. Esa protección podría facilitarse asegurando los pesos, los algoritmos, los servidores y los conjuntos de datos del modelo, por ejemplo, mediante medidas de seguridad operativa para la seguridad de la información, medidas específicas en materia de ciberseguridad, soluciones técnicas adecuadas y establecidas y controles de acceso cibernéticos y físicos, en función de las circunstancias pertinentes y los riesgos existentes.

(116)

La Oficina de IA debe fomentar y facilitar la elaboración, revisión y adaptación de códigos de buenas prácticas, teniendo en cuenta los enfoques internacionales. Podría invitarse a participar a todos los proveedores de modelos de IA de uso general. Para garantizar que los códigos de buenas prácticas reflejen el estado actual de la técnica y tengan debidamente en cuenta perspectivas distintas, la Oficina de IA debe colaborar con las autoridades nacionales competentes pertinentes y, cuando proceda, podrá consultar a organizaciones de la sociedad civil y a otras partes interesadas y expertos pertinentes, incluido el Grupo de Expertos Científicos, por lo que respecta a la elaboración de dichos códigos. Los códigos de buenas prácticas deben comprender las obligaciones de los proveedores de modelos de IA de uso general y de modelos de IA de uso general que presenten riesgos sistémicos. Además, en lo que respecta a los riesgos sistémicos, los códigos de buenas prácticas deben ayudar a establecer una taxonomía de riesgos en la que figuren el tipo y la naturaleza de los riesgos sistémicos a escala de la Unión, incluidas sus fuentes. Asimismo, los códigos de buenas prácticas deben centrarse en medidas específicas de evaluación y reducción de riesgos.

(117)

Los códigos de buenas prácticas deben constituir una herramienta fundamental para el cumplimiento adecuado de las obligaciones previstas en el presente Reglamento para los proveedores de modelos de IA de uso general. Los proveedores deben poder basarse en códigos de buenas prácticas para demostrar el cumplimiento de las obligaciones. Mediante actos de ejecución, la Comisión podrá decidir aprobar un código de buenas prácticas y conferirle una validez general dentro de la Unión o, alternativamente, establecer normas comunes para la puesta en práctica de las obligaciones pertinentes si, para el momento en que el presente Reglamento sea aplicable, no ha podido finalizarse un código de buenas prácticas o la Oficina de IA no lo considera adecuado. Una vez que se haya publicado una norma armonizada y que la Oficina de IA la considere adecuada para cubrir las obligaciones pertinentes, el cumplimiento de una norma armonizada europea debe dar a los proveedores la presunción de conformidad. Además, los proveedores de modelos de IA de uso general deben poder demostrar el cumplimiento utilizando medios alternativos adecuados si no se dispone de códigos de buenas prácticas o de normas armonizadas, o si deciden no basarse en ellos.

(118)

El presente Reglamento regula los sistemas de IA y modelos de IA imponiendo determinados requisitos y obligaciones a los agentes pertinentes del mercado que los introduzcan en el mercado, los pongan en servicio o los utilicen en la Unión, complementando así las obligaciones de los prestadores de servicios intermediarios que integren dichos sistemas o modelos en sus servicios, regulados por el Reglamento (UE) 2022/2065. En la medida en que dichos sistemas o modelos estén integrados en plataformas en línea de muy gran tamaño o en motores de búsqueda en línea de muy gran tamaño que hayan sido designados, están sujetos al marco de gestión de riesgos establecido en el Reglamento (UE) 2022/2065. Por consiguiente, debe presumirse que se han cumplido las obligaciones correspondientes del presente Reglamento a menos que surjan riesgos sistémicos significativos no cubiertos por el Reglamento (UE) 2022/2065 y se detecten en dichos modelos. En este marco, los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño están obligados a evaluar los posibles riesgos sistémicos derivados del diseño, el funcionamiento y el uso de sus servicios, incluido el modo en que el diseño de los sistemas algorítmicos utilizados en el servicio puede contribuir a dichos riesgos, así como los riesgos sistémicos derivados de posibles usos indebidos. Dichos prestadores también están obligados a adoptar las medidas de reducción de riesgos adecuadas respetando los derechos fundamentales.

(119)

Tomando en consideración el rápido ritmo de innovación y la evolución tecnológica de los servicios digitales incluidos en el ámbito de aplicación de diferentes instrumentos del Derecho de la Unión, en particular teniendo en cuenta el uso y la percepción de sus destinatarios, los sistemas de IA sujetos al presente Reglamento pueden prestarse como servicios intermediarios, o partes de estos, en el sentido del Reglamento (UE) 2022/2065, que debe interpretarse de manera tecnológicamente neutra. Por ejemplo, los sistemas de IA pueden utilizarse para ofrecer motores de búsqueda en línea, en particular en la medida en que un sistema de IA, como un chatbot en línea, efectúe búsquedas, en principio, en todos los sitios web, incorpore a continuación los resultados a sus conocimientos existentes y utilice los conocimientos actualizados para generar una única información de salida que combine diferentes fuentes de información.

(120)

Además, las obligaciones impuestas a los proveedores y a los responsables del despliegue de determinados sistemas de IA en el presente Reglamento destinadas a permitir que se detecte y divulgue que los resultados de salida de dichos sistemas han sido generados o manipulados de manera artificial resultan especialmente pertinentes para facilitar la aplicación efectiva del Reglamento (UE) 2022/2065. Esto se aplica en particular a las obligaciones de los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño de detectar y mitigar los riesgos sistémicos que pueden surgir de la divulgación de contenidos que hayan sido generados o manipulados de manera artificial, en particular el riesgo de los efectos negativos reales o previsibles sobre los procesos democráticos, el discurso cívico y los procesos electorales, también a través de la desinformación.

(121)

La normalización debe desempeñar un papel fundamental para proporcionar soluciones técnicas a los proveedores para garantizar el cumplimiento del presente Reglamento, en consonancia con el estado actual de la técnica, para promover la innovación, así como la competitividad y el crecimiento en el mercado único. El cumplimiento de las normas armonizadas definidas en el artículo 2, punto 1, letra c), del Reglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo (41), que generalmente se espera que reflejen el estado actual de la técnica, debe ser un medio para que los proveedores demuestren la conformidad con los requisitos previstos en el presente Reglamento. Por consiguiente, debe fomentarse una representación equilibrada de los intereses de todas las partes interesadas pertinentes —en particular las pymes, las organizaciones de consumidores y las partes interesadas de los ámbitos social y medioambiental— en la elaboración de normas, de conformidad con los artículos 5 y 6 del Reglamento (UE) nº 1025/2012. A fin de facilitar el cumplimiento, la Comisión debe emitir las peticiones de normalización sin demora indebida. Al preparar la petición de normalización, la Comisión debe consultar al foro consultivo y al Consejo de IA para recabar los conocimientos especializados pertinentes. No obstante, a falta de referencias pertinentes a las normas armonizadas, la Comisión debe poder establecer, mediante actos de ejecución y previa consulta al foro consultivo, especificaciones comunes para determinados requisitos previstos en el presente Reglamento. Las especificaciones comunes deben ser una solución alternativa excepcional para facilitar la obligación del proveedor de cumplir los requisitos del presente Reglamento cuando ninguna de las organizaciones europeas de normalización haya aceptado la petición de normalización, cuando las normas armonizadas pertinentes respondan de forma insuficiente a las preocupaciones en materia de derechos fundamentales, cuando las normas armonizadas no cumplan la petición o cuando se produzcan retrasos en la adopción de una norma armonizada adecuada. Cuando dichos retrasos en la adopción de una norma armonizada se deban a la complejidad técnica de dicha norma, la Comisión debe tenerlo en cuenta antes de considerar la posibilidad de establecer especificaciones comunes. Se anima a la Comisión a que, a la hora de elaborar especificaciones comunes, coopere con los socios internacionales y los organismos internacionales de normalización.

(122)

Conviene que, sin perjuicio del uso de normas armonizadas y especificaciones comunes, se presuma que los proveedores de un sistema de IA de alto riesgo que haya sido entrenado y probado con datos que reflejan el entorno geográfico, conductual, contextual o funcional específico en el que esté previsto que se utilice el sistema de IA cumplen la medida pertinente prevista en el requisito en materia de gobernanza de datos establecido en el presente Reglamento. Sin perjuicio de los requisitos relacionados con la solidez y la precisión establecidos en el presente Reglamento, de conformidad con el artículo 54, apartado 3, del Reglamento (UE) 2019/881, debe presumirse que los sistemas de IA de alto riesgo que cuenten con una certificación o una declaración de conformidad en virtud de un esquema de certificación de la ciberseguridad con arreglo a dicho Reglamento y cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea cumplen el requisito de ciberseguridad del presente Reglamento en la medida en que el certificado de ciberseguridad o la declaración de conformidad, o partes de estos, contemplen dicho requisito. Esto se entiende sin perjuicio del carácter voluntario de dicho esquema de ciberseguridad.

(123)

A fin de garantizar que los sistemas de IA de alto riesgo sean altamente fiables, debe someterse a dichos sistemas a una evaluación de la conformidad antes de su introducción en el mercado o puesta en servicio.

(124)

Para reducir al mínimo la carga que deben soportar los operadores y evitar posibles duplicidades, conviene, en el caso de los sistemas de IA de alto riesgo asociados a productos regulados por la legislación de armonización de la Unión vigente basada en el nuevo marco legislativo, que la conformidad de dichos sistemas de IA con los requisitos establecidos en el presente Reglamento se evalúe en el marco de la evaluación de la conformidad ya prevista en dicha legislación. Por lo tanto, la aplicabilidad de los requisitos del presente Reglamento no debe afectar a la lógica, la metodología o la estructura general específicas de la evaluación de la conformidad prevista en los actos legislativos de armonización pertinentes de la Unión.

(125)

Dada la complejidad de los sistemas de IA de alto riesgo y los riesgos asociados a ellos, es importante desarrollar un procedimiento adecuado de evaluación de la conformidad de los sistemas de IA de alto riesgo en el que participen organismos notificados, denominado «evaluación de la conformidad de terceros». No obstante, habida cuenta de la experiencia actual de los profesionales que realizan la certificación previa a la comercialización en el campo de la seguridad de los productos y de la distinta naturaleza de los riesgos implicados, procede limitar, al menos en la fase inicial de aplicación del presente Reglamento, el alcance de las evaluaciones externas de la conformidad a los sistemas de IA de alto riesgo que no están asociados a productos. En consecuencia, el proveedor es quien, por norma general, debe llevar a cabo la evaluación de la conformidad de dichos sistemas bajo su propia responsabilidad, con la única excepción de los sistemas de IA que están destinados a utilizarse para la biometría.

(126)

Para poder realizar las evaluaciones de la conformidad de terceros cuando así se les exija, las autoridades nacionales competentes deben notificar, en virtud del presente Reglamento, a los organismos notificados, siempre que cumplan una serie de requisitos, en particular en lo que respecta a su independencia, sus competencias y la ausencia de conflictos de intereses, así como requisitos adecuados de ciberseguridad. Las autoridades nacionales competentes deben enviar la notificación de dichos organismos a la Comisión y a los demás Estados miembros a través del sistema de notificación electrónica desarrollado y gestionado por la Comisión con arreglo a lo dispuesto en el artículo R23 del anexo I de la Decisión nº 768/2008/CE.

(127)

En consonancia con los compromisos contraídos por la Unión en virtud del Acuerdo sobre Obstáculos Técnicos al Comercio, de la Organización Mundial del Comercio, es adecuado facilitar el reconocimiento mutuo de los resultados de las evaluaciones de la conformidad realizadas por organismos de evaluación de la conformidad competentes, con independencia del territorio en el que estén establecidos, siempre que dichos organismos de evaluación de la conformidad establecidos con arreglo al Derecho de un tercer país cumplan los requisitos aplicables del presente Reglamento y la Unión haya celebrado un acuerdo en ese sentido. En este contexto, la Comisión debe estudiar activamente posibles instrumentos internacionales a tal efecto y, en particular, procurar celebrar acuerdos de reconocimiento mutuo con terceros países.

(128)

En consonancia con el concepto comúnmente establecido de «modificación sustancial» de los productos regulados por los actos legislativos de armonización de la Unión, conviene que, cada vez que se produzca un cambio que pueda afectar al cumplimiento del presente Reglamento por parte de un sistema de IA de alto riesgo (por ejemplo, un cambio de sistema operativo o de arquitectura de software) o cuando cambie la finalidad prevista del sistema, dicho sistema de IA se considere un sistema de IA nuevo que debe someterse a una nueva evaluación de la conformidad. Sin embargo, los cambios que se produzcan en el algoritmo y en el funcionamiento de los sistemas de IA que sigan «aprendiendo» después de su introducción en el mercado o su puesta en servicio, a saber, adaptando automáticamente el modo en que desempeñan sus funciones, no deben constituir una modificación sustancial, siempre que dichos cambios hayan sido predeterminados por el proveedor y se hayan evaluado en el momento de la evaluación de la conformidad.

(129)

Los sistemas de IA de alto riesgo deben llevar el marcado CE para acreditar su conformidad con el presente Reglamento y así poder circular libremente por el mercado interior. En el caso de los sistemas de IA de alto riesgo integrados en un producto, se debe colocar un marcado CE físico, que puede complementarse con un marcado CE digital. En el caso de los sistemas de IA de alto riesgo que solo se proporcionen digitalmente, debe utilizarse un marcado CE digital. Los Estados miembros no deben crear obstáculos injustificados a la introducción en el mercado o la puesta en servicio de sistemas de IA de alto riesgo que cumplan los requisitos establecidos en el presente Reglamento y lleven el marcado CE.

(130)

En determinadas condiciones, la rápida disponibilidad de tecnologías innovadoras puede ser crucial para la salud y la seguridad de las personas, la protección del medio ambiente y la mitigación del cambio climático, y para la sociedad en su conjunto. Por consiguiente, resulta oportuno que las autoridades de vigilancia del mercado puedan autorizar, por motivos excepcionales de seguridad pública o con vistas a proteger la vida y la salud de personas físicas, el medio ambiente y activos fundamentales de la industria y de las infraestructuras, la introducción en el mercado o la puesta en servicio de sistemas de IA que no hayan sido sometidos a una evaluación de la conformidad. En situaciones debidamente justificadas previstas en el presente Reglamento, las autoridades garantes del cumplimiento del Derecho o las autoridades de protección civil podrán poner en servicio un sistema de IA de alto riesgo específico sin la autorización de la autoridad de vigilancia del mercado, siempre que se solicite la autorización durante el uso o después de este sin demora indebida.

(131)

Con el objetivo de facilitar la labor de la Comisión y de los Estados miembros en el ámbito de la IA, así como de incrementar la transparencia de cara al público, debe exigirse a los proveedores de sistemas de IA de alto riesgo que no estén asociados a productos que entren dentro del ámbito de aplicación de los actos legislativos de armonización de la Unión que sean pertinentes y estén en vigor, y a los proveedores que consideren que alguno de los sistemas de IA enumerados en los casos de uso de alto riesgo en un anexo del presente Reglamento no es de alto riesgo sobre la base de una excepción que se registren y que registren información sobre sus sistemas de IA en una base de datos de la UE, de cuya creación y gestión se encargará la Comisión. Antes de utilizar tal sistema de IA enumerado en los casos de uso de alto riesgo en un anexo del presente Reglamento, los responsables del despliegue de sistemas de IA de alto riesgo que sean autoridades, órganos u organismos públicos deben registrarse en dicha base de datos y seleccionar el sistema que tengan previsto utilizar. Los demás responsables del despliegue deben poder efectuar dicho registro con carácter voluntario. Esta sección de la base de datos de la UE debe ser de acceso público y gratuito, debe ser fácil navegar por la información, y esta ha de ser comprensible y legible por máquina. La base de datos de la UE también debe ser fácil de utilizar, por ejemplo, proporcionando funcionalidades de búsqueda, también a través de palabras clave, que permitan al público en general encontrar la información que debe presentarse para el registro de los sistemas de IA de alto riesgo y relativa a los casos de uso de sistemas de IA de alto riesgo contemplados en un anexo del presente Reglamento, a la que corresponden los sistemas de IA de alto riesgo. También debe registrarse en la base de datos de la UE toda modificación sustancial de sistemas de IA de alto riesgo. En el caso de los sistemas de IA de alto riesgo en el ámbito de la garantía del cumplimiento del Derecho y de la gestión de la migración, el asilo y el control fronterizo, las obligaciones de registro deben cumplirse en una sección segura no pública de la base de datos de la UE. El acceso a esa sección debe limitarse estrictamente a la Comisión y a las autoridades de vigilancia del mercado en lo que respecta a su sección nacional de dicha base de datos. Los sistemas de IA de alto riesgo en el ámbito de las infraestructuras críticas solo deben registrarse a nivel nacional. La Comisión debe ser la responsable del tratamiento de la base de datos de la UE, de conformidad con el Reglamento (UE) 2018/1725. Con vistas a garantizar la funcionalidad plena de la base de datos de la UE una vez que esté en funcionamiento, el procedimiento para su creación debe comprender el desarrollo de especificaciones funcionales por parte de la Comisión y la redacción de un informe de auditoría independiente. Al ejercer sus funciones como responsable del tratamiento de la base de datos de la UE, la Comisión debe tener en cuenta los riesgos de ciberseguridad. Con el fin de maximizar la disponibilidad y el uso de la base de datos de la UE por parte del público, la base de datos de la UE y la información facilitada a través de ella deben cumplir los requisitos establecidos en la Directiva (UE) 2019/882.

(132)

Determinados sistemas de IA destinados a interactuar con personas físicas o a generar contenidos pueden plantear riesgos específicos de suplantación o engaño, con independencia de si cumplen las condiciones para ser considerados como de alto riesgo o no. Por consiguiente, el uso de estos sistemas debe estar sujeto, en determinadas circunstancias, a obligaciones de transparencia específicas, sin perjuicio de los requisitos y las obligaciones aplicables a los sistemas de IA de alto riesgo y a excepciones específicas a fin de tener en cuenta las necesidades especiales de la garantía del cumplimiento del Derecho. En particular, es preciso comunicar a las personas físicas que están interactuando con un sistema de IA, excepto cuando resulte evidente desde el punto de vista de una persona física normalmente informada y razonablemente atenta y perspicaz, teniendo en cuenta las circunstancias y el contexto de utilización. Al aplicar dicha obligación, deben tenerse en cuenta las características de las personas físicas pertenecientes a colectivos vulnerables debido a su edad o discapacidad en la medida en que el sistema de IA esté destinado a interactuar también con dichos colectivos. Además, es preciso notificar a las personas físicas cuando estén expuestas a sistemas de IA que, mediante el tratamiento de sus datos biométricos, puedan determinar o inferir sus emociones o intenciones o incluirlas en categorías específicas. Estas categorías específicas pueden referirse a aspectos como el sexo, la edad, el color del pelo, el color de ojos, los tatuajes, los rasgos personales, el origen étnico o las preferencias e intereses personales. Esta información y estas notificaciones deben facilitarse en formatos accesibles a las personas con discapacidad.

(133)

Una diversidad de sistemas de IA puede generar grandes cantidades de contenidos sintéticos que para las personas cada vez es más difícil distinguir del contenido auténtico generado por seres humanos. La amplia disponibilidad y las crecientes capacidades de dichos sistemas tienen importantes repercusiones en la integridad del ecosistema de la información y en la confianza en este, haciendo surgir nuevos riesgos de desinformación y manipulación a escala, fraude, suplantación de identidad y engaño a los consumidores. En vista de estos efectos, el rápido desarrollo tecnológico y la necesidad de nuevos métodos y técnicas para asegurar la trazabilidad del origen de la información, procede exigir a los proveedores de tales sistemas que integren soluciones técnicas que permitan marcar, en un formato legible por máquina, y detectar que el resultado de salida ha sido generado o manipulado por un sistema de IA y no por un ser humano. Dichas técnicas y métodos deben ser lo suficientemente fiables, interoperables, eficaces y sólidos, en la medida en que sea técnicamente viable, teniendo en cuenta las técnicas disponibles o una combinación de dichas técnicas, como marcas de agua, identificación de metadatos, métodos criptográficos para demostrar la procedencia y la autenticidad del contenido, métodos de registro, impresiones dactilares u otras técnicas, según proceda. A la hora de aplicar esta obligación, los proveedores también deben tener en cuenta las especificidades y las limitaciones de los diferentes tipos de contenidos y los avances tecnológicos y del mercado pertinentes en ese ámbito, tal como se refleja en el estado de la técnica generalmente reconocido. Dichas técnicas y métodos pueden implantarse a nivel de sistema de IA o a nivel de modelo de IA, incluidos modelos de IA de uso general que generan contenidos, facilitando así el cumplimiento de esta obligación por parte del proveedor posterior del sistema de IA. Para garantizar la proporcionalidad, conviene prever que esta obligación de marcado no se aplique a los sistemas de IA que desempeñen una función de apoyo a la edición estándar o no alteren sustancialmente los datos de entrada facilitados por el responsable del despliegue o su semántica.

(134)

Además de las soluciones técnicas utilizadas por los proveedores del sistema de IA, los responsables del despliegue que utilicen un sistema de IA para generar o manipular un contenido de imagen, audio o vídeo generado o manipulado por una IA que se asemeje notablemente a personas, objetos, lugares, entidades o sucesos reales y que puede inducir a una persona a pensar erróneamente que son auténticos o verídicos (ultrasuplantaciones) deben también hacer público, de manera clara y distinguible, que este contenido ha sido creado o manipulado de manera artificial etiquetando los resultados de salida generados por la IA en consecuencia e indicando su origen artificial. El cumplimiento de esta obligación de transparencia no debe interpretarse como un indicador de que la utilización del sistema de IA o de sus resultados de salida obstaculiza el derecho a la libertad de expresión y el derecho a la libertad de las artes y de las ciencias, garantizados por la Carta, en particular cuando el contenido forme parte de una obra o programa manifiestamente creativos, satíricos, artísticos, de ficción o análogos, con sujeción a unas garantías adecuadas para los derechos y libertades de terceros. En tales casos, la obligación de transparencia en relación con las ultrasuplantaciones establecida en el presente Reglamento se limita a revelar la existencia de tales contenidos generados o manipulados de una manera adecuada que no obstaculice la presentación y el disfrute de la obra, también su explotación y uso normales, al tiempo que se conservan la utilidad y la calidad de la obra. Además, también conviene prever una obligación de divulgación similar en relación con el texto generado o manipulado por una IA en la medida en que se publique con el fin de informar al público sobre asuntos de interés público, a menos que el contenido generado por la IA haya sido sometido a un proceso de revisión humana o de control editorial y que una persona física o jurídica ejerza la responsabilidad editorial de la publicación del contenido.

(135)

Sin perjuicio del carácter obligatorio y de la plena aplicabilidad de las obligaciones de transparencia, la Comisión podrá también fomentar y facilitar la elaboración de códigos de buenas prácticas a escala de la Unión, a fin de facilitar la aplicación eficaz de las obligaciones en materia de detección y etiquetado de contenidos generados o manipulados de manera artificial, también para apoyar disposiciones prácticas para que, según proceda, los mecanismos de detección sean accesibles y facilitar la cooperación con otros agentes de la cadena de valor, difundiendo los contenidos o comprobando su autenticidad y procedencia, a fin de que el público pueda distinguir efectivamente los contenidos generados por IA.

(136)

Las obligaciones impuestas a los proveedores y a los responsables del despliegue de determinados sistemas de IA en el presente Reglamento destinadas a permitir que se detecte y divulgue que los resultados de salida de dichos sistemas han sido generados o manipulados de manera artificial resultan especialmente pertinentes para facilitar la aplicación efectiva del Reglamento (UE) 2022/2065. Esto se aplica en particular en lo referente a las obligaciones de los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño para detectar y mitigar los riesgos sistémicos que pueden surgir de la divulgación de contenidos que hayan sido generados o manipulados de manera artificial, en particular el riesgo de los efectos negativos reales o previsibles sobre los procesos democráticos, el discurso cívico y los procesos electorales, como a través de la desinformación. La exigencia de etiquetar los contenidos generados por sistemas de IA con arreglo al presente Reglamento se entiende sin perjuicio de la obligación prevista en el artículo 16, apartado 6, del Reglamento (UE) 2022/2065 para los prestadores de servicios de alojamiento de datos de tratar las notificaciones que reciban sobre contenidos ilícitos en virtud del artículo 16, apartado 1, de dicho Reglamento, y no debe influir en la evaluación y la decisión sobre el carácter ilícito del contenido de que se trate. Dicha evaluación debe realizarse únicamente con referencia a las normas que rigen la legalidad del contenido.

(137)

El cumplimiento de las obligaciones de transparencia aplicables a los sistemas de IA que entran en el ámbito de aplicación del presente Reglamento no debe interpretarse como un indicador de que la utilización del sistema de IA o de sus resultados de salida es lícito en virtud del presente Reglamento o de otras disposiciones del Derecho de la Unión y de los Estados miembros, y debe entenderse sin perjuicio de otras obligaciones de transparencia aplicables a los responsables del despliegue de sistemas de IA establecidas en el Derecho de la Unión o nacional.

(138)

La IA es una familia de tecnologías de rápida evolución que requiere vigilancia regulatoria y un espacio seguro y controlado para la experimentación, así como que se garantice la innovación responsable y la integración de salvaguardias éticas y medidas de reducción de riesgos adecuadas. Para conseguir un marco jurídico que promueva la innovación, resista el paso del tiempo y sea resiliente a las perturbaciones, los Estados miembros deben velar por que sus autoridades nacionales competentes establezcan al menos un espacio controlado de pruebas para la IA a escala nacional que facilite el desarrollo y la prueba de sistemas de IA innovadores bajo una estricta vigilancia regulatoria antes de su introducción en el mercado o puesta en servicio. Los Estados miembros también podrían cumplir esta obligación participando en los espacios controlados de pruebas ya existentes o estableciendo un espacio de pruebas conjuntamente con las autoridades competentes de uno o varios Estados miembros, en la medida en que dicha participación proporcione un nivel de cobertura nacional equivalente para los Estados miembros participantes. Los espacios controlados de pruebas para la IA podrían establecerse de forma física, digital o híbrida y podrán albergar productos tanto físicos como digitales. Las autoridades que los creen deben también garantizar que los espacios controlados de pruebas para la IA dispongan de recursos adecuados para su funcionamiento, incluidos recursos financieros y humanos.

(139)

Los espacios controlados de pruebas para la IA deben tener los objetivos de impulsar la innovación en el ámbito de la IA estableciendo un entorno de experimentación y prueba controlado en la fase de desarrollo y previa a la comercialización, con vistas a garantizar que los sistemas de IA innovadores cumplan lo dispuesto en el presente Reglamento y en otras disposiciones pertinentes del Derecho de la Unión y nacional. Además, los espacios controlados de pruebas para la IA deben tener por objeto mejorar la seguridad jurídica de que gozan los innovadores y favorecer la vigilancia de las autoridades competentes y su entendimiento de las oportunidades, los riesgos emergentes y las consecuencias del uso de la IA, de facilitar el aprendizaje normativo de las autoridades y empresas, también con vistas a futuras adaptaciones del marco jurídico, de apoyar la cooperación y el intercambio de mejores prácticas con las autoridades que intervienen en el espacio controlado de pruebas y de acelerar el acceso a los mercados, también eliminando los obstáculos para las pequeñas y medianas empresas, incluidas las empresas emergentes. Los espacios controlados de pruebas para la IA deben estar ampliamente disponibles en toda la Unión y debe prestarse especial atención a que sean accesibles para las pymes, incluidas las empresas emergentes. La participación en el espacio controlado de pruebas para la IA debe centrarse en cuestiones que generen inseguridad jurídica y que, por lo tanto, dificulten que los proveedores y los proveedores potenciales innoven y experimenten con la IA en la Unión y contribuir a un aprendizaje normativo basado en datos contrastados. Por consiguiente, la supervisión de los sistemas de IA en el espacio controlado de pruebas para la IA debe comprender su desarrollo, entrenamiento, prueba y validación antes de su introducción en el mercado o puesta en servicio, así como el concepto de «modificación sustancial» y su materialización, que puede hacer necesario un nuevo procedimiento de evaluación de la conformidad. Cualquier riesgo significativo detectado durante el proceso de desarrollo y prueba de estos sistemas de IA debe dar lugar a la adopción de medidas de reducción adecuadas y, en su defecto, a la suspensión del proceso de desarrollo y prueba. Cuando proceda, las autoridades nacionales competentes que establezcan espacios controlados de pruebas para la IA deben cooperar con otras autoridades pertinentes, incluidas las que supervisan la protección de los derechos fundamentales, y pueden dar cabida a otros agentes del ecosistema de la IA, como organizaciones de normalización nacionales o europeas, organismos notificados, instalaciones de ensayo y experimentación, laboratorios de investigación y experimentación, centros europeos de innovación digital y organizaciones de partes interesadas y de la sociedad civil pertinentes. Para garantizar una aplicación uniforme en toda la Unión y conseguir economías de escala, resulta oportuno establecer normas comunes para la creación de espacios controlados de pruebas para la IA, así como un marco para la cooperación entre las autoridades pertinentes implicadas en la supervisión de dichos espacios. Los espacios controlados de pruebas para la IA establecidos en virtud del presente Reglamento deben entenderse sin perjuicio de otros actos legislativos que permitan el establecimiento de otros espacios controlados de pruebas encaminados a garantizar el cumplimiento de actos legislativos distintos del presente Reglamento. Cuando proceda, las autoridades competentes pertinentes encargadas de esos otros espacios controlados de pruebas deben ponderar las ventajas de utilizarlos también con el fin de garantizar el cumplimiento del presente Reglamento por parte de los sistemas de IA. Previo acuerdo entre las autoridades nacionales competentes y los participantes en el espacio controlado de pruebas para la IA, las pruebas en condiciones reales también podrán gestionarse y supervisarse en el marco del espacio controlado de pruebas para la IA.

(140)

El presente Reglamento debe proporcionar la base jurídica para que los proveedores y los proveedores potenciales en el espacio controlado de pruebas para la IA utilicen datos personales recabados para otros fines para desarrollar determinados sistemas de IA en favor del interés público en el espacio controlado de pruebas para la IA, únicamente en determinadas condiciones, de conformidad con el artículo 6, apartado 4, y el artículo 9, apartado 2, letra g), del Reglamento (UE) 2016/679 y los artículos 5, 6 y 10 del Reglamento (UE) 2018/1725, y sin perjuicio de lo dispuesto en el artículo 4, apartado 2, y el artículo 10 de la Directiva (UE) 2016/680. Siguen siendo aplicables las demás obligaciones de los responsables del tratamiento y los derechos de los interesados en virtud del Reglamento (UE) 2016/679, el Reglamento (UE) 2018/1725 y la Directiva (UE) 2016/680. En particular, el presente Reglamento no debe ofrecer una base jurídica en el sentido del artículo 22, apartado 2, letra b), del Reglamento (UE) 2016/679 y del artículo 24, apartado 2, letra b), del Reglamento (UE) 2018/1725. Los proveedores y los proveedores potenciales en el espacio controlado de pruebas para la IA deben proporcionar las garantías adecuadas y cooperar con las autoridades competentes, también siguiendo sus indicaciones y actuando con rapidez y de buena fe para mitigar adecuadamente cualquier riesgo considerable para la seguridad, la salud y los derechos fundamentales que se detecte y pueda surgir durante el desarrollo, las pruebas y la experimentación en dicho espacio.

(141)

A fin de acelerar el proceso de desarrollo e introducción en el mercado de los sistemas de IA de alto riesgo enumerados en un anexo del presente Reglamento, es importante que los proveedores o proveedores potenciales de dichos sistemas también puedan beneficiarse de un régimen específico para probar dichos sistemas en condiciones reales, sin participar en un espacio controlado de pruebas para la IA. No obstante, en tales casos, teniendo en cuenta las posibles consecuencias de dichas pruebas para las personas físicas, debe garantizarse que el Reglamento establezca garantías y condiciones adecuadas y suficientes para los proveedores o proveedores potenciales. Estas garantías deben incluir, entre otras cosas, la solicitud del consentimiento informado de las personas físicas para participar en pruebas en condiciones reales, salvo en lo que respecta a la garantía del cumplimiento del Derecho cuando intentar obtener el consentimiento informado impediría que se probara el sistema de IA. El consentimiento de los sujetos para participar en tales pruebas en virtud del presente Reglamento es distinto del consentimiento de los interesados para el tratamiento de sus datos personales con arreglo al Derecho pertinente en materia de protección de datos y se entiende sin perjuicio de este. También es importante reducir al mínimo los riesgos y permitir la supervisión por parte de las autoridades competentes y, por tanto, exigir a los proveedores potenciales que presenten a la autoridad de vigilancia del mercado competente un plan de la prueba en condiciones reales, registren la prueba en las secciones específicas de la base de datos de la UE, sin perjuicio de algunas excepciones limitadas, establezcan limitaciones sobre el período durante el que puede llevarse a cabo la prueba y exijan garantías adicionales para las personas pertenecientes a determinados colectivos vulnerables, así como un acuerdo por escrito que defina las funciones y responsabilidades de los proveedores potenciales y de los responsables del despliegue y una supervisión eficaz por parte de personal competente que intervenga en la prueba en condiciones reales. Además, conviene prever garantías adicionales para asegurarse de que sea posible revertir efectivamente y descartar las predicciones, recomendaciones o decisiones del sistema de IA y de que los datos personales se protejan y se supriman cuando los sujetos retiren su consentimiento a participar en la prueba, sin perjuicio de sus derechos como interesados en virtud del Derecho de la Unión en materia de protección de datos. Por lo que respecta a la transferencia de datos, conviene también prever que los datos recopilados y tratados a efectos de las pruebas en condiciones reales solo deben transferirse a terceros países cuando existan garantías adecuadas y aplicables con arreglo al Derecho de la Unión, en particular, de conformidad con las bases para la transferencia de datos personales previstas en el Derecho de la Unión en materia de protección de datos y, en lo referente a los datos no personales, existan garantías adecuadas con arreglo al Derecho de la Unión, como los Reglamentos (UE) 2022/868 (42) y (UE) 2023/2854 (43) del Parlamento Europeo y del Consejo.

(142)

A fin de garantizar que la IA conduzca a resultados positivos desde el punto de vista social y medioambiental, se anima a los Estados miembros a que respalden y promuevan la investigación y el desarrollo de soluciones de IA en apoyo a tales resultados, como soluciones basadas en la IA para aumentar la accesibilidad para las personas con discapacidad, atajar desigualdades socioeconómicas o cumplir los objetivos en materia de medio ambiente, asignando recursos suficientes, incluidos fondos públicos y de la Unión, y, cuando proceda y siempre que se cumplan los criterios de admisibilidad y selección, teniendo en consideración especialmente proyectos que persigan tales objetivos. Dichos proyectos deben basarse en el principio de cooperación interdisciplinaria entre desarrolladores de IA, expertos en desigualdad y no discriminación, en accesibilidad y en derechos del consumidor, medioambientales y digitales, así como representantes del mundo académico.

(143)

Para promover y proteger la innovación, es importante tener en particular consideración los intereses de las pymes, incluidas las empresas emergentes, que sean proveedores o responsables del despliegue de sistemas de IA. A tal fin, los Estados miembros deben desarrollar iniciativas en materia de concienciación y comunicación de información, entre otros aspectos, dirigidas a dichos operadores. Los Estados miembros deben proporcionar a las pymes, incluidas las empresas emergentes, que tengan un domicilio social o una sucursal en la Unión, un acceso prioritario a los espacios controlados de pruebas para la IA, siempre que cumplan las condiciones de admisibilidad y los criterios de selección y sin impedir que otros proveedores y proveedores potenciales accedan a los espacios controlados de pruebas, siempre que se cumplan las mismas condiciones y criterios. Los Estados miembros deben utilizar los canales existentes y establecer, cuando proceda, nuevos canales de comunicación específicos con las pymes, incluidos las empresas emergentes, los responsables del despliegue, otros innovadores y, cuando proceda, las autoridades públicas locales, para apoyar a las pymes durante toda su trayectoria de desarrollo ofreciendo orientaciones y respondiendo a las preguntas sobre la aplicación del presente Reglamento. Cuando proceda, estos canales deben trabajar juntos para crear sinergias y garantizar la homogeneidad de sus orientaciones para las pymes, incluidas las empresas emergentes, y los responsables del despliegue. Además, los Estados miembros deben fomentar la participación de las pymes y otras partes interesadas pertinentes en los procesos de desarrollo de la normalización. Asimismo, los organismos notificados deben tener en cuenta las necesidades y los intereses específicos de los proveedores que sean pymes, incluidas las empresas emergentes, cuando establezcan las tasas aplicables a las evaluaciones de la conformidad. La Comisión debe evaluar periódicamente los costes de la certificación y el cumplimiento para las pymes, incluidas las empresas emergentes, a través de consultas transparentes, y debe trabajar con los Estados miembros para reducir dichos costes. Por ejemplo, los costes de traducción ligados a la documentación obligatoria y a la comunicación con las autoridades pueden ser considerables para los proveedores y otros operadores, en particular para los de menor tamaño. En la medida de lo posible, los Estados miembros deben velar por que una de las lenguas en las que acepten que los proveedores presenten la documentación pertinente y que pueda usarse para la comunicación con los operadores sea ampliamente conocida por el mayor número posible de responsables del despliegue transfronterizos. A fin de abordar las necesidades específicas de las pymes, incluidas las empresas emergentes, la Comisión debe proporcionar modelos normalizados para los ámbitos regulados por el presente Reglamento, previa solicitud del Consejo de IA. Además, la Comisión debe complementar los esfuerzos de los Estados miembros proporcionando una plataforma única de información con información fácil de utilizar sobre el presente Reglamento para todos los proveedores y responsables del despliegue, organizando campañas de comunicación adecuadas para sensibilizar sobre las obligaciones derivadas del presente Reglamento y evaluando y fomentando la convergencia de las mejores prácticas en los procedimientos de contratación pública en relación con los sistemas de IA. Las medianas empresas que hace poco se consideraban pequeñas empresas en el sentido del anexo de la Recomendación 2003/361/CE de la Comisión (44) deben tener acceso a esas medidas de apoyo, ya que dichas nuevas medianas empresas a veces pueden carecer de los recursos jurídicos y la formación necesarios para garantizar la comprensión y el cumplimiento adecuados del presente Reglamento.

(144)

Con el fin de promover y proteger la innovación, la plataforma de IA a la carta y todos los programas y proyectos de financiación de la Unión pertinentes, como el programa Europa Digital u Horizonte Europa, ejecutados por la Comisión y los Estados miembros a escala nacional o de la Unión deben, cuando proceda, contribuir a la consecución de los objetivos del presente Reglamento.

(145)

A fin de reducir al mínimo los riesgos para la aplicación derivados de la falta de conocimientos y experiencia en el mercado, y con el objetivo de facilitar que los proveedores, en particular las pymes, incluidas las empresas emergentes, y los organismos notificados cumplan las obligaciones que les impone el presente Reglamento, la plataforma de IA a la carta, los centros europeos de innovación digital y las instalaciones de ensayo y experimentación establecidos por la Comisión y los Estados miembros a escala nacional o de la Unión deben contribuir a la aplicación de este Reglamento. En concreto, la plataforma de IA a la carta, los centros europeos de innovación digital y las instalaciones de ensayo y experimentación son capaces de proporcionar a los proveedores y organismos notificados asistencia técnica y científica dentro de sus respectivas misiones y esferas de competencia.

(146)

Además, a la luz del tamaño muy pequeño de algunos operadores y con el fin de garantizar la proporcionalidad en relación con los costes de innovación, conviene permitir que las microempresas cumplan una de las obligaciones más costosas, a saber, la de establecer un sistema de gestión de la calidad, de manera simplificada, lo que reduciría la carga administrativa y los costes para dichas empresas sin afectar al nivel de protección ni a la necesidad de cumplir los requisitos aplicables a los sistemas de IA de alto riesgo. La Comisión debe elaborar directrices para especificar los elementos del sistema de gestión de la calidad que las microempresas deben cumplir de esta manera simplificada.

(147)

Resulta adecuado que la Comisión facilite, en la medida de lo posible, el acceso a las instalaciones de ensayo y experimentación a organismos, grupos o laboratorios establecidos o acreditados con arreglo a la legislación de armonización de la Unión pertinente y que realicen tareas en el marco de la evaluación de la conformidad de productos o dispositivos regulados por dicha legislación. Tal es el caso, en particular, en lo que respecta a los paneles de expertos, los laboratorios especializados y los laboratorios de referencia en el ámbito de los productos sanitarios, de conformidad con los Reglamentos (UE) 2017/745 y (UE) 2017/746.

(148)

El presente Reglamento debe establecer un marco de gobernanza que permita tanto coordinar y apoyar su aplicación a escala nacional, como desarrollar capacidades a escala de la Unión e integrar a las partes interesadas en el ámbito de la IA. La aplicación y el cumplimiento efectivos del presente Reglamento requieren un marco de gobernanza que permita coordinar y adquirir conocimientos especializados centrales a escala de la Unión. La Oficina de IA se creó mediante Decisión de la Comisión (45) y tiene como misión desarrollar conocimientos especializados y capacidades de la Unión en el ámbito de la IA y contribuir a la aplicación del Derecho de la Unión en materia de IA. Los Estados miembros deben facilitar las tareas de la Oficina de IA con vistas a apoyar el desarrollo de conocimientos especializados y capacidades a escala de la Unión y a fortalecer el funcionamiento del mercado único digital. Además, debe crearse un Consejo de IA compuesto por representantes de los Estados miembros, un grupo de expertos científicos para integrar a la comunidad científica y un foro consultivo para facilitar las aportaciones de las partes interesadas a la aplicación del presente Reglamento, a escala de la Unión y nacional. El desarrollo de conocimientos especializados y capacidades de la Unión también debe incluir la utilización de los recursos y conocimientos especializados existentes, en particular a través de sinergias con estructuras creadas en el contexto de la aplicación a escala de la Unión de otros actos legislativos y de sinergias con iniciativas conexas a escala de la Unión, como la Empresa Común EuroHPC y las instalaciones de ensayo y experimentación de IA en el marco del programa Europa Digital.

(149)

Debe establecerse un Consejo de IA que facilite la aplicación fluida, efectiva y armonizada del presente Reglamento. El Consejo de IA debe reflejar los diversos intereses del ecosistema de la IA y estar formado por representantes de los Estados miembros. El Consejo de IA debe encargarse de diversas tareas de asesoramiento. Entre otras cosas, debe emitir dictámenes, recomendaciones e informes de asesoramiento o contribuir a orientaciones sobre asuntos relacionados con la aplicación de este Reglamento, también en lo que respecta la ejecución, las especificaciones técnicas o las normas existentes en relación con los requisitos previstos en el presente Reglamento, y asesorar a la Comisión y a los Estados miembros, así como a sus autoridades nacionales competentes, en cuestiones específicas vinculadas a la IA. Con el fin de dar cierta flexibilidad a los Estados miembros en la designación de sus representantes en el Consejo de IA, cualquier persona perteneciente a una entidad pública que tenga las competencias y facultades pertinentes para facilitar la coordinación a escala nacional y contribuir al cumplimiento de las funciones del Consejo de IA podrá ser designada representante. El Consejo de IA debe establecer dos subgrupos permanentes a fin de proporcionar una plataforma de cooperación e intercambio entre las autoridades de vigilancia del mercado y las autoridades notificantes sobre cuestiones relacionadas, respectivamente, con la vigilancia del mercado y los organismos notificados. El subgrupo permanente de vigilancia del mercado debe actuar como grupo de cooperación administrativa (ADCO) para el presente Reglamento en el sentido del artículo 30 del Reglamento (UE) 2019/1020. De conformidad con el artículo 33 de dicho Reglamento, la Comisión debe apoyar las actividades del subgrupo permanente de vigilancia del mercado mediante la realización de evaluaciones o estudios de mercado, en particular con vistas a determinar los aspectos del presente Reglamento que requieran una coordinación específica y urgente entre las autoridades de vigilancia del mercado. El Consejo de IA puede establecer otros subgrupos de carácter permanente o temporal, según proceda, para examinar asuntos específicos. El Consejo de IA también debe cooperar, según proceda, con los organismos, grupos de expertos y redes pertinentes de la Unión activos en el contexto del Derecho de la Unión pertinente, incluidos, en particular, los activos en virtud del Derecho de la Unión pertinente en materia de datos y productos y servicios digitales.

(150)

Con vistas a garantizar la participación de las partes interesadas en la ejecución y aplicación del presente Reglamento, debe crearse un foro consultivo para asesorar al Consejo de IA y a la Comisión y proporcionarles conocimientos técnicos. A fin de garantizar una representación variada y equilibrada de las partes interesadas que tenga en cuenta los intereses comerciales y no comerciales y, dentro de la categoría de los intereses comerciales, por lo que se refiere a las pymes y otras empresas, el foro consultivo debe incluir, entre otros, a la industria, las empresas emergentes, las pymes, el mundo académico, la sociedad civil, en particular los interlocutores sociales, así como a la Agencia de los Derechos Fundamentales de la Unión Europea, ENISA, el Comité Europeo de Normalización (CEN), el Comité Europeo de Normalización Electrotécnica (Cenelec) y el Instituto Europeo de Normas de Telecomunicaciones (ETSI).

(151)

Para apoyar la aplicación y el cumplimiento del presente Reglamento, en particular las actividades de supervisión de la Oficina de IA en lo que respecta a los modelos de IA de uso general, debe crearse un grupo de expertos científicos formado por expertos independientes. Los expertos independientes que constituyan el grupo de expertos científicos deben seleccionarse sobre la base de conocimientos científicos o técnicos actualizados en el ámbito de la IA y deben desempeñar sus funciones con imparcialidad y objetividad y garantizar la confidencialidad de la información y los datos obtenidos en el ejercicio de sus funciones y actividades. A fin de permitir el refuerzo de las capacidades nacionales necesarias para el cumplimiento efectivo del presente Reglamento, los Estados miembros deben poder solicitar el apoyo de los expertos que constituyan el grupo científico para sus actividades de garantía del cumplimiento.

(152)

A fin de apoyar una ejecución adecuada en lo que respecta a los sistemas de IA y reforzar las capacidades de los Estados miembros, deben crearse y ponerse a disposición de los Estados miembros estructuras de apoyo a los ensayos de IA de la Unión.

(153)

Los Estados miembros desempeñan un papel clave en la aplicación y ejecución del presente Reglamento. En ese sentido, cada Estado miembro debe designar al menos una autoridad notificante y al menos una autoridad de vigilancia del mercado como autoridades nacionales competentes que se encarguen de supervisar su aplicación y ejecución. Los Estados miembros pueden decidir designar cualquier tipo de entidad pública para que desempeñe las tareas de las autoridades nacionales competentes en el sentido del presente Reglamento, de conformidad con sus características y necesidades organizativas nacionales específicas. Con el fin de incrementar la eficiencia organizativa en los Estados miembros y establecer un único punto de contacto oficial con el público y otros homólogos a escala de los Estados miembros y la Unión, cada Estado miembro debe designar una autoridad de vigilancia del mercado que actúe como punto de contacto único.

(154)

Las autoridades nacionales competentes deben ejercer sus poderes de manera independiente, imparcial y objetiva, a fin de preservar los principios de objetividad de sus actividades y funciones y garantizar la aplicación y ejecución del presente Reglamento. Los miembros de estas autoridades deben abstenerse de todo acto incompatible con el carácter de sus funciones y estar sujetos a las normas de confidencialidad establecidas en el presente Reglamento.

(155)

Todos los proveedores de sistemas de IA de alto riesgo deben contar con un sistema de vigilancia poscomercialización, con vistas a garantizar que puedan tener en cuenta la experiencia con el uso de esos sistemas de cara a mejorar los suyos y el proceso de diseño y desarrollo o que puedan adoptar cualquier medida correctora en el momento oportuno. Cuando proceda, la vigilancia poscomercialización debe incluir un análisis de la interacción con otros sistemas de IA, incluidos otros dispositivos y software. La vigilancia poscomercialización no debe comprender los datos operativos sensibles de los responsables del despliegue de sistemas de IA que sean autoridades garantes del cumplimiento del Derecho. Este sistema es también fundamental para garantizar que los posibles riesgos derivados de los sistemas de IA que siguen «aprendiendo» tras su introducción en el mercado o puesta en servicio se aborden de un modo más eficiente y oportuno. En este contexto, procede exigir a los proveedores que también cuenten con un sistema para comunicar a las autoridades pertinentes cualquier incidente grave asociado al uso de sus sistemas de IA, entendido como un incidente o defecto que tenga como consecuencia un fallecimiento o daños graves para la salud, una alteración grave e irreversible de la gestión o el funcionamiento de infraestructuras críticas, el incumplimiento de obligaciones derivadas del Derecho de la Unión destinadas a proteger los derechos fundamentales o daños graves a la propiedad o al medio ambiente.

(156)

Con el objetivo de garantizar el cumplimiento adecuado y efectivo de los requisitos y obligaciones previstos en el presente Reglamento, que constituye legislación de armonización de la Unión, debe aplicarse en su totalidad el sistema relativo a la vigilancia del mercado y la conformidad de los productos establecido por el Reglamento (UE) 2019/1020. Las autoridades de vigilancia del mercado designadas con arreglo al presente Reglamento deben disponer de todos los poderes de ejecución establecidos en el presente Reglamento y en el Reglamento (UE) 2019/1020, y deben ejercer sus poderes y desempeñar sus funciones de manera independiente, imparcial y objetiva. Aunque la mayoría de los sistemas de IA no están sujetos a requisitos ni obligaciones específicos en virtud del presente Reglamento, las autoridades de vigilancia del mercado pueden adoptar medidas en relación con todos los sistemas de IA cuando estos presenten un riesgo de conformidad con el presente Reglamento. Debido a la naturaleza específica de las instituciones, órganos y organismos de la Unión que entran en el ámbito de aplicación del presente Reglamento, procede designar al Supervisor Europeo de Protección de Datos como autoridad de vigilancia del mercado competente para ellos. Esto debe entenderse sin perjuicio de la designación de autoridades nacionales competentes por parte de los Estados miembros. Las actividades de vigilancia del mercado no deben afectar a la capacidad de las entidades supervisadas para llevar a cabo sus tareas de manera independiente, cuando el Derecho de la Unión exija dicha independencia.

(157)

El presente Reglamento se entiende sin perjuicio de las competencias, funciones, poderes e independencia de las autoridades u organismos públicos nacionales pertinentes que supervisan la aplicación del Derecho de la Unión que protege los derechos fundamentales, incluidos los organismos de igualdad y las autoridades de protección de datos. Cuando sea necesario para su mandato, dichas autoridades u organismos públicos nacionales también deben tener acceso a cualquier documentación creada en virtud del presente Reglamento. Debe establecerse un procedimiento de salvaguardia específico para garantizar una ejecución adecuada y oportuna frente a sistemas de IA que presenten un riesgo para la salud, la seguridad o los derechos fundamentales. El procedimiento relativo a dichos sistemas de IA que presentan un riesgo debe aplicarse a los sistemas de IA de alto riesgo que presenten un riesgo, a los sistemas prohibidos que hayan sido introducidos en el mercado, puestos en servicio o utilizados contraviniendo las prácticas prohibidas establecidas en el presente Reglamento y a los sistemas de IA que hayan sido comercializados infringiendo los requisitos de transparencia establecidos en el presente Reglamento y que presenten un riesgo.

(158)

El Derecho de la Unión en materia de servicios financieros contiene normas y requisitos en materia de gobernanza interna y gestión de riesgos que las entidades financieras reguladas deben cumplir durante la prestación de dichos servicios, y también cuando utilicen sistemas de IA. Para garantizar la aplicación y ejecución coherentes de las obligaciones previstas en el presente Reglamento, así como de las normas y los requisitos oportunos de los actos jurídicos de la Unión relativos a los servicios financieros, se ha de designar a las autoridades competentes de supervisar y ejecutar dichos actos jurídicos, en particular las autoridades competentes definidas en el Reglamento (UE) nº 575/2013 del Parlamento Europeo y del Consejo (46) y las Directivas 2008/48/CE (47), 2009/138/CE (48), 2013/36/UE (49), 2014/17/UE (50) y (UE) 2016/97 (51) del Parlamento Europeo y del Consejo, dentro de sus respectivas competencias, como las autoridades competentes encargadas de supervisar la aplicación del presente Reglamento, también por lo que respecta a las actividades de vigilancia del mercado, en relación con los sistemas de IA proporcionados o utilizados por las entidades financieras reguladas y supervisadas, a menos que los Estados miembros decidan designar a otra autoridad para que desempeñe estas tareas de vigilancia del mercado. Dichas autoridades competentes deben disponer de todos los poderes previstos en el presente Reglamento y en el Reglamento (UE) 2019/1020 para hacer cumplir los requisitos y obligaciones del presente Reglamento, incluidos los poderes para llevar a cabo actividades de vigilancia del mercado ex post que pueden integrarse, en su caso, en sus mecanismos y procedimientos de supervisión existentes en virtud del Derecho pertinente de la Unión en materia de servicios financieros. Conviene prever que, cuando actúen como autoridades de vigilancia del mercado en virtud del presente Reglamento, las autoridades nacionales responsables de la supervisión de las entidades de crédito reguladas por la Directiva 2013/36/UE que participen en el Mecanismo Único de Supervisión establecido por el Reglamento (UE) nº 1024/2013 del Consejo (52) comuniquen sin demora al Banco Central Europeo toda información obtenida en el transcurso de sus actividades de vigilancia del mercado que pueda ser de interés para las funciones de supervisión prudencial del Banco Central Europeo especificadas en dicho Reglamento. Con vistas a aumentar la coherencia entre el presente Reglamento y las normas aplicables a las entidades de crédito reguladas por la Directiva 2013/36/UE, conviene igualmente integrar algunas de las obligaciones procedimentales de los proveedores relativas a la gestión de riesgos, la vigilancia poscomercialización y la documentación en las obligaciones y los procedimientos vigentes con arreglo a la Directiva 2013/36/UE. Para evitar solapamientos, también se deben contemplar excepciones limitadas en relación con el sistema de gestión de la calidad de los proveedores y la obligación de vigilancia impuesta a los responsables del despliegue de sistemas de IA de alto riesgo, en la medida en que estos se apliquen a las entidades de crédito reguladas por la Directiva 2013/36/UE. El mismo régimen debe aplicarse a las empresas de seguros y reaseguros y a las sociedades de cartera de seguros reguladas por la Directiva 2009/138/CE, a los intermediarios de seguros regulados por la Directiva (UE) 2016/97 y a otros tipos de entidades financieras sujetas a requisitos sobre gobernanza, sistemas o procesos internos establecidos con arreglo al Derecho pertinente de la Unión en materia de servicios financieros a fin de garantizar la coherencia y la igualdad de trato en el sector financiero.

(159)

Cada autoridad de vigilancia del mercado para los sistemas de IA de alto riesgo en el ámbito de la biometría enumerados en un anexo del presente Reglamento, en la medida en que dichos sistemas se utilicen con fines de garantía del cumplimiento del Derecho, de migración, asilo y gestión del control fronterizo, o de la administración de justicia y los procesos democráticos, debe disponer de facultades de investigación y correctoras efectivas, incluida al menos la facultad de obtener acceso a todos los datos personales que se estén tratando y a toda la información necesaria para el desempeño de sus funciones. Las autoridades de vigilancia del mercado deben poder ejercer sus poderes actuando con total independencia. Cualquier limitación de su acceso a datos operativos sensibles en virtud del presente Reglamento debe entenderse sin perjuicio de los poderes que les confiere la Directiva (UE) 2016/680. Ninguna exclusión de la divulgación de datos a las autoridades nacionales de protección de datos en virtud del presente Reglamento debe afectar a los poderes actuales o futuros de dichas autoridades que trasciendan el ámbito de aplicación del presente Reglamento.

(160)

Las autoridades de vigilancia del mercado y la Comisión deben poder proponer actividades conjuntas, incluidas investigaciones conjuntas, que deben llevar a cabo las autoridades de vigilancia del mercado o las autoridades de vigilancia del mercado junto con la Comisión, con el objetivo de fomentar el cumplimiento, detectar incumplimientos, sensibilizar y ofrecer orientaciones en relación con el presente Reglamento con respecto a las categorías específicas de sistemas de IA de alto riesgo que presentan un riesgo grave en dos o más Estados miembros. Tales actividades conjuntas para fomentar el cumplimiento deben llevarse a cabo de conformidad con el artículo 9 del Reglamento (UE) 2019/1020. La Oficina de IA debe prestar apoyo de coordinación a las investigaciones conjuntas.

(161)

Es necesario aclarar las responsabilidades y competencias a escala de la Unión y nacional en lo que respecta a los sistemas de IA que se basan en modelos de IA de uso general. Para evitar el solapamiento de competencias, cuando un sistema de IA se base en un modelo de IA de uso general y el modelo y el sistema sean suministrados por el mismo proveedor, la supervisión debe llevarse a cabo a escala de la Unión a través de la Oficina de IA, que debe tener a estos efectos las facultades de una autoridad de vigilancia del mercado en el sentido de lo dispuesto en el Reglamento (UE) 2019/1020. En todos los demás casos, serán responsables de la supervisión de los sistemas de IA las autoridades nacionales de vigilancia del mercado. No obstante, en el caso de los sistemas de IA de uso general que puedan ser utilizados directamente por los responsables del despliegue con al menos un fin clasificado como de alto riesgo, las autoridades de vigilancia del mercado deben cooperar con la Oficina de IA para llevar a cabo evaluaciones de la conformidad e informar de ello al Consejo de IA y a otras autoridades de vigilancia del mercado. Además, las autoridades de vigilancia del mercado deben poder solicitar la asistencia de la Oficina de IA cuando la autoridad de vigilancia del mercado no pueda concluir una investigación sobre un sistema de IA de alto riesgo debido a su incapacidad para acceder a determinada información relacionada con el modelo de IA de uso general en el que se basa el sistema de IA de alto riesgo. En tales casos, debe aplicarse mutatis mutandis el procedimiento de asistencia mutua transfronteriza previsto en el capítulo VI del Reglamento (UE) 2019/1020.

(162)

Para aprovechar al máximo la centralización de conocimientos especializados y las sinergias que se generan a escala de la Unión, deben atribuirse a la Comisión las competencias de supervisión y de control del cumplimiento de las obligaciones de los proveedores de modelos de IA de uso general. La Oficina de IA debe poder llevar a cabo todas las acciones necesarias para supervisar la aplicación efectiva del presente Reglamento en lo que respecta a los modelos de IA de uso general. Debe poder investigar posibles infracciones de las normas relativas a los proveedores de modelos de IA de uso general, tanto por iniciativa propia, a raíz de los resultados de sus actividades de supervisión, como a petición de las autoridades de vigilancia del mercado, de conformidad con las condiciones establecidas en el presente Reglamento. Para promover la eficacia de la supervisión, la Oficina de IA debe prever la posibilidad de que los proveedores posteriores presenten reclamaciones sobre posibles infracciones de las normas relativas a los proveedores de sistemas y modelos de IA de uso general.

(163)

Con el fin de complementar los sistemas de gobernanza de los modelos de IA de uso general, el grupo de expertos científicos debe contribuir a las actividades de supervisión de la Oficina de IA y, en determinados casos, puede proporcionar alertas cualificadas a la Oficina de IA que activen actuaciones consecutivas, como investigaciones. Así debe ocurrir cuando el grupo de expertos científicos tenga motivos para sospechar que un modelo de IA de uso general presenta un riesgo concreto e identificable a escala de la Unión. También debe ser este el caso cuando el grupo de expertos científicos tenga motivos para sospechar que un modelo de IA de uso general cumple los criterios que llevarían a clasificarlo como modelo de IA de uso general con riesgo sistémico. A fin de facilitar al grupo de expertos científicos la información necesaria para el desempeño de esas funciones, debe existir un mecanismo que permita al grupo de expertos científicos pedir a la Comisión que solicite documentación o información a un proveedor.

(164)

La Oficina de IA debe poder adoptar las medidas necesarias para supervisar la aplicación efectiva y el cumplimiento de las obligaciones de los proveedores de modelos de IA de uso general establecidas en el presente Reglamento. La Oficina de IA debe poder investigar posibles infracciones de conformidad con las competencias previstas en el presente Reglamento, por ejemplo, solicitando documentación e información, realizando evaluaciones y solicitando la adopción de medidas a los proveedores de modelos de IA de uso general. En la realización de las evaluaciones, para poder contar con conocimientos especializados independientes, la Oficina de IA debe poder recurrir a expertos independientes para que lleven a cabo las evaluaciones en su nombre. Se debe poder exigir el cumplimiento de las obligaciones mediante, entre otras cosas, solicitudes de adopción de medidas adecuadas, entre las que se incluyen medidas de reducción del riesgo en caso de que se detecten riesgos sistémicos, así como la restricción de la comercialización, la retirada o la recuperación del modelo. Como salvaguardia, cuando sea necesario, además de los derechos procedimentales previstos en el presente Reglamento, los proveedores de modelos de IA de uso general deben tener los derechos procedimentales previstos en el artículo 18 del Reglamento (UE) 2019/1020, que deben aplicarse mutatis mutandis, sin perjuicio de los derechos procesales más específicos previstos en el presente Reglamento.

(165)

El desarrollo de sistemas de IA que no sean sistemas de IA de alto riesgo conforme a los requisitos establecidos en el presente Reglamento puede dar lugar a la adopción más amplia de una IA ética y fiable en la Unión. Se debe alentar a los proveedores de sistemas de IA que no son de alto riesgo a crear códigos de conducta, entre los que se incluyen los correspondientes mecanismos de gobernanza, destinados a impulsar la aplicación voluntaria de la totalidad o parte de los requisitos aplicables a los sistemas de IA de alto riesgo, adaptados teniendo en cuenta la finalidad prevista de los sistemas y el menor riesgo planteado y teniendo en cuenta las soluciones técnicas disponibles y las mejores prácticas del sector, como las tarjetas de modelo y de datos Asimismo, se debe animar a los proveedores y, en su caso, a los responsables del despliegue de todos los sistemas de IA, ya sean o no de alto riesgo, y de los modelos de IA, a aplicar, con carácter voluntario, requisitos adicionales relativos, por ejemplo, a los elementos de las Directrices éticas de la Unión para una IA fiable, la sostenibilidad medioambiental, medidas de alfabetización en materia de IA, la inclusividad y la diversidad en el diseño y el desarrollo de los sistemas de IA, lo que incluye tener en cuenta a las personas vulnerables y la accesibilidad de las personas con discapacidad, la participación de las partes interesadas, con la participación, según proceda, de las partes interesadas pertinentes, como las organizaciones empresariales y de la sociedad civil, el mundo académico, los organismos de investigación, los sindicatos y las organizaciones de protección de los consumidores, en el diseño y el desarrollo de los sistemas de IA, y la diversidad de los equipos de desarrollo, también por lo que respecta a la paridad de género. Para garantizar la efectividad de los códigos de conducta voluntarios, estos deben basarse en objetivos claros e indicadores clave del rendimiento que permitan medir la consecución de dichos objetivos. También deben desarrollarse de manera inclusiva, según proceda, con la participación de las partes interesadas pertinentes, como las organizaciones empresariales y de la sociedad civil, el mundo académico, los organismos de investigación, los sindicatos y las organizaciones de protección de los consumidores. La Comisión podría formular iniciativas, también de carácter sectorial, encaminadas a facilitar la disminución de los obstáculos técnicos que dificultan el intercambio transfronterizo de datos para el desarrollo de la IA, también en relación con la infraestructura de acceso a los datos y la interoperabilidad semántica y técnica de distintos tipos de datos.

(166)

Es importante que los sistemas de IA asociados a productos que el presente Reglamento no considera de alto riesgo y que, por lo tanto, no están obligados a cumplir los requisitos establecidos para los sistemas de IA de alto riesgo sean, no obstante, seguros una vez introducidos en el mercado o puestos en servicio. Para contribuir a este objetivo, se aplicaría, como red de seguridad, el Reglamento (UE) 2023/988 del Parlamento Europeo y del Consejo (53).

(167)

Todas las partes implicadas en la aplicación del presente Reglamento deben respetar la confidencialidad de la información y los datos que obtengan en el ejercicio de sus funciones, de conformidad con el Derecho de la Unión o nacional, con vistas a garantizar una cooperación fiable y constructiva entre las autoridades competentes a escala de la Unión y nacional. Deben desempeñar sus funciones y actividades de manera que se protejan, en particular, los derechos de propiedad intelectual e industrial, la información empresarial confidencial y los secretos comerciales, la aplicación eficaz del presente Reglamento, los intereses de seguridad pública y nacional, la integridad de los procedimientos penales y administrativos y la integridad de la información clasificada.

(168)

Se debe poder exigir el cumplimiento del presente Reglamento mediante la imposición de sanciones y otras medidas de ejecución. Los Estados miembros deben tomar todas las medidas necesarias para garantizar que se apliquen las disposiciones del presente Reglamento, también estableciendo sanciones efectivas, proporcionadas y disuasorias para las infracciones, y para respetar el principio de non bis in idem. A fin de reforzar y armonizar las sanciones administrativas por infracción del presente Reglamento, deben establecerse los límites máximos para la imposición de las multas administrativas en el caso de ciertas infracciones concretas. A la hora de determinar la cuantía de las multas, los Estados miembros deben tener en cuenta, en cada caso concreto, todas las circunstancias pertinentes de la situación de que se trate, considerando especialmente la naturaleza, gravedad y duración de la infracción y de sus consecuencias, así como el tamaño del proveedor, en particular si este es una pyme o una empresa emergente. El Supervisor Europeo de Protección de Datos debe estar facultado para imponer multas a las instituciones, los órganos y los organismos de la Unión incluidos en el ámbito de aplicación del presente Reglamento.

(169)

Se debe poder exigir el cumplimiento de las obligaciones impuestas en virtud del presente Reglamento a los proveedores de modelos de IA de uso general mediante, entre otras cosas, la imposición de multas. A tal fin, también deben establecerse multas de una cuantía apropiada en caso de incumplimiento de dichas obligaciones, lo que incluye el incumplimiento de las medidas solicitadas por la Comisión de conformidad con el presente Reglamento, con sujeción a los plazos de prescripción pertinentes de conformidad con el principio de proporcionalidad. Todas las decisiones adoptadas por la Comisión en virtud del presente Reglamento están sujetas al control del Tribunal de Justicia de la Unión Europea, de conformidad con lo dispuesto en el TFUE, incluida la competencia jurisdiccional plena del Tribunal de Justicia en materia de sanciones con arreglo al artículo 261 del TFUE.

(170)

El Derecho de la Unión y nacional ya prevén vías de recurso efectivas para las personas físicas y jurídicas cuyos derechos y libertades se vean perjudicados por el uso de sistemas de IA. Sin perjuicio de dichas vías de recurso, toda persona física o jurídica que tenga motivos para considerar que se ha producido una infracción del presente Reglamento debe tener derecho a presentar una reclamación ante la autoridad de vigilancia del mercado pertinente.

(171)

Las personas afectadas deben tener derecho a obtener una explicación cuando la decisión de un responsable del despliegue se base principalmente en los resultados de salida de determinados sistemas de IA de alto riesgo que entran dentro del ámbito de aplicación del presente Reglamento y cuando dicha decisión produzca efectos jurídicos o afecte significativamente de modo similar a dichas personas, de manera que consideren que tiene un efecto negativo en su salud, su seguridad o sus derechos fundamentales. Dicha explicación debe ser clara y significativa y servir de base para que las personas afectadas puedan ejercer sus derechos. El derecho a obtener una explicación no debe aplicarse a la utilización de sistemas de IA para los que se deriven excepciones o restricciones con arreglo al Derecho nacional o de la Unión, y solo debe aplicarse en la medida en que este derecho no esté ya previsto en el Derecho de la Unión.

(172)

Las personas que informen sobre infracciones del presente Reglamento deben quedar protegidas por el Derecho de la Unión. Así pues, cuando se informe sobre infracciones del presente Reglamento y en lo que respecta a la protección de las personas que informen sobre dichas infracciones debe aplicarse la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo (54).

(173)

A fin de garantizar que el marco reglamentario pueda adaptarse cuando sea necesario, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del TFUE de modo que pueda modificar las condiciones en las que un sistema de IA no debe considerarse un sistema de alto riesgo, la lista de sistemas de IA de alto riesgo, las disposiciones relativas a la documentación técnica, el contenido de la declaración UE de conformidad, las disposiciones relativas a los procedimientos de evaluación de la conformidad, las disposiciones que establecen a qué sistemas de IA de alto riesgo debe aplicarse el procedimiento de evaluación de la conformidad basado en la evaluación del sistema de gestión de la calidad y en la evaluación de la documentación técnica, el umbral, los parámetros de referencia y los indicadores, lo que incluye la posibilidad de complementar dichos parámetros de referencia e indicadores, de las normas de clasificación de los modelos de IA de uso general con riesgo sistémico, los criterios para clasificar un modelo como modelo de IA de uso general con riesgo sistémico, la documentación técnica para los proveedores de modelos de IA de uso general y la información sobre transparencia para los proveedores de modelos de IA de uso general. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación (55). En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.

(174)

Habida cuenta de los rápidos avances tecnológicos y de los conocimientos técnicos necesarios para la aplicación efectiva del presente Reglamento, la Comisión debe evaluar y revisar el presente Reglamento a más tardar el 2 de agosto de 2029 y posteriormente cada cuatro años e informar al Parlamento Europeo y al Consejo. Además, teniendo en cuenta las implicaciones por lo que respecta al ámbito de aplicación del presente Reglamento, la Comisión debe llevar a cabo una evaluación de la necesidad de modificar la lista de sistemas de IA de alto riesgo y la lista de prácticas prohibidas una vez al año. Asimismo, a más tardar 2 de agosto de 2028 y posteriormente cada cuatro años, la Comisión debe evaluar y comunicar al Parlamento Europeo y al Consejo la necesidad de modificar la lista de ámbitos de alto riesgo que figura en el anexo del presente Reglamento, los sistemas de IA incluidos en el ámbito de aplicación de las obligaciones de transparencia, la eficacia del sistema de supervisión y gobernanza y los avances en el desarrollo de documentos de normalización sobre el desarrollo eficiente desde el punto de vista energético de modelos de IA de uso general, incluida la necesidad de medidas o acciones adicionales. Por último, a más tardar el 2 de agosto de 2028 y posteriormente cada tres años, la Comisión debe evaluar la repercusión y la eficacia de los códigos de conducta voluntarios para fomentar la aplicación de los requisitos establecidos para los sistemas de IA de alto riesgo a los sistemas de IA que no sean sistemas de IA de alto riesgo y, posiblemente, otros requisitos adicionales para dichos sistemas de IA.

(175)

A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo (56).

(176)

Dado que el objetivo del presente Reglamento, a saber, mejorar el funcionamiento del mercado interior y promover la adopción de una IA centrada en el ser humano y fiable, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente, frente a los efectos perjudiciales de los sistemas de IA en la Unión, así como brindar apoyo a la innovación, no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a sus dimensiones y efectos, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del TUE. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

(177)

A fin de garantizar la seguridad jurídica, garantizar un período de adaptación adecuado para los operadores y evitar perturbaciones del mercado, también garantizando la continuidad del uso de los sistemas de IA, es conveniente que el presente Reglamento se aplique a los sistemas de IA de alto riesgo que se hayan introducido en el mercado o se hayan puesto en servicio antes de la fecha general de aplicación del Reglamento únicamente si, a partir de esa fecha, dichos sistemas se ven sometidos a cambios significativos en su diseño o su finalidad prevista. Conviene aclarar que, a este respecto, el concepto de «cambio significativo» debe entenderse como equivalente en sustancia al de «modificación sustancial», que se utiliza únicamente con respecto a los sistemas de IA de alto riesgo de conformidad con el presente Reglamento. Con carácter excepcional y a efectos de la rendición pública de cuentas, los operadores de sistemas de IA que sean componentes de sistemas informáticos de gran magnitud establecidos por los actos jurídicos enumerados en un anexo del presente Reglamento y los operadores de sistemas de IA de alto riesgo destinados a ser utilizados por las autoridades públicas deben adoptar, respectivamente, las medidas necesarias para cumplir los requisitos del presente Reglamento antes del final de 2030 y, a más tardar el 2 de agosto de 2030.

(178)

Se anima a los proveedores de sistemas de IA de alto riesgo a que empiecen a cumplir, de forma voluntaria, las obligaciones pertinentes del presente Reglamento ya durante el período transitorio.

(179)

El presente Reglamento debe aplicarse a partir del 2 de agosto de 2026. No obstante, teniendo en cuenta el riesgo inaceptable asociado a determinadas formas de uso de la IA, las prohibiciones, así como las disposiciones generales del presente Reglamento, deben aplicarse ya desde el 2 de febrero de 2025. Aunque dichas prohibiciones no surtan pleno efecto hasta después del establecimiento de la gobernanza y la aplicación del presente Reglamento, es importante anticipar la aplicación de las prohibiciones para tener en cuenta los riesgos inaceptables y adaptar otros procedimientos, por ejemplo, en el ámbito del Derecho civil. Además, la infraestructura relacionada con la gobernanza y el sistema de evaluación de la conformidad deben estar operativos antes de esa fecha, por lo que las disposiciones relativas a los organismos notificados y la estructura de gobernanza deben ser aplicables a partir del 2 de agosto de 2026. Dada la rápida evolución tecnológica y el elevado ritmo de adopción de modelos de IA de uso general, las obligaciones de los proveedores de modelos de IA de uso general deben aplicarse desde el 2 de agosto de 2025. Los códigos de buenas prácticas deben estar finalizados a más tardar el 2 de mayo de 2025 al objeto de permitir a los proveedores demostrar el cumplimiento de sus obligaciones dentro del plazo previsto. La Oficina de IA debe velar por que las normas y los procedimientos de clasificación estén actualizados con arreglo a los avances tecnológicos. Asimismo, los Estados miembros deben establecer y poner en conocimiento de la Comisión las normas referentes a las sanciones, incluidas las multas administrativas, y asegurarse de que para la fecha de aplicación del presente Reglamento se apliquen de manera adecuada y efectiva. Por lo tanto, las disposiciones relativas a las sanciones deben aplicarse a partir del 2 de agosto de 2025.

(180)

El Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos, a los que se consultó de conformidad con el artículo 42, apartados 1 y 2, del Reglamento (UE) 2018/1725, emitieron su dictamen conjunto el 18 de junio de 2021.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I. DISPOSICIONES GENERALES

Artículo 1. Objeto

1. El objetivo del presente Reglamento es mejorar el funcionamiento del mercado interior y promover la adopción de una inteligencia artificial (IA) centrada en el ser humano y fiable, garantizando al mismo tiempo un elevado nivel de protección de la salud, la seguridad y los derechos fundamentales consagrados en la Carta, incluidos la democracia, el Estado de Derecho y la protección del medio ambiente, frente a los efectos perjudiciales de los sistemas de IA (en lo sucesivo, «sistemas de IA») en la Unión así como prestar apoyo a la innovación.

2. El presente Reglamento establece:

a) normas armonizadas para la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA en la Unión;

b) prohibiciones de determinadas prácticas de IA;

c) requisitos específicos para los sistemas de IA de alto riesgo y obligaciones para los operadores de dichos sistemas;

d) normas armonizadas de transparencia aplicables a determinados sistemas de IA;

e) normas armonizadas para la introducción en el mercado de modelos de IA de uso general;

f) normas sobre el seguimiento del mercado, la vigilancia del mercado, la gobernanza y la garantía del cumplimiento;

g) medidas en apoyo de la innovación, prestando especial atención a las pymes, incluidas las empresas emergentes.

Artículo 2. Ámbito de aplicación

1. El presente Reglamento se aplicará a:

a) los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA o que introduzcan en el mercado modelos de IA de uso general en la Unión, con independencia de si dichos proveedores están establecidos o ubicados en la Unión o en un tercer país;

b) los responsables del despliegue de sistemas de IA que estén establecidos o ubicados en la Unión;

c) los proveedores y responsables del despliegue de sistemas de IA que estén establecidos o ubicados en un tercer país, cuando los resultados de salida generados por el sistema de IA se utilicen en la Unión;

d) los importadores y distribuidores de sistemas de IA;

e) los fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca;

f) los representantes autorizados de los proveedores que no estén establecidos en la Unión;

g) las personas afectadas que estén ubicadas en la Unión.

2. A los sistemas de IA clasificados como sistemas de IA de alto riesgo de conformidad con el artículo 6, apartado 1, y relativos a productos regulados por los actos legislativos de armonización de la Unión enumerados en la sección B del anexo I, únicamente se les aplicará el artículo 6, apartado 1, y los artículos 102 a 109 y el artículo 112. El artículo 57 se aplicará únicamente en la medida en que los requisitos para los sistemas de IA de alto riesgo en virtud del presente Reglamento se hayan integrado en dichos actos legislativos de armonización de la Unión.

3. El presente Reglamento no se aplicará a los ámbitos que queden fuera del ámbito de aplicación del Derecho de la Unión y, en cualquier caso, no afectará a las competencias de los Estados miembros en materia de seguridad nacional, independientemente del tipo de entidad a la que los Estados miembros hayan encomendado el desempeño de tareas en relación con dichas competencias.

El presente Reglamento no se aplicará a los sistemas de IA que, y en la medida en que, se introduzcan en el mercado, se pongan en servicio o se utilicen, con o sin modificaciones, exclusivamente con fines militares, de defensa o de seguridad nacional, independientemente del tipo de entidad que lleve a cabo estas actividades.

El presente Reglamento no se aplicará a los sistemas de IA que no se introduzcan en el mercado o no se pongan en servicio en la Unión en los casos en que sus resultados de salida se utilicen en la Unión exclusivamente con fines militares, de defensa o de seguridad nacional, independientemente del tipo de entidad que lleve a cabo estas actividades.

4. El presente Reglamento no se aplicará a las autoridades públicas de terceros países ni a las organizaciones internacionales que entren dentro del ámbito de aplicación de este Reglamento conforme al apartado 1 cuando dichas autoridades u organizaciones utilicen sistemas de IA en el marco de acuerdos o de la cooperación internacionales con fines de garantía del cumplimiento del Derecho y cooperación judicial con la Unión o con uno o varios Estados miembros, siempre que tal tercer país u organización internacional ofrezca garantías suficientes con respecto a la protección de los derechos y libertades fundamentales de las personas.

5. El presente Reglamento no afectará a la aplicación de las disposiciones relativas a la responsabilidad de los prestadores de servicios intermediarios que figuran en el capítulo II del Reglamento (UE) 2022/2065.

6. El presente Reglamento no se aplicará a los sistemas o modelos de IA, incluidos sus resultados de salida, desarrollados y puestos en servicio específicamente con la investigación y el desarrollo científicos como única finalidad.

7. El Derecho de la Unión en materia de protección de los datos personales, la intimidad y la confidencialidad de las comunicaciones se aplicará a los datos personales tratados en relación con los derechos y obligaciones establecidos en el presente Reglamento. El presente Reglamento no afectará a los Reglamentos (UE) 2016/679 o (UE) 2018/1725 ni a las Directivas 2002/58/CE o (UE) 2016/680, sin perjuicio del artículo 10, apartado 5, y el artículo 59 del presente Reglamento.

8. El presente Reglamento no se aplicará a ninguna actividad de investigación, prueba o desarrollo relativa a sistemas de IA o modelos de IA antes de su introducción en el mercado o puesta en servicio. Estas actividades se llevarán a cabo de conformidad con el Derecho de la Unión aplicable. Las pruebas en condiciones reales no estarán cubiertas por esa exclusión.

9. El presente Reglamento se entenderá sin perjuicio de las normas establecidas por otros actos jurídicos de la Unión relativos a la protección de los consumidores y a la seguridad de los productos.

10. El presente Reglamento no se aplicará a las obligaciones de los responsables del despliegue que sean personas físicas que utilicen sistemas de IA en el ejercicio de una actividad puramente personal de carácter no profesional.

11. El presente Reglamento no impedirá que la Unión o los Estados miembros mantengan o introduzcan disposiciones legales, reglamentarias o administrativas que sean más favorables a los trabajadores en lo que atañe a la protección de sus derechos respecto al uso de sistemas de IA por parte de los empleadores ni que fomenten o permitan la aplicación de convenios colectivos que sean más favorables a los trabajadores.

12. El presente Reglamento no se aplicará a los sistemas de IA divulgados con arreglo a licencias libres y de código abierto, a menos que se introduzcan en el mercado o se pongan en servicio como sistemas de IA de alto riesgo o como sistemas de IA que entren en el ámbito de aplicación del artículo 5 o del artículo 50.

Artículo 3. Definiciones

A los efectos del presente Reglamento, se entenderá por:

1) «sistema de IA»: un sistema basado en una máquina que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras el despliegue, y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar resultados de salida, como predicciones, contenidos, recomendaciones o decisiones, que pueden influir en entornos físicos o virtuales;

2) «riesgo»: la combinación de la probabilidad de que se produzca un perjuicio y la gravedad de dicho perjuicio;

3) «proveedor»: una persona física o jurídica, autoridad pública, órgano u organismo que desarrolle un sistema de IA o un modelo de IA de uso general o para el que se desarrolle un sistema de IA o un modelo de IA de uso general y lo introduzca en el mercado o ponga en servicio el sistema de IA con su propio nombre o marca, previo pago o gratuitamente;

4) «responsable del despliegue»: una persona física o jurídica, o autoridad pública, órgano u organismo que utilice un sistema de IA bajo su propia autoridad, salvo cuando su uso se enmarque en una actividad personal de carácter no profesional;

5) «representante autorizado»: una persona física o jurídica ubicada o establecida en la Unión que haya recibido y aceptado el mandato por escrito de un proveedor de un sistema de IA o de un modelo de IA de uso general para cumplir las obligaciones y llevar a cabo los procedimientos establecidos en el presente Reglamento en representación de dicho proveedor;

6) «importador»: una persona física o jurídica ubicada o establecida en la Unión que introduzca en el mercado un sistema de IA que lleve el nombre o la marca de una persona física o jurídica establecida en un tercer país;

7) «distribuidor»: una persona física o jurídica que forme parte de la cadena de suministro, distinta del proveedor o el importador, que comercialice un sistema de IA en el mercado de la Unión;

8) «operador»: un proveedor, fabricante del producto, responsable del despliegue, representante autorizado, importador o distribuidor;

9) «introducción en el mercado»: la primera comercialización en el mercado de la Unión de un sistema de IA o de un modelo de IA de uso general;

10) «comercialización»: el suministro de un sistema de IA o de un modelo de IA de uso general para su distribución o utilización en el mercado de la Unión en el transcurso de una actividad comercial, previo pago o gratuitamente;

11) «puesta en servicio»: el suministro de un sistema de IA para su primer uso directamente al responsable del despliegue o para uso propio en la Unión para su finalidad prevista;

12) «finalidad prevista»: el uso para el que un proveedor concibe un sistema de IA, incluidos el contexto y las condiciones de uso concretos, según la información facilitada por el proveedor en las instrucciones de uso, los materiales y las declaraciones de promoción y venta, y la documentación técnica;

13) «uso indebido razonablemente previsible»: la utilización de un sistema de IA de un modo que no corresponde a su finalidad prevista, pero que puede derivarse de un comportamiento humano o una interacción con otros sistemas, incluidos otros sistemas de IA, razonablemente previsible;

14) «componente de seguridad»: un componente de un producto o un sistema de IA que cumple una función de seguridad para dicho producto o sistema de IA, o cuyo fallo o defecto de funcionamiento pone en peligro la salud y la seguridad de las personas o los bienes;

15) «instrucciones de uso»: la información facilitada por el proveedor para informar al responsable del despliegue, en particular, de la finalidad prevista y de la correcta utilización de un sistema de IA;

16) «recuperación de un sistema de IA»: toda medida encaminada a conseguir la devolución al proveedor de un sistema de IA puesto a disposición de los responsables del despliegue, a inutilizarlo o a desactivar su uso;

17) «retirada de un sistema de IA»: toda medida destinada a impedir la comercialización de un sistema de IA que se encuentra en la cadena de suministro;

18) «funcionamiento de un sistema de IA»: la capacidad de un sistema de IA para alcanzar su finalidad prevista;

19) «autoridad notificante»: la autoridad nacional responsable de establecer y llevar a cabo los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad, así como de su supervisión;

20) «evaluación de la conformidad»: el proceso por el que se demuestra si se han cumplido los requisitos establecidos en el capítulo III, sección 2, en relación con un sistema de IA de alto riesgo;

21) «organismo de evaluación de la conformidad»: un organismo que desempeña actividades de evaluación de la conformidad de terceros, como el ensayo, la certificación y la inspección;

22) «organismo notificado»: un organismo de evaluación de la conformidad notificado con arreglo al presente Reglamento y a otros actos pertinentes de la legislación de armonización de la Unión;

23) «modificación sustancial»: un cambio en un sistema de IA tras su introducción en el mercado o puesta en servicio que no haya sido previsto o proyectado en la evaluación de la conformidad inicial realizada por el proveedor y a consecuencia del cual se vea afectado el cumplimiento por parte del sistema de IA de los requisitos establecidos en el capítulo III, sección 2, o que dé lugar a una modificación de la finalidad prevista para la que se haya evaluado el sistema de IA de que se trate;

24) «marcado CE»: un marcado con el que un proveedor indica que un sistema de IA es conforme con los requisitos establecidos en el capítulo III, sección 2, y con otros actos aplicables de la legislación de armonización de la Unión que prevén su colocación;

25) «sistema de vigilancia poscomercialización»: todas las actividades realizadas por los proveedores de sistemas de IA destinadas a recoger y examinar la experiencia obtenida con el uso de sistemas de IA que introducen en el mercado o ponen en servicio, con objeto de detectar la posible necesidad de aplicar inmediatamente cualquier tipo de medida correctora o preventiva que resulte necesaria;

26) «autoridad de vigilancia del mercado»: la autoridad nacional que lleva a cabo las actividades y adopta las medidas previstas en el Reglamento (UE) 2019/1020;

27) «norma armonizada»: una norma armonizada tal como se define en el artículo 2, punto 1, letra c), del Reglamento (UE) nº 1025/2012;

28) «especificación común»: un conjunto de especificaciones técnicas tal como se definen en el artículo 2, punto 4, del Reglamento (UE) nº 1025/2012 que proporciona medios para cumplir determinados requisitos establecidos en virtud del presente Reglamento;

29) «datos de entrenamiento»: los datos usados para entrenar un sistema de IA mediante el ajuste de sus parámetros entrenables;

30) «datos de validación»: los datos usados para proporcionar una evaluación del sistema de IA entrenado y adaptar sus parámetros no entrenables y su proceso de aprendizaje para, entre otras cosas, evitar el subajuste o el sobreajuste;

31) «conjunto de datos de validación»: un conjunto de datos independiente o una parte del conjunto de datos de entrenamiento, obtenida mediante una división fija o variable;

32) «datos de prueba»: los datos usados para proporcionar una evaluación independiente del sistema de IA, con el fin de confirmar el funcionamiento previsto de dicho sistema antes de su introducción en el mercado o su puesta en servicio;

33) «datos de entrada»: los datos proporcionados a un sistema de IA u obtenidos directamente por él a partir de los cuales produce un resultado de salida;

34) «datos biométricos»: los datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física, como imágenes faciales o datos dactiloscópicos;

35) «identificación biométrica»: el reconocimiento automatizado de características humanas de tipo físico, fisiológico, conductual o psicológico para determinar la identidad de una persona física comparando sus datos biométricos con los datos biométricos de personas almacenados en una base de datos;

36) «verificación biométrica»: la verificación automatizada y uno-a-uno, incluida la autenticación, de la identidad de las personas físicas mediante la comparación de sus datos biométricos con los datos biométricos facilitados previamente;

37) «categorías especiales de datos personales»: las categorías de datos personales a que se refieren el artículo 9, apartado 1, del Reglamento (UE) 2016/679, el artículo 10 de la Directiva (UE) 2016/680 y el artículo 10, apartado 1, del Reglamento (UE) 2018/1725;

38) «datos operativos sensibles»: los datos operativos relacionados con actividades de prevención, detección, investigación o enjuiciamiento de delitos cuya divulgación podría poner en peligro la integridad de las causas penales;

39) «sistema de reconocimiento de emociones»: un sistema de IA destinado a distinguir o inferir las emociones o las intenciones de las personas físicas a partir de sus datos biométricos;

40) «sistema de categorización biométrica»: un sistema de IA destinado a incluir a las personas físicas en categorías específicas en función de sus datos biométricos, a menos que sea accesorio a otro servicio comercial y estrictamente necesario por razones técnicas objetivas;

41) «sistema de identificación biométrica remota»: un sistema de IA destinado a identificar a las personas físicas sin su participación activa y generalmente a distancia comparando sus datos biométricos con los que figuran en una base de datos de referencia;

42) «sistema de identificación biométrica remota en tiempo real»: un sistema de identificación biométrica remota, en el que la recogida de los datos biométricos, la comparación y la identificación se producen sin una demora significativa; engloba no solo la identificación instantánea, sino también, a fin de evitar la elusión, demoras mínimas limitadas;

43) «sistema de identificación biométrica remota en diferido»: cualquier sistema de identificación biométrica remota que no sea un sistema de identificación biométrica remota en tiempo real;

44) «espacio de acceso público»: cualquier lugar físico, de propiedad privada o pública, al que pueda acceder un número indeterminado de personas físicas, con independencia de que deban cumplirse determinadas condiciones de acceso y con independencia de las posibles restricciones de capacidad;

45) «autoridad garante del cumplimiento del Derecho»:

a) toda autoridad pública competente para la prevención, la investigación, la detección o el enjuiciamiento de delitos o la ejecución de sanciones penales, incluidas la protección frente a amenazas para la seguridad pública y la prevención de dichas amenazas, o

b) cualquier otro organismo o entidad a quien el Derecho del Estado miembro haya confiado el ejercicio de la autoridad pública y las competencias públicas a efectos de prevención, investigación, detección o enjuiciamiento de delitos o ejecución de sanciones penales, incluidas la protección frente a amenazas para la seguridad pública y la prevención de dichas amenazas;

46) «garantía del cumplimiento del Derecho»: las actividades realizadas por las autoridades garantes del cumplimiento del Derecho, o en su nombre, para la prevención, la investigación, la detección o el enjuiciamiento de delitos o la ejecución de sanciones penales, incluidas la protección frente a amenazas para la seguridad pública y la prevención de dichas amenazas;

47) «Oficina de IA»: la función de la Comisión consistente en contribuir a la implantación, el seguimiento y la supervisión de los sistemas de IA y modelos de IA de uso general, y a la gobernanza de la IA prevista por la Decisión de la Comisión de 24 de enero de 2024; las referencias hechas en el presente Reglamento a la Oficina de IA se entenderán hechas a la Comisión;

48) «autoridad nacional competente»: una autoridad notificante o una autoridad de vigilancia del mercado; en lo que respecta a sistemas de IA puestos en servicio o utilizados por instituciones, órganos y organismos de la Unión, las referencias hechas en el presente Reglamento a autoridades nacionales competentes o a autoridades de vigilancia del mercado se interpretarán como referencias al Supervisor Europeo de Protección de Datos;

49) «incidente grave»: un incidente o defecto de funcionamiento de un sistema de IA que, directa o indirectamente, tenga alguna de las siguientes consecuencias:

a) el fallecimiento de una persona o un perjuicio grave para su salud;

b) una alteración grave e irreversible de la gestión o el funcionamiento de infraestructuras críticas;

c) el incumplimiento de obligaciones en virtud del Derecho de la Unión destinadas a proteger los derechos fundamentales;

d) daños graves a la propiedad o al medio ambiente;

50) «datos personales»: los datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

51) «datos no personales»: los datos que no sean datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

52) «elaboración de perfiles»: la elaboración de perfiles tal como se define en el artículo 4, punto 4, del Reglamento (UE) 2016/679;

53) «plan de la prueba en condiciones reales»: un documento que describe los objetivos, la metodología, el ámbito geográfico, poblacional y temporal, el seguimiento, la organización y la realización de la prueba en condiciones reales;

54) «plan del espacio controlado de pruebas»: un documento acordado entre el proveedor participante y la autoridad competente en el que se describen los objetivos, las condiciones, el calendario, la metodología y los requisitos para las actividades realizadas en el espacio controlado de pruebas;

55) «espacio controlado de pruebas para la IA»: un marco controlado establecido por una autoridad competente que ofrece a los proveedores y proveedores potenciales de sistemas de IA la posibilidad de desarrollar, entrenar, validar y probar, en condiciones reales cuando proceda, un sistema de IA innovador, con arreglo a un plan del espacio controlado de pruebas y durante un tiempo limitado, bajo supervisión regulatoria;

56) «alfabetización en materia de IA»: las capacidades, los conocimientos y la comprensión que permiten a los proveedores, responsables del despliegue y demás personas afectadas, teniendo en cuenta sus respectivos derechos y obligaciones en el contexto del presente Reglamento, llevar a cabo un despliegue informado de los sistemas de IA y tomar conciencia de las oportunidades y los riesgos que plantea la IA, así como de los perjuicios que puede causar;

57) «prueba en condiciones reales»: la prueba temporal de un sistema de IA para su finalidad prevista en condiciones reales, fuera de un laboratorio u otro entorno de simulación, con el fin de recabar datos sólidos y fiables y evaluar y comprobar la conformidad del sistema de IA con los requisitos del presente Reglamento; si se cumplen todas las condiciones establecidas en el artículo 57 o 60, no se considerará una introducción en el mercado o una puesta en servicio del sistema de IA en el sentido de lo dispuesto en el presente Reglamento;

58) «sujeto»: a los efectos de la prueba en condiciones reales, una persona física que participa en la prueba en condiciones reales;

59) «consentimiento informado»: la expresión libre, específica, inequívoca y voluntaria por parte de un sujeto de su voluntad de participar en una determinada prueba en condiciones reales tras haber sido informado de todos los aspectos de la prueba que sean pertinentes para su decisión de participar;

60) «ultrasuplantación»: un contenido de imagen, audio o vídeo generado o manipulado por una IA que se asemeja a personas, objetos, lugares, entidades o sucesos reales y que puede inducir a una persona a pensar erróneamente que son auténticos o verídicos;

61) «infracción generalizada»: todo acto u omisión contrario al Derecho de la Unión por el que se protegen los intereses de las personas y que:

a) haya perjudicado o pueda perjudicar los intereses colectivos de personas que residen en al menos dos Estados miembros distintos de aquel en el que:

i) se originó o tuvo lugar el acto u omisión,

ii) esté ubicado o establecido el proveedor de que se trate o, en su caso, su representante autorizado, o

iii) esté establecido el responsable del despliegue en el momento de cometer la infracción;

b) haya perjudicado, perjudique o pueda perjudicar los intereses colectivos de las personas y tenga características comunes —incluidas la misma práctica ilícita o la vulneración del mismo interés— y sea cometido simultáneamente por el mismo operador en al menos tres Estados miembros;

62) «infraestructura crítica»: una infraestructura crítica tal como se define en el artículo 2, punto 4, de la Directiva (UE) 2022/2557;

63) «modelo de IA de uso general»: un modelo de IA, también uno entrenado con un gran volumen de datos utilizando autosupervisión a gran escala, que presenta un grado considerable de generalidad y es capaz de realizar de manera competente una gran variedad de tareas distintas, independientemente de la manera en que el modelo se introduzca en el mercado, y que puede integrarse en diversos sistemas o aplicaciones posteriores, excepto los modelos de IA que se utilizan para actividades de investigación, desarrollo o creación de prototipos antes de su introducción en el mercado;

64) «capacidades de gran impacto»: capacidades que igualan o superan las capacidades mostradas por los modelos de IA de uso general más avanzados;

65) «riesgo sistémico»: un riesgo específico de las capacidades de gran impacto de los modelos de IA de uso general, que tienen unas repercusiones considerables en el mercado de la Unión debido a su alcance o a los efectos negativos reales o razonablemente previsibles en la salud pública, la seguridad, la seguridad pública, los derechos fundamentales o la sociedad en su conjunto, que puede propagarse a gran escala a lo largo de toda la cadena de valor;

66) «sistema de IA de uso general»: un sistema de IA basado en un modelo de IA de uso general y que puede servir para diversos fines, tanto para su uso directo como para su integración en otros sistemas de IA;

67) «operación de coma flotante»: cualquier operación o tarea matemática que implique números de coma flotante, que son un subconjunto de los números reales normalmente representados en los ordenadores mediante un número entero de precisión fija elevado por el exponente entero de una base fija;

68) «proveedor posterior»: un proveedor de un sistema de IA, también de un sistema de IA de uso general, que integra un modelo de IA, con independencia de que el modelo de IA lo proporcione él mismo y esté integrado verticalmente o lo proporcione otra entidad en virtud de relaciones contractuales.

Artículo 4. Alfabetización en materia de IA

Los proveedores y responsables del despliegue de sistemas de IA adoptarán medidas para garantizar que, en la mayor medida posible, su personal y demás personas que se encarguen en su nombre del funcionamiento y la utilización de sistemas de IA tengan un nivel suficiente de alfabetización en materia de IA, teniendo en cuenta sus conocimientos técnicos, su experiencia, su educación y su formación, así como el contexto previsto de uso de los sistemas de IA y las personas o los colectivos de personas en que se van a utilizar dichos sistemas.

CAPÍTULO II. PRÁCTICAS DE IA PROHIBIDAS

Artículo 5. Prácticas de IA prohibidas

1. Quedan prohibidas las siguientes prácticas de IA:

a) la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que se sirva de técnicas subliminales que trasciendan la conciencia de una persona o de técnicas deliberadamente manipuladoras o engañosas con el objetivo o el efecto de alterar de manera sustancial el comportamiento de una persona o un colectivo de personas, mermando de manera apreciable su capacidad para tomar una decisión informada y haciendo que tomen una decisión que de otro modo no habrían tomado, de un modo que provoque, o sea razonablemente probable que provoque, perjuicios considerables a esa persona, a otra persona o a un colectivo de personas;

b) la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que explote alguna de las vulnerabilidades de una persona física o un determinado colectivo de personas derivadas de su edad o discapacidad, o de una situación social o económica específica, con la finalidad o el efecto de alterar de manera sustancial el comportamiento de dicha persona o de una persona que pertenezca a dicho colectivo de un modo que provoque, o sea razonablemente probable que provoque, perjuicios considerables a esa persona o a otra;

c) la introducción en el mercado, la puesta en servicio o la utilización de sistemas de IA para evaluar o clasificar a personas físicas o a colectivos de personas durante un período determinado de tiempo atendiendo a su comportamiento social o a características personales o de su personalidad conocidas, inferidas o predichas, de forma que la puntuación ciudadana resultante provoque una o varias de las situaciones siguientes:

i) un trato perjudicial o desfavorable hacia determinadas personas físicas o colectivos de personas en contextos sociales que no guarden relación con los contextos donde se generaron o recabaron los datos originalmente,

ii) un trato perjudicial o desfavorable hacia determinadas personas físicas o colectivos de personas que sea injustificado o desproporcionado con respecto a su comportamiento social o la gravedad de este;

d) la introducción en el mercado, la puesta en servicio para este fin específico o el uso de un sistema de IA para realizar evaluaciones de riesgos de personas físicas con el fin de valorar o predecir el riesgo de que una persona física cometa un delito basándose únicamente en la elaboración del perfil de una persona física o en la evaluación de los rasgos y características de su personalidad; esta prohibición no se aplicará a los sistemas de IA utilizados para apoyar la valoración humana de la implicación de una persona en una actividad delictiva que ya se base en hechos objetivos y verificables directamente relacionados con una actividad delictiva;

e) la introducción en el mercado, la puesta en servicio para este fin específico o el uso de sistemas de IA que creen o amplíen bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión;

f) la introducción en el mercado, la puesta en servicio para este fin específico o el uso de sistemas de IA para inferir las emociones de una persona física en los lugares de trabajo y en los centros educativos, excepto cuando el sistema de IA esté destinado a ser instalado o introducido en el mercado por motivos médicos o de seguridad;

g) la introducción en el mercado, la puesta en servicio para este fin específico o el uso de sistemas de categorización biométrica que clasifiquen individualmente a las personas físicas sobre la base de sus datos biométricos para deducir o inferir su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual u orientación sexual; esta prohibición no incluye el etiquetado o filtrado de conjuntos de datos biométricos adquiridos lícitamente, como imágenes, basado en datos biométricos ni la categorización de datos biométricos en el ámbito de la garantía del cumplimiento del Derecho;

h) el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho, salvo y en la medida en que dicho uso sea estrictamente necesario para alcanzar uno o varios de los objetivos siguientes:

i) la búsqueda selectiva de víctimas concretas de secuestro, trata de seres humanos o explotación sexual de seres humanos, así como la búsqueda de personas desaparecidas,

ii) la prevención de una amenaza específica, importante e inminente para la vida o la seguridad física de las personas físicas o de una amenaza real y actual o real y previsible de un atentado terrorista,

iii) la localización o identificación de una persona sospechosa de haber cometido un delito a fin de llevar a cabo una investigación o un enjuiciamiento penales o de ejecutar una sanción penal por alguno de los delitos mencionados en el anexo II que en el Estado miembro de que se trate se castigue con una pena o una medida de seguridad privativas de libertad cuya duración máxima sea de al menos cuatro años.

El párrafo primero, letra h), se entiende sin perjuicio de lo dispuesto en el artículo 9 del Reglamento (UE) 2016/679 en lo que respecta al tratamiento de datos biométricos con fines distintos de la garantía del cumplimiento del Derecho.

2. El uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho para cualquiera de los objetivos mencionados en el apartado 1, párrafo primero, letra h), debe desplegarse para los fines establecidos en dicha letra, únicamente para confirmar la identidad de la persona que constituya el objetivo específico y tendrá en cuenta los siguientes aspectos:

a) la naturaleza de la situación que dé lugar al posible uso, y en particular la gravedad, probabilidad y magnitud del perjuicio que se produciría de no utilizarse el sistema;

b) las consecuencias que tendría el uso del sistema en los derechos y las libertades de las personas implicadas, y en particular la gravedad, probabilidad y magnitud de dichas consecuencias.

Además, el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho para cualquiera de los objetivos mencionados en el apartado 1, párrafo primero, letra h), del presente artículo deberá cumplir garantías y condiciones necesarias y proporcionadas en relación con el uso de conformidad con el Derecho nacional que autorice dicho uso, en particular en lo que respecta a las limitaciones temporales, geográficas y personales. El uso del sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público solo se autorizará si la autoridad garante del cumplimiento del Derecho ha completado una evaluación de impacto relativa a los derechos fundamentales según lo dispuesto en el artículo 27 y ha registrado el sistema en la base de datos de la UE de conformidad con el artículo 49. No obstante, en casos de urgencia debidamente justificados, se podrá empezar a utilizar tales sistemas sin el registro en la base de datos de la UE, siempre que dicho registro se complete sin demora indebida.

3. A los efectos del apartado 1, párrafo primero, letra h), y el apartado 2, todo uso de un sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho estará supeditado a la concesión de una autorización previa por parte de una autoridad judicial o una autoridad administrativa independiente cuya decisión sea vinculante del Estado miembro en el que vaya a utilizarse dicho sistema, que se expedirá previa solicitud motivada y de conformidad con las normas detalladas del Derecho nacional mencionadas en el apartado 5. No obstante, en una situación de urgencia debidamente justificada, se podrá empezar a utilizar tal sistema sin autorización siempre que se solicite dicha autorización sin demora indebida, a más tardar en un plazo de veinticuatro horas. Si se rechaza dicha autorización, el uso se interrumpirá con efecto inmediato y todos los datos, así como los resultados y la información de salida generados por dicho uso, se desecharán y suprimirán inmediatamente.

La autoridad judicial competente o una autoridad administrativa independiente cuya decisión sea vinculante únicamente concederá la autorización cuando tenga constancia, sobre la base de pruebas objetivas o de indicios claros que se le aporten, de que el uso del sistema de identificación biométrica remota «en tiempo real» es necesario y proporcionado para alcanzar alguno de los objetivos especificados en el apartado 1, párrafo primero, letra h), el cual se indicará en la solicitud, y, en particular, se limita a lo estrictamente necesario en lo que se refiere al período de tiempo, así como al ámbito geográfico y personal. Al pronunciarse al respecto, esa autoridad tendrá en cuenta los aspectos mencionados en el apartado 2. Dicha autoridad no podrá adoptar ninguna decisión que produzca efectos jurídicos adversos para una persona exclusivamente sobre la base de los resultados de salida del sistema de identificación biométrica remota «en tiempo real».

4. Sin perjuicio de lo dispuesto en el apartado 3, todo uso de un sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho se notificará a la autoridad de vigilancia del mercado pertinente y a la autoridad nacional de protección de datos de conformidad con las normas nacionales a que se refiere el apartado 5. La notificación contendrá, como mínimo, la información especificada en el apartado 6 y no incluirá datos operativos sensibles.

5. Los Estados miembros podrán decidir contemplar la posibilidad de autorizar, ya sea total o parcialmente, el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho dentro de los límites y en las condiciones que se indican en el apartado 1, párrafo primero, letra h), y los apartados 2 y 3. Los Estados miembros de que se trate deberán establecer en sus respectivos Derechos nacionales las normas detalladas necesarias aplicables a la solicitud, la concesión y el ejercicio de las autorizaciones a que se refiere el apartado 3, así como a la supervisión y la presentación de informes relacionadas con estas. Dichas normas especificarán también para qué objetivos de los enumerados en el apartado 1, párrafo primero, letra h), y en su caso en relación con qué delitos de los indicados en la letra h), inciso iii), se podrá autorizar a las autoridades competentes para que utilicen esos sistemas con fines de garantía del cumplimiento del Derecho. Los Estados miembros notificarán dichas normas a la Comisión a más tardar treinta días después de su adopción. Los Estados miembros podrán adoptar, de conformidad con el Derecho de la Unión, leyes más restrictivas sobre el uso de sistemas de identificación biométrica remota.

6. Las autoridades nacionales de vigilancia del mercado y las autoridades nacionales de protección de datos de los Estados miembros a las que se haya notificado el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho con arreglo al apartado 4 presentarán a la Comisión informes anuales sobre dicho uso. A tal fin, la Comisión facilitará a los Estados miembros y a las autoridades nacionales de vigilancia del mercado y de protección de datos un modelo que incluya información sobre el número de decisiones adoptadas por las autoridades judiciales competentes o una autoridad administrativa independiente cuya decisión sea vinculante en relación con las solicitudes de autorización de conformidad con el apartado 3, así como su resultado.

7. La Comisión publicará informes anuales sobre el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho elaborados basados en datos agregados relativos a los Estados miembros sobre la base de los informes anuales a que se refiere el apartado 6. Dichos informes anuales no incluirán datos operativos sensibles de las actividades de garantía del cumplimiento del Derecho conexas.

8. El presente artículo no afectará a las prohibiciones aplicables cuando una práctica de IA infrinja otras disposiciones de Derecho de la Unión.

CAPÍTULO III. SISTEMAS DE IA DE ALTO RIESGO

SECCIÓN 1. Clasificación de los sistemas de IA como sistemas de alto riesgo

Artículo 6. Reglas de clasificación de los sistemas de IA de alto riesgo

1. Con independencia de si se ha introducido en el mercado o se ha puesto en servicio sin estar integrado en los productos que se mencionan en las letras a) y b), un sistema de IA se considerará de alto riesgo cuando reúna las dos condiciones que se indican a continuación:

a) que el sistema de IA esté destinado a ser utilizado como componente de seguridad de un producto que entre en el ámbito de aplicación de los actos legislativos de armonización de la Unión enumerados en el anexo I, o que el propio sistema de IA sea uno de dichos productos, y

b) que el producto del que el sistema de IA sea componente de seguridad con arreglo a la letra a), o el propio sistema de IA como producto, deba someterse a una evaluación de la conformidad de terceros para su introducción en el mercado o puesta en servicio con arreglo a los actos legislativos de armonización de la Unión enumerados en el anexo I.

2. Además de los sistemas de IA de alto riesgo a que se refiere el apartado 1, también se considerarán de alto riesgo los sistemas de IA contemplados en el anexo III.

3. No obstante lo dispuesto en el apartado 2, un sistema de IA a que se refiere el anexo III no se considerará de alto riesgo cuando no plantee un riesgo importante de causar un perjuicio a la salud, la seguridad o los derechos fundamentales de las personas físicas, también al no influir sustancialmente en el resultado de la toma de decisiones.

El párrafo primero se aplicará cuando se cumpla cualquiera de las condiciones siguientes:

a) que el sistema de IA esté destinado a realizar una tarea de procedimiento limitada;

b) que el sistema de IA esté destinado a mejorar el resultado de una actividad humana previamente realizada;

c) que el sistema de IA esté destinado a detectar patrones de toma de decisiones o desviaciones con respecto a patrones de toma de decisiones anteriores y no esté destinado a sustituir la valoración humana previamente realizada sin una revisión humana adecuada, ni a influir en ella, o

d) que el sistema de IA esté destinado a realizar una tarea preparatoria para una evaluación que sea pertinente a efectos de los casos de uso enumerados en el anexo III.

No obstante lo dispuesto en el párrafo primero, los sistemas de IA a que se refiere el anexo III siempre se considerarán de alto riesgo cuando el sistema de IA efectúe la elaboración de perfiles de personas físicas.

4. El proveedor que considere que un sistema de IA contemplado en el anexo III no es de alto riesgo documentará su evaluación antes de que dicho sistema sea introducido en el mercado o puesto en servicio. Dicho proveedor estará sujeto a la obligación de registro establecida en el artículo 49, apartado 2. A petición de las autoridades nacionales competentes, el proveedor facilitará la documentación de la evaluación.

5. La Comisión, previa consulta al Consejo Europeo de Inteligencia Artificial (en lo sucesivo, «Consejo de IA»), y a más tardar el 2 de febrero de 2026, proporcionará directrices que especifiquen la aplicación práctica del presente artículo en consonancia con el artículo 96, junto con una lista exhaustiva de ejemplos prácticos de casos de uso de sistemas de IA que sean de alto riesgo y que no sean de alto riesgo.

6. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97 al objeto de modificar el apartado 3, párrafo segundo, del presente artículo, añadiendo nuevas condiciones a las establecidas en dicho apartado, o modificando estas, cuando existan pruebas concretas y fiables de la existencia de sistemas de IA que entren en el ámbito de aplicación del anexo III, pero que no planteen un riesgo importante de causar un perjuicio a la salud, la seguridad o los derechos fundamentales de las personas físicas.

7. La Comisión adoptará actos delegados con arreglo al artículo 97 al objeto de modificar el apartado 3, párrafo segundo, del presente artículo, suprimiendo cualquiera de las condiciones establecidas en él, cuando existan pruebas concretas y fiables de que es necesario para mantener el nivel de protección de la salud, la seguridad y los derechos fundamentales previsto en el presente Reglamento.

8. Ninguna modificación de las condiciones establecidas en el apartado 3, párrafo segundo, adoptada de conformidad con los apartados 6 y 7 del presente artículo, reducirá el nivel global de protección de la salud, la seguridad y los derechos fundamentales previsto en el presente Reglamento, y cualquier modificación garantizará la coherencia con los actos delegados adoptados con arreglo al artículo 7, apartado 1, y tendrá en cuenta la evolución tecnológica y del mercado.

Artículo 7. Modificaciones del anexo III

1. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97 al objeto de modificar el anexo III mediante la adición o modificación de casos de uso de sistemas de IA de alto riesgo cuando se reúnan las dos condiciones siguientes:

a) que los sistemas de IA estén destinados a ser utilizados en cualquiera de los ámbitos que figuran en el anexo III, y

b) que los sistemas de IA planteen un riesgo de perjudicar la salud y la seguridad o de tener repercusiones negativas en los derechos fundamentales, y que dicho riesgo sea equivalente a, o mayor que, el riesgo de perjuicio o de repercusiones negativas que plantean los sistemas de IA de alto riesgo que ya se mencionan en el anexo III.

2. Cuando evalúe la condición prevista en el apartado 1, letra b), la Comisión tendrá en cuenta los criterios siguientes:

a) la finalidad prevista del sistema de IA;

b) la medida en que se haya utilizado o sea probable que se utilice un sistema de IA;

c) la naturaleza y la cantidad de los datos tratados y utilizados por el sistema de IA, en particular si se tratan categorías especiales de datos personales;

d) el grado de autonomía con el que actúa el sistema de IA y la posibilidad de que un ser humano anule una decisión o recomendaciones que puedan dar lugar a un perjuicio;

e) la medida en que la utilización de un sistema de IA ya haya causado un perjuicio a la salud y la seguridad, haya tenido repercusiones negativas en los derechos fundamentales o haya dado lugar a problemas importantes en relación con la probabilidad de dicho perjuicio o dichas repercusiones negativas, según demuestren, por ejemplo, los informes o las alegaciones documentadas que se presenten a las autoridades nacionales competentes o cualquier otro informe, según proceda;

f) el posible alcance de dicho perjuicio o dichas repercusiones negativas, en particular en lo que respecta a su intensidad y su capacidad para afectar a varias personas o afectar de manera desproporcionada a un determinado colectivo de personas;

g) la medida en que las personas que podrían sufrir dicho perjuicio o dichas repercusiones negativas dependan del resultado generado por un sistema de IA, en particular porque, por motivos prácticos o jurídicos, no sea razonablemente posible renunciar a dicho resultado;

h) la medida en que exista un desequilibrio de poder o las personas que podrían sufrir dicho perjuicio o dichas repercusiones negativas se encuentren en una posición de vulnerabilidad respecto del responsable del despliegue de un sistema de IA, en particular debido a su situación, autoridad, conocimientos, circunstancias económicas o sociales, o edad;

i) la medida en que sea fácil corregir o revertir el resultado generado utilizando un sistema de IA, teniendo en cuenta las soluciones técnicas disponibles para corregirlo o revertirlo y sin que deba considerarse que los resultados que afectan negativamente a la salud, la seguridad o los derechos fundamentales son fáciles de corregir o revertir;

j) la probabilidad de que el despliegue del sistema de IA resulte beneficioso para las personas, los colectivos o la sociedad en general, y la magnitud de este beneficio, incluidas posibles mejoras en la seguridad de los productos;

k) la medida en que el Derecho de la Unión vigente establezca:

i) vías de recurso efectivas en relación con los riesgos que plantea un sistema de IA, con exclusión de las acciones por daños y perjuicios,

ii) medidas efectivas para prevenir o reducir notablemente esos riesgos.

3. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97 al objeto de modificar la lista del anexo III mediante la supresión de sistemas de IA de alto riesgo cuando se reúnan las dos condiciones siguientes:

a) que los sistemas de IA de alto riesgo de que se trate ya no planteen riesgos considerables para los derechos fundamentales, la salud o la seguridad, teniendo en cuenta los criterios enumerados en el apartado 2;

b) que la supresión no reduzca el nivel general de protección de la salud, la seguridad y los derechos fundamentales con arreglo al Derecho de la Unión.

SECCIÓN 2. Requisitos de los sistemas de IA de alto riesgo

Artículo 8. Cumplimiento de los requisitos

1. Los sistemas de IA de alto riesgo cumplirán los requisitos establecidos en la presente sección, teniendo en cuenta sus finalidades previstas, así como el estado actual de la técnica generalmente reconocido en materia de IA y tecnologías relacionadas con la IA. A la hora de garantizar el cumplimiento de dichos requisitos se tendrá en cuenta el sistema de gestión de riesgos a que se refiere el artículo 9.

2. Cuando un producto contenga un sistema de IA al que se apliquen los requisitos del presente Reglamento, así como los requisitos de los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, los proveedores serán responsables de garantizar que su producto cumpla plenamente todos los requisitos aplicables en virtud de los actos legislativos de armonización de la Unión que sean aplicables. Para garantizar el cumplimiento de los sistemas de IA de alto riesgo a que se refiere el apartado 1 de los requisitos establecidos en la presente sección, y con el fin de garantizar la coherencia, evitar duplicidades y reducir al mínimo las cargas adicionales, los proveedores podrán optar por integrar, según proceda, los procesos de prueba y presentación de información necesarios, y la información y la documentación que faciliten con respecto a su producto en documentación y procedimientos que ya existan y exijan los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A.

Artículo 9. Sistema de gestión de riesgos

1. Se establecerá, implantará, documentará y mantendrá un sistema de gestión de riesgos en relación con los sistemas de IA de alto riesgo.

2. El sistema de gestión de riesgos se entenderá como un proceso iterativo continuo planificado y ejecutado durante todo el ciclo de vida de un sistema de IA de alto riesgo, que requerirá revisiones y actualizaciones sistemáticas periódicas. Constará de las siguientes etapas:

a) la determinación y el análisis de los riesgos conocidos y previsibles que el sistema de IA de alto riesgo pueda plantear para la salud, la seguridad o los derechos fundamentales cuando el sistema de IA de alto riesgo se utilice de conformidad con su finalidad prevista;

b) la estimación y la evaluación de los riesgos que podrían surgir cuando el sistema de IA de alto riesgo se utilice de conformidad con su finalidad prevista y cuando se le dé un uso indebido razonablemente previsible;

c) la evaluación de otros riesgos que podrían surgir, a partir del análisis de los datos recogidos con el sistema de vigilancia poscomercialización a que se refiere el artículo 72;

d) la adopción de medidas adecuadas y específicas de gestión de riesgos diseñadas para hacer frente a los riesgos detectados con arreglo a la letra a).

3. Los riesgos a que se refiere el presente artículo son únicamente aquellos que pueden mitigarse o eliminarse razonablemente mediante el desarrollo o el diseño del sistema de IA de alto riesgo o el suministro de información técnica adecuada.

4. Las medidas de gestión de riesgos mencionadas en el apartado 2, letra d), tendrán debidamente en cuenta los efectos y la posible interacción derivados de la aplicación combinada de los requisitos establecidos en la presente sección, con vistas a reducir al mínimo los riesgos de manera más eficaz al tiempo que se logra un equilibrio adecuado en la aplicación de las medidas para cumplir dichos requisitos.

5. Las medidas de gestión de riesgos mencionadas en el apartado 2, letra d), considerarán aceptables los riesgos residuales pertinentes asociados a cada peligro, así como el riesgo residual general de los sistemas de IA de alto riesgo.

A la hora de determinar las medidas de gestión de riesgos más adecuadas, se procurará:

a) eliminar o reducir los riesgos detectados y evaluados de conformidad con el apartado 2 en la medida en que sea técnicamente viable mediante un diseño y un desarrollo adecuados del sistema de IA de alto riesgo;

b) implantar, cuando proceda, unas medidas de mitigación y control apropiadas que hagan frente a los riesgos que no puedan eliminarse;

c) proporcionar la información requerida conforme al artículo 13 y, cuando proceda, impartir formación a los responsables del despliegue.

Con vistas a eliminar o reducir los riesgos asociados a la utilización del sistema de IA de alto riesgo, se tendrán debidamente en cuenta los conocimientos técnicos, la experiencia, la educación y la formación que se espera que posea el responsable del despliegue, así como el contexto en el que está previsto que se utilice el sistema.

6. Los sistemas de IA de alto riesgo serán sometidos a pruebas destinadas a determinar cuáles son las medidas de gestión de riesgos más adecuadas y específicas. Dichas pruebas comprobarán que los sistemas de IA de alto riesgo funcionan de manera coherente con su finalidad prevista y cumplen los requisitos establecidos en la presente sección.

7. Los procedimientos de prueba podrán incluir pruebas en condiciones reales de conformidad con el artículo 60.

8. Las pruebas de los sistemas de IA de alto riesgo se realizarán, según proceda, en cualquier momento del proceso de desarrollo y, en todo caso, antes de su introducción en el mercado o puesta en servicio. Las pruebas se realizarán utilizando parámetros y umbrales de probabilidades previamente definidos que sean adecuados para la finalidad prevista del sistema de IA de alto riesgo.

9. Cuando se implante el sistema de gestión de riesgos previsto en los apartados 1 a 7, los proveedores prestarán atención a si, en vista de su finalidad prevista, es probable que el sistema de IA de alto riesgo afecte negativamente a las personas menores de dieciocho años y, en su caso, a otros colectivos vulnerables.

10. En el caso de los proveedores de sistemas de IA de alto riesgo que estén sujetos a requisitos relativos a procesos internos de gestión de riesgos con arreglo a otras disposiciones pertinentes del Derecho de la Unión, los aspectos previstos en los apartados 1 a 9 podrán formar parte de los procedimientos de gestión de riesgos establecidos con arreglo a dicho Derecho, o combinarse con ellos.

Artículo 10. Datos y gobernanza de datos

1. Los sistemas de IA de alto riesgo que utilizan técnicas que implican el entrenamiento de modelos de IA con datos se desarrollarán a partir de conjuntos de datos de entrenamiento, validación y prueba que cumplan los criterios de calidad a que se refieren los apartados 2 a 5 siempre que se utilicen dichos conjuntos de datos.

2. Los conjuntos de datos de entrenamiento, validación y prueba se someterán a prácticas de gobernanza y gestión de datos adecuadas para la finalidad prevista del sistema de IA de alto riesgo. Dichas prácticas se centrarán, en particular, en lo siguiente:

a) las decisiones pertinentes relativas al diseño;

b) los procesos de recogida de datos y el origen de los datos y, en el caso de los datos personales, la finalidad original de la recogida de datos;

c) las operaciones de tratamiento oportunas para la preparación de los datos, como la anotación, el etiquetado, la depuración, la actualización, el enriquecimiento y la agregación;

d) la formulación de supuestos, en particular en lo que respecta a la información que se supone que miden y representan los datos;

e) una evaluación de la disponibilidad, la cantidad y la adecuación de los conjuntos de datos necesarios;

f) el examen atendiendo a posibles sesgos que puedan afectar a la salud y la seguridad de las personas, afectar negativamente a los derechos fundamentales o dar lugar a algún tipo de discriminación prohibida por el Derecho de la Unión, especialmente cuando las salidas de datos influyan en las informaciones de entrada de futuras operaciones;

g) medidas adecuadas para detectar, prevenir y mitigar posibles sesgos detectados con arreglo a la letra f);

h) la detección de lagunas o deficiencias pertinentes en los datos que impidan el cumplimiento del presente Reglamento, y la forma de subsanarlas.

3. Los conjuntos de datos de entrenamiento, validación y prueba serán pertinentes, suficientemente representativos y, en la mayor medida posible, carecerán de errores y estarán completos en vista de su finalidad prevista. Asimismo, tendrán las propiedades estadísticas adecuadas, por ejemplo, cuando proceda, en lo que respecta a las personas o los colectivos de personas en relación con los cuales está previsto que se utilice el sistema de IA de alto riesgo. Los conjuntos de datos podrán reunir esas características para cada conjunto de datos individualmente o para una combinación de estos.

4. Los conjuntos de datos tendrán en cuenta, en la medida necesaria para la finalidad prevista, las características o elementos particulares del entorno geográfico, contextual, conductual o funcional específico en el que está previsto que se utilice el sistema de IA de alto riesgo.

5. En la medida en que sea estrictamente necesario para garantizar la detección y corrección de los sesgos asociados a los sistemas de IA de alto riesgo de conformidad con lo dispuesto en el apartado 2, letras f) y g), del presente artículo, los proveedores de dichos sistemas podrán tratar excepcionalmente las categorías especiales de datos personales siempre que ofrezcan las garantías adecuadas en relación con los derechos y las libertades fundamentales de las personas físicas. Además de las disposiciones establecidas en los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva (UE) 2016/680, para que se produzca dicho tratamiento deben cumplirse todas las condiciones siguientes:

a) que el tratamiento de otros datos, como los sintéticos o los anonimizados, no permita efectuar de forma efectiva la detección y corrección de sesgos;

b) que las categorías especiales de datos personales estén sujetas a limitaciones técnicas relativas a la reutilización de los datos personales y a medidas punteras en materia de seguridad y protección de la intimidad, incluida la seudonimización;

c) que las categorías especiales de datos personales estén sujetas a medidas para garantizar que los datos personales tratados estén asegurados, protegidos y sujetos a garantías adecuadas, incluidos controles estrictos y documentación del acceso, a fin de evitar el uso indebido y garantizar que solo las personas autorizadas tengan acceso a dichos datos personales con obligaciones de confidencialidad adecuadas;

d) que las categorías especiales de datos personales no se transmitan ni transfieran a terceros y que estos no puedan acceder de ningún otro modo a ellos;

e) que las categorías especiales de datos personales se eliminen una vez que se haya corregido el sesgo o los datos personales hayan llegado al final de su período de conservación, si esta fecha es anterior;

f) que los registros de las actividades de tratamiento con arreglo a los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva (UE) 2016/680 incluyan las razones por las que el tratamiento de categorías especiales de datos personales era estrictamente necesario para detectar y corregir sesgos, y por las que ese objetivo no podía alcanzarse mediante el tratamiento de otros datos.

6. Para el desarrollo de sistemas de IA de alto riesgo que no empleen técnicas que impliquen el entrenamiento de modelos de IA, los apartados 2 a 5 se aplicarán únicamente a los conjuntos de datos de prueba.

Artículo 11. Documentación técnica

1. La documentación técnica de un sistema de IA de alto riesgo se elaborará antes de su introducción en el mercado o puesta en servicio, y se mantendrá actualizada.

La documentación técnica se redactará de modo que demuestre que el sistema de IA de alto riesgo cumple los requisitos establecidos en la presente sección y que proporcione de manera clara y completa a las autoridades nacionales competentes y a los organismos notificados la información necesaria para evaluar la conformidad del sistema de IA con dichos requisitos. Contendrá, como mínimo, los elementos contemplados en el anexo IV. Las pymes, incluidas las empresas emergentes, podrán facilitar los elementos de la documentación técnica especificada en el anexo IV de manera simplificada. A tal fin, la Comisión establecerá un formulario simplificado de documentación técnica orientado a las necesidades de las pequeñas empresas y las microempresas. Cuando una pyme, incluidas las empresas emergentes, opte por facilitar la información exigida en el anexo IV de manera simplificada, utilizará el formulario a que se refiere el presente apartado. Los organismos notificados aceptarán dicho formulario a efectos de la evaluación de la conformidad.

2. Cuando se introduzca en el mercado o se ponga en servicio un sistema de IA de alto riesgo asociado a un producto que entre en el ámbito de aplicación de los actos legislativos de armonización de la Unión mencionados en el anexo I, sección A, se elaborará un único conjunto de documentos técnicos que contenga toda la información mencionada en el apartado 1, así como la información que exijan dichos actos legislativos.

3. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97 al objeto de modificar el anexo IV, cuando sea necesario, para garantizar que, en vista de los avances técnicos, la documentación técnica proporcione toda la información necesaria para evaluar si el sistema cumple los requisitos establecidos en la presente sección.

Artículo 12. Conservación de registros

1. Los sistemas de IA de alto riesgo permitirán técnicamente el registro automático de acontecimientos (en lo sucesivo, «archivos de registro») a lo largo de todo el ciclo de vida del sistema.

2. Para garantizar un nivel de trazabilidad del funcionamiento del sistema de IA de alto riesgo que resulte adecuado para la finalidad prevista del sistema, las capacidades de registro permitirán que se registren acontecimientos pertinentes para:

a) la detección de situaciones que puedan dar lugar a que el sistema de IA de alto riesgo presente un riesgo en el sentido del artículo 79, apartado 1, o a una modificación sustancial;

b) la facilitación de la vigilancia poscomercialización a que se refiere el artículo 72, y

c) la vigilancia del funcionamiento de los sistemas de IA de alto riesgo a que se refiere el artículo 26, apartado 5.

3. En el caso de los sistemas de IA de alto riesgo mencionados en el anexo III, punto 1, letra a), las capacidades de registro incluirán, como mínimo:

a) un registro del período de cada uso del sistema (la fecha y la hora de inicio y la fecha y la hora de finalización de cada uso);

b) la base de datos de referencia con la que el sistema ha cotejado los datos de entrada;

c) los datos de entrada con los que la búsqueda ha arrojado una correspondencia;

d) la identificación de las personas físicas implicadas en la verificación de los resultados que se mencionan en el artículo 14, apartado 5.

Artículo 13. Transparencia y comunicación de información a los responsables del despliegue

1. Los sistemas de IA de alto riesgo se diseñarán y desarrollarán de un modo que se garantice que funcionan con un nivel de transparencia suficiente para que los responsables del despliegue interpreten y usen correctamente sus resultados de salida. Se garantizará un tipo y un nivel de transparencia adecuados para que el proveedor y el responsable del despliegue cumplan las obligaciones pertinentes previstas en la sección 3.

2. Los sistemas de IA de alto riesgo irán acompañados de las instrucciones de uso correspondientes en un formato digital o de otro tipo adecuado, las cuales incluirán información concisa, completa, correcta y clara que sea pertinente, accesible y comprensible para los responsables del despliegue.

3. Las instrucciones de uso contendrán al menos la siguiente información:

a)la identidad y los datos de contacto del proveedor y, en su caso, de su representante autorizado;

b) las características, capacidades y limitaciones del funcionamiento del sistema de IA de alto riesgo, con inclusión de:

i) su finalidad prevista,

ii) el nivel de precisión (incluidos los parámetros para medirla), solidez y ciberseguridad mencionado en el artículo 15 con respecto al cual se haya probado y validado el sistema de IA de alto riesgo y que puede esperarse, así como cualquier circunstancia conocida y previsible que pueda afectar al nivel de precisión, solidez y ciberseguridad esperado,

iii) cualquier circunstancia conocida o previsible, asociada a la utilización del sistema de IA de alto riesgo conforme a su finalidad prevista o a un uso indebido razonablemente previsible, que pueda dar lugar a riesgos para la salud y la seguridad o los derechos fundamentales a que se refiere el artículo 9, apartado 2,

iv) en su caso, las capacidades y características técnicas del sistema de IA de alto riesgo para proporcionar información pertinente para explicar sus resultados de salida,

v) cuando proceda, su funcionamiento con respecto a determinadas personas o determinados colectivos de personas en relación con los que esté previsto utilizar el sistema,

vi) cuando proceda, especificaciones relativas a los datos de entrada, o cualquier otra información pertinente en relación con los conjuntos de datos de entrenamiento, validación y prueba usados, teniendo en cuenta la finalidad prevista del sistema de IA de alto riesgo,

vii) en su caso, información que permita a los responsables del despliegue interpretar los resultados de salida del sistema de IA de alto riesgo y utilizarla adecuadamente;

c) los cambios en el sistema de IA de alto riesgo y su funcionamiento predeterminados por el proveedor en el momento de efectuar la evaluación de la conformidad inicial, en su caso;

d) las medidas de supervisión humana a que se hace referencia en el artículo 14, incluidas las medidas técnicas establecidas para facilitar la interpretación de los resultados de salida de los sistemas de IA de alto riesgo por parte de los responsables del despliegue;

e) los recursos informáticos y de hardware necesarios, la vida útil prevista del sistema de IA de alto riesgo y las medidas de mantenimiento y cuidado necesarias (incluida su frecuencia) para garantizar el correcto funcionamiento de dicho sistema, también en lo que respecta a las actualizaciones del software;

f) cuando proceda, una descripción de los mecanismos incluidos en el sistema de IA de alto riesgo que permita a los responsables del despliegue recabar, almacenar e interpretar correctamente los archivos de registro de conformidad con el artículo 12.

Artículo 14. Supervisión humana

1. Los sistemas de IA de alto riesgo se diseñarán y desarrollarán de modo que puedan ser vigilados de manera efectiva por personas físicas durante el período que estén en uso, lo que incluye dotarlos de herramientas de interfaz humano-máquina adecuadas.

2. El objetivo de la supervisión humana será prevenir o reducir al mínimo los riesgos para la salud, la seguridad o los derechos fundamentales que pueden surgir cuando se utiliza un sistema de IA de alto riesgo conforme a su finalidad prevista o cuando se le da un uso indebido razonablemente previsible, en particular cuando dichos riesgos persistan a pesar de la aplicación de otros requisitos establecidos en la presente sección.

3. Las medidas de supervisión serán proporcionales a los riesgos, al nivel de autonomía y al contexto de uso del sistema de IA de alto riesgo, y se garantizarán bien mediante uno de los siguientes tipos de medidas, bien mediante ambos:

a) las medidas que el proveedor defina y que integre, cuando sea técnicamente viable, en el sistema de IA de alto riesgo antes de su introducción en el mercado o su puesta en servicio;

b) las medidas que el proveedor defina antes de la introducción del sistema de IA de alto riesgo en el mercado o de su puesta en servicio y que sean adecuadas para que las ponga en práctica el responsable del despliegue.

4. A efectos de la puesta en práctica de lo dispuesto en los apartados 1, 2 y 3, el sistema de IA de alto riesgo se ofrecerá al responsable del despliegue de tal modo que las personas físicas a quienes se encomiende la supervisión humana puedan, según proceda y de manera proporcionada a:

a) entender adecuadamente las capacidades y limitaciones pertinentes del sistema de IA de alto riesgo y poder vigilar debidamente su funcionamiento, por ejemplo, con vistas a detectar y resolver anomalías, problemas de funcionamiento y comportamientos inesperados;

b) ser conscientes de la posible tendencia a confiar automáticamente o en exceso en los resultados de salida generados por un sistema de IA de alto riesgo («sesgo de automatización»), en particular con aquellos sistemas que se utilizan para aportar información o recomendaciones con el fin de que personas físicas adopten una decisión;

c) interpretar correctamente los resultados de salida del sistema de IA de alto riesgo, teniendo en cuenta, por ejemplo, los métodos y herramientas de interpretación disponibles;

d) decidir, en cualquier situación concreta, no utilizar el sistema de IA de alto riesgo o descartar, invalidar o revertir los resultados de salida que este genere;

e) intervenir en el funcionamiento del sistema de IA de alto riesgo o interrumpir el sistema pulsando un botón de parada o mediante un procedimiento similar que permita que el sistema se detenga de forma segura.

5. En el caso de los sistemas de IA de alto riesgo mencionados en el anexo III, punto 1, letra a), las medidas a que se refiere el apartado 3 del presente artículo garantizarán, además, que el responsable del despliegue no actúe ni tome ninguna decisión basándose en la identificación generada por el sistema, salvo si al menos dos personas físicas con la competencia, formación y autoridad necesarias han verificado y confirmado por separado dicha identificación.

El requisito de la verificación por parte de al menos dos personas físicas por separado no se aplicará a los sistemas de IA de alto riesgo utilizados con fines de garantía del cumplimiento del Derecho, de migración, de control fronterizo o de asilo cuando el Derecho nacional o de la Unión considere que la aplicación de este requisito es desproporcionada.

Artículo 15. Precisión, solidez y ciberseguridad

1. Los sistemas de IA de alto riesgo se diseñarán y desarrollarán de modo que alcancen un nivel adecuado de precisión, solidez y ciberseguridad y funcionen de manera uniforme en esos sentidos durante todo su ciclo de vida.

2. Para abordar los aspectos técnicos sobre la forma de medir los niveles adecuados de precisión y solidez establecidos en el apartado 1 y cualquier otro parámetro de rendimiento pertinente, la Comisión, en cooperación con las partes interesadas y organizaciones pertinentes, como las autoridades de metrología y de evaluación comparativa, fomentará, según proceda, el desarrollo de parámetros de referencia y metodologías de medición.

3. En las instrucciones de uso que acompañen a los sistemas de IA de alto riesgo se indicarán los niveles de precisión de dichos sistemas, así como los parámetros pertinentes para medirla.

4. Los sistemas de IA de alto riesgo serán lo más resistentes posible en lo que respecta a los errores, fallos o incoherencias que pueden surgir en los propios sistemas o en el entorno en el que funcionan, en particular a causa de su interacción con personas físicas u otros sistemas. Se adoptarán medidas técnicas y organizativas a este respecto.

La solidez de los sistemas de IA de alto riesgo puede lograrse mediante soluciones de redundancia técnica, tales como copias de seguridad o planes de prevención contra fallos.

Los sistemas de IA de alto riesgo que continúan aprendiendo tras su introducción en el mercado o puesta en servicio se desarrollarán de tal modo que se elimine o reduzca lo máximo posible el riesgo de que los resultados de salida que pueden estar sesgados influyan en la información de entrada de futuras operaciones (bucles de retroalimentación) y se garantice que dichos bucles se subsanen debidamente con las medidas de reducción de riesgos adecuadas.

5. Los sistemas de IA de alto riesgo serán resistentes a los intentos de terceros no autorizados de alterar su uso, sus resultados de salida o su funcionamiento aprovechando las vulnerabilidades del sistema.

Las soluciones técnicas encaminadas a garantizar la ciberseguridad de los sistemas de IA de alto riesgo serán adecuadas a las circunstancias y los riesgos pertinentes.

Entre las soluciones técnicas destinadas a subsanar vulnerabilidades específicas de la IA figurarán, según corresponda, medidas para prevenir, detectar, combatir, resolver y controlar los ataques que traten de manipular el conjunto de datos de entrenamiento («envenenamiento de datos»), o los componentes entrenados previamente utilizados en el entrenamiento («envenenamiento de modelos»), la información de entrada diseñada para hacer que el modelo de IA cometa un error («ejemplos adversarios» o «evasión de modelos»), los ataques a la confidencialidad o los defectos en el modelo.

SECCIÓN 3. Obligaciones de los proveedores y responsables del despliegue de sistemas de IA de alto riesgo y de otras partes

Artículo 16. Obligaciones de los proveedores de sistemas de IA de alto riesgo

Los proveedores de sistemas de IA de alto riesgo:

a) velarán por que sus sistemas de IA de alto riesgo cumplan los requisitos definidos en la sección 2;

b) indicarán en el sistema de IA de alto riesgo o, cuando no sea posible, en el embalaje del sistema o en la documentación que lo acompañe, según proceda, su nombre, su nombre comercial registrado o marca registrada y su dirección de contacto;

c) contarán con un sistema de gestión de la calidad que cumpla lo dispuesto en el artículo 17;

d) conservarán la documentación a que se refiere el artículo 18;

e) cuando estén bajo su control, conservarán los archivos de registro generados automáticamente por sus sistemas de IA de alto riesgo a que se refiere el artículo 19;

f) se asegurarán de que los sistemas de IA de alto riesgo sean sometidos al procedimiento pertinente de evaluación de la conformidad a que se refiere el artículo 43 antes de su introducción en el mercado o puesta en servicio;

g) elaborarán una declaración UE de conformidad en virtud de lo dispuesto en el artículo 47;

h) colocará el marcado CE en el sistema de IA de alto riesgo o, cuando no sea posible, en su embalaje o en la documentación que lo acompañe, para indicar la conformidad con el presente Reglamento, de acuerdo con lo dispuesto en el artículo 48;

i) cumplirán las obligaciones de registro a que se refiere el artículo 49, apartado 1;

j) adoptarán las medidas correctoras necesarias y facilitarán la información exigida en el artículo 20;

k) demostrarán, previa solicitud motivada de la autoridad nacional competente, la conformidad del sistema de IA de alto riesgo con los requisitos establecidos en la sección 2;

l) velarán por que el sistema de IA de alto riesgo cumpla requisitos de accesibilidad de conformidad con las Directivas (UE) 2016/2102 y (UE) 2019/882.

Artículo 17. Sistema de gestión de la calidad

1. Los proveedores de sistemas de IA de alto riesgo establecerán un sistema de gestión de la calidad que garantice el cumplimiento del presente Reglamento. Dicho sistema deberá consignarse de manera sistemática y ordenada en documentación en la que se recojan las políticas, los procedimientos y las instrucciones e incluirá, al menos, los siguientes aspectos:

a) una estrategia para el cumplimiento de la normativa, incluido el cumplimiento de los procedimientos de evaluación de la conformidad y de los procedimientos de gestión de las modificaciones de los sistemas de IA de alto riesgo;

b) las técnicas, los procedimientos y las actuaciones sistemáticas que se utilizarán en el diseño y el control y la verificación del diseño del sistema de IA de alto riesgo;

c) las técnicas, los procedimientos y las actuaciones sistemáticas que se utilizarán en el desarrollo del sistema de IA de alto riesgo y en el control y el aseguramiento de la calidad de este;

d) los procedimientos de examen, prueba y validación que se llevarán a cabo antes, durante y después del desarrollo del sistema de IA de alto riesgo, así como la frecuencia con que se ejecutarán;

e) las especificaciones técnicas, incluidas las normas, que se aplicarán y, cuando las normas armonizadas pertinentes no se apliquen en su totalidad o no cubran todos los requisitos pertinentes establecidos en la sección 2, los medios que se utilizarán para velar por que el sistema de IA de alto riesgo cumpla dichos requisitos;

f) los sistemas y procedimientos de gestión de datos, lo que incluye su adquisición, recopilación, análisis, etiquetado, almacenamiento, filtrado, prospección, agregación, conservación y cualquier otra operación relacionada con los datos que se lleve a cabo antes de la introducción en el mercado o puesta en servicio de sistemas de IA de alto riesgo y con esa finalidad;

g) el sistema de gestión de riesgos que se menciona en el artículo 9;

h) el establecimiento, aplicación y mantenimiento de un sistema de vigilancia poscomercialización de conformidad con el artículo 72;

i) los procedimientos asociados a la notificación de un incidente grave con arreglo al artículo 73;

j) la gestión de la comunicación con las autoridades nacionales competentes, otras autoridades pertinentes, incluidas las que permiten acceder a datos o facilitan el acceso a ellos, los organismos notificados, otros operadores, los clientes u otras partes interesadas;

k) los sistemas y procedimientos para llevar un registro de toda la documentación e información pertinente;

l) la gestión de los recursos, incluidas medidas relacionadas con la seguridad del suministro;

m) un marco de rendición de cuentas que defina las responsabilidades del personal directivo y de otra índole en relación con todos los aspectos enumerados en este apartado.

2. La aplicación de los aspectos mencionados en el apartado 1 será proporcional al tamaño de la organización del proveedor. Los proveedores respetarán, en todo caso, el grado de rigor y el nivel de protección requerido para garantizar la conformidad de sus sistemas de IA de alto riesgo con el presente Reglamento.

3. Los proveedores de sistemas de IA de alto riesgo que estén sujetos a obligaciones relativas a los sistemas de gestión de la calidad o una función equivalente con arreglo al Derecho sectorial pertinente de la Unión podrán incluir los aspectos enumerados en el apartado 1 como parte de los sistemas de gestión de la calidad con arreglo a dicho Derecho.

4. En el caso de los proveedores que sean entidades financieras sujetas a requisitos relativos a su gobernanza, sus sistemas o sus procesos internos en virtud del Derecho de la Unión en materia de servicios financieros, se considerará que se ha cumplido la obligación de establecer un sistema de gestión de la calidad, salvo en relación con lo dispuesto en el apartado 1, letras g), h) e i), del presente artículo cuando se respeten las normas sobre los sistemas o procesos de gobernanza interna de acuerdo con el Derecho pertinente de la Unión en materia de servicios financieros. A tal fin, se tendrán en cuenta todas las normas armonizadas que se mencionan en el artículo 40.

Artículo 18. Conservación de la documentación

1. Durante un período de diez años a contar desde la introducción en el mercado o la puesta en servicio del sistema de IA de alto riesgo, el proveedor mantendrá a disposición de las autoridades nacionales competentes:

a) la documentación técnica a que se refiere el artículo 11;

b) la documentación relativa al sistema de gestión de la calidad a que se refiere el artículo 17;

c) la documentación relativa a los cambios aprobados por los organismos notificados, si procede;

d) las decisiones y otros documentos expedidos por los organismos notificados, si procede;

e) la declaración UE de conformidad contemplada en el artículo 47.

2. Cada Estado miembro determinará las condiciones en las que la documentación a que se refiere el apartado 1 permanecerá a disposición de las autoridades nacionales competentes durante el período indicado en dicho apartado en los casos en que un proveedor o su representante autorizado establecido en su territorio quiebre o cese en su actividad antes del final de dicho período.

3. Los proveedores que sean entidades financieras sujetas a requisitos relativos a su gobernanza, sus sistemas o sus procesos internos en virtud del Derecho de la Unión en materia de servicios financieros mantendrán la documentación técnica como parte de la documentación conservada en virtud del Derecho pertinente de la Unión en materia de servicios financieros.

Artículo 19. Archivos de registro generados automáticamente

1. Los proveedores de sistemas de IA de alto riesgo conservarán los archivos de registro a que se refiere el artículo 12, apartado 1, que los sistemas de IA de alto riesgo generen automáticamente en la medida en que dichos archivos estén bajo su control. Sin perjuicio del Derecho aplicable de la Unión o nacional, los archivos de registro se conservarán durante un período de tiempo adecuado para la finalidad prevista del sistema de IA de alto riesgo, de al menos seis meses, salvo que el Derecho de la Unión o nacional aplicable, en particular el Derecho de la Unión en materia de protección de datos personales, disponga otra cosa.

2. Los proveedores que sean entidades financieras sujetas a requisitos relativos a su gobernanza, sus sistemas o sus procesos internos en virtud del Derecho de la Unión en materia de servicios financieros mantendrán los archivos de registro generados automáticamente por sus sistemas de IA de alto riesgo como parte de la documentación conservada en virtud del Derecho pertinente en materia de servicios financieros.

Artículo 20. Medidas correctoras y obligación de información

1. Los proveedores de sistemas de IA de alto riesgo que consideren o tengan motivos para considerar que un sistema de IA de alto riesgo que han introducido en el mercado o puesto en servicio no es conforme con el presente Reglamento adoptarán inmediatamente las medidas correctoras necesarias para que sea conforme, para retirarlo del mercado, desactivarlo o recuperarlo, según proceda. Informarán de ello a los distribuidores del sistema de IA de alto riesgo de que se trate y, en su caso, a los responsables del despliegue, al representante autorizado y a los importadores.

2. Cuando un sistema de IA de alto riesgo presente un riesgo en el sentido del artículo 79, apartado 1, y el proveedor tenga conocimiento de dicho riesgo, este investigará inmediatamente las causas, en colaboración con el responsable del despliegue que lo haya notificado, en su caso, e informará a las autoridades de vigilancia del mercado competentes respecto al sistema de IA de alto riesgo de que se trate y, cuando proceda, al organismo notificado que haya expedido un certificado para dicho sistema de conformidad con lo dispuesto en el artículo 44, en particular sobre la naturaleza del incumplimiento y sobre cualquier medida correctora adoptada.

Artículo 21. Cooperación con las autoridades competentes

1. Los proveedores de sistemas de IA de alto riesgo, previa solicitud motivada de una autoridad competente, proporcionarán a dicha autoridad toda la información y la documentación necesarias para demostrar la conformidad del sistema de IA de alto riesgo con los requisitos establecidos en la sección 2, en una lengua que la autoridad pueda entender fácilmente y que sea una de las lenguas oficiales de las instituciones de la Unión, indicada por el Estado miembro de que se trate.

2. Previa solicitud motivada de una autoridad competente, los proveedores darán también a dicha autoridad, cuando proceda, acceso a los archivos de registro generados automáticamente del sistema de IA de alto riesgo a que se refiere el artículo 12, apartado 1, en la medida en que dichos archivos estén bajo su control.

3. Toda información obtenida por una autoridad competente con arreglo al presente artículo se tratará de conformidad con las obligaciones de confidencialidad establecidas en el artículo 78.

Artículo 22. Representantes autorizados de los proveedores de sistemas de IA de alto riesgo

1. Antes de comercializar sus sistemas de IA de alto riesgo en el mercado de la Unión, los proveedores establecidos en terceros países tendrán que nombrar, mediante un mandato escrito, a un representante autorizado que esté establecido en la Unión.

2. Los proveedores permitirán que su representante autorizado pueda efectuar las tareas especificadas en el mandato recibido del proveedor.

3. Los representantes autorizados efectuarán las tareas especificadas en el mandato recibido del proveedor. Facilitarán a las autoridades de vigilancia del mercado, cuando lo soliciten, una copia del mandato en una de las lenguas oficiales de las instituciones de la Unión según lo indicado por la autoridad de competente. A los efectos del presente Reglamento, el mandato habilitará al representante autorizado para realizar las tareas siguientes:

a) verificar que se han elaborado la declaración UE de conformidad a que se refiere el artículo 47 y la documentación técnica a que se refiere el artículo 11 y que el proveedor ha llevado a cabo un procedimiento de evaluación de la conformidad adecuado;

b) conservar a disposición de las autoridades competentes y de las autoridades u organismos nacionales a que se refiere el artículo 74, apartado 10, durante un período de diez años a contar desde la introducción en el mercado o la puesta en servicio del sistema de IA de alto riesgo, los datos de contacto del proveedor que haya nombrado al representante autorizado, una copia de la declaración UE de conformidad a que se refiere el artículo 47, la documentación técnica y, en su caso, el certificado expedido por el organismo notificado;

c) proporcionar a una autoridad competente, previa solicitud motivada, toda la información y la documentación, incluida la mencionada en el presente párrafo, letra b), que sean necesarias para demostrar la conformidad de un sistema de IA de alto riesgo con los requisitos establecidos en la sección 2, incluido el acceso a los archivos de registro a que se refiere el artículo 12, apartado 1, generados automáticamente por ese sistema, en la medida en que dichos archivos estén bajo el control del proveedor;

d) cooperar con las autoridades competentes, previa solicitud motivada, en todas las acciones que estas emprendan en relación con el sistema de IA de alto riesgo, en particular para reducir y mitigar los riesgos que este presente;

e) cuando proceda, cumplir las obligaciones de registro a que se refiere el artículo 49, apartado 1, o si el registro lo lleva a cabo el propio proveedor, garantizar que la información a que se refiere el anexo VIII, sección A, punto 3, es correcta.

El mandato habilitará al representante autorizado para que las autoridades competentes se pongan en contacto con él, además de con el proveedor o en lugar de con el proveedor, con referencia a todas las cuestiones relacionadas con la garantía del cumplimiento del presente Reglamento.

4. El representante autorizado pondrá fin al mandato si considera o tiene motivos para considerar que el proveedor contraviene las obligaciones que le atañen con arreglo al presente Reglamento. En tal caso, además, informará de inmediato de la terminación del mandato y de los motivos de esta medida a la autoridad de vigilancia del mercado pertinente, así como, cuando proceda, al organismo notificado pertinente.

Artículo 23. Obligaciones de los importadores

1. Antes de introducir un sistema de IA de alto riesgo en el mercado, los importadores se asegurarán de que el sistema sea conforme con el presente Reglamento verificando que:

a) el proveedor del sistema de IA de alto riesgo haya llevado a cabo el procedimiento de evaluación de la conformidad pertinente a que se refiere el artículo 43;

b) el proveedor haya elaborado la documentación técnica de conformidad con el artículo 11 y el anexo IV;

c) el sistema lleve el marcado CE exigido y vaya acompañado de la declaración UE de conformidad a que se refiere el artículo 47 y de las instrucciones de uso;

d) el proveedor haya designado a un representante autorizado de conformidad con el artículo 22, apartado 1.

2. Si el importador tiene motivos suficientes para considerar que un sistema de IA de alto riesgo no es conforme con el presente Reglamento, ha sido falsificado o va acompañado de documentación falsificada, no lo introducirá en el mercado hasta que se haya conseguido la conformidad de dicho sistema. Si el sistema de IA de alto riesgo presenta un riesgo en el sentido del artículo 79, apartado 1, el importador informará de ello al proveedor del sistema, a los representantes autorizados y a las autoridades de vigilancia del mercado.

3. Los importadores indicarán, en el embalaje del sistema de IA de alto riesgo o en la documentación que lo acompañe, cuando proceda, su nombre, su nombre comercial registrado o marca registrada y su dirección de contacto.

4. Mientras sean responsables de un sistema de IA de alto riesgo, los importadores se asegurarán de que las condiciones de almacenamiento o transporte, cuando proceda, no comprometan el cumplimiento de los requisitos establecidos en la sección 2 por parte de dicho sistema.

5. Los importadores conservarán, durante un período de diez años a contar desde la introducción en el mercado o la puesta en servicio del sistema de IA de alto riesgo, una copia del certificado expedido por el organismo notificado, en su caso, de las instrucciones de uso y de la declaración UE de conformidad a que se refiere el artículo 47.

6. Los importadores proporcionarán a las autoridades competentes pertinentes, previa solicitud motivada, toda la información y la documentación, incluidas las referidas en el apartado 5, que sean necesarias para demostrar la conformidad de un sistema de IA de alto riesgo con los requisitos establecidos en la sección 2 en una lengua que estas puedan entender fácilmente. A tal efecto, velarán asimismo por que la documentación técnica pueda ponerse a disposición de esas autoridades.

7. Los importadores cooperarán con las autoridades competentes pertinentes en cualquier medida que estas adopten en relación con un sistema de IA de alto riesgo introducido en el mercado por los importadores, en particular para reducir y mitigar los riesgos que este presente.

Artículo 24. Obligaciones de los distribuidores

1. Antes de comercializar un sistema de IA de alto riesgo, los distribuidores verificarán que este lleve el marcado CE exigido, que vaya acompañado de una copia de la declaración UE de conformidad a que se refiere el artículo 47 y de las instrucciones de uso, y que el proveedor y el importador de dicho sistema, según corresponda, hayan cumplido sus obligaciones establecidas en el artículo 16, letras b) y c), y el artículo 23, apartado 3, respectivamente.

2. Si un distribuidor considera o tiene motivos para considerar, con arreglo a la información en su poder, que un sistema de IA de alto riesgo no es conforme con los requisitos establecidos en la sección 2, no lo comercializará hasta que se haya conseguido esa conformidad. Además, si el sistema de IA de alto riesgo presenta un riesgo en el sentido del artículo 79, apartado 1, el distribuidor informará de ello al proveedor o importador del sistema, según corresponda.

3. Mientras sean responsables de un sistema de IA de alto riesgo, los distribuidores se asegurarán de que las condiciones de almacenamiento o transporte, cuando proceda, no comprometen el cumplimiento por parte del sistema de los requisitos establecidos en la sección 2.

4. Los distribuidores que consideren o tengan motivos para considerar, con arreglo a la información en su poder, que un sistema de IA de alto riesgo que han comercializado no es conforme con los requisitos establecidos en la sección 2 adoptarán las medidas correctoras necesarias para que sea conforme, para retirarlo del mercado o recuperarlo, o velarán por que el proveedor, el importador u otro operador pertinente, según proceda, adopte dichas medidas correctoras. Cuando un sistema de IA de alto riesgo presente un riesgo en el sentido del artículo 79, apartado 1, su distribuidor informará inmediatamente de ello al proveedor o al importador del sistema y a las autoridades competentes respecto al sistema de IA de alto riesgo de que se trate y dará detalles, en particular, sobre la no conformidad y las medidas correctoras adoptadas.

5. Previa solicitud motivada de una autoridad competente pertinente, los distribuidores de un sistema de IA de alto riesgo proporcionarán a esa autoridad toda la información y la documentación relativas a sus actuaciones con arreglo a los apartados 1 a 4 que sean necesarias para demostrar que dicho sistema cumple los requisitos establecidos en la sección 2.

6. Los distribuidores cooperarán con las autoridades competentes pertinentes en cualquier medida que estas adopten en relación con un sistema de IA de alto riesgo comercializado por los distribuidores, en particular para reducir o mitigar los riesgos que este presente.

Artículo 25. Responsabilidades a lo largo de la cadena de valor de la IA

1. Cualquier distribuidor, importador, responsable del despliegue o tercero será considerado proveedor de un sistema de IA de alto riesgo a los efectos del presente Reglamento y estará sujeto a las obligaciones del proveedor previstas en el artículo 16 en cualquiera de las siguientes circunstancias:

a) cuando ponga su nombre o marca en un sistema de IA de alto riesgo previamente introducido en el mercado o puesto en servicio, sin perjuicio de los acuerdos contractuales que estipulen que las obligaciones se asignan de otro modo;

b) cuando modifique sustancialmente un sistema de IA de alto riesgo que ya haya sido introducido en el mercado o puesto en servicio de tal manera que siga siendo un sistema de IA de alto riesgo con arreglo al artículo 6;

c) cuando modifique la finalidad prevista de un sistema de IA, incluido un sistema de IA de uso general, que no haya sido considerado de alto riesgo y ya haya sido introducido en el mercado o puesto en servicio, de tal manera que el sistema de IA de que se trate se convierta en un sistema de IA de alto riesgo de conformidad con el artículo 6.

2. Cuando se den las circunstancias mencionadas en el apartado 1, el proveedor que inicialmente haya introducido en el mercado el sistema de IA o lo haya puesto en servicio dejará de ser considerado proveedor de ese sistema de IA específico a efectos del presente Reglamento. Ese proveedor inicial cooperará estrechamente con los nuevos proveedores y facilitará la información necesaria, el acceso técnico u otra asistencia razonablemente previstos que sean necesarios para el cumplimiento de las obligaciones establecidas en el presente Reglamento, en particular en lo que respecta al cumplimiento de la evaluación de la conformidad de los sistemas de IA de alto riesgo. El presente apartado no se aplicará en los casos en que el proveedor inicial haya indicado claramente que su sistema de IA no debe ser transformado en un sistema de IA de alto riesgo y, por lo tanto, no está sujeto a la obligación de facilitar la documentación.

3. En el caso de los sistemas de IA de alto riesgo que sean componentes de seguridad de productos contemplados en los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, el fabricante del producto será considerado proveedor del sistema de IA de alto riesgo y estará sujeto a las obligaciones previstas en el artículo 16 en alguna de las siguientes circunstancias:

a) que el sistema de IA de alto riesgo se introduzca en el mercado junto con el producto bajo el nombre o la marca del fabricante del producto;

b) que el sistema de IA de alto riesgo se ponga en servicio bajo el nombre o la marca del fabricante del producto después de que el producto haya sido introducido en el mercado.

4. El proveedor de un sistema de IA de alto riesgo y el tercero que suministre un sistema de IA de alto riesgo, herramientas, servicios, componentes o procesos que se utilicen o integren en un sistema de IA de alto riesgo especificarán, mediante acuerdo escrito, la información, las capacidades, el acceso técnico y otra asistencia que sean necesarios, sobre la base del estado de la técnica generalmente reconocido, para que el proveedor del sistema de IA de alto riesgo pueda cumplir plenamente las obligaciones establecidas en el presente Reglamento. El presente apartado no se aplicará a terceros que pongan a disposición del público herramientas, servicios, procesos o componentes distintos de modelos de IA de uso general, en el marco de una licencia libre y de código abierto.

La Oficina de IA podrá elaborar y recomendar cláusulas contractuales tipo, de carácter voluntario, entre los proveedores de sistemas de IA de alto riesgo y terceros que suministren herramientas, servicios, componentes o procesos que se utilicen o integren en los sistemas de IA de alto riesgo. Cuando elabore esas cláusulas contractuales tipo de carácter voluntario, la Oficina de IA tendrá en cuenta los posibles requisitos contractuales aplicables en determinados sectores o modelos de negocio. Las cláusulas contractuales tipo de carácter voluntario se publicarán y estarán disponibles gratuitamente en un formato electrónico fácilmente utilizable.

5. Los apartados 2 y 3 se entenderán sin perjuicio de la necesidad de observar y proteger los derechos de propiedad intelectual e industrial, la información empresarial confidencial y los secretos comerciales, de conformidad con el Derecho de la Unión y nacional.

Artículo 26. Obligaciones de los responsables del despliegue de sistemas de IA de alto riesgo

1. Los responsables del despliegue de sistemas de IA de alto riesgo adoptarán medidas técnicas y organizativas adecuadas para garantizar que utilizan dichos sistemas con arreglo a las instrucciones de uso que los acompañen, de acuerdo con los apartados 3 y 6.

2. Los responsables del despliegue encomendarán la supervisión humana a personas físicas que tengan la competencia, la formación y la autoridad necesarias.

3. Las obligaciones previstas en los apartados 1 y 2 no afectan a otras obligaciones que el Derecho nacional o de la Unión imponga a los responsables del despliegue ni a su libertad para organizar sus propios recursos y actividades con el fin de poner en práctica las medidas de supervisión humana que indique el proveedor.

4. Sin perjuicio de lo dispuesto en los apartados 1 y 2, el responsable del despliegue se asegurará de que los datos de entrada sean pertinentes y suficientemente representativos en vista de la finalidad prevista del sistema de IA de alto riesgo, en la medida en que ejerza el control sobre dichos datos.

5. Los responsables del despliegue vigilarán el funcionamiento del sistema de IA de alto riesgo basándose en las instrucciones de uso y, cuando proceda, informarán a los proveedores con arreglo al artículo 72. Cuando los responsables del despliegue tengan motivos para considerar que utilizar el sistema de IA de alto riesgo conforme a sus instrucciones puede dar lugar a que ese sistema de AI presente un riesgo en el sentido del artículo 79, apartado 1, informarán, sin demora indebida, al proveedor o distribuidor y a la autoridad de vigilancia del mercado pertinente y suspenderán el uso de ese sistema. Cuando los responsables del despliegue detecten un incidente grave, informarán asimismo inmediatamente de dicho incidente, en primer lugar, al proveedor y, a continuación, al importador o distribuidor y a la autoridad de vigilancia del mercado pertinente. En el caso de que el responsable del despliegue no consiga contactar con el proveedor, el artículo 73 se aplicará mutatis mutandis. Esta obligación no comprenderá los datos operativos sensibles de los responsables del despliegue de sistemas de IA que sean autoridades garantes del cumplimiento del Derecho.

En el caso de los responsables del despliegue que sean entidades financieras sujetas a requisitos relativos a su gobernanza, sus sistemas o sus procesos internos en virtud del Derecho de la Unión en materia de servicios financieros, se considerará que se ha cumplido la obligación de vigilancia prevista en el párrafo primero cuando se respeten las normas sobre sistemas, procesos y mecanismos de gobernanza interna de acuerdo con el Derecho pertinente en materia de servicios financieros.

6. Los responsables del despliegue de sistemas de IA de alto riesgo conservarán los archivos de registro que los sistemas de IA de alto riesgo generen automáticamente en la medida en que dichos archivos estén bajo su control, durante un período de tiempo adecuado para la finalidad prevista del sistema de IA de alto riesgo, de al menos seis meses, salvo que se disponga otra cosa en el Derecho de la Unión o nacional aplicable, en particular en el Derecho de la Unión en materia de protección de datos personales.

Los responsables del despliegue que sean entidades financieras sujetas a requisitos relativos a su gobernanza, sus sistemas o sus procesos internos en virtud del Derecho de la Unión en materia de servicios financieros mantendrán los archivos de registro como parte de la documentación conservada en virtud del Derecho de la Unión en materia de servicios financieros.

7. Antes de poner en servicio o utilizar un sistema de IA de alto riesgo en el lugar de trabajo, los responsables del despliegue que sean empleadores informarán a los representantes de los trabajadores y a los trabajadores afectados de que estarán expuestos a la utilización del sistema de IA de alto riesgo. Esta información se facilitará, cuando proceda, con arreglo a las normas y procedimientos establecidos en el Derecho de la Unión y nacional y conforme a las prácticas en materia de información a los trabajadores y sus representantes.

8. Los responsables del despliegue de sistemas de IA de alto riesgo que sean autoridades públicas o instituciones, órganos y organismos de la Unión cumplirán las obligaciones de registro a que se refiere el artículo 49. Cuando dichos responsables del despliegue constaten que el sistema de IA de alto riesgo que tienen previsto utilizar no ha sido registrado en la base de datos de la UE a que se refiere el artículo 71, no utilizarán dicho sistema e informarán al proveedor o al distribuidor.

9. Cuando proceda, los responsables del despliegue de sistemas de IA de alto riesgo utilizarán la información facilitada conforme al artículo 13 del presente Reglamento para cumplir la obligación de llevar a cabo una evaluación de impacto relativa a la protección de datos que les imponen el artículo 35 del Reglamento (UE) 2016/679 o el artículo 27 de la Directiva (UE) 2016/680.

10. No obstante lo dispuesto en la Directiva (UE) 2016/680, en el marco de una investigación cuya finalidad sea la búsqueda selectiva de una persona sospechosa de haber cometido un delito o condenada por ello, el responsable del despliegue de un sistema de IA de alto riego de identificación biométrica remota en diferido solicitará, ex ante o sin demora indebida y a más tardar en un plazo de cuarenta y ocho horas, a una autoridad judicial o administrativa cuyas decisiones sean vinculantes y estén sujetas a revisión judicial, una autorización para utilizar ese sistema, salvo cuando se utilice para la identificación inicial de un posible sospechoso sobre la base de hechos objetivos y verificables vinculados directamente al delito. Cada utilización deberá limitarse a lo que resulte estrictamente necesario para investigar un delito concreto.

En caso de que se deniegue la autorización contemplada en el párrafo primero, dejará de utilizarse el sistema de identificación biométrica remota en diferido objeto de la solicitud de autorización con efecto inmediato y se eliminarán los datos personales asociados al uso del sistema de IA de alto riesgo para el que se solicitó la autorización.

Dicho sistema de IA de alto riego de identificación biométrica remota en diferido no se utilizará en ningún caso a los efectos de la garantía del cumplimiento del Derecho de forma indiscriminada, sin que exista relación alguna con un delito, un proceso penal, una amenaza real y actual o real y previsible de delito, o con la búsqueda de una persona desaparecida concreta. Se velará por que las autoridades garantes del cumplimiento del Derecho no puedan adoptar ninguna decisión que produzca efectos jurídicos adversos para una persona exclusivamente sobre la base de los resultados de salida de dichos sistemas de identificación biométrica remota en diferido.

El presente apartado se entiende sin perjuicio del artículo 9 del Reglamento (UE) 2016/679 y del artículo 10 de la Directiva (UE) 2016/680 para el tratamiento de los datos biométricos.

Con independencia de la finalidad o del responsable del despliegue, se documentará toda utilización de tales sistemas de IA de alto riesgo en el expediente policial pertinente y se pondrá a disposición, previa solicitud, de la autoridad de vigilancia del mercado pertinente y de la autoridad nacional de protección de datos, quedando excluida la divulgación de datos operativos sensibles relacionados con la garantía del cumplimiento del Derecho. El presente párrafo se entenderá sin perjuicio de los poderes conferidas por la Directiva (UE) 2016/680 a las autoridades de control.

Los responsables del despliegue presentarán informes anuales a la autoridad de vigilancia del mercado pertinente y a la autoridad nacional de protección de datos sobre el uso que han hecho de los sistemas de identificación biométrica remota en diferido, quedando excluida la divulgación de datos operativos sensibles relacionados con la garantía del cumplimiento del Derecho. Los informes podrán agregarse de modo que cubran más de un despliegue.

Los Estados miembros podrán adoptar, de conformidad con el Derecho de la Unión, leyes más restrictivas sobre el uso de sistemas de identificación biométrica remota en diferido.

11. Sin perjuicio de lo dispuesto en el artículo 50 del presente Reglamento, los responsables del despliegue de los sistemas de IA de alto riesgo a que se refiere el anexo III que tomen decisiones o ayuden a tomar decisiones relacionadas con personas físicas informarán a las personas físicas de que están expuestas a la utilización de los sistemas de IA de alto riesgo. En el caso de los sistemas de IA de alto riesgo que se utilicen a los efectos de la garantía del cumplimiento del Derecho, se aplicará el artículo 13 de la Directiva (UE) 2016/680.

12. Los responsables del despliegue cooperarán con las autoridades competentes pertinentes en cualquier medida que estas adopten en relación con el sistema de IA de alto riesgo con el objetivo de aplicar el presente Reglamento.

Artículo 27. Evaluación de impacto relativa a los derechos fundamentales para los sistemas de IA de alto riesgo

1. Antes de desplegar uno de los sistemas de IA de alto riesgo a que se refiere el artículo 6, apartado 2, con excepción de los sistemas de IA de alto riesgo destinados a ser utilizados en el ámbito enumerado en el anexo III, punto 2, los responsables del despliegue que sean organismos de Derecho público, o entidades privadas que prestan servicios públicos, y los responsable del despliegue de sistemas de IA de alto riesgo a que se refiere el anexo III, punto 5, letras b) y c), llevarán a cabo una evaluación del impacto que la utilización de dichos sistemas puede tener en los derechos fundamentales. A tal fin, los responsables del despliegue llevarán a cabo una evaluación que consistirá en:

a) una descripción de los procesos del responsable del despliegue en los que se utilizará el sistema de IA de alto riesgo en consonancia con su finalidad prevista;

b) una descripción del período de tiempo durante el cual se prevé utilizar cada sistema de IA de alto riesgo y la frecuencia con la que está previsto utilizarlo;

c) las categorías de personas físicas y colectivos que puedan verse afectados por su utilización en el contexto específico;

d) los riesgos de perjuicio específicos que puedan afectar a las categorías de personas físicas y colectivos determinadas con arreglo a la letra c) del presente apartado, teniendo en cuenta la información facilitada por el proveedor con arreglo al artículo 13;

e) una descripción de la aplicación de medidas de supervisión humana, de acuerdo con las instrucciones de uso;

f) las medidas que deben adoptarse en caso de que dichos riesgos se materialicen, incluidos los acuerdos de gobernanza interna y los mecanismos de reclamación.

2. La obligación descrita con arreglo al apartado 1 se aplicará al primer uso del sistema de IA de alto riesgo. En casos similares, el responsable del despliegue podrá basarse en evaluaciones de impacto relativas a los derechos fundamentales realizadas previamente o a evaluaciones de impacto existentes realizadas por los proveedores. Si, durante el uso del sistema de IA de alto riesgo, el responsable del despliegue considera que alguno de los elementos enumerados en el apartado 1 ha cambiado o ha dejado de estar actualizado, adoptará las medidas necesarias para actualizar la información.

3. Una vez realizada la evaluación a que se refiere el apartado 1 del presente artículo, el responsable del despliegue notificará sus resultados a la autoridad de vigilancia del mercado, presentando el modelo cumplimentado a que se refiere el apartado 5 del presente artículo. En el caso contemplado en el artículo 46, apartado 1, los responsables del despliegue podrán quedar exentos de esta obligación de notificación.

4. Si ya se cumple cualquiera de las obligaciones establecidas en el presente artículo mediante la evaluación de impacto relativa a la protección de datos realizada con arreglo al artículo 35 del Reglamento (UE) 2016/679 o del artículo 27 de la Directiva (UE) 2016/680, la evaluación de impacto relativa a los derechos fundamentales a que se refiere el apartado 1 del presente artículo complementará dicha evaluación de impacto relativa a la protección de datos.

5. La Oficina de IA elaborará un modelo de cuestionario, también mediante una herramienta automatizada, a fin de facilitar que los responsables del despliegue cumplan sus obligaciones en virtud del presente artículo de manera simplificada.

SECCIÓN 4. Autoridades notificantes y organismos notificados

Artículo 28. Autoridades notificantes

1. Cada Estado miembro nombrará o constituirá al menos una autoridad notificante que será responsable de establecer y llevar a cabo los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad, así como de su supervisión. Dichos procedimientos se desarrollarán por medio de la cooperación entre las autoridades notificantes de todos los Estados miembros.

2. Los Estados miembros podrán decidir que la evaluación y la supervisión contempladas en el apartado 1 sean realizadas por un organismo nacional de acreditación en el sentido del Reglamento (CE) nº 765/2008 y con arreglo a este.

3. Las autoridades notificantes se constituirán, se organizarán y funcionarán de forma que no surjan conflictos de intereses con los organismos de evaluación de la conformidad y que se garantice la imparcialidad y objetividad de sus actividades.

4. Las autoridades notificantes se organizarán de forma que las decisiones relativas a la notificación de los organismos de evaluación de la conformidad sean adoptadas por personas competentes distintas de las que llevaron a cabo la evaluación de dichos organismos.

5. Las autoridades notificantes no ofrecerán ni ejercerán ninguna actividad que efectúen los organismos de evaluación de la conformidad, ni ningún servicio de consultoría de carácter comercial o competitivo.

6. Las autoridades notificantes preservarán la confidencialidad de la información obtenida, de conformidad con lo dispuesto en el artículo 78.

7. Las autoridades notificantes dispondrán de suficiente personal competente para efectuar adecuadamente sus tareas. Cuando proceda, el personal competente tendrá los conocimientos especializados necesarios para ejercer sus funciones, en ámbitos como las tecnologías de la información, la IA y el Derecho, incluida la supervisión de los derechos fundamentales.

Artículo 29. Solicitud de notificación por parte de un organismo de evaluación de la conformidad

1. Los organismos de evaluación de la conformidad presentarán una solicitud de notificación ante la autoridad notificante del Estado miembro en el que estén establecidos.

2. La solicitud de notificación irá acompañada de una descripción de las actividades de evaluación de la conformidad, del módulo o módulos de evaluación de la conformidad y los tipos de sistemas de IA en relación con los cuales el organismo de evaluación de la conformidad se considere competente, así como de un certificado de acreditación, si lo hay, expedido por un organismo nacional de acreditación, que declare que el organismo de evaluación de la conformidad cumple los requisitos establecidos en el artículo 31.

Se añadirá cualquier documento válido relacionado con las designaciones existentes del organismo notificado solicitante en virtud de cualquier otro acto de la legislación de armonización de la Unión.

3. Si el organismo de evaluación de la conformidad de que se trate no puede facilitar un certificado de acreditación, entregará a la autoridad notificante todas las pruebas documentales necesarias para verificar, reconocer y supervisar periódicamente que cumple los requisitos establecidos en el artículo 31.

4. En lo que respecta a los organismos notificados designados de conformidad con cualquier otro acto legislativo de armonización de la Unión, todos los documentos y certificados vinculados a dichas designaciones podrán utilizarse para apoyar su procedimiento de designación en virtud del presente Reglamento, según proceda. El organismo notificado actualizará la documentación a que se refieren los apartados 2 y 3 del presente artículo cuando se produzcan cambios pertinentes, para que la autoridad responsable de los organismos notificados pueda supervisar y verificar que se siguen cumpliendo todos los requisitos establecidos en el artículo 31.

Artículo 30. Procedimiento de notificación

1. Las autoridades notificantes solo podrán notificar organismos de evaluación de la conformidad que hayan cumplido los requisitos establecidos en el artículo 31.

2. Las autoridades notificantes notificarán a la Comisión y a los demás Estados miembros, mediante el sistema de notificación electrónica desarrollado y gestionado por la Comisión, cada organismo de evaluación de la conformidad a que se refiere el apartado 1.

3. La notificación a que se refiere el apartado 2 del presente artículo incluirá información detallada de las actividades de evaluación de la conformidad, el módulo o módulos de evaluación de la conformidad y los tipos de sistemas de IA afectados, así como la certificación de competencia pertinente. Si la notificación no está basada en el certificado de acreditación a que se refiere el artículo 29, apartado 2, la autoridad notificante facilitará a la Comisión y a los demás Estados miembros las pruebas documentales que demuestren la competencia del organismo de evaluación de la conformidad y las disposiciones existentes destinadas a garantizar que se supervisará periódicamente al organismo y que este continuará satisfaciendo los requisitos establecidos en el artículo 31.

4. El organismo de evaluación de la conformidad de que se trate únicamente podrá realizar las actividades de un organismo notificado si la Comisión o los demás Estados miembros no formulan ninguna objeción en el plazo de dos semanas tras la notificación de una autoridad notificante cuando esta incluya el certificado de acreditación a que se refiere el artículo 29, apartado 2, o de dos meses tras la notificación de la autoridad notificante cuando esta incluya las pruebas documentales a que se refiere el artículo 29, apartado 3.

5. Cuando se formulen objeciones, la Comisión iniciará sin demora consultas con los Estados miembros pertinentes y el organismo de evaluación de la conformidad. En vista de todo ello, la Comisión enviará su decisión al Estado miembro afectado y al organismo de evaluación de la conformidad pertinente.

Artículo 31. Requisitos relativos a los organismos notificados

1. Los organismos notificados se establecerán de conformidad con el Derecho nacional de los Estados miembros y tendrán personalidad jurídica.

2. Los organismos notificados satisfarán los requisitos organizativos, de gestión de la calidad, recursos y procesos, necesarios para el desempeño de sus funciones, así como los requisitos adecuados en materia de ciberseguridad.

3. La estructura organizativa, la distribución de las responsabilidades, la línea jerárquica y el funcionamiento de los organismos notificados ofrecerán confianza en su desempeño y en los resultados de las actividades de evaluación de la conformidad que realicen los organismos notificados.

4. Los organismos notificados serán independientes del proveedor de un sistema de IA de alto riesgo en relación con el cual lleven a cabo actividades de evaluación de la conformidad. Los organismos notificados serán independientes de cualquier otro operador con un interés económico en los sistemas de IA de alto riesgo que se evalúen, así como de cualquier competidor del proveedor. Ello no será óbice para el uso de sistemas de IA de alto riesgo evaluados que sean necesarios para las actividades del organismo de evaluación de la conformidad o para el uso de tales sistemas de alto riesgo con fines personales.

5. Los organismos de evaluación de la conformidad, sus máximos directivos y el personal responsable de la realización de las tareas de evaluación de la conformidad no intervendrán directamente en el diseño, el desarrollo, la comercialización o el uso de dichos sistemas de IA de alto riesgo, ni tampoco representarán a las partes que llevan a cabo estas actividades. Además, no efectuarán ninguna actividad que pudiera entrar en conflicto con su independencia de criterio o su integridad en relación con las actividades de evaluación de la conformidad para las que han sido notificados. Ello se aplicará especialmente a los servicios de consultoría.

6. Los organismos notificados estarán organizados y gestionados de modo que se garantice la independencia, objetividad e imparcialidad de sus actividades. Los organismos notificados documentarán e implantarán una estructura y procedimientos que garanticen la imparcialidad y permitan promover y poner en práctica los principios de imparcialidad aplicables en toda su organización, a todo su personal y en todas sus actividades de evaluación.

7. Los organismos notificados contarán con procedimientos documentados que garanticen que su personal, sus comités, sus filiales, sus subcontratistas y todos sus organismos asociados o personal de organismos externos mantengan, de conformidad con el artículo 78, la confidencialidad de la información que llegue a su poder en el desempeño de las actividades de evaluación de la conformidad, excepto en aquellos casos en que la ley exija su divulgación. El personal de los organismos notificados estará sujeto al secreto profesional en lo que respecta a toda la información obtenida en el ejercicio de las funciones que les hayan sido encomendadas en virtud del presente Reglamento, salvo en relación con las autoridades notificantes del Estado miembro en el que desarrollen sus actividades.

8. Los organismos notificados contarán con procedimientos para desempeñar sus actividades que tengan debidamente en cuenta el tamaño de los proveedores, el sector en que operan, su estructura y el grado de complejidad del sistema de IA de que se trate.

9. Los organismos notificados suscribirán un seguro de responsabilidad adecuado para sus actividades de evaluación de la conformidad, salvo que la responsabilidad la asuma el Estado miembro en que estén establecidos con arreglo al Derecho nacional o que el propio Estado miembro sea directamente responsable de la evaluación de la conformidad.

10. Los organismos notificados serán capaces de llevar a cabo todas sus tareas con arreglo al presente Reglamento con el máximo grado de integridad profesional y la competencia técnica necesaria en el ámbito específico, tanto si dichas tareas las efectúan los propios organismos notificados como si se realizan en su nombre y bajo su responsabilidad.

11. Los organismos notificados contarán con competencias técnicas internas suficientes para poder evaluar de manera eficaz las tareas que lleven a cabo agentes externos en su nombre. El organismo notificado dispondrá permanentemente de suficiente personal administrativo, técnico, jurídico y científico que tenga experiencia y conocimientos relativos a los tipos de sistemas de IA, los datos y la computación de datos pertinentes y a los requisitos establecidos en la sección 2.

12. Los organismos notificados participarán en las actividades de coordinación según lo previsto en el artículo 38. Asimismo, tomarán parte directamente o mediante representación en organizaciones europeas de normalización, o se asegurarán de mantenerse al corriente de la situación actualizada de las normas pertinentes.

Artículo 32. Presunción de conformidad con los requisitos relativos a los organismos notificados

Cuando un organismo de evaluación de la conformidad demuestre que cumple los criterios establecidos en las normas armonizadas pertinentes, o en partes de estas, cuyas referencias estén publicadas en el Diario Oficial de la Unión Europea, se presumirá que cumple los requisitos establecidos en el artículo 31 en la medida en que las normas armonizadas aplicables contemplen esos mismos requisitos.

Artículo 33. Filiales de organismos notificados y subcontratación

1. Cuando un organismo notificado subcontrate tareas específicas relacionadas con la evaluación de la conformidad o recurra a una filial, se asegurará de que el subcontratista o la filial cumplan los requisitos establecidos en el artículo 31 e informará a la autoridad notificante en consecuencia.

2. Los organismos notificados asumirán la plena responsabilidad de las tareas realizadas por cualesquiera subcontratistas o filiales.

3. Las actividades solo podrán subcontratarse o delegarse en una filial previo consentimiento del proveedor. Los organismos notificados pondrán a disposición del público una lista de sus filiales.

4. Los documentos pertinentes sobre la evaluación de las cualificaciones del subcontratista o de la filial y el trabajo que estos realicen en virtud del presente Reglamento se mantendrán a disposición de la autoridad notificante durante un período de cinco años a partir de la fecha de finalización de la subcontratación.

Artículo 34. Obligaciones operativas de los organismos notificados

1. Los organismos notificados verificarán la conformidad de los sistemas de IA de alto riesgo siguiendo los procedimientos de evaluación de la conformidad establecidos en el artículo 43.

2. Los organismos notificados evitarán cargas innecesarias para los proveedores cuando desempeñen sus actividades, y tendrán debidamente en cuenta el tamaño del proveedor, el sector en que opera, su estructura y el grado de complejidad del sistema de IA de alto riesgo de que se trate, en particular con vistas a reducir al mínimo las cargas administrativas y los costes del cumplimiento para las microempresas y pequeñas empresas en el sentido de la Recomendación 2003/361/CE. El organismo notificado respetará, sin embargo, el grado de rigor y el nivel de protección requeridos para que el sistema de IA de alto riesgo cumpla los requisitos del presente Reglamento.

3. Los organismos notificados pondrán a disposición de la autoridad notificante mencionada en el artículo 28, y le presentarán cuando se les pida, toda la documentación pertinente, incluida la documentación de los proveedores, a fin de que dicha autoridad pueda llevar a cabo sus actividades de evaluación, designación, notificación y supervisión, y de facilitar la evaluación descrita en la presente sección.

Artículo 35. Números de identificación y listas de organismos notificados

1. La Comisión asignará un número de identificación único a cada organismo notificado, incluso cuando un organismo sea notificado con arreglo a más de un acto de la Unión.

2. La Comisión hará pública la lista de organismos notificados con arreglo al presente Reglamento, incluidos sus números de identificación y las actividades para las que hayan sido notificados. La Comisión se asegurará de que la lista se mantenga actualizada.

Artículo 36. Cambios en las notificaciones

1. La autoridad notificante notificará a la Comisión y a los demás Estados miembros cualquier cambio pertinente en la notificación de un organismo notificado a través del sistema de notificación electrónica a que se refiere el artículo 30, apartado 2.

2. Los procedimientos establecidos en los artículos 29 y 30 se aplicarán a las ampliaciones del ámbito de aplicación de la notificación.

Para modificaciones de la notificación distintas de las ampliaciones de su ámbito de aplicación, se aplicarán los procedimientos establecidos en los apartados 3 a 9.

3. Cuando un organismo notificado decida poner fin a sus actividades de evaluación de la conformidad, informará de ello a la autoridad notificante y a los proveedores afectados tan pronto como sea posible y, cuando se trate de un cese planeado, al menos un año antes de poner fin a sus actividades. Los certificados del organismo notificado podrán seguir siendo válidos durante un plazo de nueve meses después del cese de las actividades del organismo notificado, siempre que otro organismo notificado haya confirmado por escrito que asumirá la responsabilidad de los sistemas de IA de alto riesgo cubiertos por dichos certificados. Este último organismo notificado realizará una evaluación completa de los sistemas de IA de alto riesgo afectados antes del vencimiento de ese plazo de nueve meses y antes de expedir nuevos certificados para esos sistemas. Si el organismo notificado ha puesto fin a sus actividades, la autoridad notificante retirará la designación.

4. Si una autoridad notificante tiene motivo suficiente para considerar que un organismo notificado ya no cumple los requisitos establecidos en el artículo 31 o no está cumpliendo sus obligaciones, la autoridad notificante investigará el asunto sin demora y con la máxima diligencia. En ese contexto, informará al organismo notificado de que se trate acerca de las objeciones formuladas y le ofrecerá la posibilidad de exponer sus puntos de vista. Si la autoridad notificante llega a la conclusión de que el organismo notificado ya no cumple los requisitos establecidos en el artículo 31 o no está cumpliendo sus obligaciones, dicha autoridad limitará, suspenderá o retirará la designación, según el caso, dependiendo de la gravedad del incumplimiento de dichos requisitos u obligaciones. Asimismo, informará de ello inmediatamente a la Comisión y a los demás Estados miembros.

5. Cuando su designación haya sido suspendida, limitada o retirada total o parcialmente, el organismo notificado informará a los proveedores afectados a más en un plazo de diez días.

6. En caso de la limitación, suspensión o retirada de una designación, la autoridad notificante adoptará las medidas oportunas para garantizar que los archivos del organismo notificado de que se trate se conserven, y para ponerlos a disposición de las autoridades notificantes de otros Estados miembros y de las autoridades de vigilancia del mercado, a petición de estas.

7. En caso de la limitación, suspensión o retirada de una designación, la autoridad notificante:

a) evaluará las repercusiones en los certificados expedidos por el organismo notificado;

b) presentará a la Comisión y a los demás Estados miembros un informe con sus conclusiones en un plazo de tres meses a partir de la notificación de los cambios en la designación;

c) exigirá al organismo notificado que suspenda o retire, en un plazo razonable determinado por la autoridad, todo certificado indebidamente expedido, a fin de garantizar la conformidad continua de los sistemas de IA de alto riesgo en el mercado;

d) informará a la Comisión y a los Estados miembros de los certificados cuya suspensión o retirada haya exigido;

e) facilitará a las autoridades nacionales competentes del Estado miembro en el que el proveedor tenga su domicilio social toda la información pertinente sobre los certificados cuya suspensión o retirada haya exigido; dicha autoridad tomará las medidas oportunas, cuando sea necesario, para evitar un riesgo para la salud, la seguridad o los derechos fundamentales.

8. Salvo en el caso de los certificados expedidos indebidamente, y cuando una designación haya sido suspendida o limitada, los certificados mantendrán su validez en una de las circunstancias siguientes:

a) cuando, en el plazo de un mes a partir de la suspensión o la limitación, la autoridad notificante haya confirmado que no existe riesgo alguno para la salud, la seguridad o los derechos fundamentales en relación con los certificados afectados por la suspensión o la limitación y haya fijado un calendario de acciones para subsanar la suspensión o la limitación, o

b) cuando la autoridad notificante haya confirmado que no se expedirán, modificarán ni volverán a expedir certificados relacionados con la suspensión mientras dure la suspensión o limitación, y declare si el organismo notificado tiene o no la capacidad, durante el período de la suspensión o limitación, de seguir supervisando los certificados expedidos y siendo responsable de ellos; cuando la autoridad notificante determine que el organismo notificado no tiene la capacidad de respaldar los certificados expedidos, el proveedor del sistema cubierto por el certificado deberá confirmar por escrito a las autoridades nacionales competentes del Estado miembro en que tenga su domicilio social, en un plazo de tres meses a partir de la suspensión o limitación, que otro organismo notificado cualificado va a asumir temporalmente las funciones del organismo notificado para supervisar los certificados y ser responsable de ellos durante el período de la suspensión o limitación.

9. Salvo en el caso de los certificados expedidos indebidamente, y cuando se haya retirado una designación, los certificados mantendrán su validez durante nueve meses en las circunstancias siguientes:

a) la autoridad nacional competente del Estado miembro en el que tiene su domicilio social el proveedor del sistema de IA de alto riesgo cubierto por el certificado ha confirmado que no existe ningún riesgo para la salud, la seguridad o los derechos fundamentales asociado al sistema de IA de alto riesgo de que se trate, y

b) otro organismo notificado ha confirmado por escrito que asumirá la responsabilidad inmediata de dichos sistemas de IA y completa su evaluación en el plazo de doce meses a partir de la retirada de la designación.

En las circunstancias a que se refiere el párrafo primero, la autoridad nacional competente del Estado miembro en el que tenga su domicilio social el proveedor del sistema cubierto por el certificado podrá prorrogar la validez provisional de los certificados por plazos adicionales de tres meses, sin exceder de doce meses en total.

La autoridad nacional competente o el organismo notificado que asuman las funciones del organismo notificado afectado por el cambio de la designación informarán de ello inmediatamente a la Comisión, a los demás Estados miembros y a los demás organismos notificados.

Artículo 37. Cuestionamiento de la competencia de los organismos notificados

1. La Comisión investigará, cuando sea necesario, todos los casos en los que existan razones para dudar de la competencia de un organismo notificado o del cumplimiento continuo, por parte de un organismo notificado, de los requisitos establecidos en el artículo 31 y de sus responsabilidades aplicables.

2. La autoridad notificante facilitará a la Comisión, a petición de esta, toda la información pertinente relativa a la notificación o el mantenimiento de la competencia del organismo notificado de que se trate.

3. La Comisión garantizará el tratamiento confidencial de acuerdo con el artículo 78 de toda la información delicada recabada en el transcurso de sus investigaciones en virtud del presente artículo.

4. Cuando la Comisión determine que un organismo notificado no cumple o ha dejado de cumplir los requisitos para su notificación, informará al Estado miembro notificante en consecuencia y le solicitará que adopte las medidas correctoras necesarias, incluidas la suspensión o la retirada de la designación en caso necesario. Si el Estado miembro no adopta las medidas correctoras necesarias, la Comisión, mediante un acto de ejecución, podrá suspender, limitar o retirar la designación. Dicho acto de ejecución se adoptará con arreglo al procedimiento de examen contemplado en el artículo 98, apartado 2.

Artículo 38. Coordinación de los organismos notificados

1. La Comisión se asegurará de que se instaure y se mantenga convenientemente, en relación con los sistemas de IA de alto riesgo, una adecuada coordinación y cooperación entre los organismos notificados activos en los procedimientos de evaluación de la conformidad en virtud del presente Reglamento, en forma de grupo sectorial de organismos notificados.

2. Cada autoridad notificante se asegurará de que los organismos notificados por ella participen en el trabajo del grupo a que se refiere el apartado 1, directamente o por medio de representantes designados.

3. La Comisión dispondrá que se organicen intercambios de conocimientos y mejores prácticas entre autoridades notificantes.

Artículo 39. Organismos de evaluación de la conformidad de terceros países

Los organismos de evaluación de la conformidad establecidos en virtud del Derecho de un tercer país con el que la Unión haya celebrado un acuerdo podrán ser autorizados a desempeñar las actividades de los organismos notificados con arreglo al presente Reglamento, siempre que cumplan los requisitos establecidos en el artículo 31 o garanticen un nivel equivalente de cumplimiento.

SECCIÓN 5. Normas, evaluación de la conformidad, certificados, registro

Artículo 40. Normas armonizadas y documentos de normalización

1. Los sistemas de IA de alto riesgo o los modelos de IA de uso general que sean conformes con normas armonizadas, o partes de estas, cuyas referencias estén publicadas en el Diario Oficial de la Unión Europea de conformidad con el Reglamento (UE) nº 1025/2012 se presumirá que son conformes con los requisitos establecidos en la sección 2 del presente capítulo o, en su caso, con las obligaciones establecidas en el capítulo V, secciones 2 y 3, del presente Reglamento, en la medida en que dichas normas contemplen estos requisitos u obligaciones.

2. De conformidad con el artículo 10 del Reglamento (UE) nº 1025/2012, la Comisión formulará, sin demora indebida, peticiones de normalización que contemplen todos los requisitos establecidos en la sección 2 del presente capítulo y, según proceda, las peticiones de normalización que contemplen las obligaciones establecidas en el capítulo V, secciones 2 y 3, del presente Reglamento. La petición de normalización también incluirá la solicitud de documentos sobre los procesos de presentación de información y documentación a fin de mejorar el funcionamiento de los de los sistemas de IA desde el punto de vista de los recursos, como la reducción del consumo de energía y de otros recursos del sistema de IA de alto riesgo durante su ciclo de vida, así como sobre el desarrollo eficiente desde el punto de vista energético de los modelos de IA de uso general. Cuando prepare una petición de normalización, la Comisión consultará al Consejo de IA y a las partes interesadas pertinentes, incluido el foro consultivo.

Cuando dirija una petición de normalización a las organizaciones europeas de normalización, la Comisión especificará que las normas deben ser claras, coherentes —también con las normas elaboradas en diversos sectores para los productos regulados por los actos legislativos de armonización de la Unión vigentes enumerados en el anexo I— y destinadas a garantizar que los sistemas de IA de alto riesgo o los modelos de IA de uso general introducidos en el mercado o puestos en servicio en la Unión cumplan los requisitos u obligaciones pertinentes establecidos en el presente Reglamento.

La Comisión solicitará a las organizaciones europeas de normalización que aporten pruebas de que han hecho todo lo posible por cumplir los objetivos a que se refieren los párrafos primero y segundo del presente apartado, de conformidad con el artículo 24 del Reglamento (UE) nº 1025/2012.

3. Los participantes en el proceso de normalización tratarán de promover la inversión y la innovación en IA, también incrementando la seguridad jurídica, así como la competitividad y el crecimiento del mercado de la Unión, de contribuir al refuerzo de la cooperación mundial en pro de la normalización, teniendo en cuenta las normas internacionales existentes en el ámbito de la IA que son coherentes con los valores, derechos fundamentales e intereses de la Unión, y de mejorar la gobernanza multilateral, garantizando una representación equilibrada de los intereses y la participación efectiva de todas las partes interesadas pertinentes de conformidad con los artículos 5, 6 y 7 del Reglamento (UE) nº 1025/2012.

Artículo 41. Especificaciones comunes

1. La Comisión podrá adoptar actos de ejecución por los que se establezcan especificaciones comunes para los requisitos establecidos en la sección 2 del presente capítulo o, según corresponda, para las obligaciones establecidas en el capítulo V, secciones 2 y 3, siempre que se hayan cumplido las siguientes condiciones:

a) la Comisión ha solicitado, de conformidad con el artículo 10, apartado 1, del Reglamento (UE) nº 1025/2012, a una o varias organizaciones europeas de normalización que elaboren una norma armonizada para los requisitos establecidos en la sección 2 del presente capítulo, o según corresponda, para las obligaciones establecidas en el capítulo V, secciones 2 y 3, y:

i) la solicitud no ha sido aceptada por ninguna de las organizaciones europeas de normalización, o

ii) las normas armonizadas que responden a dicha solicitud no se han entregado en el plazo establecido de conformidad con el artículo 10, apartado 1, del Reglamento (UE) nº 1025/2012, o

iii) las normas armonizadas pertinentes responden de forma insuficiente a las preocupaciones en materia de derechos fundamentales, o

iv) las normas armonizadas no se ajustan a la solicitud, y

b) no se ha publicado en el Diario Oficial de la Unión Europea ninguna referencia a normas armonizadas que regulen los requisitos establecidos en la sección 2 del presente capítulo, o según proceda, las obligaciones a que se refiere el capítulo V, secciones 2 y 3, de conformidad con el Reglamento (UE) nº 1025/2012 y no se prevé la publicación de tal referencia en un plazo razonable.

Al elaborar las disposiciones comunes, la Comisión consultará al foro consultivo a que se refiere el artículo 67.

Los actos de ejecución a que se refiere el párrafo primero del presente apartado se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 98, apartado 2.

2. Antes de elaborar un proyecto de acto de ejecución, la Comisión informará al comité a que se refiere el artículo 22 del Reglamento (UE) nº 1025/2012 de que considera que se cumplen las condiciones establecidas en el apartado 1 del presente artículo.

3. Se presumirá que los sistemas de IA de alto riesgo o los modelos de IA de uso general que sean conformes con las especificaciones comunes a que se refiere el apartado 1, o partes de dichas especificaciones, son conformes con los requisitos establecidos en la sección 2 del presente capítulo o, según corresponda, para cumplir con las obligaciones a que se refiere el capítulo V, secciones 2 y 3, en la medida en que dichas especificaciones comunes contemplen esos requisitos o esas obligaciones.

4. Cuando una norma armonizada sea adoptada por una organización europea de normalización y propuesta a la Comisión con el fin de publicar su referencia en el Diario Oficial de la Unión Europea, la Comisión evaluará la norma armonizada de conformidad con el Reglamento (UE) nº 1025/2012. Cuando la referencia a una norma armonizada se publique en el Diario Oficial de la Unión Europea, la Comisión derogará los actos de ejecución a que se refiere el apartado 1, o las partes de dichos actos que contemplen los mismos requisitos establecidos en la sección 2 del presente capítulo o, según corresponda, las mismas obligaciones establecidas en el capítulo V, secciones 2 y 3.

5. Cuando los proveedores de sistemas de IA de alto riesgo o los modelos de IA de uso general no cumplan las especificaciones comunes mencionadas en el apartado 1, justificarán debidamente que han adoptado soluciones técnicas que cumplan los requisitos a que se refiere la sección 2 del presente capítulo o, según corresponda, cumplan con las obligaciones establecidas en el capítulo V, secciones 2 y 3, en un nivel como mínimo equivalente a aquellos.

6. Cuando un Estado miembro considere que una especificación común no cumple plenamente los requisitos establecidos en la sección 2, o, según corresponda, no cumple con las obligaciones establecidas en el capítulo V, secciones 2 y 3, informará de ello a la Comisión con una explicación detallada. La Comisión evaluará dicha información y, en su caso, modificará el acto de ejecución por el que se establece la especificación común de que se trate.

Artículo 42. Presunción de conformidad con determinados requisitos

1. Se presumirá que los sistemas de IA de alto riesgo que hayan sido entrenados y probados con datos que reflejan el entorno geográfico, conductual, contextual o funcional específico en el que esté previsto su uso cumplen los requisitos pertinentes establecidos en el artículo 10, apartado 4.

2. Se presumirá que los sistemas de IA de alto riesgo que cuenten con un certificado o una declaración de conformidad en virtud de un esquema de ciberseguridad con arreglo al Reglamento (UE) 2019/881 cuyas referencias estén publicadas en el Diario Oficial de la Unión Europea cumplen los requisitos de ciberseguridad establecidos en el artículo 15 del presente Reglamento en la medida en que el certificado de ciberseguridad o la declaración de conformidad, o partes de estos, contemplen dichos requisitos.

Artículo 43. Evaluación de la conformidad

1. En el caso de los sistemas de IA de alto riesgo enumerados en el anexo III, punto 1, cuando, al demostrar el cumplimiento de los requisitos establecidos en la sección 2 por parte de un sistema de IA de alto riesgo, el proveedor haya aplicado las normas armonizadas a que se refiere el artículo 40, o bien, en su caso, las especificaciones comunes a que se refiere el artículo 41, el proveedor optará por uno de los procedimientos de evaluación de la conformidad siguientes:

a) el fundamentado en el control interno, mencionado en el anexo VI, o

b) el fundamentado en la evaluación del sistema de gestión de la calidad y la evaluación de la documentación técnica, con la participación de un organismo notificado, mencionado en el anexo VII.

Al demostrar el cumplimiento de los requisitos establecidos en la sección 2 por parte de un sistema de IA de alto riesgo, el proveedor se atendrá al procedimiento de evaluación de la conformidad establecido en el anexo VII cuando:

a) las normas armonizadas a que se refiere el artículo 40 no existan, y no se disponga de las especificaciones comunes a que se refiere el artículo 41;

b) el proveedor no haya aplicado la norma armonizada, o solo haya aplicado parte de esta;

c) existan las especificaciones comunes a que se refiere la letra a), pero el proveedor no las haya aplicado;

d) una o varias de las normas armonizadas a que se refiere la letra a) se hayan publicado con una limitación, y únicamente en la parte de la norma objeto de la limitación.

A efectos del procedimiento de evaluación de la conformidad mencionado en el anexo VII, el proveedor podrá escoger cualquiera de los organismos notificados. No obstante, cuando se prevea la puesta en servicio del sistema de IA de alto riesgo por parte de las autoridades garantes del cumplimiento del Derecho, las autoridades de inmigración o las autoridades de asilo, o por las instituciones, órganos u organismos de la Unión, la autoridad de vigilancia del mercado mencionada en el artículo 74, apartado 8 o 9, según proceda, actuará como organismo notificado.

2. En el caso de los sistemas de IA de alto riesgo mencionados en el anexo III, puntos 2 a 8, los proveedores se atendrán al procedimiento de evaluación de la conformidad fundamentado en un control interno a que se refiere el anexo VI, que no contempla la participación de un organismo notificado.

3. En el caso de los sistemas de IA de alto riesgo regulados por los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, el proveedor se atendrá al procedimiento de evaluación de la conformidad pertinente exigida por dichos actos legislativos. Los requisitos establecidos en la sección 2 del presente capítulo se aplicarán a dichos sistemas de IA de alto riesgo y formarán parte de dicha evaluación. Asimismo, se aplicarán los puntos 4.3, 4.4 y 4.5 del anexo VII, así como el punto 4.6, párrafo quinto, de dicho anexo.

A efectos de dicha evaluación, los organismos notificados que hayan sido notificados con arreglo a dichos actos legislativos dispondrán de la facultad de controlar la conformidad de los sistemas de IA de alto riesgo con los requisitos establecidos en la sección 2, a condición de que se haya evaluado el cumplimiento por parte de dichos organismos notificados de los requisitos establecidos en el artículo 31, apartados 4, 5, 10 y 11, en el contexto del procedimiento de notificación con arreglo a dichos actos legislativos.

Cuando un acto legislativo enumerado en el anexo I, sección A, permita al fabricante del producto prescindir de una evaluación de la conformidad de terceros, a condición de que el fabricante haya aplicado todas las normas armonizadas que contemplan todos los requisitos pertinentes, dicho fabricante solamente podrá recurrir a esta opción si también ha aplicado las normas armonizadas o, en su caso, las especificaciones comunes a que se refiere el artículo 41 que contemplan todos los requisitos establecidos en la sección 2 del presente capítulo.

4. Los sistemas de IA de alto riesgo que ya hayan sido objeto de un procedimiento de evaluación de la conformidad se someterán a un nuevo procedimiento de evaluación de la conformidad en caso de modificación sustancial, con independencia de si está prevista una distribución posterior del sistema modificado o de si este continúa siendo utilizado por el responsable del despliegue actual.

En el caso de los sistemas de IA de alto riesgo que continúen aprendiendo tras su introducción en el mercado o su puesta en servicio, los cambios en el sistema de IA de alto riesgo y su funcionamiento que hayan sido predeterminados por el proveedor en el momento de la evaluación inicial de la conformidad y figuren en la información recogida en la documentación técnica mencionada en el anexo IV, punto 2, letra f), no constituirán modificaciones sustanciales.

5. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97 al objeto de modificar los anexos VI y VII actualizándolos a la luz del progreso técnico.

6. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 97 al objeto de modificar los apartados 1 y 2 del presente artículo a fin de someter a los sistemas de IA de alto riesgo mencionados en el anexo III, puntos 2 a 8, al procedimiento de evaluación de la conformidad a que se refiere el anexo VII o a partes de este. La Comisión adoptará dichos actos delegados teniendo en cuenta la eficacia del procedimiento de evaluación de la conformidad fundamentado en un control interno mencionado en el anexo VI para prevenir o reducir al mínimo los riesgos para la salud, la seguridad y la protección de los derechos fundamentales que plantean estos sistemas, así como la disponibilidad de capacidades y recursos adecuados por parte de los organismos notificados.

Artículo 44. Certificados

1. Los certificados expedidos por los organismos notificados con arreglo al anexo VII se redactarán en una lengua que las autoridades pertinentes del Estado miembro en el que esté establecido el organismo notificado puedan entender fácilmente.

2. Los certificados serán válidos para el período que indiquen, que no excederá de cinco años para los sistemas de IA contemplados en el anexo I, y cuatro años para los sistemas de IA contemplados en el anexo III. A solicitud del proveedor, la validez de un certificado podrá prorrogarse por períodos adicionales no superiores a cinco años para los sistemas de IA contemplados en el anexo I, y cuatro años para los sistemas de IA contemplados en el anexo III, sobre la base de una nueva evaluación con arreglo a los procedimientos de evaluación de la conformidad aplicables. Todo suplemento de un certificado mantendrá su validez a condición de que el certificado al que complementa sea válido.

3. Si un organismo notificado observa que un sistema de IA ya no cumple los requisitos establecidos en la sección 2, suspenderá o retirará, teniendo en cuenta el principio de proporcionalidad, el certificado expedido o le impondrá restricciones, a menos que se garantice el cumplimiento de dichos requisitos mediante medidas correctoras adecuadas adoptadas por el proveedor del sistema en un plazo adecuado determinado por el organismo notificado. El organismo notificado motivará su decisión.

Existirá un procedimiento de recurso frente a las decisiones de los organismos notificados, también respecto a los certificados de conformidad expedidos.

Artículo 45. Obligaciones de información de los organismos notificados

1. Los organismos notificados informarán a la autoridad notificante:

a) de cualquier certificado de la Unión de evaluación de la documentación técnica, de cualquier suplemento a dichos certificados y de cualesquiera aprobaciones de sistemas de gestión de la calidad expedidas con arreglo a los requisitos establecidos en el anexo VII;

b) de cualquier denegación, restricción, suspensión o retirada de un certificado de la Unión de evaluación de la documentación técnica o de una aprobación de un sistema de gestión de la calidad expedida con arreglo a los requisitos establecidos en el anexo VII;

c) de cualquier circunstancia que afecte al ámbito de aplicación o a las condiciones de notificación;

d) de cualquier solicitud de información sobre las actividades de evaluación de la conformidad que hayan recibido de las autoridades de vigilancia del mercado;

e) previa solicitud, de las actividades de evaluación de la conformidad realizadas dentro del ámbito de aplicación de su notificación y de cualquier otra actividad realizada, incluidas las actividades transfronterizas y las subcontrataciones.

2. Cada organismo notificado informará a los demás organismos notificados:

a) de las aprobaciones de sistemas de gestión de la calidad que haya rechazado, suspendido o retirado y, previa solicitud, de las aprobaciones de sistemas de gestión de la calidad que haya expedido;

b) de los certificados de la Unión de evaluación de la documentación técnica o los suplementos a dichos certificados que haya rechazado, retirado, suspendido o restringido de cualquier otro modo y, previa solicitud, de los certificados o los suplementos a estos que haya expedido.

3. Cada organismo notificado proporcionará a los demás organismos notificados que realicen actividades de evaluación de la conformidad similares y relativas a los mismos tipos de sistemas de IA información pertinente sobre cuestiones relacionadas con resultados negativos y, previa solicitud, con resultados positivos de las evaluaciones de la conformidad.

4. Los organismos notificados preservarán la confidencialidad de la información obtenida, de conformidad con lo dispuesto en el artículo 78.

Artículo 46. Exención del procedimiento de evaluación de la conformidad

1. Como excepción a lo dispuesto en el artículo 43 y previa solicitud debidamente motivada, cualquier autoridad de vigilancia del mercado podrá autorizar la introducción en el mercado o la puesta en servicio de sistemas de IA de alto riesgo específicos en el territorio del Estado miembro de que se trate por motivos excepcionales de seguridad pública o con el fin de proteger la vida y la salud de las personas, el medio ambiente o activos fundamentales de la industria y de las infraestructuras. Dicha autorización se concederá por un período limitado, mientras se lleven a cabo los procedimientos de evaluación de la conformidad necesarios, teniendo en cuenta los motivos excepcionales que justifiquen la exención. La conclusión de los procedimientos de que se trate se alcanzará sin demora indebida.

2. En una situación de urgencia debidamente justificada por motivos excepcionales de seguridad pública o en caso de amenaza específica, importante e inminente para la vida o la seguridad física de las personas físicas, las autoridades garantes del cumplimiento del Derecho o las autoridades de protección civil podrán poner en servicio un sistema de IA de alto riesgo específico sin la autorización a que se refiere el apartado 1, siempre que se solicite dicha autorización durante o después de la utilización sin demora indebida. Si se deniega la autorización a que se refiere el apartado 1, se suspenderá el uso del sistema de IA de alto riesgo con efecto inmediato y se desecharán inmediatamente todos los resultados y toda la información de salida producidos por dicho uso.

3. La autorización a que se refiere el apartado 1 solo se expedirá si la autoridad de vigilancia del mercado llega a la conclusión de que el sistema de IA de alto riesgo cumple los requisitos establecidos en la sección 2. La autoridad de vigilancia del mercado informará a la Comisión y a los demás Estados miembros de toda autorización expedida de conformidad con los apartados 1 y 2. Esta obligación no comprenderá los datos operativos sensibles relativos a las actividades de las autoridades garantes del cumplimiento del Derecho.

4. Si, en el plazo de quince días naturales tras la recepción de la información indicada en el apartado 3, ningún Estado miembro ni la Comisión presentan objeción alguna sobre una autorización expedida por una autoridad de vigilancia del mercado de un Estado miembro con arreglo al apartado 1, la autorización se considerará justificada.

5. Si, en el plazo de quince días naturales tras la recepción de la notificación a que se refiere el apartado 3, un Estado miembro formula objeciones contra una autorización expedida por una autoridad de vigilancia del mercado de otro Estado miembro, o si la Comisión considera que la autorización vulnera el Derecho de la Unión o que la conclusión de los Estados miembros relativa al cumplimiento del sistema a que se refiere el apartado 3 es infundada, la Comisión celebrará consultas con el Estado miembro pertinente sin demora. Se consultará a los operadores de que se trate y se les ofrecerá la posibilidad de exponer sus puntos de vista. En vista de todo ello, la Comisión decidirá si la autorización está justificada o no. La Comisión enviará su decisión al Estado miembro afectado y a los operadores pertinentes.

6. Si la Comisión considera que la autorización no está justificada, la autoridad de vigilancia del mercado del Estado miembro de que se trate la retirará.

7. En el caso de los sistemas de IA de alto riesgo asociados a productos regulados por los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, solo se aplicarán las exenciones de la evaluación de la conformidad establecidas en dichos actos legislativos de armonización de la Unión.

Artículo 47. Declaración UE de conformidad

1. El proveedor redactará una declaración UE de conformidad por escrito en un formato legible por máquina, con firma electrónica o manuscrita, para cada sistema de IA de alto riesgo y la mantendrá a disposición de las autoridades nacionales competentes durante un período de diez años a contar desde la introducción del sistema de IA de alto riesgo en el mercado o su puesta en servicio. En la declaración UE de conformidad se especificará el sistema de IA de alto riesgo para el que ha sido redactada. Se entregará una copia de la declaración UE de conformidad a las autoridades nacionales competentes pertinentes que lo soliciten.

2. En la declaración UE de conformidad constará que el sistema de IA de alto riesgo de que se trate cumple los requisitos establecidos en la sección 2. La declaración UE de conformidad contendrá la información indicada en el anexo V y se traducirá a una lengua que puedan entender fácilmente las autoridades nacionales competentes del Estado o Estados miembros en que se introduzca en el mercado o comercialice el sistema de IA de alto riesgo.

3. Cuando los sistemas de IA de alto riesgo estén sujetos a otros actos legislativos de armonización de la Unión que también exijan una declaración UE de conformidad, se elaborará una única declaración UE de conformidad con respecto a todos el Derecho de la Unión aplicable al sistema de IA de alto riesgo. La declaración contendrá toda la información necesaria para determinar los actos legislativos de armonización de la Unión a los que se refiere la declaración.

4. Al elaborar la declaración UE de conformidad, el proveedor asumirá la responsabilidad del cumplimiento de los requisitos establecidos en la sección 2. El proveedor mantendrá actualizada la declaración UE de conformidad según proceda.

5. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97 al objeto de modificar el anexo V actualizando el contenido de la declaración UE de conformidad establecida en dicho anexo, con el fin de introducir elementos que resulten necesarios a la luz del progreso técnico.

Artículo 48. Marcado CE

1. El marcado CE estará sujeto a los principios generales establecidos en el artículo 30 del Reglamento (CE) nº 765/2008.

2. En el caso de los sistemas de IA de alto riesgo que se proporcionan digitalmente, se utilizará un marcado CE digital, únicamente si es fácilmente accesible a través de la interfaz desde la que se accede a dicho sistema o mediante un código fácilmente accesible legible por máquina u otros medios electrónicos.

3. El marcado CE se colocará de manera visible, legible e indeleble en los sistemas de IA de alto riesgo. Cuando esto no sea posible o no pueda garantizarse debido a la naturaleza del sistema de IA de alto riesgo, se colocará en el embalaje o en los documentos adjuntos, según proceda.

4. En su caso, el marcado CE irá seguido del número de identificación del organismo notificado responsable de los procedimientos de evaluación de la conformidad establecidos en el artículo 43. El número de identificación del organismo notificado lo colocará él mismo o, siguiendo sus instrucciones, el proveedor o el representante autorizado del proveedor. El número de identificación figurará también en todo el material publicitario en el que se mencione que el sistema de IA de alto riesgo cumple los requisitos de marcado CE.

5. Cuando los sistemas de IA de alto riesgo estén sujetos a otras disposiciones del Derecho de la Unión que también requieran la colocación del marcado CE, este indicará que los sistemas de IA de alto riesgo también cumplen los requisitos de esas otras disposiciones.

Artículo 49. Registro

1. Antes de introducir en el mercado o de poner en servicio un sistema de IA de alto riesgo enumerado en el anexo III, con excepción de los sistemas de IA de alto riesgo mencionados en el anexo III, punto 2, el proveedor o, en su caso, el representante autorizado, registrarán su sistema y a ellos mismos en la base de datos de la UE a que se refiere el artículo 71.

2. Antes de introducir en el mercado o poner en servicio un sistema de IA sobre el que el proveedor haya llegado a la conclusión de que no es de alto riesgo de conformidad con el artículo 6, apartado 3, dicho proveedor o, en su caso, el representante autorizado, registrarán ese sistema y a ellos mismos en la base de datos de la UE a que se refiere el artículo 71.

3. Antes de poner en servicio o utilizar un sistema de IA de alto riesgo enumerado en el anexo III, con excepción de los sistemas de IA de alto riesgo mencionados en el anexo III, punto 2, los responsables del despliegue de sistemas de IA de alto riesgo que sean autoridades públicas, instituciones, órganos u organismos de la Unión, o personas que actúen en su nombre, se registrarán, seleccionarán el sistema y registrarán su utilización en la base de datos de la UE a que se refiere el artículo 71.

4. En el caso de los sistemas de IA de alto riesgo mencionados en el anexo III, puntos 1, 6 y 7, en los ámbitos de la garantía del cumplimiento del Derecho, la migración, el asilo y la gestión del control fronterizo, el registro a que se refieren los apartados 1, 2 y 3 del presente artículo se efectuará en una sección segura no pública de la base de datos de la UE a que se refiere el artículo 71 e incluirá únicamente la información, según proceda, a la que se hace referencia en:

a) el anexo VIII, sección A, puntos 1 a 10, con excepción de los puntos 6, 8 y 9;

b) el anexo VIII, sección B, puntos 1 a 5 y puntos 8 y 9;

c) el anexo VIII, sección C, puntos 1 a 3;

d) el anexo IX, puntos 1, 2, 3 y 5.

Únicamente la Comisión y las autoridades nacionales a que se refiere el artículo 74, apartado 8, tendrán acceso a las secciones restringidas respectivas de la base de datos de la UE enumeradas en el párrafo primero del presente apartado.

5. Los sistemas de IA de alto riesgo a que se refiere el anexo III, punto 2, se registrarán a nivel nacional.

CAPÍTULO IV. OBLIGACIONES DE TRANSPARENCIA DE LOS PROVEEDORES Y RESPONSABLES DEL DESPLIEGUE DE DETERMINADOS SISTEMAS DE IA

Artículo 50. Obligaciones de transparencia de los proveedores y responsables del despliegue de determinados sistemas de IA

1. Los proveedores garantizarán que los sistemas de IA destinados a interactuar directamente con personas físicas se diseñen y desarrollen de forma que las personas físicas de que se trate estén informadas de que están interactuando con un sistema de IA, excepto cuando resulte evidente desde el punto de vista de una persona física razonablemente informada, atenta y perspicaz, teniendo en cuenta las circunstancias y el contexto de utilización. Esta obligación no se aplicará a los sistemas de IA autorizados por ley para detectar, prevenir, investigar o enjuiciar delitos, con sujeción a las garantías adecuadas para los derechos y libertades de terceros, salvo que estos sistemas estén a disposición del público para denunciar un delito penal.

2. Los proveedores de sistemas de IA, entre los que se incluyen los sistemas de IA de uso general, que generen contenido sintético de audio, imagen, vídeo o texto, velarán por que los resultados de salida del sistema de IA estén marcados en un formato legible por máquina y que sea posible detectar que han sido generados o manipulados de manera artificial. Los proveedores velarán por que sus soluciones técnicas sean eficaces, interoperables, sólidas y fiables en la medida en que sea técnicamente viable, teniendo en cuenta las particularidades y limitaciones de los diversos tipos de contenido, los costes de aplicación y el estado actual de la técnica generalmente reconocido, según se refleje en las normas técnicas pertinentes. Esta obligación no se aplicará en la medida en que los sistemas de IA desempeñen una función de apoyo a la edición estándar o no alteren sustancialmente los datos de entrada facilitados por el responsable del despliegue o su semántica, o cuando estén autorizados por ley para detectar, prevenir, investigar o enjuiciar delitos.

3. Los responsables del despliegue de un sistema de reconocimiento de emociones o de un sistema de categorización biométrica informarán del funcionamiento del sistema a las personas físicas expuestas a él y tratarán sus datos personales de conformidad con los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y con la Directiva (UE) 2016/680, según corresponda. Esta obligación no se aplicará a los sistemas de IA utilizados para la categorización biométrica y el reconocimiento de emociones que hayan sido autorizados por ley para detectar, prevenir e investigar delitos, con sujeción a las garantías adecuadas para los derechos y libertades de terceros y de conformidad con el Derecho de la Unión.

4. Los responsables del despliegue de un sistema de IA que genere o manipule imágenes o contenidos de audio o vídeo que constituyan una ultrasuplantación harán público que estos contenidos o imágenes han sido generados o manipulados de manera artificial. Esta obligación no se aplicará cuando la ley autorice su uso para para detectar, prevenir, investigar o enjuiciar delitos. Cuando el contenido forme parte de una obra o programa manifiestamente creativos, satíricos, artísticos, de ficción o análogos, las obligaciones de transparencia establecidas en el presente apartado se limitarán a la obligación de hacer pública la existencia de dicho contenido generado o manipulado artificialmente de una manera adecuada que no dificulte la exhibición o el disfrute de la obra.

Los responsables del despliegue de un sistema de IA que genere o manipule texto que se publique con el fin de informar al público sobre asuntos de interés público divulgarán que el texto se ha generado o manipulado de manera artificial. Esta obligación no se aplicará cuando el uso esté autorizado por ley para detectar, prevenir, investigar o enjuiciar delitos, o cuando el contenido generado por IA haya sido sometido a un proceso de revisión humana o de control editorial y cuando una persona física o jurídica tenga la responsabilidad editorial por la publicación del contenido.

5. La información a que se refieren los apartados 1 a 4 se facilitará a las personas físicas de que se trate de manera clara y distinguible a más tardar con ocasión de la primera interacción o exposición. La información se ajustará a los requisitos de accesibilidad aplicables.

6. Los apartados 1 a 4 no afectarán a los requisitos y obligaciones establecidos en el capítulo III y se entenderán sin perjuicio de otras obligaciones de transparencia establecidas en el Derecho nacional o de la Unión para los responsables del despliegue de sistemas de IA.

7. La Oficina de IA fomentará y facilitará la elaboración de códigos de buenas prácticas a escala de la Unión para promover la aplicación efectiva de las obligaciones relativas a la detección y el etiquetado de contenidos generados o manipulados de manera artificial. La Comisión podrá adoptar actos de ejecución a fin de aprobar dichos códigos de buenas prácticas, de conformidad con el procedimiento establecido en el artículo 56, apartado 6. Si considera que el código no es adecuado, la Comisión podrá adoptar un acto de ejecución que especifique normas comunes para el cumplimiento de las citadas obligaciones de conformidad con el procedimiento de examen establecido en el artículo 98, apartado 2.

CAPÍTULO V. MODELOS DE IA DE USO GENERAL

SECCIÓN 1. Reglas de clasificación

Artículo 51. Reglas de clasificación de los modelos de IA de uso general como modelos de IA de uso general con riesgo sistémico

1. Un modelo de IA de uso general se clasificará como modelo de IA de uso general con riesgo sistémico si reúne alguna de las siguientes condiciones:

a) tiene capacidades de gran impacto evaluadas a partir de herramientas y metodologías técnicas adecuadas, como indicadores y parámetros de referencia;

b) con arreglo a una decisión de la Comisión, adoptada de oficio o a raíz de una alerta cualificada del grupo de expertos científicos, tiene capacidades o un impacto equivalente a los establecidos en la letra a), teniendo en cuenta los criterios establecidos en el anexo XIII.

2. Se presumirá que un modelo de IA de uso general tiene capacidades de gran impacto con arreglo al apartado 1, letra a), cuando la cantidad acumulada de cálculo utilizada para su entrenamiento, medida en operaciones de coma flotante, sea superior a 1025.

3. La Comisión adoptará actos delegados de conformidad con el artículo 97 para modificar los umbrales a que se refieren los apartados 1 y 2 del presente artículo, así como para complementar los parámetros de referencia e indicadores en función de los avances tecnológicos, como las mejoras algorítmicas o la mayor eficiencia del hardware, cuando sea necesario, para que los umbrales reflejen el estado actual de la técnica.

Artículo 52. Procedimiento

1. Cuando un modelo de IA de uso general cumpla la condición a que se refiere el artículo 51, apartado 1, letra a), el proveedor pertinente lo notificará a la Comisión sin demora y, en cualquier caso, antes de transcurridas dos semanas desde que se cumpla dicho requisito o desde que se sepa que va a cumplirse. Dicha notificación incluirá la información necesaria para demostrar que se cumple el requisito pertinente. Si la Comisión tiene conocimiento de un modelo de IA de uso general que presenta riesgos sistémicos y que no ha sido notificado, podrá decidir designarlo como modelo con riesgo sistémico.

2. El proveedor de un modelo de IA de uso general que cumpla la condición a que se refiere el artículo 51, apartado 1, letra a), podrá presentar, junto con su notificación, argumentos suficientemente fundamentados que demuestren que, excepcionalmente, aunque el modelo de IA de uso general cumple dicho requisito, no presenta riesgos sistémicos, debido a sus características específicas, y no debe clasificarse, por tanto, como modelo de IA de uso general con riesgo sistémico.

3. Cuando la Comisión concluya que los argumentos presentados con arreglo al apartado 2 no están suficientemente fundamentados y que el proveedor pertinente no ha sido capaz de demostrar que el modelo de IA de uso general no presenta, debido a sus características específicas, riesgos sistémicos, rechazará dichos argumentos y el modelo de IA de uso general se considerará un modelo de IA de uso general con riesgo sistémico.

4. La Comisión podrá determinar que un modelo de IA de uso general presenta riesgos sistémicos, de oficio o a raíz de una alerta cualificada del grupo de expertos científicos con arreglo al artículo 90, apartado 1, letra a), a partir de los criterios establecidos en el anexo XIII.

La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 97 al objeto de modificar el anexo XIII especificando y actualizando los criterios establecidos en dicho anexo.

5. Previa solicitud motivada de un proveedor cuyo modelo haya sido designado como modelo de IA de uso general con riesgo sistémico con arreglo al apartado 4, la Comisión tendrá en cuenta la solicitud y podrá decidir reevaluar si puede seguir considerándose que el modelo de IA de uso general presenta riesgos sistémicos con arreglo a los criterios establecidos en el anexo XIII. Dicha solicitud contendrá motivos objetivos, detallados y nuevos que hayan surgido desde la decisión de designación. Los proveedores no podrán solicitar la reevaluación antes de transcurridos seis meses desde la decisión de designación. Si tras la reevaluación la Comisión decide mantener la designación como modelo de IA de uso general con riesgo sistémico, los proveedores no podrán solicitar otra reevaluación hasta transcurridos seis meses desde dicha decisión.

6. La Comisión velará por que se publique una lista de modelos de IA de uso general con riesgo sistémico, que mantendrá actualizada, sin perjuicio de la necesidad de respetar y proteger los derechos de propiedad intelectual e industrial y la información empresarial confidencial o los secretos comerciales de conformidad con el Derecho de la Unión y nacional.

SECCIÓN 2. Obligaciones de los proveedores de modelos de IA de uso general

Artículo 53. Obligaciones de los proveedores de modelos de IA de uso general

1. Los proveedores de modelos de IA de uso general:

a) elaborarán y mantendrán actualizada la documentación técnica del modelo, incluida la información relativa al proceso de entrenamiento y realización de pruebas y los resultados de su evaluación, que contendrá, como mínimo, la información establecida en el anexo XI con el fin de facilitarla, previa solicitud, a la Oficina de IA y a las autoridades nacionales competentes;

b) elaborarán y mantendrán actualizada información y documentación y la pondrán a disposición de los proveedores de sistemas de IA que tengan la intención de integrar el modelo de IA de uso general en sus sistemas de IA. Sin perjuicio de la necesidad de observar y proteger los derechos de propiedad intelectual e industrial y la información empresarial confidencial o los secretos comerciales de conformidad con el Derecho de la Unión y nacional, dicha información y documentación:

i) permitirá a los proveedores de sistemas de IA entender bien las capacidades y limitaciones del modelo de IA de uso general y cumplir sus obligaciones en virtud del presente Reglamento, y

ii) contendrá, como mínimo, los elementos previstos en el anexo XII;

c) establecerán directrices para cumplir el Derecho de la Unión en materia de derechos de autor y derechos afines, y en particular, para detectar y cumplir, por ejemplo, a través de tecnologías punta, una reserva de derechos expresada de conformidad con el artículo 4, apartado 3, de la Directiva (UE) 2019/790;

d) elaborarán y pondrán a disposición del público un resumen suficientemente detallado del contenido utilizado para el entrenamiento del modelo de IA de uso general, con arreglo al modelo facilitado por la Oficina de IA.

2. Las obligaciones establecidas en el apartado 1, letras a) y b), no se aplicarán a los proveedores de modelos de IA que se divulguen con arreglo a una licencia libre y de código abierto que permita el acceso, la utilización, la modificación y la distribución del modelo y cuyos parámetros, incluidos los pesos, la información sobre la arquitectura del modelo y la información sobre el uso del modelo, se pongan a disposición del público. Esta excepción no se aplicará a los modelos de IA de uso general con riesgo sistémico.

3. Los proveedores de modelos de IA de uso general cooperarán con la Comisión y las autoridades nacionales competentes, según sea necesario, en el ejercicio de sus competencias y facultades en virtud del presente Reglamento.

4. Los proveedores de modelos de IA de uso general podrán recurrir a códigos de buenas prácticas en el sentido de lo dispuesto en el artículo 56 para demostrar el cumplimiento de las obligaciones establecidas en el apartado 1 del presente artículo, hasta que se publique una norma armonizada. El cumplimiento de las normas armonizadas europeas otorga a los proveedores presunción de conformidad en la medida en que tales normas regulen dichas obligaciones. Los proveedores de modelos de IA de uso general que no se adhieran a un código de buenas prácticas aprobado o no cumplan una norma armonizada europea deberán demostrar que cumplen sus obligaciones por medios alternativos adecuados para su evaluación por parte de la Comisión.

5. A fin de facilitar el cumplimiento de lo dispuesto en el anexo XI, en particular en su punto 2, letras d) y e), la Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 97 para detallar las metodologías de medición y cálculo con vistas a que la documentación sea comparable y verificable.

6. La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 97, apartado 2, para modificar los anexos XI y XII en función de los avances tecnológicos.

7. Toda información o documentación obtenida en virtud del presente artículo, incluidos los secretos comerciales, se tratarán de conformidad con las obligaciones de confidencialidad establecidas en el artículo 78.

Artículo 54. Representantes autorizados de los proveedores de modelos de IA de uso general

1. Antes de introducir en el mercado de la Unión un modelo de IA de uso general, los proveedores establecidos en terceros países tendrán que nombrar, mediante un mandato escrito, a un representante autorizado que esté establecido en la Unión.

2. Los proveedores permitirán que su representante autorizado pueda efectuar las tareas especificadas en el mandato recibido del proveedor.

3. Los representantes autorizados efectuarán las tareas especificadas en el mandato recibido del proveedor. Facilitarán a la Oficina de IA, cuando lo solicite, una copia del mandato en una de las lenguas oficiales de las instituciones de la Unión. A los efectos del presente Reglamento, el mandato habilitará al representante autorizado para realizar las tareas siguientes:

a) comprobar que se ha elaborado la documentación técnica que se indica en el anexo XI y que el proveedor cumple todas las obligaciones a que se refiere el artículo 53 y, en su caso, el artículo 55;

b) conservar una copia de la documentación técnica que se indica en el anexo XI a disposición de la Oficina de IA y de las autoridades nacionales competentes por un período de diez años a partir de la introducción en el mercado del modelo de IA de uso general, y de los datos de contacto del proveedor que haya designado al representante autorizado;

c) facilitar a la Oficina de IA, previa solicitud motivada, toda la información y documentación, incluidas la información y documentación mencionadas en la letra b), que sean necesarias para demostrar el cumplimiento de las obligaciones establecidas en el presente capítulo;

d) cooperar con la Oficina de IA y las autoridades competentes, previa solicitud motivada, en cualquier acción que emprendan en relación con el modelo de IA de uso general, también cuando el modelo esté integrado en un sistema de IA introducido en el mercado o puesto en servicio en la Unión.

4. El mandato habilitará al representante autorizado para que la Oficina de IA o las autoridades competentes se pongan en contacto con él, además de con el proveedor o en lugar de con el proveedor, con referencia a todas las cuestiones relacionadas con la garantía del cumplimiento del presente Reglamento.

5. El representante autorizado pondrá fin al mandato si considera o tiene motivos para considerar que el proveedor contraviene sus obligaciones en virtud del presente Reglamento. En tal caso, también informará inmediatamente a la Oficina de IA del fin del mandato y de los motivos para ello.

6. La obligación establecida en el presente artículo no se aplicará a los proveedores de modelos de IA de uso general que se divulguen con arreglo a una licencia libre y de código abierto que permita el acceso, la utilización, la modificación y la distribución del modelo y cuyos parámetros, incluidos los pesos, la información sobre la arquitectura del modelo y la información sobre el uso del modelo, se pongan a disposición del público, salvo si los citados modelos de IA de uso general presentan riesgos sistémicos.

SECCIÓN 3. Obligaciones de los proveedores de modelos de IA de uso general con riesgo sistémico

Artículo 55. Obligaciones de los proveedores de modelos de IA de uso general con riesgo sistémico

1. Además de las obligaciones enumeradas en los artículos 53 y 54, los proveedores de modelos de IA de uso general con riesgo sistémico:

a) evaluarán los modelos de conformidad con protocolos y herramientas normalizados que reflejen el estado de la técnica, lo que incluye la realización y documentación de pruebas de simulación de adversarios con el modelo con vistas a detectar y mitigar riesgos sistémicos;

b) evaluarán y mitigarán los posibles riesgos sistémicos a escala de la Unión que puedan derivarse del desarrollo, la introducción en el mercado o el uso de modelos de IA de uso general con riesgo sistémico, así como el origen de dichos riesgos;

c) vigilarán, documentarán y comunicarán, sin demora indebida, a la Oficina de IA y, en su caso, a las autoridades nacionales competentes, la información pertinente sobre incidentes graves y las posibles medidas correctoras para resolverlos;

d) velarán por que se establezca un nivel adecuado de protección de la ciberseguridad para el modelo de IA de uso general con riesgo sistémico y la infraestructura física del modelo.

2. Los proveedores de modelos de IA de uso general con riesgo sistémico podrán recurrir a códigos de buenas prácticas en el sentido de lo dispuesto en el artículo 56 para demostrar el cumplimiento de las obligaciones establecidas en el apartado 1 del presente artículo, hasta que se publique una norma armonizada. El cumplimiento de las normas armonizadas europeas otorga a los proveedores presunción de conformidad en la medida en que tales normas regulen dichas obligaciones. Los proveedores de modelos de IA de uso general que no se adhieran a un código de buenas prácticas aprobado o no cumplan una norma armonizada europea deberán demostrar que cumplen sus obligaciones por medios alternativos adecuados para su evaluación por parte de la Comisión.

3. Toda información o documentación obtenida en virtud del presente artículo, incluidos los secretos comerciales, se tratarán de conformidad con las obligaciones de confidencialidad establecidas en el artículo 78.

SECCIÓN 4. Códigos de buenas prácticas

Artículo 56. Códigos de buenas prácticas

1. La Oficina de IA fomentará y facilitará la elaboración de códigos de buenas prácticas a escala de la Unión a fin de contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta los planteamientos internacionales.

2. La Oficina de IA y el Consejo de IA velarán por que los códigos de buenas prácticas comprendan al menos las obligaciones establecidas en los artículos 53 y 55, entre las que se incluyen las cuestiones siguientes:

a) los medios para garantizar que la información a que se refiere el artículo 53, apartado 1, letras a) y b), se mantenga actualizada con respecto a la evolución del mercado y los avances tecnológicos;

b) el nivel adecuado de detalle por lo que respecta al resumen sobre el contenido utilizado para el entrenamiento;

c) la determinación del tipo y la naturaleza de los riesgos sistémicos a escala de la Unión, incluido su origen, cuando proceda;

d) las medidas, procedimientos y modalidades de evaluación y gestión de los riesgos sistémicos a escala de la Unión, incluida su documentación, que serán proporcionales a los riesgos y tendrán en cuenta su gravedad y probabilidad y las dificultades específicas para hacerles frente, habida cuenta de la manera en que dichos riesgos pueden surgir y materializarse a lo largo de la cadena de valor de la IA.

3. La Oficina de IA podrá invitar a todos los proveedores de modelos de IA de uso general, así como a las autoridades nacionales competentes pertinentes, a participar en la elaboración de códigos de buenas prácticas. Las organizaciones de la sociedad civil, la industria, el mundo académico y otras partes interesadas pertinentes, como los proveedores posteriores y los expertos independientes, podrán contribuir al proceso.

4. La Oficina de IA y el Consejo de IA velarán por que los códigos de buenas prácticas establezcan claramente sus objetivos específicos y contengan compromisos o medidas, como, por ejemplo, indicadores clave de rendimiento, si procede, para garantizar la consecución de dichos objetivos, y que tengan debidamente en cuenta las necesidades e intereses de todas las partes interesadas, incluidas las personas afectadas, a escala de la Unión.

5. La Oficina de IA velará por que los participantes en los códigos de buenas prácticas informen periódicamente a la Oficina de IA sobre la aplicación de los compromisos y las medidas adoptadas y sus resultados, lo que incluye su evaluación con respecto a los indicadores clave de rendimiento, si procede. Los indicadores clave de rendimiento y los compromisos de presentación de información reflejarán las diferencias de tamaño y capacidad entre los distintos participantes.

6. La Oficina de IA y el Consejo de IA supervisarán y evaluarán periódicamente la consecución de los objetivos de los códigos de buenas prácticas por parte de los participantes y su contribución a la correcta aplicación del presente Reglamento. La Oficina de IA y el Consejo de IA evaluarán si los códigos de buenas prácticas incluyen las obligaciones establecidas en los artículos 53 y 55, y supervisarán y evaluarán periódicamente la consecución de sus objetivos. Publicarán su evaluación de la adecuación de los códigos de buenas prácticas.

La Comisión podrá, mediante un acto de ejecución, aprobar un código de buenas prácticas y conferirle una validez general dentro de la Unión. Dicho acto de ejecución se adoptará con arreglo al procedimiento de examen contemplado en el artículo 98, apartado 2.

7. La Oficina de IA podrá invitar a todos los proveedores de modelos de IA de uso general a adherirse a los códigos de buenas prácticas. En el caso de los proveedores de modelos de IA de uso general que no presenten riesgos sistémicos, esta adhesión podrá limitarse a las obligaciones previstas en el artículo 53, salvo que declaren expresamente su interés en adherirse al código completo.

8. La Oficina de IA también fomentará y facilitará, según proceda, la revisión y la adaptación de los códigos de buenas prácticas, en particular teniendo en cuenta las normas emergentes. La Oficina de IA asistirá en la evaluación de las normas disponibles.

9. Los códigos de buenas prácticas estarán finalizados a más tardar el 2 de mayo de 2025. La Oficina de IA adoptará las medidas necesarias, lo que incluye invitar a los proveedores a adherirse a los códigos de buenas prácticas con arreglo a lo dispuesto en el apartado 7.

Si un código de buenas prácticas no se ha podido finalizar a más tardar el 2 de agosto de 2025, o si la Oficina de IA lo considera inadecuado tras su evaluación con arreglo al apartado 6 del presente artículo, la Comisión podrá establecer, mediante actos de ejecución, normas comunes para el cumplimiento de las obligaciones establecidas en los artículos 53 y 55, que incluyan las cuestiones establecidas en el apartado 2 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 98, apartado 2.

CAPÍTULO VI. MEDIDAS DE APOYO A LA INNOVACIÓN

Artículo 57. Espacios controlados de pruebas para la IA

1. Los Estados miembros velarán por que sus autoridades competentes establezcan al menos un espacio controlado de pruebas para la IA a escala nacional, que estará operativo a más tardar el 2 de agosto de 2026. Dicho espacio controlado de pruebas también podrá establecerse conjuntamente con las autoridades competentes de otros Estados miembros. La Comisión podrá proporcionar apoyo técnico, asesoramiento y herramientas para el establecimiento y el funcionamiento de los espacios controlados de pruebas para la IA.

La obligación prevista en el párrafo primero también podrá cumplirse mediante la participación en un espacio controlado de pruebas existente en la medida en que dicha participación proporcione un nivel de cobertura nacional equivalente a los Estados miembros participantes.

2. También podrán establecerse espacios controlados de pruebas para la IA adicionales a escala regional o local o conjuntamente con las autoridades competentes de otros Estados miembros.

3. El Supervisor Europeo de Protección de Datos también podrá establecer un espacio controlado de pruebas para la IA para las instituciones, órganos y organismos de la Unión, y podrá ejercer las funciones y tareas de las autoridades nacionales competentes de conformidad con el presente capítulo.

4. Los Estados miembros velarán por que las autoridades competentes a que se refieren los apartados 1 y 2 asignen recursos suficientes para cumplir lo dispuesto en el presente artículo de manera efectiva y oportuna. Cuando proceda, las autoridades nacionales competentes cooperarán con otras autoridades pertinentes y podrán permitir la participación de otros agentes del ecosistema de la IA. El presente artículo no afectará a otros espacios controlados de pruebas establecidos en virtud del Derecho de la Unión o nacional. Los Estados miembros garantizarán un nivel adecuado de cooperación entre las autoridades que supervisan esos otros espacios controlados de pruebas y las autoridades nacionales competentes.

5. Los espacios controlados de pruebas para la IA establecidos de conformidad con el apartado 1 proporcionarán un entorno controlado que fomente la innovación y facilite el desarrollo, el entrenamiento, la prueba y la validación de sistemas innovadores de IA durante un período limitado antes de su introducción en el mercado o su puesta en servicio, con arreglo a un plan del espacio controlado de pruebas específico acordado entre los proveedores o proveedores potenciales y la autoridad competente. Tales espacios controlados de pruebas podrán incluir pruebas en condiciones reales supervisadas dentro de ellos.

6. Las autoridades competentes proporcionarán, en su caso, orientación, supervisión y apoyo dentro del espacio controlado de pruebas para la IA con vistas a determinar los riesgos, en particular para los derechos fundamentales, la salud y la seguridad, a las pruebas y a las medidas de reducción y su eficacia en relación con las obligaciones y los requisitos del presente Reglamento y, cuando proceda, de otras disposiciones de Derecho de la Unión y nacional cuya observancia se supervise en el espacio controlado de pruebas.

7. Las autoridades competentes proporcionarán a los proveedores y proveedores potenciales que participen en el espacio controlado de pruebas para la IA orientaciones sobre las expectativas en materia de regulación y la manera de cumplir los requisitos y obligaciones establecidos en el presente Reglamento.

A petición del proveedor o proveedor potencial del sistema de IA, la autoridad competente aportará una prueba escrita de las actividades llevadas a cabo con éxito en el espacio controlado de pruebas. La autoridad competente también proporcionará un informe de salida en el que se detallen las actividades llevadas a cabo en el espacio controlado de pruebas y los resultados y resultados del aprendizaje correspondientes. Los proveedores podrán utilizar esta documentación para demostrar su cumplimiento del presente Reglamento mediante el proceso de evaluación de la conformidad o las actividades de vigilancia del mercado pertinentes. A este respecto, las autoridades de vigilancia del mercado y los organismos notificados tendrán en cuenta positivamente los informes de salida proporcionados y las pruebas escritas aportadas por la autoridad nacional competente, con vistas a acelerar los procedimientos de evaluación de la conformidad en una medida razonable.

8. Con sujeción a las disposiciones de confidencialidad del artículo 78 y con el acuerdo del proveedor o proveedor potencial, la Comisión y el Consejo de IA estarán autorizados a acceder a los informes de salida y los tendrán en cuenta, según proceda, en el ejercicio de sus funciones en virtud del presente Reglamento. Si tanto el proveedor o proveedor potencial como la autoridad nacional competente dan expresamente su acuerdo para ello, el informe de salida podrá hacerse público a través de la plataforma única de información a que se refiere el presente artículo.

9. El establecimiento de espacios controlados de pruebas para la IA tendrá por objeto contribuir a los siguientes objetivos:

a) mejorar la seguridad jurídica para lograr el cumplimiento del presente Reglamento o, en su caso, de otras disposiciones de Derecho de la Unión y nacional aplicable;

b) apoyar el intercambio de mejores prácticas mediante la cooperación con las autoridades que participan en el espacio controlado de pruebas para la IA;

c) fomentar la innovación y la competitividad y facilitar el desarrollo de un ecosistema de la IA;

d) contribuir a un aprendizaje normativo basado en datos contrastados;

e) facilitar y acelerar el acceso al mercado de la Unión de los sistemas de IA, en particular cuando los proporcionen pymes, incluidas las empresas emergentes.

10. Las autoridades nacionales competentes velarán por que, en la medida en que los sistemas innovadores de IA impliquen el tratamiento de datos personales o estén comprendidos dentro del ámbito de supervisión de otras autoridades nacionales o autoridades competentes que proporcionen o respalden el acceso a los datos, las autoridades nacionales de protección de datos y las demás autoridades nacionales o competentes estén ligadas al funcionamiento del espacio controlado de pruebas para la IA e involucradas en la supervisión de dichos aspectos en la medida en que lo permitan sus respectivas funciones y competencias.

11. Los espacios controlados de pruebas para la IA no afectarán a las facultades de supervisión o correctoras de las autoridades competentes que supervisan los espacios controlados de pruebas, tampoco a escala regional o local. Cualquier riesgo considerable para la salud, la seguridad y los derechos fundamentales detectado durante el proceso de desarrollo y prueba de estos sistemas de IA dará lugar a una reducción adecuada. Las autoridades nacionales competentes estarán facultadas para suspender temporal o permanentemente el proceso de prueba, o la participación en el espacio controlado de pruebas si no es posible una reducción efectiva, e informarán a la Oficina de IA de dicha decisión. Con el objetivo de apoyar la innovación en materia de IA en la Unión, las autoridades nacionales competentes ejercerán sus facultades de supervisión dentro de los límites del Derecho pertinente y harán uso de su potestad discrecional a la hora de aplicar disposiciones jurídicas en relación con un proyecto específico de espacio controlado de pruebas para la IA.

12. Los proveedores y proveedores potenciales que participen en el espacio controlado de pruebas para la IA responderán, con arreglo al Derecho de la Unión y nacional en materia de responsabilidad, de cualquier daño infligido a terceros como resultado de la experimentación realizada en el espacio controlado de pruebas. Sin embargo, siempre que los proveedores potenciales respeten el plan específico y las condiciones de su participación y sigan de buena fe las orientaciones proporcionadas por la autoridad nacional competente, las autoridades no impondrán multas administrativas por infracciones del presente Reglamento. En los casos en que otras autoridades competentes responsables de otras disposiciones del Derecho de la Unión y nacional hayan participado activamente en la supervisión del sistema de IA en el espacio controlado de pruebas y hayan proporcionado orientaciones para el cumplimiento, no se impondrán multas administrativas en relación con dichas disposiciones.

13. Los espacios controlados de pruebas para la IA serán diseñados y puestos en práctica de tal manera que, cuando proceda, faciliten la cooperación transfronteriza entre las autoridades nacionales competentes.

14. Las autoridades nacionales competentes coordinarán sus actividades y cooperarán en el marco del Consejo de IA.

15. Las autoridades nacionales competentes informarán a la Oficina de IA y al Consejo de IA del establecimiento de un espacio controlado de pruebas y podrán solicitarles apoyo y orientación. La Oficina de IA pondrá a disposición del público una lista de los espacios controlados de pruebas previstos y existentes y la mantendrá actualizada con el fin de fomentar una mayor interacción en los espacios controlados de pruebas para la IA, así como la cooperación transfronteriza.

16. Las autoridades nacionales competentes presentarán informes anuales a la Oficina de IA y al Consejo de IA, por primera vez un año después del establecimiento del espacio controlado de pruebas para la IA y, posteriormente, cada año hasta su terminación, así como un informe final. Dichos informes proporcionarán información sobre el progreso y los resultados de la puesta en práctica de dichos espacios controlados de pruebas, incluidos mejores prácticas, incidentes, enseñanzas extraídas y recomendaciones acerca de su configuración y, en su caso, acerca de la aplicación y posible revisión del presente Reglamento, incluidos sus actos delegados y de ejecución, y sobre la aplicación de otras disposiciones de Derecho de la Unión, supervisada por las autoridades competentes en el marco del espacio controlado de pruebas. Las autoridades nacionales competentes pondrán dichos informes anuales, o resúmenes de estos, a disposición del público, en línea. La Comisión tendrá en cuenta, cuando proceda, los informes anuales en el ejercicio de sus funciones en virtud del presente Reglamento.

17. La Comisión desarrollará una interfaz única y específica que contenga toda la información pertinente relacionada con los espacios controlados de pruebas para la IA para que las partes interesadas puedan interactuar con los espacios controlados de pruebas para la IA y plantear consultas a las autoridades competentes, así como pedir orientaciones no vinculantes sobre la conformidad de productos, servicios y modelos de negocio innovadores que incorporen tecnologías de IA, de conformidad con el artículo 62, apartado 1, letra c). La Comisión se coordinará de forma proactiva con las autoridades nacionales competentes, cuando proceda.

Artículo 58. Disposiciones detalladas relativas a los espacios controlados de pruebas para la IA y al funcionamiento de dichos espacios

1. A fin de evitar que se produzca una fragmentación en la Unión, la Comisión adoptará actos de ejecución que especifiquen las disposiciones detalladas para el establecimiento, el desarrollo, la puesta en práctica, el funcionamiento y la supervisión de los espacios controlados de pruebas para la IA. Los actos de ejecución incluirán principios comunes sobre las siguientes cuestiones:

a) los criterios de admisibilidad y selección para participar en el espacio controlado de pruebas para la IA;

b) los procedimientos para la solicitud, la participación, la supervisión, la salida y la terminación del espacio controlado de pruebas para la IA, incluidos el plan del espacio controlado de pruebas y el informe de salida;

c) las condiciones aplicables a los participantes.

Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 98, apartado 2.

2. Los actos de ejecución mencionados en el apartado 1 garantizarán:

a) que los espacios controlados de pruebas para la IA estén abiertos a cualquier proveedor o proveedor potencial de un sistema de IA que presente una solicitud y cumpla los criterios de admisibilidad y selección, que serán transparentes y equitativos, y también que las autoridades nacionales competentes informen a los solicitantes de su decisión en un plazo de tres meses a partir de la presentación de la solicitud;

b) que los espacios controlados de pruebas para la IA permitan un acceso amplio e igualitario y se adapten a la demanda de participación; los proveedores y proveedores potenciales también podrán presentar solicitudes en asociación con responsables del despliegue y con otros terceros pertinentes;

c) que las disposiciones detalladas y las condiciones relativas a los espacios controlados de pruebas para la IA propicien, en la medida de lo posible, que las autoridades nacionales competentes dispongan de flexibilidad para establecer y gestionar sus espacios controlados de pruebas para la IA;

d) que el acceso a los espacios controlados de pruebas para la IA sea gratuito para las pymes, incluidas las empresas emergentes, sin perjuicio de los costes excepcionales que las autoridades nacionales competentes puedan recuperar de una forma justa y proporcionada;

e) que se facilite a los proveedores y proveedores potenciales, mediante los resultados del aprendizaje de los espacios controlados de pruebas para la IA, el cumplimiento de las obligaciones de evaluación de la conformidad en virtud del presente Reglamento y la aplicación voluntaria de los códigos de conducta a que se refiere el artículo 95;

f) que los espacios controlados de pruebas para la IA faciliten la participación de otros agentes pertinentes del ecosistema de la IA, como los organismos notificados y los organismos de normalización, las pymes, incluidas las empresas emergentes, las empresas, los agentes innovadores, las instalaciones de ensayo y experimentación, los laboratorios de investigación y experimentación y los centros europeos de innovación digital, los centros de excelencia y los investigadores, a fin de permitir y facilitar la cooperación con los sectores público y privado;

g) que los procedimientos, procesos y requisitos administrativos para la solicitud, la selección, la participación y la salida del espacio controlado de pruebas para la IA sean sencillos y fácilmente inteligibles y se comuniquen claramente, a fin de facilitar la participación de las pymes, incluidas las empresas emergentes, con capacidades jurídicas y administrativas limitadas, y se racionalicen en toda la Unión, a fin de evitar la fragmentación y de que la participación en un espacio controlado de pruebas para la IA establecido por un Estado miembro o por el Supervisor Europeo de Protección de Datos esté reconocida mutua y uniformemente y tenga los mismos efectos jurídicos en toda la Unión;

h) que la participación en el espacio controlado de pruebas para la IA se limite a un período que se ajuste a la complejidad y la escala del proyecto, y que podrá ser prorrogado por la autoridad nacional competente;

i) que los espacios controlados de pruebas para la IA faciliten el desarrollo de herramientas e infraestructuras para la prueba, la evaluación comparativa, la evaluación y la explicación de las dimensiones de los sistemas de IA pertinentes para el aprendizaje normativo, como la precisión, la solidez y la ciberseguridad, así como de medidas para mitigar los riesgos para los derechos fundamentales y la sociedad en su conjunto.

3. Se ofrecerán a los proveedores potenciales que participen en los espacios controlados de pruebas para la IA, en particular a las pymes y las empresas emergentes, cuando proceda, servicios previos al despliegue, como orientaciones sobre la aplicación del presente Reglamento, otros servicios que aportan valor añadido, como ayuda con los documentos de normalización y la certificación, y acceso a las instalaciones de ensayo y experimentación, los centros europeos de innovación digital y los centros de excelencia.

4. Cuando las autoridades nacionales competentes estudien autorizar la realización de pruebas en condiciones reales supervisadas en el marco de un espacio controlado de pruebas para la IA que se establecerá en virtud del presente artículo, acordarán específicamente las condiciones de dichas pruebas y, en particular, las garantías adecuadas con los participantes, con vistas a proteger los derechos fundamentales, la salud y la seguridad. Cuando proceda, cooperarán con otras autoridades nacionales competentes con el fin de garantizar la coherencia de las prácticas en toda la Unión.

Artículo 59. Tratamiento ulterior de datos personales para el desarrollo de determinados sistemas de IA en favor del interés público en el espacio controlado de pruebas para la IA

1. En el espacio controlado de pruebas, los datos personales recabados lícitamente con otros fines podrán tratarse únicamente con el objetivo de desarrollar, entrenar y probar determinados sistemas de IA en el espacio controlado de pruebas cuando se cumplan todas las condiciones siguientes:

a) que los sistemas de IA se desarrollen para que una autoridad pública u otra persona física o jurídica proteja un interés público esencial en uno o varios de los siguientes ámbitos:

i) la seguridad y la salud públicas, incluidos la detección, el diagnóstico, la prevención, el control y el tratamiento de enfermedades y la mejora de los sistemas sanitarios,

ii) un elevado nivel de protección y mejora de la calidad del medio ambiente, la protección de la biodiversidad, la protección contra la contaminación, las medidas de transición ecológica, la mitigación del cambio climático y las medidas de adaptación a este,

iii) la sostenibilidad energética,

iv) la seguridad y la resiliencia de los sistemas de transporte y la movilidad, las infraestructuras críticas y las redes,

v) la eficiencia y la calidad de la administración pública y de los servicios públicos;

b) que los datos tratados resulten necesarios para cumplir uno o varios de los requisitos mencionados en el capítulo III, sección 2, cuando dichos requisitos no puedan cumplirse efectivamente mediante el tratamiento de datos anonimizados o sintéticos o de otro tipo de datos no personales;

c) que existan mecanismos de supervisión eficaces para detectar si pueden producirse durante la experimentación en el espacio controlado de pruebas riesgos elevados para los derechos y libertades de los interesados, mencionados en el artículo 35 del Reglamento (UE) 2016/679 y en el artículo 39 del Reglamento (UE) 2018/1725, así como mecanismos de respuesta para mitigar sin demora dichos riesgos y, en su caso, detener el tratamiento;

d) que los datos personales que se traten en el contexto del espacio controlado de pruebas se encuentren en un entorno de tratamiento de datos funcionalmente separado, aislado y protegido, bajo el control del proveedor potencial, y que únicamente las personas autorizadas tengan acceso a dichos datos;

e) que los proveedores solo puedan compartir los datos recabados originalmente de conformidad con el Derecho de la Unión en materia de protección de datos; los datos personales creados en el espacio controlado de pruebas no pueden salir del espacio controlado de pruebas;

f) que el tratamiento de datos personales en el contexto del espacio controlado de pruebas no dé lugar a medidas o decisiones que afecten a los interesados ni afecte a la aplicación de sus derechos establecidos en el Derecho de la Unión en materia de protección de datos personales;

g) que los datos personales tratados en el contexto del espacio controlado de pruebas se protejan mediante medidas técnicas y organizativas adecuadas y se eliminen una vez concluida la participación en dicho espacio o cuando los datos personales lleguen al final de su período de conservación;

h) que los archivos de registro del tratamiento de datos personales en el contexto del espacio controlado de pruebas se conserven mientras dure la participación en el espacio controlado de pruebas, salvo que se disponga otra cosa en el Derecho de la Unión o el Derecho nacional;

i) que se conserve una descripción completa y detallada del proceso y la lógica subyacentes al entrenamiento, la prueba y la validación del sistema de IA junto con los resultados del proceso de prueba como parte de la documentación técnica a que se refiere el anexo IV;

j) que se publique una breve síntesis del proyecto de IA desarrollado en el espacio controlado de pruebas, junto con sus objetivos y resultados previstos, en el sitio web de las autoridades competentes; esta obligación no comprenderá los datos operativos sensibles relativos a las actividades de las autoridades garantes del cumplimiento del Derecho, del control fronterizo, de la inmigración o del asilo.

2. Cuando se lleve a cabo con fines de prevención, investigación, detección o enjuiciamiento de delitos o de ejecución de sanciones penales, incluidas la protección frente a amenazas para la seguridad pública y la prevención de dichas amenazas, y bajo el control y la responsabilidad de las autoridades garantes del cumplimiento del Derecho, el tratamiento de datos personales en los espacios controlados de pruebas para la IA se basará en un Derecho específico, de la Unión o nacional y cumplirá las condiciones acumulativas que se indican en el apartado 1.

3. El apartado 1 se entiende sin perjuicio del Derecho de la Unión o nacional que proscriba el tratamiento de datos personales con fines distintos de los expresamente mencionados en dichos actos, así como sin perjuicio del Derecho de la Unión o nacional que establezca las bases para el tratamiento de datos personales necesario para desarrollar, probar o entrenar sistemas innovadores de IA o de cualquier otra base jurídica, de conformidad con el Derecho de la Unión en materia de protección de datos personales.

Artículo 60. Pruebas de sistemas de IA de alto riesgo en condiciones reales fuera de los espacios controlados de pruebas para la IA

1. Los proveedores o proveedores potenciales de sistemas de IA de alto riesgo enumerados en el anexo III podrán realizar pruebas de sistemas de IA de alto riesgo en condiciones reales fuera de los espacios controlados de pruebas para la IA de conformidad el presente artículo y con el plan de la prueba en condiciones reales a que se refiere el presente artículo, sin perjuicio de las prohibiciones establecidas en el artículo 5.

La Comisión adoptará, mediante un acto de ejecución, los elementos detallados del plan de la prueba en condiciones reales. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 98, apartado 2.

El presente apartado se entiende sin perjuicio del Derecho de la Unión o nacional en materia de pruebas en condiciones reales de sistemas de IA de alto riesgo asociados a productos regulados por los actos legislativos de armonización de la Unión enumerados en el anexo I.

2. Los proveedores o proveedores potenciales podrán realizar pruebas de los sistemas de IA de alto riesgo mencionados en el anexo III en condiciones reales en cualquier momento antes de la introducción en el mercado o la puesta en servicio del sistema de IA por cuenta propia o en asociación con uno o varios responsables del despliegue o responsables del despliegue potenciales.

3. Las pruebas de sistemas de IA de alto riesgo en condiciones reales con arreglo al presente artículo se entenderán sin perjuicio de cualquier revisión ética que se exija en el Derecho de la Unión o nacional.

4. Los proveedores o proveedores potenciales podrán realizar pruebas en condiciones reales solamente cuando se cumplan todas las condiciones siguientes:

a) el proveedor o proveedor potencial ha elaborado un plan de la prueba en condiciones reales y lo ha presentado a la autoridad de vigilancia del mercado del Estado miembro en que se vayan a realizar las pruebas en condiciones reales;

b) la autoridad de vigilancia del mercado del Estado miembro en que se vayan a realizar las pruebas en condiciones reales ha aprobado las pruebas en condiciones reales y el plan de la prueba en condiciones reales; si la autoridad de vigilancia del mercado no responde en un plazo de treinta días, se entenderá que las pruebas en condiciones reales y el plan de la prueba en condiciones reales han sido aprobados; cuando el Derecho nacional no contemple una aprobación tácita, las pruebas en condiciones reales estarán sujetas a una autorización también en este caso;

c) el proveedor o proveedor potencial, con excepción de los proveedores o proveedores potenciales de sistemas de IA de alto riesgo mencionados en el anexo III, puntos 1, 6 y 7, en los ámbitos de la garantía del cumplimiento del Derecho, la migración, el asilo y la gestión del control fronterizo, así como de los sistemas de IA de alto riesgo mencionados en el punto 2 del anexo III ha registrado las pruebas en condiciones reales de conformidad con el artículo 71, apartado 4, con un número de identificación único para toda la Unión y la información indicada en el anexo IX; el proveedor o proveedor potencial de sistemas de IA de alto riesgo a que se refiere el anexo III, puntos 1, 6 y 7, en los ámbitos de la garantía del cumplimiento del Derecho, la migración, el asilo y la gestión del control fronterizo, ha registrado las pruebas en condiciones reales en la parte no pública de la base de datos de la UE de conformidad con el artículo 49, apartado 4, letra d), con un número de identificación único para toda la Unión y la información indicada en este; el proveedor o proveedor potencial de sistemas de IA de alto riesgo a que se refiere el anexo III, punto 2, ha registrado las pruebas en condiciones reales de conformidad con el artículo 49, apartado 5;

d) el proveedor o proveedor potencial que realiza las pruebas en condiciones reales está establecido en la Unión o ha designado a un representante legal que está establecido en la Unión;

e) los datos recabados y tratados a efectos de las pruebas en condiciones reales únicamente se transferirán a terceros países si se aplican las garantías adecuadas y aplicables en virtud del Derecho de la Unión;

f) las pruebas en condiciones reales no duran más de lo necesario para lograr sus objetivos y, en cualquier caso, no más de seis meses, que podrán prorrogarse por un período adicional de seis meses, con sujeción al envío de una notificación previa por parte del proveedor o proveedor potencial a la autoridad de vigilancia del mercado, acompañada por una explicación de la necesidad de dicha prórroga;

g) los sujetos de las pruebas en condiciones reales que sean personas pertenecientes a colectivos vulnerables debido a su edad o a una discapacidad cuentan con protección adecuada;

h) cuando un proveedor o proveedor potencial organice las pruebas en condiciones reales en cooperación con uno o varios responsables del despliegue o responsables del despliegue potenciales, estos últimos habrán sido informados de todos los aspectos de las pruebas que resulten pertinentes para su decisión de participar y habrán recibido las instrucciones de uso pertinentes del sistema de IA a que se refiere el artículo 13; el proveedor o proveedor potencial y el responsable del despliegue o responsable del despliegue potencial alcanzarán un acuerdo en que se detallen sus funciones y responsabilidades con vistas a garantizar el cumplimiento de las disposiciones relativas a las pruebas en condiciones reales con arreglo al presente Reglamento y a otras disposiciones de Derecho de la Unión y nacional aplicable;

i) los sujetos de las pruebas en condiciones reales han dado su consentimiento informado de conformidad con el artículo 61 o, en el ámbito de la garantía del cumplimiento del Derecho, en el que intentar obtener el consentimiento informado impediría que se probara el sistema de IA, las pruebas en sí y los resultados de las pruebas en condiciones reales no tendrán ningún efecto negativo sobre los sujetos, cuyos datos personales se suprimirán una vez realizada la prueba;

j) las pruebas en condiciones reales son supervisadas de manera efectiva por el proveedor o el proveedor potencial y por los responsables del despliegue o los responsables del despliegue potenciales mediante personas adecuadamente cualificadas en el ámbito pertinente y con la capacidad, formación y autoridad necesarias para realizar sus tareas;

k) se pueden revertir y descartar de manera efectiva las predicciones, recomendaciones o decisiones del sistema de IA.

5. Cualquier sujeto de las pruebas en condiciones reales o su representante legalmente designado, según proceda, podrá, sin sufrir por ello perjuicio alguno y sin tener que proporcionar ninguna justificación, abandonar las pruebas en cualquier momento retirando su consentimiento informado y solicitar la supresión inmediata y permanente de sus datos personales. La retirada del consentimiento informado no afectará a las actividades ya completadas.

6. De conformidad con el artículo 75, los Estados miembros conferirán a sus autoridades de vigilancia del mercado poderes para exigir a los proveedores y proveedores potenciales que faciliten información, realizar sin previo aviso inspecciones a distancia o in situ y controlar la realización de las pruebas en condiciones reales y los sistemas de IA de alto riesgo relacionados. Las autoridades de vigilancia del mercado harán uso de dichos poderes para garantizar que las pruebas en condiciones reales se desarrollen de manera segura.

7. Se informará de cualquier incidente grave detectado en el transcurso de las pruebas en condiciones reales a la autoridad nacional de vigilancia del mercado de conformidad con el artículo 73. El proveedor o proveedor potencial adoptará medidas de reducción inmediatas o, en su defecto, suspenderá las pruebas en condiciones reales hasta que se produzca dicha reducción o pondrá fin a las pruebas. El proveedor o proveedor potencial establecerá un procedimiento para la rápida recuperación del sistema de IA en caso de que se ponga fin a las pruebas en condiciones reales.

8. El proveedor o proveedor potencial notificará a la autoridad nacional de vigilancia del mercado del Estado miembro en que se vayan a realizar las pruebas en condiciones reales la suspensión o la terminación de las pruebas en condiciones reales y los resultados finales.

9. El proveedor o proveedor potencial será responsable, conforme al Derecho de la Unión y nacional en materia de responsabilidad aplicable, de cualquier daño causado en el transcurso de sus pruebas en condiciones reales.

Artículo 61. Consentimiento informado para participar en pruebas en condiciones reales fuera de los espacios controlados de pruebas para la IA

1. A los efectos de las pruebas en condiciones reales con arreglo al artículo 60, se obtendrá de los sujetos de las pruebas un consentimiento informado dado libremente antes de participar en dichas pruebas y después de haber recibido información concisa, clara, pertinente y comprensible en relación con:

a) la naturaleza y los objetivos de las pruebas en condiciones reales y los posibles inconvenientes asociados a su participación;

b) las condiciones en las que se van a llevar a cabo las pruebas en condiciones reales, incluida la duración prevista de la participación del sujeto o los sujetos;

c) sus derechos y las garantías relativas a su participación, en particular su derecho a negarse a participar y el derecho a abandonar las pruebas en condiciones reales en cualquier momento sin sufrir por ello perjuicio alguno y sin tener que proporcionar ninguna justificación;

d) las disposiciones para solicitar la reversión o el descarte de las predicciones, recomendaciones o decisiones del sistema de IA;

e) el número de identificación único para toda la Unión de la prueba en condiciones reales de conformidad con el artículo 60, apartado 4, letra c), y la información de contacto del proveedor o de su representante legal, de quien se puede obtener más información.

2. El consentimiento informado estará fechado y documentado, y se entregará una copia a los sujetos de la prueba o a sus representantes legales.

Artículo 62. Medidas dirigidas a proveedores y responsables del despliegue, en particular pymes, incluidas las empresas emergentes

1. Los Estados miembros adoptarán las medidas siguientes:

a) proporcionarán a las pymes, incluidas las empresas emergentes, que tengan un domicilio social o una sucursal en la Unión un acceso prioritario a los espacios controlados de pruebas para la IA, siempre que cumplan las condiciones de admisibilidad y los criterios de selección; el acceso prioritario no impedirá que otras pymes, incluidas las empresas emergentes, distintas de las mencionadas en el presente apartado accedan al espacio controlado de pruebas para la IA, siempre que también cumplan las condiciones de admisibilidad y los criterios de selección;

b) organizarán actividades de sensibilización y formación específicas sobre la aplicación del presente Reglamento adaptadas a las necesidades de las pymes, incluidas las empresas emergentes, los responsables del despliegue y, en su caso, las autoridades públicas locales;

c) utilizarán canales específicos existentes y establecerán, en su caso, nuevos canales para la comunicación con las pymes, incluidas las empresas emergentes, los responsables del despliegue y otros agentes innovadores, así como, en su caso, las autoridades públicas locales, a fin de proporcionar asesoramiento y responder a las dudas planteadas acerca de la aplicación del presente Reglamento, también en relación con la participación en los espacios controlados de pruebas para la IA;

d) fomentarán la participación de las pymes y otras partes interesadas pertinentes en el proceso de desarrollo de la normalización.

2. Se tendrán en cuenta los intereses y necesidades específicos de los proveedores que sean pymes, incluidas las empresas emergentes, a la hora de fijar las tasas para la evaluación de la conformidad en virtud del artículo 43, y se reducirán dichas tasas en proporción a su tamaño, al tamaño del mercado y a otros indicadores pertinentes.

3. La Oficina de IA adoptará las medidas siguientes:

a) proporcionará modelos normalizados para los ámbitos regulados por el presente Reglamento, tal como especifique el Consejo de IA en su solicitud;

b) desarrollará y mantendrá una plataforma única de información que proporcione información fácil de usar en relación con el presente Reglamento destinada a todos los operadores de la Unión;

c) organizará campañas de comunicación adecuadas para sensibilizar sobre las obligaciones derivadas del presente Reglamento;

d) evaluará y fomentará la convergencia de las mejores prácticas en los procedimientos de contratación pública en relación con los sistemas de IA.

Artículo 63. Excepciones para operadores específicos

1. Las microempresas en el sentido de la Recomendación 2003/361/CE podrán cumplir determinados elementos del sistema de gestión de la calidad exigido por el artículo 17 del presente Reglamento de manera simplificada, siempre que no tengan empresas asociadas o empresas vinculadas en el sentido de dicha Recomendación. A tal fin, la Comisión elaborará directrices sobre los elementos del sistema de gestión de la calidad que puedan cumplirse de manera simplificada teniendo en cuenta las necesidades de las microempresas sin que ello afecte al nivel de protección ni a la necesidad de cumplir los requisitos relativos a los sistemas de IA de alto riesgo.

2. El apartado 1 del presente artículo no se interpretará en el sentido de que exime a dichos operadores de cumplir cualquier otro requisito u obligación establecidos en el presente Reglamento, incluidos aquellos que figuran en los artículos 9, 10, 11, 12, 13, 14, 15, 72 y 73.

CAPÍTULO VII. GOBERNANZA

SECCIÓN 1. Gobernanza a escala de la Unión

Artículo 64. Oficina de IA

1. La Comisión desarrollará los conocimientos especializados y las capacidades de la Unión en el ámbito de la IA mediante la Oficina de IA.

2. Los Estados miembros facilitarán las tareas encomendadas a la Oficina de IA, que están reflejadas en el presente Reglamento.

Artículo 65. Creación y estructura del Consejo Europeo de Inteligencia Artificial

1. Se crea un Consejo Europeo de Inteligencia Artificial (en lo sucesivo, «Consejo de IA»).

2. El Consejo de IA estará compuesto de un representante por Estado miembro. El Supervisor Europeo de Protección de Datos participará en calidad de observador. La Oficina de IA también asistirá a las reuniones del Consejo de IA sin participar en las votaciones. El Consejo de IA podrá invitar a otras autoridades, organismos o expertos nacionales y de la Unión a las reuniones en función de cada situación concreta, cuando los temas tratados sean relevantes para ellos.

3. Cada representante será designado por su Estado miembro por un período de tres años, renovable una vez.

4. Los Estados miembros se asegurarán de que sus representantes en el Consejo de IA:

a) tengan las competencias y los poderes pertinentes en su Estado miembro para poder contribuir activamente al cumplimiento de las funciones del Consejo de IA a que se refiere el artículo 66;

b) sean designados como punto de contacto único respecto del Consejo de IA y, en su caso, teniendo en cuenta las necesidades de los Estados miembros, como punto de contacto único para las partes interesadas;

c) estén facultados para facilitar la coherencia y la coordinación entre las autoridades nacionales competentes en su Estado miembro en relación con la aplicación del presente Reglamento, también mediante la recopilación de datos e información pertinentes para cumplir sus funciones en el Consejo de IA.

5. Los representantes designados de los Estados miembros adoptarán el Reglamento Interno del Consejo de IA por mayoría de dos tercios. El Reglamento Interno establecerá, en particular, los procedimientos para el proceso de selección, la duración del mandato y las especificaciones de las funciones de la presidencia, las modalidades de votación detalladas y la organización de las actividades del Consejo de IA y de sus subgrupos.

6. El Consejo de IA establecerá dos subgrupos permanentes a fin de proporcionar una plataforma de cooperación e intercambio entre las autoridades de vigilancia del mercado y de notificar a las autoridades cuestiones relacionadas con la vigilancia del mercado y los organismos notificados, respectivamente.

El subgrupo permanente de vigilancia del mercado debe actuar como grupo de cooperación administrativa (ADCO) para el presente Reglamento en el sentido del artículo 30 del Reglamento (UE) 2019/1020.

El Consejo de IA puede establecer otros subgrupos de carácter permanente o temporal, según proceda, para examinar asuntos específicos. Cuando proceda, se podrá invitar a representantes del foro consultivo a que se refiere el artículo 67 a dichos subgrupos o a reuniones específicas de dichos subgrupos en calidad de observadores.

7. El Consejo de IA se organizará y gestionará de manera que se preserve la objetividad e imparcialidad de sus actividades.

8. El Consejo de IA estará presidido por uno de los representantes de los Estados miembros. La Oficina de IA asumirá las labores de secretaría del Consejo de IA, convocará las reuniones a petición de la presidencia y elaborará el orden del día de conformidad con las funciones del Consejo de IA en virtud del presente Reglamento y de su Reglamento Interno.

Artículo 66. Funciones del Consejo de IA

El Consejo de IA prestará asesoramiento y asistencia a la Comisión y a los Estados miembros para facilitar la aplicación coherente y eficaz del presente Reglamento. A tal fin, el Consejo de IA podrá, en particular:

a) contribuir a la coordinación entre las autoridades nacionales competentes responsables de la aplicación del presente Reglamento y, en cooperación con las autoridades de vigilancia del mercado de que se trate y previo acuerdo de estas, apoyar las actividades conjuntas de las autoridades de vigilancia del mercado a que se refiere el artículo 74, apartado 11;

b) recopilar y compartir conocimientos técnicos y reglamentarios y mejores prácticas entre los Estados miembros;

c) ofrecer asesoramiento sobre la aplicación del presente Reglamento, en particular en lo relativo al cumplimiento de las normas sobre modelos de IA de uso general;

d) contribuir a la armonización de las prácticas administrativas en los Estados miembros, también en relación con la exención de los procedimientos de evaluación de la conformidad a que se refiere el artículo 46, el funcionamiento de los espacios controlados de pruebas para la IA y las pruebas en condiciones reales a que se refieren los artículos 57, 59 y 60;

e) previa solicitud de la Comisión o por iniciativa propia, emitir recomendaciones y dictámenes por escrito en relación con cualquier asunto pertinente relacionado con la ejecución del presente Reglamento y con su aplicación coherente y eficaz, por ejemplo:

i) sobre la elaboración y aplicación de códigos de conducta y códigos de buenas prácticas con arreglo al presente Reglamento, así como de las directrices de la Comisión,

ii) sobre la evaluación y revisión del presente Reglamento con arreglo al artículo 112, también en lo que respecta a los informes de incidentes graves a que se refiere el artículo 73, y el funcionamiento de la base de datos de la UE a que se refiere el artículo 71, la preparación de los actos delegados o de ejecución, y en lo que respecta a las posibles adaptaciones del presente Reglamento a los actos legislativos de armonización de la Unión enumerados en el anexo I,

iii) sobre especificaciones técnicas o normas existentes relativas a los requisitos establecidos en el capítulo III, sección 2,

iv) sobre el uso de normas armonizadas o especificaciones comunes a que se refieren los artículos 40 y 41,

v) sobre tendencias, como la competitividad de Europa a escala mundial en materia de IA, la adopción de la IA en la Unión y el desarrollo de capacidades digitales,

vi) sobre tendencias en la tipología cambiante de las cadenas de valor de la IA, en particular sobre las implicaciones resultantes en términos de rendición de cuentas,

vii) sobre la posible necesidad de modificar el anexo III de conformidad con el artículo 7 y sobre la posible necesidad de revisar el artículo 5 con arreglo al artículo 112, teniendo en cuenta las pruebas disponibles pertinentes y los últimos avances tecnológicos;

f) apoyar a la Comisión en la promoción de la alfabetización en materia de IA, la sensibilización del público y la comprensión de las ventajas, los riesgos, las salvaguardias y los derechos y obligaciones en relación con la utilización de sistemas de IA;

g) facilitar el desarrollo de criterios comunes y la comprensión compartida entre los operadores del mercado y las autoridades competentes de los conceptos pertinentes previstos en el presente Reglamento, por ejemplo, contribuyendo al desarrollo de parámetros de referencia;

h) cooperar, en su caso, con otras instituciones, órganos y organismos de la Unión, así como con grupos de expertos y redes pertinentes de la Unión, en particular en los ámbitos de la seguridad de los productos, la ciberseguridad, la competencia, los servicios digitales y de medios de comunicación, los servicios financieros, la protección de los consumidores, y la protección de datos y de los derechos fundamentales;

i) contribuir a la cooperación efectiva con las autoridades competentes de terceros países y con organizaciones internacionales;

j) asistir a las autoridades nacionales competentes y a la Comisión en el desarrollo de los conocimientos técnicos y organizativos necesarios para la aplicación del presente Reglamento, por ejemplo, contribuyendo a la evaluación de las necesidades de formación del personal de los Estados miembros que participe en dicha aplicación;

k) asistir a la Oficina de IA en el apoyo a las autoridades nacionales competentes para el establecimiento y el desarrollo de espacios controlados de pruebas para la IA, y facilitar la cooperación y el intercambio de información entre espacios controlados de pruebas para la IA;

l) contribuir a la elaboración de documentos de orientación y proporcionar el asesoramiento pertinente al respecto;

m) proporcionar asesoramiento a la Comisión en relación con asuntos internacionales en materia de IA;

n) emitir dictámenes para la Comisión sobre las alertas cualificadas relativas a modelos de IA de uso general;

o) recibir dictámenes de los Estados miembros sobre alertas cualificadas relativas a modelos de IA de uso general y sobre las experiencias y prácticas nacionales en materia de supervisión y ejecución de los sistemas de IA, en particular los sistemas que integran los modelos de IA de uso general.

Artículo 67. Foro consultivo

1. Se creará un foro consultivo para proporcionar conocimientos técnicos y asesorar al Consejo de IA y a la Comisión, así como para contribuir a las funciones de estos en virtud del presente Reglamento.

2. La composición del foro consultivo representará una selección equilibrada de partes interesadas, incluidos la industria, las empresas emergentes, las pymes, la sociedad civil y el mundo académico. La composición del foro consultivo estará equilibrada en lo que respecta a los intereses comerciales y los no comerciales y, dentro de la categoría de los intereses comerciales, en lo que respecta a las pymes y otras empresas.

3. La Comisión nombrará a los miembros del foro consultivo, de conformidad con los criterios establecidos en el apartado 2, de entre las partes interesadas con conocimientos especializados reconocidos en el ámbito de la IA.

4. El mandato de los miembros del foro consultivo será de dos años y podrá prorrogarse hasta un máximo de cuatro años.

5. La Agencia de los Derechos Fundamentales de la Unión Europea, la Agencia de la Unión Europea para la Ciberseguridad, el Comité Europeo de Normalización (CEN), el Comité Europeo de Normalización Electrotécnica (Cenelec) y el Instituto Europeo de Normas de Telecomunicaciones (ETSI) serán miembros permanentes del foro consultivo.

6. El foro consultivo establecerá su reglamento interno. Elegirá dos copresidentes de entre sus miembros, de conformidad con los criterios establecidos en el apartado 2. El mandato de los copresidentes será de dos años, renovable una sola vez.

7. El foro consultivo celebrará reuniones al menos dos veces al año. Podrá invitar a expertos y otras partes interesadas a sus reuniones.

8. El foro consultivo podrá elaborar dictámenes, recomendaciones y contribuciones por escrito a petición del Consejo de IA o de la Comisión.

9. El foro consultivo podrá crear subgrupos permanentes o temporales, según proceda, para examinar cuestiones específicas relacionadas con los objetivos del presente Reglamento.

10. El foro consultivo redactará un informe anual de sus actividades. Dicho informe se pondrá a disposición del público.

Artículo 68. Grupo de expertos científicos independientes

1. La Comisión adoptará, mediante un acto de ejecución, disposiciones sobre la creación de un grupo de expertos científicos independientes (en lo sucesivo, «grupo de expertos científicos») destinado a apoyar las actividades de garantía del cumplimiento previstas en el presente Reglamento. Dicho acto de ejecución se adoptará de conformidad con el procedimiento de examen a que se refiere el artículo 98, apartado 2.

2. El grupo de expertos científicos estará compuesto por expertos seleccionados por la Comisión sobre la base de conocimientos científicos o técnicos actualizados en el ámbito de la IA necesarios para las funciones establecidas en el apartado 3, y será capaz de demostrar que cumple todas las condiciones siguientes:

a) conocimientos especializados y competencias particulares, y conocimientos científicos o técnicos en el ámbito de la IA;

b) independencia de cualquier proveedor de sistemas de IA o de modelos de IA de uso general;

c) capacidad para llevar a cabo actividades con diligencia, precisión y objetividad.

La Comisión, en consulta con el Consejo de IA, determinará el número de expertos del grupo de acuerdo con las necesidades requeridas y garantizará una representación geográfica y de género justa.

3. El grupo de expertos científicos asesorará y apoyará a la Oficina de IA, en particular en lo que respecta a las siguientes funciones:

a) apoyar la aplicación y el cumplimiento del presente Reglamento en lo que respecta a los sistemas y modelos de IA de uso general, en particular:

i) alertando a la Oficina de IA de los posibles riesgos sistémicos a escala de la Unión de modelos de IA de uso general, de conformidad con el artículo 90,

ii) contribuyendo al desarrollo de herramientas y metodologías para evaluar las capacidades de los sistemas y modelos de IA de uso general, también a través de parámetros de referencia,

iii) asesorando sobre la clasificación de modelos de IA de uso general con riesgo sistémico,

iv) asesorando sobre la clasificación de diversos sistemas y modelos de IA de uso general,

v) contribuyendo al desarrollo de herramientas y modelos;

b) apoyar la labor de las autoridades de vigilancia del mercado, a petición de estas;

c) apoyar las actividades transfronterizas de vigilancia del mercado a que se refiere el artículo 74, apartado 11, sin perjuicio de los poderes de las autoridades de vigilancia del mercado;

d) apoyar a la Oficina de IA en el ejercicio de sus funciones en el contexto del procedimiento de salvaguardia de la Unión con arreglo al artículo 81.

4. Los expertos del grupo desempeñarán sus funciones con imparcialidad y objetividad y garantizarán la confidencialidad de la información y los datos obtenidos en el ejercicio de sus funciones y actividades. No solicitarán ni aceptarán instrucciones de nadie en el ejercicio de sus funciones previstas en el apartado 3. Cada experto cumplimentará una declaración de intereses que se hará pública. La Oficina de IA establecerá sistemas y procedimientos para gestionar y prevenir activamente los posibles conflictos de intereses.

5. El acto de ejecución a que se refiere el apartado 1 incluirá disposiciones sobre las condiciones, los procedimientos y las disposiciones detalladas para que el grupo de expertos científicos y sus miembros emitan alertas y soliciten la asistencia de la Oficina de IA para el desempeño de las funciones del grupo de expertos científicos.

Artículo 69. Acceso a expertos por parte de los Estados miembros

1. Los Estados miembros podrán recurrir a expertos del grupo de expertos científicos para que apoyen sus actividades de garantía del cumplimiento previstas en el presente Reglamento.

2. Se podrá exigir a los Estados miembros que paguen tasas por el asesoramiento y el apoyo prestado por los expertos. La estructura y el importe de las tasas, así como la escala y la estructura de los costes recuperables, se establecerán en el acto de ejecución a que se refiere el artículo 68, apartado 1, teniendo en cuenta los objetivos de la correcta aplicación del presente Reglamento, la rentabilidad y la necesidad de garantizar que todos los Estados miembros tengan un acceso efectivo a los expertos.

3. La Comisión facilitará el acceso oportuno de los Estados miembros a los expertos, según sea necesario, y garantizará que la combinación de las actividades de apoyo llevadas a cabo por las estructuras de apoyo a los ensayos de IA de la Unión con arreglo al artículo 84 y por expertos con arreglo al presente artículo se organice de manera eficiente y ofrezca el mayor valor añadido posible.

SECCIÓN 2. Autoridades nacionales competentes

Artículo 70. Designación de las autoridades nacionales competentes y de los puntos de contacto único

1. Cada Estado miembro establecerá o designará al menos una autoridad notificante y al menos una autoridad de vigilancia del mercado como autoridades nacionales competentes a los efectos del presente Reglamento. Dichas autoridades nacionales competentes ejercerán sus poderes de manera independiente, imparcial y sin sesgos, a fin de preservar la objetividad de sus actividades y funciones y de garantizar la aplicación y ejecución del presente Reglamento. Los miembros de dichas autoridades se abstendrán de todo acto incompatible con sus funciones. Siempre que se respeten esos principios, tales actividades y funciones podrán ser realizadas por una o varias autoridades designadas, de conformidad con las necesidades organizativas del Estado miembro.

2. Los Estados miembros comunicarán a la Comisión la identidad de las autoridades notificantes y de las autoridades de vigilancia del mercado y las funciones de dichas autoridades, así como cualquier cambio posterior al respecto. Los Estados miembros pondrán a disposición del público, por medios de comunicación electrónica, información sobre la forma de contactar con las autoridades competentes y los puntos de contacto únicos a más tardar el 2 de agosto de 2025. Los Estados miembros designarán una autoridad de vigilancia del mercado que actúe como punto de contacto único para el presente Reglamento y notificarán a la Comisión la identidad de dicho punto. La Comisión pondrá a disposición del público la lista de puntos de contacto únicos.

3. Los Estados miembros garantizarán que sus autoridades nacionales competentes dispongan de recursos técnicos, financieros y humanos adecuados, y de infraestructuras para el desempeño de sus funciones de manera efectiva con arreglo al presente Reglamento. En concreto, las autoridades nacionales competentes dispondrán permanentemente de suficiente personal cuyas competencias y conocimientos técnicos incluirán un conocimiento profundo de las tecnologías de IA, datos y computación de datos; la protección de los datos personales, la ciberseguridad, los riesgos para los derechos fundamentales, la salud y la seguridad, y conocimientos acerca de las normas y requisitos legales vigentes. Los Estados miembros evaluarán y, en caso necesario, actualizarán anualmente los requisitos en materia de competencias y recursos a que se refiere el presente apartado.

4. Las autoridades nacionales competentes adoptarán las medidas adecuadas para garantizar un nivel adecuado de ciberseguridad.

5. En el desempeño de sus funciones, las autoridades nacionales competentes actuarán de conformidad con las obligaciones de confidencialidad establecidas en el artículo 78.

6. A más tardar el 2 de agosto de 2025 y cada dos años a partir de entonces, los Estados miembros presentarán a la Comisión un informe acerca del estado de los recursos financieros y humanos de las autoridades nacionales competentes, que incluirá una evaluación de su idoneidad. La Comisión remitirá dicha información al Consejo de IA para que mantenga un debate sobre ella y, en su caso, formule recomendaciones.

7. La Comisión facilitará el intercambio de experiencias entre las autoridades nacionales competentes.

8. Las autoridades nacionales competentes podrán proporcionar orientaciones y asesoramiento sobre la aplicación del presente Reglamento, en particular a las pymes —incluidas las empresas emergentes—, teniendo en cuenta las orientaciones y el asesoramiento del Consejo de IA y de la Comisión, según proceda. Siempre que una autoridad nacional competente tenga la intención de proporcionar orientaciones y asesoramiento en relación con un sistema de IA en ámbitos regulados por otros actos del Derecho de la Unión, se consultará a las autoridades nacionales competentes con arreglo a lo dispuesto en dichos actos, según proceda.

CAPÍTULO VIII. BASE DE DATOS DE LA UE PARA SISTEMAS DE IA DE ALTO RIESGO

Artículo 71. Base de datos de la UE para los sistemas de IA de alto riesgo enumerados en el ANEXO III

1. La Comisión, en colaboración con los Estados miembros, creará y mantendrá una base de datos de la UE que contendrá la información mencionada en los apartados 2 y 3 del presente artículo en relación con los sistemas de IA de alto riesgo a que se refiere el artículo 6, apartado 2, que estén registrados con arreglo a los artículos 49 y 60 y los sistemas de IA que no se consideren de alto riesgo en virtud del artículo 6, apartado 3, y que estén registrados con arreglo al artículo 6, apartado 4, y al artículo 49. La Comisión consultará a los expertos pertinentes a la hora de fijar las especificaciones funcionales de dicha base de datos y al Consejo de IA a la hora de actualizarlas.

2. Los datos enumerados en el anexo VIII, secciones A y B, serán introducidos en la base de datos de la UE por el proveedor o, en su caso, por el representante autorizado.

3. Los datos enumerados en el anexo VIII, sección C, serán introducidos en la base de datos de la UE por el responsable del despliegue que sea una autoridad pública, órgano u organismo, o actúe en su nombre, de conformidad con el artículo 49, apartados 3 y 4.

4. A excepción de la sección a que se refieren el artículo 49, apartado 4, y el artículo 60, apartado 4, letra c), la información presente en la base de datos de la UE y registrada de conformidad con lo dispuesto en el artículo 49 será accesible y estará a disposición del público de manera sencilla. Debe ser fácil navegar por la información y esta ha de ser legible por máquina. Únicamente podrán acceder a la información registrada de conformidad con el artículo 60 las autoridades de vigilancia de mercado y la Comisión, a menos que el proveedor potencial o el proveedor hayan dado su consentimiento a que la información también esté accesible para el público.

5. La base de datos de la UE únicamente contendrá datos personales en la medida en que sean necesarios para la recogida y el tratamiento de información de conformidad con el presente Reglamento. Dicha información incluirá los nombres y datos de contacto de las personas físicas responsables del registro de sistema y que cuenten con autoridad legal para representar al proveedor o al responsable del despliegue, según proceda.

6. La Comisión será la responsable del tratamiento de la base de datos de la UE, y proporcionará apoyo técnico y administrativo adecuado a los proveedores, proveedores potenciales y responsables del despliegue. La base de datos de la UE cumplirá los requisitos de accesibilidad aplicables.

CAPÍTULO IX. VIGILANCIA POSCOMERCIALIZACIÓN, INTERCAMBIO DE INFORMACIÓN Y VIGILANCIA DEL MERCADO

SECCIÓN 1. Vigilancia poscomercialización

Artículo 72. Vigilancia poscomercialización por parte de los proveedores y plan de vigilancia poscomercialización para sistemas de IA de alto riesgo

1. Los proveedores establecerán y documentarán un sistema de vigilancia poscomercialización de forma proporcionada a la naturaleza de las tecnologías de IA y a los riesgos de los sistemas de IA de alto riesgo.

2. El sistema de vigilancia poscomercialización recopilará, documentará y analizará de manera activa y sistemática los datos pertinentes que pueden facilitar los responsables del despliegue o que pueden recopilarse a través de otras fuentes sobre el funcionamiento de los sistemas de IA de alto riesgo durante toda su vida útil, y que permiten al proveedor evaluar el cumplimiento permanente de los requisitos establecidos en el capítulo III, sección 2, por parte de los sistemas de IA. Cuando proceda, la vigilancia poscomercialización incluirá un análisis de la interacción con otros sistemas de IA. Esta obligación no comprenderá los datos operativos sensibles de los responsables del despliegue que sean autoridades garantes del cumplimiento del Derecho.

3. El sistema de vigilancia poscomercialización se basará en un plan de vigilancia poscomercialización. El plan de vigilancia poscomercialización formará parte de la documentación técnica a que se refiere el anexo IV. La Comisión adoptará un acto de ejecución en el que se establecerán disposiciones detalladas que constituyan un modelo para el plan de vigilancia poscomercialización y la lista de elementos que deberán incluirse en él a más tardar el 2 de febrero de 2026. Dicho acto de ejecución se adoptará de conformidad con el procedimiento de examen a que se refiere el artículo 98, apartado 2.

4. En el caso de los sistemas de IA de alto riesgo regulados por los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, cuando ya se hayan establecido un sistema y un plan de vigilancia poscomercialización con arreglo a dichos actos, con el fin de garantizar la coherencia, evitar duplicidades y reducir al mínimo las cargas adicionales, los proveedores podrán optar por integrar, según proceda, los elementos necesarios descritos en los apartados 1, 2 y 3, utilizando el modelo a que se refiere el apartado 3, en los sistemas y planes que ya existan en virtud de dicha legislación, siempre que alcance un nivel de protección equivalente.

El párrafo primero del presente apartado también se aplicará a los sistemas de IA de alto riesgo a que se refiere el anexo III, punto 5, introducidos en el mercado o puestos en servicio por entidades financieras sujetas a requisitos relativos a su gobernanza, sus sistemas o sus procesos internos en virtud del Derecho de la Unión en materia de servicios financieros.

SECCIÓN 2. Intercambio de información sobre incidentes graves

Artículo 73. Notificación de incidentes graves

1. Los proveedores de sistemas de IA de alto riesgo introducidos en el mercado de la Unión notificarán cualquier incidente grave a las autoridades de vigilancia del mercado de los Estados miembros en los que se haya producido dicho incidente.

2. La notificación a que se refiere el apartado 1 se efectuará inmediatamente después de que el proveedor haya establecido un vínculo causal entre el sistema de IA y el incidente grave o la probabilidad razonable de que exista dicho vínculo y, en cualquier caso, a más tardar quince días después de que el proveedor o, en su caso, el responsable del despliegue, tengan conocimiento del incidente grave.

El plazo para la notificación a que se refiere el párrafo primero tendrá en cuenta la magnitud del incidente grave.

3. No obstante lo dispuesto en el apartado 2 del presente artículo, en caso de una infracción generalizada o de un incidente grave tal como se define en el artículo 3, punto 49, letra b), la notificación a que se refiere el apartado 1 del presente artículo se realizará de manera inmediata y a más tardar dos días después de que el proveedor o, en su caso, el responsable del despliegue tenga conocimiento del incidente.

4. No obstante lo dispuesto en el apartado 2, en caso de fallecimiento de una persona, la notificación se efectuará de manera inmediata después de que el proveedor o el responsable del despliegue haya establecido —o tan pronto como sospeche— una relación causal entre el sistema de IA de alto riesgo y el incidente grave, en un plazo no superior a diez días a contar de la fecha en la que el proveedor o, en su caso, el responsable del despliegue tenga conocimiento del incidente grave.

5. Cuando sea necesario para garantizar la notificación en tiempo oportuno, el proveedor o, en su caso, el responsable del despliegue podrá presentar inicialmente una notificación incompleta, seguida de una notificación completa.

6. Después de notificar un incidente grave con arreglo al apartado 1, el proveedor realizará sin demora las investigaciones necesarias en relación con el incidente grave y el sistema de IA afectado. Esto incluirá una evaluación de riesgos del incidente y las medidas correctoras.

El proveedor cooperará con las autoridades competentes y, en su caso, con el organismo notificado afectado durante las investigaciones a que se refiere el párrafo primero, y no emprenderá acción alguna que suponga la modificación del sistema de IA afectado de un modo que pueda repercutir en cualquier evaluación posterior de las causas del incidente sin haber informado antes de dicha acción a las autoridades competentes.

7. Tras la recepción de una notificación relativa a un incidente grave a que se refiere el artículo 3, punto 49, letra c), la autoridad de vigilancia del mercado pertinente informará a las autoridades u organismos públicos nacionales a que se refiere el artículo 77, apartado 1. La Comisión elaborará orientaciones específicas para facilitar el cumplimiento de las obligaciones establecidas en el apartado 1 del presente artículo. Dichas orientaciones se publicarán a más tardar el 2 de agosto de 2025 y se evaluarán periódicamente.

8. La autoridad de vigilancia del mercado adoptará medidas adecuadas tal como se establece en el artículo 19 del Reglamento (UE) 2019/1020, en un plazo de siete días a partir de la fecha en que reciba la notificación a que se refiere el apartado 1 del presente artículo, y seguirá los procedimientos de notificación previstos en dicho Reglamento.

9. En el caso de los sistemas de IA de alto riesgo a que se refiere el anexo III, introducidos en el mercado o puestos en servicio por proveedores que estén sujetos a instrumentos legislativos de la Unión por los que se establezcan obligaciones de información equivalentes a las establecidas en el presente Reglamento, la notificación de incidentes graves se limitará a los mencionados en el artículo 3, punto 49, letra c).

10. En el caso de los sistemas de IA de alto riesgo que sean componentes de seguridad de dispositivos, o que en sí mismos sean dispositivos, regulados por los Reglamento (UE) 2017/745 y (UE) 2017/746, la notificación de incidentes graves se limitará a los mencionados en el artículo 3, punto 49, letra c), del presente Reglamento, y se hará a la autoridad nacional competente elegida para tal fin por los Estados miembros en los que se haya producido el incidente.

11. Las autoridades nacionales competentes informarán de inmediato a la Comisión de todo incidente grave, independientemente de han adoptado medidas al respecto, de conformidad con el artículo 20 del Reglamento (UE) 2019/1020.

SECCIÓN 3. Garantía del cumplimiento

Artículo 74. Vigilancia del mercado y control de los sistemas de IA en el mercado de la Unión

1. El Reglamento (UE) 2019/1020 se aplicará a los sistemas de IA regulados por el presente Reglamento. A efectos de garantía del cumplimiento efectivo del presente Reglamento:

a) se entenderá que toda referencia a un operador económico con arreglo al Reglamento (UE) 2019/1020 incluye a todos los operadores mencionados en el artículo 2, apartado 1, del presente Reglamento;

b) se entenderá que toda referencia a un producto con arreglo al Reglamento (UE) 2019/1020 incluye todos los sistemas de IA que estén comprendidos en el ámbito de aplicación del presente Reglamento.

2. Como parte de sus obligaciones de presentación de información en virtud del artículo 34, apartado 4, del Reglamento (UE) 2019/1020, las autoridades de vigilancia del mercado informarán anualmente a la Comisión y a las autoridades nacionales de competencia pertinentes de cualquier información recabada en el transcurso de las actividades de vigilancia del mercado que pueda ser de interés potencial para la aplicación del Derecho de la Unión en materia de normas de competencia. Asimismo, informarán anualmente a la Comisión sobre el recurso a prácticas prohibidas que se hayan producido durante ese año y sobre las medidas adoptadas.

3. En el caso de los sistemas de IA de alto riesgo asociados a productos regulados por los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, la autoridad de vigilancia del mercado a efectos del presente Reglamento será la autoridad responsable de las actividades de vigilancia del mercado designada en virtud de dichos actos legislativos.

Como excepción a lo dispuesto en el párrafo primero, en circunstancias adecuadas, los Estados miembros podrán designar otra autoridad pertinente como autoridad de vigilancia del mercado, siempre que se garantice la coordinación con las autoridades sectoriales de vigilancia del mercado pertinentes responsables de la ejecución de los actos legislativos de armonización de la Unión enumerados en el anexo I.

4. Los procedimientos a que se refieren los artículos 79 a 83 del presente Reglamento no se aplicarán a los sistemas de IA asociados a productos regulados por los actos legislativos de armonización de la Unión enumerados en el anexo I, sección A, cuando dichos actos legislativos ya prevean procedimientos que garanticen un nivel equivalente de protección que tengan el mismo objetivo. En dichos casos, se aplicarán los procedimientos sectoriales pertinentes.

5. Sin perjuicio de los poderes de las autoridades de vigilancia del mercado en virtud del artículo 14 del Reglamento (UE) 2019/1020, a efectos de garantizar la ejecución efectiva del presente Reglamento, las autoridades de vigilancia del mercado podrán ejercer a distancia los poderes a que se refiere el artículo 14, apartado 4, letras d) y j), de dicho Reglamento, según proceda.

6. En el caso de los sistemas de IA de alto riesgo introducidos en el mercado, puestos en servicio o utilizados por entidades financieras reguladas por el Derecho de la Unión en materia de servicios financieros, la autoridad de vigilancia del mercado a efectos del presente Reglamento será la autoridad nacional pertinente responsable de la supervisión financiera de dichas entidades con arreglo a la mencionada legislación, en la medida en que la introducción en el mercado, la puesta en servicio o la utilización del sistema de IA esté directamente relacionada con la prestación de dichos servicios financieros.

7. Como excepción a lo dispuesto en el apartado 6, en las circunstancias apropiadas y siempre que se garantice la coordinación, el Estado miembro podrá designar otra autoridad pertinente como autoridad de vigilancia del mercado a efectos del presente Reglamento.

Las autoridades nacionales de vigilancia del mercado que supervisen las entidades de crédito reguladas por la Directiva 2013/36/UE y que participen en el Mecanismo Único de Supervisión establecido por el Reglamento (UE) nº 1024/2013 deberán comunicar sin demora al Banco Central Europeo toda información obtenida en el transcurso de sus actividades de vigilancia del mercado que pueda ser de interés para las funciones de supervisión prudencial del Banco Central Europeo especificadas en dicho Reglamento.

8. En el caso de los sistemas de IA de alto riesgo enumerados en el anexo III del presente Reglamento, punto 1, en la medida en que los sistemas se utilicen a los efectos de la garantía del cumplimiento del Derecho, la gestión de fronteras y la justicia y la democracia, y en el caso de los sistemas de IA de alto riesgo enumerados en el anexo III, puntos 6, 7 y 8, del presente Reglamento, los Estados miembros designarán como autoridades de vigilancia del mercado a efectos del presente Reglamento bien a las autoridades de control encargadas de la protección de datos competentes con arreglo al Reglamento (UE) 2016/679 o a la Directiva (UE) 2016/680, bien a cualquier otra autoridad designada con arreglo a las mismas condiciones establecidas en los artículos 41 a 44 de la Directiva (UE) 2016/680. Las actividades de vigilancia del mercado no afectarán en modo alguno a la independencia de las autoridades judiciales ni interferirán de otro modo en sus actividades en el ejercicio de su función judicial.

9. Cuando las instituciones, órganos y organismos de la Unión entren en el ámbito de aplicación del presente Reglamento, el Supervisor Europeo de Protección de Datos actuará como su autoridad de vigilancia del mercado, salvo en relación con el Tribunal de Justicia de la Unión Europea cuando actúe en el ejercicio de su función judicial.

10. Los Estados miembros facilitarán la coordinación entre las autoridades de vigilancia del mercado designadas con arreglo al presente Reglamento y otras autoridades u organismos nacionales pertinentes responsables de supervisar la aplicación de la legislación de armonización de la Unión indicada en el anexo I o en otras disposiciones de Derecho de la Unión que pudieran resultar pertinente para los sistemas de IA de alto riesgo a que se refiere el anexo III.

11. Las autoridades de vigilancia del mercado y la Comisión podrán proponer actividades conjuntas, incluidas investigaciones conjuntas, que deben llevar a cabo bien las autoridades de vigilancia del mercado, bien las autoridades de vigilancia del mercado junto con la Comisión, con el objetivo de fomentar el cumplimiento, detectar incumplimientos, sensibilizar u ofrecer orientaciones en relación con el presente Reglamento con respecto a las categorías específicas de sistemas de IA de alto riesgo que presentan un riesgo grave en dos o más Estados miembros de conformidad con el artículo 9 del Reglamento (UE) 2019/1020. La Oficina de IA prestará apoyo de coordinación a las investigaciones conjuntas.

12. Sin perjuicio de los poderes previstos en el Reglamento (UE) 2019/1020, y cuando proceda y se limite a lo necesario para el desempeño de sus funciones, los proveedores concederán a las autoridades de vigilancia del mercado pleno acceso a la documentación, así como a los conjuntos de datos de entrenamiento, validación y prueba utilizados para el desarrollo de los sistemas de IA de alto riesgo, también, cuando proceda y con sujeción a garantías de seguridad, a través de interfaces de programación de aplicaciones (API) o de otras herramientas y medios técnicos pertinentes que permitan el acceso a distancia.

13. Se concederá a las autoridades de vigilancia del mercado acceso al código fuente del sistema de IA de alto riesgo, previa solicitud motivada y solo si se cumplen las dos siguientes condiciones:

a) el acceso al código fuente es necesario para evaluar la conformidad de un sistema de IA de alto riesgo con los requisitos establecidos en el capítulo III, sección 2, y

b) se han agotado todos los procedimientos de prueba o auditoría y todas las comprobaciones basadas en los datos y la documentación facilitados por el proveedor, o han resultado insuficientes.

14. Cualesquiera información o documentación obtenidas por las autoridades de vigilancia del mercado se tratarán de conformidad con las obligaciones de confidencialidad establecidas en el artículo 78.

Artículo 75. Asistencia mutua, vigilancia del mercado y control de sistemas de IA de uso general

1. Cuando un sistema de IA se base en un modelo de IA de uso general y un mismo proveedor desarrolle tanto el modelo como el sistema, la Oficina de IA estará facultada para vigilar y supervisar el cumplimiento por parte de dicho sistema de IA de las obligaciones en virtud del presente Reglamento. Para llevar a cabo estas tareas de vigilancia y supervisión, la Oficina de IA tendrá todos los poderes de una autoridad prevista en la presente sección y en el Reglamento (UE) 2019/1020.

2. Cuando las autoridades de vigilancia del mercado pertinentes tengan motivos suficientes para considerar que los sistemas de IA de uso general que pueden ser utilizados directamente por los responsables del despliegue al menos para una de las finalidades clasificadas como de alto riesgo con arreglo al presente Reglamento no cumplen los requisitos establecidos en el presente Reglamento, cooperarán con la Oficina de IA para llevar a cabo evaluaciones del cumplimiento e informarán al respecto al Consejo de IA y las demás autoridades de vigilancia del mercado.

3. Cuando una autoridad de vigilancia del mercado no pueda concluir su investigación sobre el sistema de IA de alto riesgo por no poder acceder a determinada información relativa al modelo de IA de uso general, a pesar de haber realizado todos los esfuerzos adecuados para obtener esa información, podrá presentar una solicitud motivada a la Oficina de IA para que se imponga el acceso a dicha información. En tal caso, la Oficina de IA facilitará a la autoridad solicitante sin demora y, en cualquier caso en un plazo de treinta días, toda la información que la Oficina de IA considere pertinente para determinar si un sistema de IA de alto riesgo no es conforme. Las autoridades de vigilancia del mercado preservarán la confidencialidad de la información obtenida de conformidad con lo dispuesto en el artículo 78 del presente Reglamento. Se aplicará mutatis mutandis el procedimiento previsto en el capítulo VI del Reglamento (UE) 2019/1020.

Artículo 76. Supervisión de las pruebas en condiciones reales por las autoridades de vigilancia del mercado

1. Las autoridades de vigilancia del mercado tendrán las competencias y los poderes necesarios para garantizar que las pruebas en condiciones reales se ajusten a lo dispuesto en el presente Reglamento.

2. Cuando se realicen pruebas en condiciones reales de sistemas de IA supervisadas dentro de un espacio controlado de pruebas para la IA con arreglo al artículo 58, las autoridades de vigilancia del mercado verificarán el cumplimiento de del artículo 60 como parte de su función supervisora en el espacio controlado de pruebas para la IA. Dichas autoridades podrán permitir, según proceda, que el proveedor o proveedor potencial lleve a cabo pruebas en condiciones reales, como excepción a las condiciones establecidas en el artículo 60, apartado 4, letras f) y g).

3. Cuando una autoridad de vigilancia del mercado haya sido informada por el proveedor potencial, el proveedor o un tercero de un incidente grave o tenga otros motivos para pensar que no se cumplen las condiciones establecidas en los artículos 60 y 61, podrá adoptar una de las decisiones siguientes en su territorio, según proceda:

a) suspender o poner fin a las pruebas en condiciones reales;

b) exigir al proveedor o proveedor potencial y al responsable del despliegue o responsable del despliegue potencial que modifiquen cualquier aspecto de las pruebas en condiciones reales.

4. Cuando una autoridad de vigilancia del mercado haya adoptado una decisión mencionada en el apartado 3 del presente artículo o haya formulado una objeción en el sentido del artículo 60, apartado 4, letra b), la decisión o la objeción deberá estar motivada e indicar las vías de que dispone el proveedor o proveedor potencial para poder impugnar la decisión o la objeción.

5. En su caso, cuando una autoridad de vigilancia del mercado haya adoptado una decisión mencionada en el apartado 3, comunicará los motivos de dicha decisión a las autoridades de vigilancia del mercado de los demás Estados miembros en que se haya probado el sistema de IA de conformidad con el plan de la prueba.

Artículo 77. Poderes de las autoridades encargadas de proteger los derechos fundamentales

1. Las autoridades u organismos públicos nacionales encargados de supervisar o hacer respetar las obligaciones contempladas en el Derecho de la Unión en materia de protección de los derechos fundamentales, incluido el derecho a la no discriminación, con respecto al uso de sistemas de IA de alto riesgo mencionados en el anexo III tendrán la facultad de solicitar cualquier documentación creada o conservada con arreglo al presente Reglamento y de acceder a ella, en un lenguaje y formato accesibles, cuando el acceso a dicha documentación sea necesario para el cumplimiento efectivo de sus mandatos, dentro de los límites de su jurisdicción. La autoridad u organismo público pertinente informará sobre cualquier solicitud de este tipo a la autoridad de vigilancia del mercado del Estado miembro que corresponda.

2. A más tardar el 2 de noviembre de 2024, cada Estado miembro designará las autoridades u organismos públicos a que se refiere el apartado 1 y los incluirá en una lista que pondrá a disposición del público. Los Estados miembros notificarán dicha lista a la Comisión y a los demás Estados miembros y la mantendrán actualizada.

3. Cuando la documentación mencionada en el apartado 1 no baste para determinar si se ha producido un incumplimiento de las obligaciones previstas en el Derecho de la Unión en materia de protección de los derechos fundamentales, la autoridad u organismo público a que se refiere el apartado 1 podrá presentar una solicitud motivada a la autoridad de vigilancia del mercado para organizar pruebas del sistema de IA de alto riesgo a través de medios técnicos. La autoridad de vigilancia del mercado organizará las pruebas con la estrecha colaboración de la autoridad u organismo público solicitante en un plazo razonable tras la presentación de la solicitud.

4. Cualquier información o documentación obtenidas por las autoridades u organismos públicos nacionales a que se refiere el apartado 1 del presente artículo con arreglo al presente artículo se tratará de conformidad con las obligaciones de confidencialidad dispuestas en el artículo 78.

Artículo 78. Confidencialidad

1. La Comisión, las autoridades de vigilancia del mercado, los organismos notificados y cualquier otra persona física o jurídica que participe en la aplicación del presente Reglamento, de conformidad con el Derecho de la Unión o nacional, respetarán la confidencialidad de la información y los datos obtenidos en el ejercicio de sus funciones y actividades de modo que se protejan, en particular:

a) los derechos de propiedad intelectual e industrial y la información empresarial confidencial o los secretos comerciales de una persona física o jurídica, incluido el código fuente, salvo en los casos mencionados en el artículo 5 de la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo (57);

b) la aplicación eficaz del presente Reglamento, en particular a efectos de investigaciones, inspecciones o auditorías;

c) los intereses de seguridad pública y nacional;

d) el desarrollo de las causas penales o los procedimientos administrativos;

e) la información clasificada con arreglo al Derecho de la Unión o nacional.

2. Las autoridades involucradas en la aplicación del presente Reglamento de conformidad con el apartado 1 solo solicitarán los datos que sean estrictamente necesarios para la evaluación del riesgo que presentan los sistemas de IA y para el ejercicio de sus competencias de conformidad con el presente Reglamento y con el Reglamento (UE) 2019/1020. Establecerán medidas adecuadas y eficaces en materia de ciberseguridad a fin de proteger la seguridad y la confidencialidad de la información y los datos obtenidos, y suprimirán los datos recopilados tan pronto como dejen de ser necesarios para los fines para los que se obtuvieron, de conformidad con el Derecho de la Unión y nacional aplicable.

3. Sin perjuicio de lo dispuesto en los apartados 1 y 2, la información intercambiada de forma confidencial entre las autoridades nacionales competentes o entre estas y la Comisión no se revelará sin consultar previamente a la autoridad nacional competente de origen y al responsable del despliegue cuando las autoridades garantes del cumplimiento del Derecho, del control de fronteras, de la inmigración o del asilo utilicen los sistemas de IA de alto riesgo a que se refiere el anexo III, puntos 1, 6 o 7, y dicha divulgación comprometería los intereses de seguridad pública y nacional. Este intercambio de información no comprenderá los datos operativos sensibles relativos a las actividades de las autoridades garantes del cumplimiento del Derecho, del control de fronteras, de la inmigración o del asilo.

Cuando las autoridades garantes del cumplimiento del Derecho, de la inmigración o del asilo sean proveedores de sistemas de IA de alto riesgo a que se refiere el anexo III, puntos 1, 6 o 7, la documentación técnica mencionada en el anexo IV permanecerá dentro de las instalaciones de dichas autoridades. Dichas autoridades velarán por que las autoridades de vigilancia del mercado a que se refiere el artículo 74, apartados 8 y 9, según proceda, puedan, previa solicitud, acceder inmediatamente a la documentación u obtener una copia de esta. Tan solo se permitirá acceder a dicha documentación o a cualquier copia de esta al personal de la autoridad de vigilancia del mercado que disponga de una habilitación de seguridad del nivel adecuado.

4. Los apartados 1, 2 y 3 no afectarán a los derechos u obligaciones de la Comisión, los Estados miembros y sus autoridades pertinentes, ni a los derechos u obligaciones de los organismos notificados en lo que se refiere al intercambio de información y la difusión de advertencias, también en el contexto de la cooperación transfronteriza, ni a las obligaciones de facilitar información en virtud del Derecho penal de los Estados miembros que incumban a las partes interesadas.

5. Cuando sea necesario y con arreglo a las disposiciones pertinentes de los acuerdos internacionales y comerciales, la Comisión y los Estados miembros podrán intercambiar información confidencial con autoridades reguladoras de terceros países con las que hayan celebrado acuerdos de confidencialidad bilaterales o multilaterales que garanticen un nivel de confidencialidad adecuado.

Artículo 79. Procedimiento aplicable a escala nacional a los sistemas de IA que presenten un riesgo

1. Los sistemas de IA que presentan un riesgo se entenderán como «productos que presentan un riesgo» tal como se definen en el artículo 3, punto 19, del Reglamento (UE) 2019/1020, en la medida en que presenten riegos que afecten a la salud, la seguridad o los derechos fundamentales de las personas.

2. Cuando la autoridad de vigilancia del mercado de un Estado miembro tenga motivos suficientes para considerar que un sistema de IA presenta un riesgo mencionado en el apartado 1 del presente artículo, efectuará una evaluación del sistema de IA de que se trate para verificar su cumplimiento de todos los requisitos y obligaciones establecidos en el presente Reglamento. Debe prestarse una especial atención a los sistemas de IA que presenten un riesgo para los colectivos vulnerables. Cuando se detecten riesgos para los derechos fundamentales, la autoridad de vigilancia del mercado informará también a las autoridades u organismos públicos nacionales pertinentes a que se refiere el artículo 77, apartado 1, y cooperará plenamente con ellos. Los operadores pertinentes cooperarán en lo necesario con la autoridad de vigilancia del mercado y con las demás autoridades u organismos públicos nacionales a que se refiere el artículo 77, apartado 1.

Cuando, en el transcurso de tal evaluación, la autoridad de vigilancia del mercado o, cuando proceda, la autoridad de vigilancia del mercado en cooperación con la autoridad nacional pública a que se refiere el artículo 77, apartado 1, constate que el sistema de IA no cumple los requisitos y obligaciones establecidos en el presente Reglamento, exigirá sin demora indebida al operador pertinente que adopte todas las medidas correctoras oportunas para adaptar el sistema de IA a los citados requisitos y obligaciones, retirarlo del mercado o recuperarlo, dentro de un plazo que dicha autoridad podrá determinar y, en cualquier caso, en un plazo de quince días hábiles a más tardar o en el plazo que prevean los actos legislativos de armonización de la Unión pertinentes según corresponda.

La autoridad de vigilancia del mercado informará al organismo notificado correspondiente en consecuencia. El artículo 18 del Reglamento (UE) 2019/1020 será de aplicación a las medidas mencionadas en el párrafo segundo del presente apartado.

3. Cuando la autoridad de vigilancia del mercado considere que el incumplimiento no se limita a su territorio nacional, informará a la Comisión y a los demás Estados miembros sin demora indebida de los resultados de la evaluación y de las medidas que haya instado al operador a adoptar.

4. El operador se asegurará de que se adopten todas las medidas correctoras adecuadas en relación con todos los sistemas de IA afectados que haya comercializado en la Unión.

5. Si el operador de un sistema de IA no adopta las medidas correctoras adecuadas en el plazo a que hace referencia el apartado 2, la autoridad de vigilancia del mercado adoptará todas las medidas provisionales adecuadas para prohibir o restringir la comercialización del sistema de IA en su mercado nacional o su puesta en servicio, para retirar el producto o el sistema de IA independiente de dicho mercado o recuperarlo. Dicha autoridad notificará estas medidas sin demora indebida a la Comisión y a los demás Estados miembros.

6. La notificación a que se refiere el apartado 5 incluirá todos los detalles disponibles, en particular la información necesaria para la identificación del sistema de IA no conforme, el origen del sistema de IA y la cadena de suministro, la naturaleza de la presunta no conformidad y el riesgo planteado, la naturaleza y duración de las medidas nacionales adoptadas y los argumentos expresados por el operador correspondiente. En concreto, las autoridades de vigilancia del mercado indicarán si la no conformidad se debe a uno o varios de los motivos siguientes:

a) el no respeto de la prohibición de las prácticas de IA a que se refiere el artículo 5;

b) el incumplimiento de los requisitos establecidos en el capítulo III, sección 2, por parte de un sistema de IA de alto riesgo;

c) deficiencias en las normas armonizadas o especificaciones comunes mencionadas en los artículos 40 y 41 que confieren la presunción de conformidad;

d) el incumplimiento del artículo 50.

7. Las autoridades de vigilancia del mercado distintas de la autoridad de vigilancia del mercado del Estado miembro que inició el procedimiento comunicarán sin demora indebida a la Comisión y a los demás Estados miembros toda medida que adopten y cualquier información adicional de que dispongan en relación con la no conformidad del sistema de IA de que se trate y, en caso de desacuerdo con la medida nacional notificada, sus objeciones al respecto.

8. Si, en el plazo de tres meses desde la recepción de la notificación mencionada en el apartado 5 del presente artículo, ninguna autoridad de vigilancia del mercado de un Estado miembro ni la Comisión presentan objeción alguna sobre una medida provisional adoptada por una autoridad de vigilancia del mercado de otro Estado miembro, la medida se considerará justificada. Esto se entiende sin perjuicio de los derechos procedimentales del operador correspondiente con arreglo al artículo 18 del Reglamento (UE) 2019/1020. El plazo de tres meses a que se refiere el presente apartado se reducirá a treinta días en caso de no respeto de la prohibición de las prácticas de IA a que se refiere el artículo 5 del presente Reglamento.

9. Las autoridades de vigilancia del mercado velarán por que se adopten sin demora indebida las medidas restrictivas adecuadas respecto del producto o del sistema de IA de que se trate, tales como la retirada del producto o del sistema de IA de su mercado.

Artículo 80. Procedimiento aplicable a los sistemas de IA clasificados por el proveedor como no de alto riesgo en aplicación del anexo III

1. Cuando una autoridad de vigilancia del mercado tenga motivos suficientes para considerar que un sistema de IA que el proveedor haya clasificado como no de alto riesgo con arreglo al artículo 6, apartado 3, sí lo es, dicha autoridad realizará una evaluación del sistema de IA de que se trate por cuanto se refiere a su clasificación como sistema de IA de alto riesgo en función de las condiciones establecidas en el artículo 6, apartado 3, y las directrices de la Comisión.

2. Cuando, al realizar dicha evaluación, la autoridad de vigilancia del mercado constate que el sistema de IA afectado es de alto riesgo, pedirá sin demora indebida al proveedor correspondiente que adopte todas las medidas necesarias para que el sistema de IA cumpla los requisitos y obligaciones establecidos en el presente Reglamento, así como que adopte las medidas correctoras adecuadas en el plazo que la autoridad de vigilancia del mercado podrá determinar.

3. Cuando la autoridad de vigilancia del mercado considere que la utilización del sistema de IA afectado no se circunscribe a su territorio nacional, informará a la Comisión y a los demás Estados miembros sin demora indebida de los resultados de la evaluación y de las medidas que haya exigido al proveedor que adopte.

4. El proveedor se asegurará de que se adopten todas las medidas necesarias para que el sistema de IA cumpla los requisitos y obligaciones que se establecen en el presente Reglamento. Cuando el proveedor de un sistema de IA afectado no haga lo necesario para que cumpla dichos requisitos y obligaciones en el plazo a que se refiere el apartado 2 del presente artículo, se le impondrán multas de conformidad con el artículo 99.

5. El proveedor se asegurará de que se adopten todas las medidas correctoras adecuadas para todos los sistemas de IA afectados que haya comercializado en toda la Unión.

6. Cuando el proveedor del sistema de IA afectado no adopte las medidas correctoras adecuadas en el plazo a que se refiere el apartado 2 del presente artículo, se aplicará el artículo 79, apartados 5 a 9.

7. Cuando, al realizar la evaluación con arreglo al apartado 1 del presente artículo, la autoridad de vigilancia del mercado determine que el proveedor había clasificado erróneamente el sistema de IA como de no alto riesgo con el fin de eludir la aplicación de los requisitos establecidos en el capítulo III, sección 2, se impondrán multas al proveedor de conformidad con el artículo 99.

8. En el ejercicio de su facultad de supervisión de la aplicación del presente artículo, y de conformidad con el artículo 11 del Reglamento (UE) 2019/1020, las autoridades de vigilancia del mercado podrán realizar los controles pertinentes, teniendo en cuenta, en particular, la información almacenada en la base de datos de la UE a que se refiere el artículo 71 del presente Reglamento.

Artículo 81. Procedimiento de salvaguardia de la Unión

1. Cuando, en el plazo de tres meses desde la recepción de la notificación a que se refiere el artículo 79, apartado 5, o en el plazo de treinta días en caso de que no se respete la prohibición de las prácticas de IA a que se refiere el artículo 5, la autoridad de vigilancia del mercado de un Estado miembro formule objeciones sobre una medida adoptada por otra autoridad de vigilancia del mercado, o cuando la Comisión considere que la medida es contraria al Derecho de la Unión, la Comisión entablará consultas sin demora indebida con la autoridad de vigilancia del mercado del Estado miembro pertinente y el operador u operadores, y evaluará la medida nacional. Basándose en los resultados de la mencionada evaluación, la Comisión decidirá, en un plazo de seis meses a partir de la notificación a que se refiere el artículo 79, apartado 5, o de sesenta días en caso de que no se respete la prohibición de las prácticas de IA a que se refiere el artículo 5, si la medida nacional está justificada y notificará su decisión a la autoridad de vigilancia del mercado del Estado miembro interesado. La Comisión informará también a las demás autoridades de vigilancia del mercado de su decisión.

2. Cuando la Comisión considere que la medida adoptada por el Estado miembro correspondiente está justificada, todos los Estados miembros se asegurarán de adoptar las medidas restrictivas adecuadas con respecto al sistema de IA de que se trate, como exigir la retirada del sistema de IA de su mercado sin demora indebida, e informarán de ello a la Comisión. Cuando la Comisión considere que la medida nacional no está justificada, el Estado miembro correspondiente retirará la medida e informará de ello a la Comisión.

3. Cuando se considere que la medida nacional está justificada y la no conformidad del sistema de IA se atribuya a deficiencias de las normas armonizadas o especificaciones comunes a las que se refieren los artículos 40 y 41 del presente Reglamento, la Comisión aplicará el procedimiento previsto en el artículo 11 del Reglamento (UE) nº 1025/2012.

Artículo 82. Sistemas de IA conformes que presenten un riesgo

1. Si, tras efectuar una evaluación con arreglo a lo dispuesto en el artículo 79 y consultar a la autoridad pública nacional a que se refiere el artículo 77, apartado 1, la autoridad de vigilancia del mercado de un Estado miembro concluye que un sistema de IA de alto riesgo, a pesar de cumplir con el presente Reglamento, presenta sin embargo un riesgo para la salud o la seguridad de las personas, para los derechos fundamentales o para otros aspectos de protección del interés público, pedirá al operador interesado que adopte todas las medidas adecuadas para garantizar que el sistema de IA de que se trate ya no presente ese riesgo cuando se introduzca en el mercado o se ponga en servicio sin demora indebida, dentro de un plazo que dicha autoridad podrá determinar.

2. El proveedor u otro operador pertinente se asegurará de que se adoptan medidas correctoras con respecto a todos los sistemas de IA afectados que haya comercializado en el mercado de la Unión en el plazo determinado por la autoridad de vigilancia del mercado del Estado miembro a que se refiere el apartado 1.

3. Los Estados miembros informarán inmediatamente a la Comisión y a los demás Estados miembros cuando se llegue a una conclusión en virtud del apartado 1. La información facilitada incluirá todos los detalles disponibles, en particular los datos necesarios para detectar el sistema de IA afectado y para determinar su origen y cadena de suministro, la naturaleza del riesgo planteado y la naturaleza y duración de las medidas nacionales adoptadas.

4. La Comisión entablará sin demora indebida consultas con los Estados miembros afectados y los operadores pertinentes y evaluará las medidas nacionales adoptadas. Basándose en los resultados de esta evaluación, la Comisión decidirá si la medida está justificada y, en su caso, propondrá otras medidas adecuadas.

5. La Comisión comunicará inmediatamente su decisión a los Estados miembros afectados y a los operadores pertinentes. Informará asimismo a los demás Estados miembros.

Artículo 83. Incumplimiento formal

1. Cuando la autoridad de vigilancia del mercado de un Estado miembro constate una de las situaciones indicadas a continuación, exigirá al proveedor correspondiente que subsane el incumplimiento de que se trate, dentro de un plazo que dicha autoridad podrá determinar:

a) se ha colocado el marcado CE contraviniendo el artículo 48;

b) no se ha colocado el marcado CE;

c) no se ha elaborado la declaración UE de conformidad con el artículo 47;

d) no se ha elaborado correctamente la declaración UE de conformidad con el artículo 47;

e) no se ha efectuado el registro en la base de datos de la UE de conformidad con el artículo 71;

f) cuando proceda, no se ha designado a un representante autorizado;

g) no se dispone de documentación técnica.

2. Si el incumplimiento a que se refiere el apartado 1 persiste, la autoridad de vigilancia del mercado del Estado miembro de que se trate adoptará medidas adecuadas y proporcionadas para restringir o prohibir la comercialización del sistema de IA de alto riesgo o para asegurarse de que se recupera o retira del mercado sin demora.

Artículo 84. Estructuras de apoyo a los ensayos de IA de la Unión

1. La Comisión designará una o varias estructuras de apoyo a los ensayos de IA de la Unión para realizar las actividades enumeradas en el artículo 21, apartado 6, del Reglamento (UE) 2019/1020 en el ámbito de la IA.

2. Sin perjuicio de las actividades a que se refiere el apartado 1, las estructuras de apoyo a los ensayos de IA de la Unión también proporcionarán asesoramiento técnico o científico independiente a petición del Consejo de IA, la Comisión o de las autoridades de vigilancia del mercado.

SECCIÓN 4. Vías de recurso

Artículo 85. Derecho a presentar una reclamación ante una autoridad de vigilancia del mercado

Sin perjuicio de otras vías administrativas o judiciales de recurso, toda persona física o jurídica que tenga motivos para considerar que se ha infringido lo dispuesto en el presente Reglamento podrá presentar reclamaciones ante la autoridad de vigilancia del mercado pertinente.

De conformidad con el Reglamento (UE) 2019/1020, tales reclamaciones se tendrán en cuenta a la hora de llevar a cabo actividades de vigilancia del mercado y se tramitarán de conformidad con los procedimientos específicos establecidos con este fin por las autoridades de vigilancia del mercado.

Artículo 86. Derecho a explicación de decisiones tomadas individualmente

1. Toda persona que se vea afectada por una decisión que el responsable del despliegue adopte basándose en los resultados de salida de un sistema de IA de alto riesgo que figure en el anexo III, con excepción de los sistemas enumerados en su punto 2, y que produzca efectos jurídicos o le afecte considerablemente del mismo modo, de manera que considere que tiene un efecto perjudicial para su salud, su seguridad o sus derechos fundamentales, tendrá derecho a obtener del responsable del despliegue explicaciones claras y significativas acerca del papel que el sistema de IA ha tenido en el proceso de toma de decisiones y los principales elementos de la decisión adoptada.

2. No se aplicará el apartado 1 a la utilización de sistemas de IA para los que existan excepciones o restricciones a la obligación prevista en dicho apartado derivadas del Derecho de la Unión o nacional de conformidad con el Derecho de la Unión.

3. El presente artículo se aplicará únicamente en la medida en que el derecho a que se refiere el apartado 1 no esté previsto de otro modo en el Derecho de la Unión.

Artículo 87. Denuncia de infracciones y protección de los denunciantes

La Directiva (UE) 2019/1937 se aplicará a la denuncia de infracciones del presente Reglamento y a la protección de las personas que denuncien tales infracciones.

SECCIÓN 5. Supervisión, investigación, cumplimiento y seguimiento respecto de proveedores de modelos de IA de uso general

Artículo 88. Cumplimiento de las obligaciones de los proveedores de modelos de IA de uso general

1. La Comisión tendrá competencias exclusivas para supervisar y hacer cumplir el capítulo V, teniendo en cuenta las garantías procedimentales previstas en el artículo 94. La Comisión debe confiar la ejecución de estas tareas a la Oficina de IA, sin perjuicio de las competencias de organización de la Comisión y del reparto de competencias entre los Estados miembros y la Unión en virtud de los Tratados.

2. Sin perjuicio de lo dispuesto en el artículo 75, apartado 3, las autoridades de vigilancia del mercado podrán solicitar a la Comisión que ejerza las facultades previstas en la presente sección, cuando resulte necesario y proporcionado para ayudar a que se lleven a cabo las actividades de su competencia en virtud del presente Reglamento.

Artículo 89. Medidas de seguimiento

1. Con el fin de llevar a cabo los cometidos que se le atribuyen en la presente sección, la Oficina de IA podrá tomar las medidas necesarias para supervisar la aplicación y cumplimiento efectivos del presente Reglamento por parte de los proveedores de modelos de IA de uso general, incluida su observancia de los códigos de buenas prácticas aprobados.

2. Los proveedores posteriores tendrán derecho a presentar reclamaciones alegando infracciones del presente Reglamento. Las reclamaciones deberán motivarse debidamente e indicar, como mínimo:

a) el punto de contacto del proveedor del modelo de IA de uso general de que se trate;

b) una descripción de los hechos, las disposiciones del presente Reglamento afectadas y los motivos por los que el proveedor posterior considera que el proveedor del modelo de IA de uso general de que se trate ha infringido el presente Reglamento;

c) cualquier otra información que el proveedor posterior que presente la reclamación considere pertinente, como, por ejemplo, en su caso, información que haya recopilado por iniciativa propia.

Artículo 90. Alertas del grupo de expertos científicos sobre riesgos sistémicos

1. El grupo de expertos científicos podrá proporcionar alertas cualificadas a la Oficina de IA cuando tenga motivos para sospechar que:

a) un modelo de IA de uso general plantea un riesgo concreto reconocible a escala de la Unión, o

b) un modelo de IA de uso general reúne las condiciones a que se refiere el artículo 51.

2. Tras recibir dicha alerta cualificada, la Comisión podrá ejercer, a través de la Oficina de IA y tras haber informado al Consejo de IA, las facultades previstas en la presente sección con el fin de evaluar la cuestión. La Oficina de IA informará al Consejo de IA de cualquier medida que se adopte de conformidad con los artículos 91 a 94.

3. Las alertas cualificadas deberán motivarse debidamente e indicar, como mínimo:

a) el punto de contacto del proveedor del modelo de IA de uso general con riesgo sistémico de que se trate;

b) una descripción de los hechos y los motivos por los que el grupo de expertos científicos proporciona la alerta;

c) cualquier otra información que el grupo de expertos científicos considere pertinente, como, por ejemplo, en su caso, información que haya recopilado por iniciativa propia.

Artículo 91. Poderes para solicitar documentación e información

1. La Comisión podrá solicitar al proveedor del modelo de IA de uso general interesado que facilite la documentación preparada por el proveedor de conformidad con los artículos 53 y 55, o cualquier otra información que sea necesaria para evaluar el cumplimiento del presente Reglamento por parte del proveedor.

2. Antes de enviar la solicitud de información, la Oficina de IA podrá entablar un diálogo estructurado con el proveedor del modelo de IA de uso general.

3. Cuando el grupo de expertos científicos presente la correspondiente solicitud debidamente motivada, la Comisión podrá dirigir al proveedor de un modelo de IA de uso general una solicitud de información si el acceso a dicha información resulta necesario y proporcionado para que el grupo de expertos científicos pueda llevar a cabo sus cometidos en virtud del artículo 68, apartado 2.

4. La solicitud de información indicará la base jurídica y la finalidad de la solicitud, precisará qué información se requiere, fijará el plazo en el que deberá facilitarse la información e indicará las multas que se establecen en el artículo 101 por facilitar información incorrecta, incompleta o engañosa.

5. El proveedor del modelo de IA de uso general interesado, o su representante, facilitará la información solicitada. De tratarse de personas jurídicas, sociedades o empresas, o cuando el proveedor carezca de personalidad jurídica, las personas habilitadas por ley o por sus estatutos para representarlas facilitarán la información solicitada en nombre del proveedor del modelo de IA de uso general interesado. Los abogados debidamente habilitados podrán facilitar la información en nombre de sus representados. Los representados seguirán siendo, no obstante, plenamente responsables, si la información facilitada es incompleta, incorrecta o engañosa.

Artículo 92. Poderes para realizar evaluaciones

1. La Oficina de IA, previa consulta al Consejo de IA, podrá realizar evaluaciones del modelo de IA de uso general de que se trate con el fin de:

a) evaluar si el proveedor cumple sus obligaciones en virtud del presente Reglamento, cuando la información recabada con arreglo al artículo 91 resulte insuficiente, o

b) investigar riesgos sistémicos a escala de la Unión de modelos de IA de uso general con riesgo sistémico, en particular a raíz de una alerta cualificada del grupo de expertos científicos de conformidad con el artículo 90, apartado 1, letra a).

2. La Comisión podrá decidir nombrar a expertos independientes para que realicen las evaluaciones en su nombre, también expertos científicos del grupo establecido de conformidad con el artículo 68. Los expertos independientes que se nombren para realizar estas tareas cumplirán los criterios establecidos en el artículo 68, apartado 2.

3. A los efectos del apartado 1, la Comisión podrá solicitar el acceso al modelo de IA de uso general de que se trate a través de API o de otros medios y herramientas técnicos adecuados, como, por ejemplo, el código fuente.

4. La solicitud de acceso indicará la base jurídica, la finalidad y los motivos de la solicitud, y fijará el plazo durante el que deberá facilitarse el acceso y las multas que se establecen en el artículo 101 por no facilitarlo.

5. Los proveedores del modelo de IA de uso general interesados o su representante facilitarán la información solicitada. En caso de que se trate de personas jurídicas, sociedades o empresas, o cuando el proveedor carezca de personalidad jurídica, las personas habilitadas por ley o por sus estatutos para representarlas, facilitarán el acceso solicitado en nombre del proveedor del modelo de IA de uso general interesado.

6. La Comisión adoptará actos de ejecución en los que se establezcan las modalidades detalladas y las condiciones de las evaluaciones, incluidas las disposiciones detalladas para la participación de expertos independientes y el procedimiento para su selección. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 98, apartado 2.

7. Antes de solicitar el acceso al modelo de IA de uso general de que se trate, la Oficina de IA podrá entablar un diálogo estructurado con el proveedor del modelo de IA de uso general para recabar más información sobre los ensayos internos del modelo, las salvaguardias internas para prevenir los riesgos sistémicos y otros procedimientos y medidas internos que el proveedor haya adoptado para mitigar tales riesgos.

Artículo 93. Poderes para solicitar la adopción de medidas

1. Cuando resulte necesario y conveniente, la Comisión podrá solicitar a los proveedores que:

a) adopten las medidas oportunas para cumplir las obligaciones establecidas en los artículos 53 y 54;

b) apliquen medidas de reducción de riesgos cuando la evaluación realizada de conformidad con el artículo 92 apunte a que existen motivos serios y fundados de preocupación por la existencia de un riesgo sistémico a escala de la Unión;

c) restrinjan la comercialización del modelo, lo retiren o lo recuperen.

2. Antes de solicitar que se adopten medidas, la Oficina de IA podrá entablar un diálogo estructurado con el proveedor del modelo de IA de uso general.

3. Si, durante el diálogo estructurado a que se refiere el apartado 2, el proveedor del modelo de IA de uso general con riesgo sistémico se compromete a adoptar medidas de reducción para hacer frente a un riesgo sistémico a escala de la Unión, la Comisión podrá, mediante una decisión, hacer dichos compromisos vinculantes y declarar que no hay ya motivos para actuar.

Artículo 94. Garantías procesales de los operadores económicos del modelo de IA de uso general

El artículo 18 del Reglamento (UE) 2019/1020 se aplicará mutatis mutandis a los proveedores del modelo de IA de uso general, sin perjuicio de las garantías procesales más específicas previstas en el presente Reglamento.

CAPÍTULO X. CÓDIGOS DE CONDUCTA Y DIRECTRICES

Artículo 95. Códigos de conducta para la aplicación voluntaria de requisitos específicos

1. La Oficina de IA y los Estados miembros fomentarán y facilitarán la elaboración de códigos de conducta, con los correspondientes mecanismos de gobernanza, destinados a fomentar la aplicación voluntaria de alguno o de todos los requisitos establecidos en el capítulo III, sección 2, a los sistemas de IA que no sean de alto riesgo, teniendo en cuenta las soluciones técnicas disponibles y las mejores prácticas del sector que permitan la aplicación de dichos requisitos.

2. La Oficina de IA y los Estados miembros facilitarán la elaboración de códigos de conducta relativos a la aplicación voluntaria, también por parte de los responsables del despliegue, de requisitos específicos para todos los sistemas de IA, sobre la base de objetivos claros e indicadores clave de resultados para medir la consecución de dichos objetivos, incluidos, entre otros pero no exclusivamente, elementos como:

a) los elementos aplicables establecidos en las Directrices éticas de la Unión para una IA fiable;

b) la evaluación y reducción al mínimo de las repercusiones de los sistemas de IA en la sostenibilidad medioambiental, también por cuanto se refiere a la programación eficiente desde el punto de vista energético y las técnicas para diseñar, entrenar y utilizar la IA de manera eficiente;

c) la promoción de la alfabetización en materia de IA, en particular en el caso de las personas que se ocupan del desarrollo, funcionamiento y utilización de la IA;

d) la facilitación de un diseño inclusivo y diverso de los sistemas de IA, por ejemplo mediante la creación de equipos de desarrollo inclusivos y diversos y la promoción de la participación de las partes interesadas en dicho proceso;

e) la evaluación y prevención de los perjuicios de los sistemas de IA para las personas vulnerables o los colectivos de personas vulnerables, también por cuanto se refiere a accesibilidad para las personas con discapacidad, así como para la igualdad de género.

3. Los códigos de conducta podrán ser elaborados por proveedores o responsables del despliegue de sistemas de IA particulares, por las organizaciones que los representen o por ambos, también con la participación de cualquier parte interesada y sus organizaciones representativas, como, por ejemplo, las organizaciones de la sociedad civil y el mundo académico. Los códigos de conducta podrán comprender uno o varios sistemas de IA en función de la similitud de la finalidad prevista de los distintos sistemas.

4. La Oficina de IA y los Estados miembros tendrán en cuenta los intereses y necesidades específicos de las pymes, incluidas las empresas emergentes, a la hora de fomentar y facilitar la elaboración de códigos de conducta.

Artículo 96. Directrices de la Comisión sobre la aplicación del presente Reglamento

1. La Comisión elaborará directrices sobre la aplicación práctica del presente Reglamento y, en particular, sobre:

a) la aplicación de los requisitos y obligaciones a que se refieren los artículos 8 a 15 y el artículo 25;

b) las prácticas prohibidas a que se refiere el artículo 5;

c) la aplicación práctica de las disposiciones relacionadas con modificaciones sustanciales;

d) la aplicación práctica de las obligaciones de transparencia establecidas en el artículo 50;

e) información detallada sobre la relación entre el presente Reglamento y la lista de actos legislativos de armonización de la Unión enumerados en el anexo I, así como otras disposiciones de Derecho de la Unión pertinentes, también por cuanto se refiere a la coherencia en su aplicación;

f) la aplicación de la definición de sistema de IA que figura en el artículo 3, punto 1.

Al publicar estas directrices, la Comisión prestará especial atención a las necesidades de las pymes, incluidas las empresas emergentes, de las autoridades públicas locales y de los sectores que tengan más probabilidades de verse afectados por el presente Reglamento.

Las directrices a que se refiere el párrafo primero del presente apartado tendrán debidamente en cuenta el estado de la técnica generalmente reconocido en materia de IA, así como las normas armonizadas y especificaciones comunes pertinentes a que se refieren los artículos 40 y 41, o las normas armonizadas o especificaciones técnicas que se establezcan con arreglo al Derecho de armonización de la Unión.

2. A petición de los Estados miembros o de la Oficina de IA, o por propia iniciativa, la Comisión actualizará las directrices anteriormente adoptadas cuando se considere necesario.

CAPÍTULO XI. DELEGACIÓN DE PODERES Y PROCEDIMIENTO DE COMITÉ

Artículo 97. Ejercicio de la delegación

1. Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.

2. Los poderes para adoptar actos delegados mencionados en el artículo 6, apartado 6 y 7, el artículo 7, apartados 1 y 3, el artículo 11, apartado 3, el artículo 43, apartados 5 y 6, el artículo 47, apartado 5, el artículo 51, apartado 3, el artículo 52, apartado 4, y el artículo 53, apartados 5 y 6, se otorgan a la Comisión por un período de cinco años a partir del 1 de agosto de 2024. La Comisión elaborará un informe sobre la delegación de poderes a más tardar nueve meses antes de que finalice el período de cinco años. La delegación de poderes se prorrogará tácitamente por períodos de idéntica duración, excepto si el Parlamento Europeo o el Consejo se oponen a dicha prórroga a más tardar tres meses antes del final de cada período.

3. La delegación de poderes mencionada en el artículo 6, apartados 6 y 7, el artículo 7, apartados 1 y 3, el artículo 11, apartado 3, el artículo 43, apartados 5 y 6, el artículo 47, apartado 5, el artículo 51, apartado 3, el artículo 52, apartado 4, y el artículo 53, apartados 5 y 6, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada ella. No afectará a la validez de los actos delegados que ya estén en vigor.

4. Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.

5. Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.

6. Los actos delegados adoptados en virtud del artículo 6, apartados 6 o 7, el artículo 7, apartados 1 o 3, el artículo 11, apartado 3, el artículo 43, apartados 5 o 6, el artículo 47, apartado 5, el artículo 51, apartado 3, el artículo 52, apartado 4, o el artículo 53, apartados 5 o 6, entrarán en vigor únicamente si, en un plazo de tres meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará tres meses a iniciativa del Parlamento Europeo o del Consejo.

Artículo 98. Procedimiento de comité

1. La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) nº 182/2011.

2. En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) nº 182/2011.

CAPÍTULO XII. SANCIONES

Artículo 99. Sanciones

1. De conformidad con las condiciones previstas en el presente Reglamento, los Estados miembros establecerán el régimen de sanciones y otras medidas de ejecución, como advertencias o medidas no pecuniarias, aplicable a las infracciones del presente Reglamento que cometan los operadores y adoptarán todas las medidas necesarias para garantizar que se aplican de forma adecuada y efectiva y teniendo así en cuenta las directrices emitidas por la Comisión con arreglo al artículo 96. Tales sanciones serán efectivas, proporcionadas y disuasorias. Tendrán en cuenta los intereses de las pymes, incluidas las empresas emergentes, así como su viabilidad económica.

2. Los Estados miembros comunicarán a la Comisión, sin demora y, como muy tarde, en la fecha de aplicación las normas referentes a las sanciones y otras medidas de ejecución mencionadas en el apartado 1 y la informará, sin demora, de toda modificación de dichas normas.

3. El no respeto de la prohibición de las prácticas de IA a que se refiere el artículo 5 estará sujeto a multas administrativas de hasta 35 000 000 EUR o, si el infractor es una empresa, de hasta el 7 % de su volumen de negocios mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior.

4. El incumplimiento de cualquiera de las disposiciones que figuran a continuación en relación con los operadores o los organismos notificados, distintas de los mencionados en el artículo 5, estará sujeto a multas administrativas de hasta 15 000 000 EUR o, si el infractor es una empresa, de hasta el 3 % de su volumen de negocios mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior:

a) las obligaciones de los proveedores con arreglo al artículo 16;

b) las obligaciones de los representantes autorizados con arreglo al artículo 22;

c) las obligaciones de los importadores con arreglo al artículo 23;

d) las obligaciones de los distribuidores con arreglo al artículo 24;

e) las obligaciones de los responsables del despliegue con arreglo al artículo 26;

f) los requisitos y obligaciones de los organismos notificados con arreglo al artículo 31, al artículo 33, apartados 1, 3 y 4, o al artículo 34;

g) las obligaciones de transparencia de los proveedores y responsables del despliegue con arreglo al artículo 50.

5. La presentación de información inexacta, incompleta o engañosa a organismos notificados o a las autoridades nacionales competentes en respuesta a una solicitud estará sujeta a multas administrativas de hasta 7 500 000 EUR o, si el infractor es una empresa, de hasta el 1 % del volumen de negocios mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior.

6. En el caso de las pymes, incluidas las empresas emergentes, cada una de las multas a que se refiere el presente artículo podrá ser por el porcentaje o el importe a que se refieren los apartados 3, 4 y 5, según cuál de ellos sea menor.

7. Al decidir la imposición de una multa administrativa y su cuantía en cada caso concreto se tomarán en consideración todas las circunstancias pertinentes de la situación de que se trate y, en su caso, se tendrá en cuenta lo siguiente:

a) la naturaleza, la gravedad y la duración de la infracción y de sus consecuencias, teniendo en cuenta la finalidad del sistema de IA y, cuando proceda, el número de personas afectadas y el nivel de los daños que hayan sufrido;

b) si otras autoridades de vigilancia del mercado han impuesto ya multas administrativas al mismo operador por la misma infracción;

c) si otras autoridades han impuesto ya multas administrativas al mismo operador por infracciones de otros actos legislativos nacionales o de la Unión, cuando dichas infracciones se deriven de la misma actividad u omisión que constituya una infracción pertinente del presente Reglamento;

d) el tamaño, el volumen de negocios anual y la cuota de mercado del operador que comete la infracción;

e) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción;

f) el grado de cooperación con las autoridades nacionales competentes con el fin de subsanar la infracción y mitigar sus posibles efectos adversos;

g) el grado de responsabilidad del operador, teniendo en cuenta las medidas técnicas y organizativas aplicadas por este;

h) la forma en que las autoridades nacionales competentes tuvieron conocimiento de la infracción, en particular si el operador notificó la infracción y, en tal caso, en qué medida;

i) la intencionalidad o negligencia en la infracción;

j) las acciones emprendidas por el operador para mitigar los perjuicios sufridos por las personas afectadas.

8. Cada Estado miembro establecerá normas que determinen en qué medida es posible imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro.

9. En función del ordenamiento jurídico de los Estados miembros, las normas relativas a las multas administrativas podrán aplicarse de tal modo que las multas las impongan órganos jurisdiccionales nacionales competentes u otros organismos, según proceda en dichos Estados miembros. La aplicación de dichas normas en estos Estados miembros tendrá un efecto equivalente.

10. El ejercicio de poderes en virtud del presente artículo estará sujeto a garantías procesales adecuadas de conformidad con el Derecho de la Unión y nacional, entre ellas la tutela judicial efectiva y el respeto de las garantías procesales.

11. Los Estados miembros informarán anualmente a la Comisión de las multas administrativas que hayan impuesto durante ese año de conformidad con el presente artículo y de cualquier litigio o proceso judicial relacionados.

Artículo 100. Multas administrativas a instituciones, órganos y organismos de la Unión

1. El Supervisor Europeo de Protección de Datos podrá imponer multas administrativas a las instituciones, órganos y organismos de la Unión comprendidos en el ámbito de aplicación del presente Reglamento. Al decidir la imposición de una multa administrativa y su cuantía en cada caso concreto se tomarán en consideración todas las circunstancias pertinentes de la situación de que se trate y se tendrá debidamente en cuenta lo siguiente:

a) la naturaleza, la gravedad y la duración de la infracción y de sus consecuencias, teniendo en cuenta la finalidad del sistema de IA de que se trate, así como, cuando proceda, el número de personas afectadas y el nivel de los daños que hayan sufrido;

b) el grado de responsabilidad de la institución, órgano u organismo de la Unión, teniendo en cuenta las medidas técnicas y organizativas aplicadas;

c) las acciones emprendidas por la institución, órgano u organismo de la Unión para mitigar los perjuicios sufridos por las personas afectadas;

d) el grado de cooperación con el Supervisor Europeo de Protección de Datos con el fin de subsanar la infracción y mitigar sus posibles efectos adversos, incluido el cumplimiento de cualquiera de las medidas que el propio Supervisor Europeo de Protección de Datos haya ordenado previamente contra la institución, órgano u organismo de la Unión de que se trate en relación con el mismo asunto;

e) toda infracción anterior similar cometida por la institución, órgano u organismo de la Unión;

f) la forma en que el Supervisor Europeo de Protección de Datos tuvo conocimiento de la infracción, en particular si la institución, órgano u organismo de la Unión notificó la infracción y, en tal caso, en qué medida;

g) el presupuesto anual de la institución, órgano u organismo de la Unión.

2. El no respeto de la prohibición de las prácticas de IA a que se refiere el artículo 5 estará sujeto a multas administrativas de hasta 1 500 000 EUR.

3. El incumplimiento por parte del sistema de IA de cualquiera de los requisitos u obligaciones establecidos en el presente Reglamento, distintos de los previstos en el artículo 5, estará sujeto a multas administrativas de hasta 750 000 EUR.

4. Antes de tomar ninguna decisión en virtud del presente artículo, el Supervisor Europeo de Protección de Datos ofrecerá a la institución, órgano u organismo de la Unión sometida al procedimiento instruido por el Supervisor Europeo de Protección de Datos la oportunidad de ser oída en lo que respecta a la posible infracción. El Supervisor Europeo de Protección de Datos basará sus decisiones únicamente en los elementos y las circunstancias sobre los que las partes afectadas hayan podido manifestarse. Los denunciantes, si los hay, participarán estrechamente en el procedimiento.

5. Los derechos de defensa de las partes estarán garantizados plenamente en el curso del procedimiento. Tendrán derecho a acceder al expediente del Supervisor Europeo de Protección de Datos, sin perjuicio del interés legítimo de las personas físicas y las empresas en la protección de sus datos personales o secretos comerciales.

6. La recaudación proveniente de la imposición de multas con arreglo al presente artículo contribuirá al presupuesto general de la Unión. Las multas no afectarán al funcionamiento efectivo de la institución, órgano u organismo de la Unión sancionado.

7. El Supervisor Europeo de Protección de Datos informará anualmente a la Comisión de las multas administrativas que haya impuesto en virtud del presente artículo y de cualquier litigio o proceso judicial que haya iniciado.

Artículo 101. Multas a proveedores de modelos de IA de uso general

1. La Comisión podrá imponer multas a los proveedores de modelos de IA de uso general que no superen el 3 % de su volumen de negocios mundial total anual correspondiente al ejercicio financiero anterior o de 15 000 000 EUR, si esta cifra es superior, cuando la Comisión considere que, de forma deliberada o por negligencia:

a) infringieron las disposiciones pertinentes del presente Reglamento;

b) no atendieron una solicitud de información o documentos con arreglo al artículo 91, o han facilitado información inexacta, incompleta o engañosa;

c) incumplieron una medida solicitada en virtud del artículo 93;

d) no dieron acceso a la Comisión al modelo de IA de uso general o al modelo de IA de uso general con riesgo sistémico para que se lleve a cabo una evaluación con arreglo al artículo 92.

Al fijar el importe de la multa o de la multa coercitiva, se tomarán en consideración la naturaleza, gravedad y duración de la infracción, teniendo debidamente en cuenta los principios de proporcionalidad y adecuación. La Comisión también tendrá en cuenta los compromisos contraídos de conformidad con el artículo 93, apartado 3, y en los códigos de buenas prácticas pertinentes previstos en el artículo 56.

2. Antes de adoptar una decisión con arreglo al apartado 1, la Comisión comunicará sus conclusiones preliminares al proveedor del modelo de IA de uso general o del modelo de IA y le dará la oportunidad de ser oído.

3. Las multas impuestas de conformidad con el presente artículo serán efectivas, proporcionadas y disuasorias.

4. La información sobre las multas impuestas en virtud del presente artículo también se comunicará al Consejo de IA, según proceda.

5. El Tribunal de Justicia de la Unión Europea tendrá plena competencia jurisdiccional para examinar las decisiones de imposición de una multa adoptadas por la Comisión en virtud del presente artículo. Podrá anular, reducir o incrementar la cuantía de la multa impuesta.

6. La Comisión adoptará actos de ejecución que contengan disposiciones detalladas y garantías procesales para los procedimientos con vistas a la posible adopción de decisiones con arreglo al apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 98, apartado 2.

CAPÍTULO XIII. DISPOSICIONES FINALES

Artículo 102. Modificación del Reglamento (CE) nº 300/2008

En el artículo 4, apartado 3, del Reglamento (CE) nº 300/2008, se añade el párrafo siguiente:

«Al adoptar medidas detalladas relativas a las especificaciones técnicas y los procedimientos de aprobación y utilización del equipo de seguridad en relación con sistemas de inteligencia artificial en el sentido del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (*1), se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.

Artículo 103. Modificación del Reglamento (UE) nº 167/2013

En el artículo 17, apartado 5, del Reglamento (UE) nº 167/2013, se añade el párrafo siguiente:

«Al adoptar actos delegados en virtud del párrafo primero relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (*2), se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.

Artículo 104. Modificación del Reglamento (UE) nº 168/2013

En el artículo 22, apartado 5, del Reglamento (UE) nº 168/2013, se añade el párrafo siguiente:

«Al adoptar actos delegados en virtud del párrafo primero relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (*3), se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.

Artículo 105. Modificación de la Directiva 2014/90/UE

En el artículo 8 de la Directiva 2014/90/UE, se añade el apartado siguiente:

«5. En el caso de los sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (*4), la Comisión tendrá en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento al desempeñar sus actividades con arreglo al apartado 1 y al adoptar especificaciones técnicas y normas de ensayo de conformidad con los apartados 2 y 3.

Artículo 106. Modificación de la Directiva (UE) 2016/797

En el artículo 5 de la Directiva (UE) 2016/797, se añade el apartado siguiente:

«12. Al adoptar actos delegados en virtud del apartado 1 y actos de ejecución en virtud del apartado 11 relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (*5), se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.

Artículo 107. Modificación del Reglamento (UE) 2018/858

En el artículo 5 del Reglamento (UE) 2018/858, se añade el apartado siguiente:

«4. Al adoptar actos delegados en virtud del apartado 3 relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/… del Parlamento Europeo y del Consejo (*6), se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.

Artículo 108. Modificación del Reglamento (UE) 2018/1139

El Reglamento (UE) 2018/1139 se modifica como sigue:

1) En el artículo 17, se añade el apartado siguiente:

«3. Sin perjuicio de lo dispuesto en el apartado 2, al adoptar actos de ejecución en virtud del apartado 1 relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (*7), se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.

——————————————–

(*7) Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial) (DO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).».”

—————————————————–

2) En el artículo 19, se añade el apartado siguiente:

«4. Al adoptar actos delegados en virtud de los apartados 1 y 2 relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689, se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.».

3) En el artículo 43, se añade el apartado siguiente:

«4. Al adoptar actos de ejecución en virtud del apartado 1 relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689, se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.».

4) En el artículo 47, se añade el apartado siguiente:

«3. Al adoptar actos delegados en virtud de los apartados 1 y 2 relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689, se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.».

5) En el artículo 57, se añade el párrafo siguiente:

«Al adoptar dichos actos de ejecución relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689, se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.».

6) En el artículo 58, se añade el apartado siguiente:

Artículo 109. Modificación del Reglamento (UE) 2019/2144

En el artículo 11 del Reglamento (UE) 2019/2144, se añade el párrafo siguiente:

«3. Al adoptar actos de ejecución en virtud del apartado 2 relativos a sistemas de inteligencia artificial que sean componentes de seguridad en el sentido del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (*8), se tendrán en cuenta los requisitos establecidos en el capítulo III, sección 2, de dicho Reglamento.

Artículo 110. Modificación de la Directiva (UE) 2020/1828

En el anexo I de la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo (58) se añade el punto siguiente:

«68) Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 1689, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial) (DO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj).».

Artículo 111. Sistemas de IA ya introducidos en el mercado o puestos en servicio y modelos de IA de uso general ya introducidos en el mercado

1. Sin perjuicio de que se aplique el artículo 5 con arreglo a lo dispuesto en el artículo 113, apartado 3, letra a), los sistemas de IA que sean componentes de los sistemas informáticos de gran magnitud establecidos en virtud de los actos legislativos enumerados en el anexo X que se hayan introducido en el mercado o se hayan puesto en servicio antes del 2 de agosto de 2027 deberán estar en conformidad con el presente Reglamento a más tardar el 31 de diciembre de 2030.

Los requisitos establecidos en el presente Reglamento se tendrán en cuenta en la evaluación de cada sistema informático de gran magnitud establecido en virtud de los actos jurídicos enumerados en el anexo X que se efectúe de conformidad con lo dispuesto en dichos actos jurídicos y cuando dichos actos jurídicos hayan sido sustituidos o modificados.

2. Sin perjuicio de que se aplique el artículo 5 con arreglo a lo dispuesto en el artículo 113, apartado 3, letra a), el presente Reglamento se aplicará a los operadores de sistemas de IA de alto riesgo, distintos de los mencionados en el apartado 1 del presente artículo, que se hayan introducido en el mercado o se hayan puesto en servicio antes del 2 de agosto de 2026 únicamente si, a partir de esa fecha, dichos sistemas se ven sometidos a cambios significativos en su diseño. En cualquier caso, los proveedores y los responsables del despliegue de los sistemas de IA de alto riesgo destinados a ser utilizados por las autoridades públicas adoptarán las medidas necesarias para cumplir los requisitos y obligaciones del presente Reglamento a más tardar el 2 de agosto de 2030.

3. Los proveedores de modelos de IA de uso general que se hayan introducido en el mercado antes del 2 de agosto de 2025 adoptarán las medidas necesarias para cumplir las obligaciones establecidas en el presente Reglamento a más tardar el 2 de agosto de 2027.

Artículo 112. Evaluación y revisión

1. La Comisión evaluará la necesidad de modificar la lista del anexo III y la lista de prácticas de IA prohibidas previstas en el artículo 5 una vez al año a partir de la entrada en vigor del presente Reglamento y hasta el final del período de delegación de poderes previsto en el artículo 97. La Comisión presentará las conclusiones de dicha evaluación al Parlamento Europeo y al Consejo.

2. A más tardar el 2 de agosto de 2028, y posteriormente cada cuatro años, la Comisión evaluará los puntos siguientes e informará de ello al Parlamento Europeo y al Consejo:

a) la necesidad de ampliar los ámbitos enumerados en el anexo III o de añadir nuevos ámbitos;

b) la necesidad de modificar la lista de sistemas de IA que requieren medidas de transparencia adicionales con arreglo al artículo 50;

c) la necesidad de mejorar la eficacia del sistema de supervisión y gobernanza.

3. A más tardar el 2 de agosto de 2029, y posteriormente cada cuatro años, la Comisión presentará al Parlamento Europeo y al Consejo un informe sobre la evaluación y revisión del presente Reglamento. El informe incluirá una evaluación de la estructura de control del cumplimiento y de la posible necesidad de que una agencia de la Unión resuelva las deficiencias detectadas. En función de sus conclusiones, dicho informe irá acompañado, en su caso, de una propuesta de modificación del presente Reglamento. Los informes se harán públicos.

4. En los informes mencionados en el apartado 2 se prestará una atención especial a lo siguiente:

a) el estado de los recursos financieros, técnicos y humanos de las autoridades nacionales competentes para desempeñar de forma eficaz las funciones que les hayan sido asignadas en virtud del presente Reglamento;

b) el estado de las sanciones, en particular, de las multas administrativas a que se refiere el artículo 99, apartado 1, aplicadas por los Estados miembros a las infracciones de las disposiciones del presente Reglamento;

c) las normas armonizadas adoptadas y las especificaciones comunes desarrolladas en apoyo del presente Reglamento;

d) el número de empresas que entran en el mercado después de que se empiece a aplicar el presente Reglamento y, de entre ellas, el número de pymes.

5. A más tardar el 2 de agosto de 2028, la Comisión evaluará el funcionamiento de la Oficina de IA, si se le han otorgado poderes y competencias suficientes para desempeñar sus funciones, y si sería pertinente y necesario para la correcta aplicación y ejecución del presente Reglamento mejorar la Oficina de IA y sus competencias de ejecución, así como aumentar sus recursos. La Comisión presentará un informe sobre su evaluación al Parlamento Europeo y al Consejo.

6. A más tardar el 2 de agosto de 2028 y posteriormente cada cuatro años, la Comisión presentará un informe sobre la revisión de los avances en la elaboración de documentos de normalización sobre el desarrollo eficiente desde el punto de vista energético de modelos de IA de uso general y evaluará la necesidad de medidas o acciones adicionales, incluidas medidas o acciones vinculantes. Este informe se remitirá al Parlamento Europeo y al Consejo y se hará público.

7. A más tardar el 2 de agosto de 2028 y posteriormente cada tres años, la Comisión evaluará la incidencia y la eficacia de los códigos de conducta voluntarios por lo que respecta a promover la aplicación de los requisitos establecidos en el capítulo III, sección 2, a sistemas de IA que no sean de alto riesgo y, en su caso, de otros requisitos adicionales aplicables a los sistemas de IA que no sean sistemas de IA de alto riesgo, como, por ejemplo, requisitos relativos a la sostenibilidad medioambiental.

8. A efectos de lo dispuesto en los apartados 1 a 7, el Consejo de IA, los Estados miembros y las autoridades nacionales competentes facilitarán información a la Comisión, cuando así lo solicite, y sin demora indebida.

9. Al llevar a cabo las evaluaciones y revisiones mencionadas en los apartados 1 a 7, la Comisión tendrá en cuenta las posiciones y conclusiones del Consejo de IA, el Parlamento Europeo, el Consejo y los demás organismos o fuentes pertinentes.

10. La Comisión presentará, en caso necesario, las propuestas oportunas de modificación del presente Reglamento, en particular teniendo en cuenta la evolución de la tecnología y el efecto de los sistemas de IA en la salud y la seguridad y en los derechos fundamentales, y a la vista de los avances en la sociedad de la información.

11. Para orientar las evaluaciones y revisiones a que se refieren los apartados 1 a 7 del presente artículo, la Oficina de IA se encargará de desarrollar una metodología objetiva y participativa para la evaluación de los niveles de riesgo a partir de los criterios expuestos en los artículos pertinentes y la inclusión de nuevos sistemas en:

a) la lista establecida en el anexo III, incluida la ampliación de los ámbitos existentes o la inclusión de nuevos ámbitos en dicho anexo;

b) la lista de prácticas prohibidas establecida en el artículo 5, y

c) la lista de sistemas de IA que requieren medidas de transparencia adicionales con arreglo al artículo 50.

12. Las modificaciones del presente Reglamento con arreglo al apartado 10, o los actos delegados o de ejecución pertinentes, que afecten a los actos legislativos de armonización de la Unión sectoriales que se enumeran en el anexo I, sección B, tendrán en cuenta las particularidades normativas de cada sector y los mecanismos de gobernanza, evaluación de la conformidad y ejecución vigentes, así como las autoridades establecidas en ellos.

13. A más tardar el 2 de agosto de 2031, la Comisión evaluará la ejecución del presente Reglamento e informará al respecto al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo, teniendo en cuenta los primeros años de aplicación del presente Reglamento. En función de sus conclusiones, dicho informe irá acompañado, en su caso, de una propuesta de modificación del presente Reglamento en lo que respecta a la estructura de ejecución y a la necesidad de que una agencia de la Unión resuelva las deficiencias detectadas.

Artículo 113. Entrada en vigor y aplicación

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Será aplicable a partir del 2 de agosto de 2026.

No obstante:

a) los capítulos I y II serán aplicables a partir del 2 de febrero de 2025;

b) el capítulo III, sección 4, el capítulo V, el capítulo VII y el capítulo XII y el artículo 78 serán aplicables a partir del 2 de agosto de 2025, a excepción del artículo 101;

c) el artículo 6, apartado 1, y las obligaciones correspondientes del presente Reglamento serán aplicables a partir del 2 de agosto de 2027.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 13 de junio de 2024.

Por el Parlamento Europeo, La Presidenta, R. METSOLA

Por el Consejo, El Presidente, M. MICHEL

———————————————————-

(1) DO C 517 de 22.12.2021, p. 56.

(2) DO C 115 de 11.3.2022, p. 5.

(3) DO C 97 de 28.2.2022, p. 60.

(4) Posición del Parlamento Europeo de 13 de marzo de 2024 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 21 de mayo de 2024.

(5) Consejo Europeo, Reunión extraordinaria del Consejo Europeo (1 y 2 de octubre de 2020) – Conclusiones, EUCO 13/20, 2020, p. 6.

(6) Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un marco de los aspectos éticos de la inteligencia artificial, la robótica y las tecnologías conexas [2020/2012(INL)].

(7) Reglamento (CE) nº 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y por el que se deroga el Reglamento (CEE) nº 339/93 (DO L 218 de 13.8.2008, p. 30).

(8) Decisión nº 768/2008/CE del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre un marco común para la comercialización de los productos y por la que se deroga la Decisión 93/465/CEE del Consejo (DO L 218 de 13.8.2008, p. 82).

(9) Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Reglamentos (CE) nº 765/2008 y (UE) nº 305/2011 (DO L 169 de 25.6.2019, p. 1).

(10) Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de responsabilidad por los daños causados por productos defectuosos (DO L 210 de 7.8.1985, p. 29).

(11) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(12) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(13) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

(14) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(16) Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70).

(17) Directiva 2005/29/CE del Parlamento Europeo y del Consejo, de 11 de mayo de 2005, relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior, que modifica la Directiva 84/450/CEE del Consejo, las Directivas 97/7/CE, 98/27/CE y 2002/65/CE del Parlamento Europeo y del Consejo y el Reglamento (CE) nº 2006/2004 del Parlamento Europeo y del Consejo («Directiva sobre las prácticas comerciales desleales») (DO L 149 de 11.6.2005, p. 22).

(18) Decisión Marco 2002/584/JAI del Consejo, de 13 de junio de 2002, relativa a la orden de detención europea y a los procedimientos de entrega entre Estados miembros (DO L 190 de 18.7.2002, p. 1).

(19) Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo (DO L 333 de 27.12.2022, p. 164).

(20) DO C 247 de 29.6.2022, p. 1.

(21) Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios, por el que se modifican la Directiva 2001/83/CE, el Reglamento (CE) nº 178/2002 y el Reglamento (CE) nº 1223/2009 y por el que se derogan las Directivas 90/385/CEE y 93/42/CEE del Consejo (DO L 117 de 5.5.2017, p. 1).

(22) Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios para diagnóstico in vitro y por el que se derogan la Directiva 98/79/CE y la Decisión 2010/227/UE de la Comisión (DO L 117 de 5.5.2017, p. 176).

(23) Directiva 2006/42/CE del Parlamento Europeo y del Consejo, de 17 de mayo de 2006, relativa a las máquinas y por la que se modifica la Directiva 95/16/CE (DO L 157 de 9.6.2006, p. 24).

(24) Reglamento (CE) nº 300/2008 del Parlamento Europeo y del Consejo, de 11 de marzo de 2008, sobre normas comunes para la seguridad de la aviación civil y por el que se deroga el Reglamento (CE) nº 2320/2002 (DO L 97 de 9.4.2008, p. 72).

(25) Reglamento (UE) nº 167/2013 del Parlamento Europeo y del Consejo, de 5 de febrero de 2013, relativo a la homologación de los vehículos agrícolas o forestales, y a la vigilancia del mercado de dichos vehículos (DO L 60 de 2.3.2013, p. 1).

(26) Reglamento (UE) nº 168/2013 del Parlamento Europeo y del Consejo, de 15 de enero de 2013, relativo a la homologación de los vehículos de dos o tres ruedas y los cuatriciclos, y a la vigilancia del mercado de dichos vehículos (DO L 60 de 2.3.2013, p. 52).

(27) Directiva 2014/90/UE del Parlamento Europeo y del Consejo, de 23 de julio de 2014, sobre equipos marinos, y por la que se deroga la Directiva 96/98/CE del Consejo (DO L 257 de 28.8.2014, p. 146).

(28) Directiva (UE) 2016/797 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, sobre la interoperabilidad del sistema ferroviario dentro de la Unión Europea (DO L 138 de 26.5.2016, p. 44).

(29) Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, sobre la homologación y la vigilancia del mercado de los vehículos de motor y sus remolques y de los sistemas, los componentes y las unidades técnicas independientes destinados a dichos vehículos, por el que se modifican los Reglamentos (CE) nº 715/2007 y (CE) nº 595/2009 y por el que se deroga la Directiva 2007/46/CE (DO L 151 de 14.6.2018, p. 1).

(30) Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo, de 4 de julio de 2018, sobre normas comunes en el ámbito de la aviación civil y por el que se crea una Agencia de la Unión Europea para la Seguridad Aérea y por el que se modifican los Reglamentos (CE) nº 2111/2005, (CE) nº 1008/2008, (UE) nº 996/2010 y (UE) nº 376/2014 y las Directivas 2014/30/UE y 2014/53/UE del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) nº 552/2004 y (CE) nº 216/2008 del Parlamento Europeo y del Consejo y el Reglamento (CEE) nº 3922/91 del Consejo (DO L 212 de 22.8.2018, p. 1).

(31) Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo, de 27 de noviembre de 2019, relativo a los requisitos de homologación de tipo de los vehículos de motor y de sus remolques, así como de los sistemas, componentes y unidades técnicas independientes destinados a esos vehículos, en lo que respecta a su seguridad general y a la protección de los ocupantes de los vehículos y de los usuarios vulnerables de la vía pública, por el que se modifica el Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) nº 78/2009, (CE) nº 79/2009 y (CE) nº 661/2009 del Parlamento Europeo y del Consejo y los Reglamentos (CE) nº 631/2009, (UE) nº 406/2010, (UE) nº 672/2010, (UE) nº 1003/2010, (UE) nº 1005/2010, (UE) nº 1008/2010, (UE) nº 1009/2010, (UE) nº 19/2011, (UE) nº 109/2011, (UE) nº 458/2011, (UE) nº 65/2012, (UE) nº 130/2012, (UE) nº 347/2012, (UE) nº 351/2012, (UE) nº 1230/2012 y (UE) 2015/166 de la Comisión (DO L 325 de 16.12.2019, p 1).

(32) Reglamento (CE) nº 810/2009 del Parlamento Europeo y del Consejo, de 13 de julio de 2009, por el que se establece un Código comunitario sobre visados (Código de visados) (DO L 243 de 15.9.2009, p. 1).

(33) Directiva 2013/32/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre procedimientos comunes para la concesión o la retirada de la protección internacional (DO L 180 de 29.6.2013, p. 60).

(34) Reglamento (UE) 2024/900 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, sobre transparencia y segmentación en la publicidad política (DO L, 2024/900, 20.3.2024, ELI: http://data.europa.eu/eli/reg/2024/900/oj).

(35) Directiva 2014/31/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre la armonización de las legislaciones de los Estados miembros en materia de comercialización de instrumentos de pesaje de funcionamiento no automático (DO L 96 de 29.3.2014, p. 107).

(36) Directiva 2014/32/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre la armonización de las legislaciones de los Estados miembros en materia de comercialización de instrumentos de medida (DO L 96 de 29.3.2014, p. 149).

(37) Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) nº 526/2013 («Reglamento sobre la Ciberseguridad») (DO L 151 de 7.6.2019, p. 15).

(38) Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo, de 26 de octubre de 2016, sobre la accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público (DO L 327 de 2.12.2016, p. 1).

(39) Directiva 2002/14/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 2002, por la que se establece un marco general relativo a la información y a la consulta de los trabajadores en la Comunidad Europea (DO L 80 de 23.3.2002, p. 29).

(40) Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los derechos de autor y derechos afines en el mercado único digital y por la que se modifican las Directivas 96/9/CE y 2001/29/CE (DO L 130 de 17.5.2019, p. 92).

(41) Reglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión nº 1673/2006/CE del Parlamento Europeo y del Consejo (DO L 316 de 14.11.2012, p. 12).

(42) Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos) (DO L 152 de 3.6.2022, p. 1).

(43) Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Reglamento de Datos) (DO L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).

(44) Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).

(45) Decisión de la Comisión, de 24 de enero de 2024, por la que se crea la Oficina Europea de Inteligencia Artificial (C/2024/390).

(46) Reglamento (UE) nº 575/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los requisitos prudenciales de las entidades de crédito, y por el que se modifica el Reglamento (UE) nº 648/2012 (DO L 176 de 27.6.2013, p. 1).

(47) Directiva 2008/48/CE del Parlamento Europeo y del Consejo, de 23 de abril de 2008, relativa a los contratos de crédito al consumo y por la que se deroga la Directiva 87/102/CEE del Consejo (DO L 133 de 22.5.2008, p. 66).

(48) Directiva 2009/138/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, sobre el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II) (DO L 335 de 17.12.2009, p. 1).

(49) Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).

(50) Directiva 2014/17/UE del Parlamento Europeo y del Consejo, de 4 de febrero de 2014, sobre los contratos de crédito celebrados con los consumidores para bienes inmuebles de uso residencial y por la que se modifican las Directivas 2008/48/CE y 2013/36/UE y el Reglamento (UE) nº 1093/2010 (DO L 60 de 28.2.2014, p. 34).

(51) Directiva (UE) 2016/97 del Parlamento Europeo y del Consejo, de 20 de enero de 2016, sobre la distribución de seguros (DO L 26 de 2.2.2016, p. 19).

(52) Reglamento (UE) nº 1024/2013 del Consejo, de 15 de octubre de 2013, que encomienda al Banco Central Europeo tareas específicas respecto de políticas relacionadas con la supervisión prudencial de las entidades de crédito (DO L 287 de 29.10.2013, p. 63).

(53) Reglamento (UE) 2023/988 del Parlamento Europeo y del Consejo, de 10 de mayo de 2023, relativo a la seguridad general de los productos, por el que se modifican el Reglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo y la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2001/95/CE del Parlamento Europeo y del Consejo y la Directiva 87/357/CEE del Consejo (DO L 135 de 23.5.2023, p. 1).

(54) Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (DO L 305 de 26.11.2019, p. 17).

(55) DO L 123 de 12.5.2016, p. 1.

(56) Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

(57) Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas (DO L 157 de 15.6.2016, p. 1).

(58) Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2020, relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, y por la que se deroga la Directiva 2009/22/CE (DO L 409 de 4.12.2020, p. 1).

ANEXO I. Lista de actos legislativos de armonización de la Unión

Sección A — Lista de actos legislativos de armonización de la Unión basados en el nuevo marco legislativo

1. Directiva 2006/42/CE del Parlamento Europeo y del Consejo, de 17 de mayo de 2006, relativa a las máquinas y por la que se modifica la Directiva 95/16/CE (DO L 157 de 9.6.2006, p. 24)

2. Directiva 2009/48/CE del Parlamento Europeo y del Consejo, de 18 de junio de 2009, sobre la seguridad de los juguetes (DO L 170 de 30.6.2009, p. 1)

3. Directiva 2013/53/UE del Parlamento Europeo y del Consejo, de 20 de noviembre de 2013, relativa a las embarcaciones de recreo y a las motos acuáticas, y por la que se deroga la Directiva 94/25/CE (DO L 354 de 28.12.2013, p. 90)

4. Directiva 2014/33/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre la armonización de las legislaciones de los Estados miembros en materia de ascensores y componentes de seguridad para ascensores (DO L 96 de 29.3.2014, p. 251)

5. Directiva 2014/34/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre la armonización de las legislaciones de los Estados miembros en materia de aparatos y sistemas de protección para uso en atmósferas potencialmente explosivas (DO L 96 de 29.3.2014, p. 309)

6. Directiva 2014/53/UE del Parlamento Europeo y del Consejo, de 16 de abril de 2014, relativa a la armonización de las legislaciones de los Estados miembros sobre la comercialización de equipos radioeléctricos, y por la que se deroga la Directiva 1999/5/CE (DO L 153 de 22.5.2014, p. 62)

7. Directiva 2014/68/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a la armonización de las legislaciones de los Estados miembros sobre la comercialización de equipos a presión (DO L 189 de 27.6.2014, p. 164)

8. Reglamento (UE) 2016/424 del Parlamento Europeo y del Consejo, de 9 de marzo de 2016, relativo a las instalaciones de transporte por cable y por el que se deroga la Directiva 2000/9/CE (DO L 81 de 31.3.2016, p. 1)

9. Reglamento (UE) 2016/425 del Parlamento Europeo y del Consejo, de 9 de marzo de 2016, relativo a los equipos de protección individual y por el que se deroga la Directiva 89/686/CEE del Consejo (DO L 81 de 31.3.2016, p. 51)

10. Reglamento (UE) 2016/426 del Parlamento Europeo y del Consejo, de 9 de marzo de 2016, sobre los aparatos que queman combustibles gaseosos y por el que se deroga la Directiva 2009/142/CE (DO L 81 de 31.3.2016, p. 99)

11. Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios, por el que se modifican la Directiva 2001/83/CE, el Reglamento (CE) nº 178/2002 y el Reglamento (CE) nº 1223/2009 y por el que se derogan las Directivas 90/385/CEE y 93/42/CEE del Consejo (DO L 117 de 5.5.2017, p. 1)

12. Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios para diagnóstico in vitro y por el que se derogan la Directiva 98/79/CE y la Decisión 2010/227/UE de la Comisión (DO L 117 de 5.5.2017, p. 176)

Sección B — Lista de otros actos legislativos de armonización de la Unión

13. Reglamento (CE) nº 300/2008 del Parlamento Europeo y del Consejo, de 11 de marzo de 2008, sobre normas comunes para la seguridad de la aviación civil y por el que se deroga el Reglamento (CE) nº 2320/2002 (DO L 97 de 9.4.2008, p. 72)

14. Reglamento (UE) nº 168/2013 del Parlamento Europeo y del Consejo, de 15 de enero de 2013, relativo a la homologación de los vehículos de dos o tres ruedas y los cuatriciclos, y a la vigilancia del mercado de dichos vehículos (DO L 60 de 2.3.2013, p. 52)

15. Reglamento (UE) nº 167/2013 del Parlamento Europeo y del Consejo, de 5 de febrero de 2013, relativo a la homologación de los vehículos agrícolas o forestales, y a la vigilancia del mercado de dichos vehículos (DO L 60 de 2.3.2013, p. 1)

16. Directiva 2014/90/UE del Parlamento Europeo y del Consejo, de 23 de julio de 2014, sobre equipos marinos, y por la que se deroga la Directiva 96/98/CE del Consejo (DO L 257 de 28.8.2014, p. 146)

17. Directiva (UE) 2016/797 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, sobre la interoperabilidad del sistema ferroviario dentro de la Unión Europea (DO L 138 de 26.5.2016, p. 44)

18. Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, sobre la homologación y la vigilancia del mercado de los vehículos de motor y sus remolques y de los sistemas, los componentes y las unidades técnicas independientes destinados a dichos vehículos, por el que se modifican los Reglamentos (CE) nº 715/2007 y (CE) nº 595/2009 y por el que se deroga la Directiva 2007/46/CE (DO L 151 de 14.6.2018, p. 1)

19. Reglamento (UE) 2019/2144 del Parlamento Europeo y del Consejo, de 27 de noviembre de 2019, relativo a los requisitos de homologación de tipo de los vehículos de motor y de sus remolques, así como de los sistemas, componentes y unidades técnicas independientes destinados a esos vehículos, en lo que respecta a su seguridad general y a la protección de los ocupantes de los vehículos y de los usuarios vulnerables de la vía pública, por el que se modifica el Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) nº 78/2009, (CE) nº 79/2009 y (CE) nº 661/2009 del Parlamento Europeo y del Consejo y los Reglamentos (CE) nº 631/2009, (UE) nº 406/2010, (UE) nº 672/2010, (UE) nº 1003/2010, (UE) nº 1005/2010, (UE) nº 1008/2010, (UE) nº 1009/2010, (UE) nº 19/2011, (UE) nº 109/2011, (UE) nº 458/2011, (UE) nº 65/2012, (UE) nº 130/2012, (UE) nº 347/2012, (UE) nº 351/2012, (UE) nº 1230/2012 y (UE) 2015/166 de la Comisión (DO L 325 de 16.12.2019, p. 1)

20. Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo, de 4 de julio de 2018, sobre normas comunes en el ámbito de la aviación civil y por el que se crea una Agencia de la Unión Europea para la Seguridad Aérea y por el que se modifican los Reglamentos (CE) nº 2111/2005, (CE) nº 1008/2008, (UE) nº 996/2010 y (UE) nº 376/2014 y las Directivas 2014/30/UE y 2014/53/UE del Parlamento Europeo y del Consejo y se derogan los Reglamentos (CE) nº 552/2004 y (CE) nº 216/2008 del Parlamento Europeo y del Consejo y el Reglamento (CEE) nº 3922/91 del Consejo (DO L 212 de 22.8.2018, p. 1), en la medida en que afecte al diseño, la producción y la introducción en el mercado de aeronaves a que se refiere el artículo 2, apartado 1, letras a) y b), por lo que respecta a las aeronaves no tripuladas y sus motores, hélices, componentes y equipos para controlarlas a distancia

ANEXO II. Lista de los delitos a que se refiere el artículo 5, apartado 1, párrafo primero, letra h), inciso iii)

Delitos a que se refiere el artículo 5, apartado 1, párrafo primero, letra h), inciso iii):

—terrorismo,

—trata de seres humanos,

—explotación sexual de menores y pornografía infantil,

—tráfico ilícito de estupefacientes o sustancias psicotrópicas,

—tráfico ilícito de armas, municiones y explosivos,

—homicidio voluntario, agresión con lesiones graves,

—tráfico ilícito de órganos o tejidos humanos,

—tráfico ilícito de materiales nucleares o radiactivos,

—secuestro, detención ilegal o toma de rehenes,

—delitos que son competencia de la Corte Penal Internacional,

—secuestro de aeronaves o buques,

—violación,

—delitos contra el medio ambiente,

—robo organizado o a mano armada,

—sabotaje,

—participación en una organización delictiva implicada en uno o varios de los delitos enumerados en esta lista.

ANEXO III. Sistemas de IA de alto riesgo a que se refiere el artículo 6, apartado 2

Los sistemas de IA de alto riesgo con arreglo al artículo 6, apartado 2, son los sistemas de IA que formen parte de cualquiera de los ámbitos siguientes:

1. Biometría, en la medida en que su uso esté permitido por el Derecho de la Unión o nacional aplicable:

a) Sistemas de identificación biométrica remota

Quedan excluidos los sistemas de IA destinados a ser utilizados con fines de verificación biométrica cuya única finalidad sea confirmar que una persona física concreta es la persona que afirma ser

b) Sistemas de IA destinados a ser utilizados para la categorización biométrica en función de atributos o características sensibles o protegidos basada en la inferencia de dichos atributos o características

c) Sistemas de IA destinados a ser utilizados para el reconocimiento de emociones

2. Infraestructuras críticas: Sistemas de IA destinados a ser utilizados como componentes de seguridad en la gestión y el funcionamiento de las infraestructuras digitales críticas, del tráfico rodado o del suministro de agua, gas, calefacción o electricidad

3. Educación y formación profesional:

a) Sistemas de IA destinados a ser utilizados para determinar el acceso o la admisión de personas físicas a centros educativos y de formación profesional a todos los niveles o para distribuir a las personas físicas entre dichos centros

b) Sistemas de IA destinados a ser utilizados para evaluar los resultados del aprendizaje, también cuando dichos resultados se utilicen para orientar el proceso de aprendizaje de las personas físicas en centros educativos y de formación profesional a todos los niveles

c) Sistemas de IA destinados a ser utilizados para evaluar el nivel de educación adecuado que recibirá una persona o al que podrá acceder, en el contexto de los centros educativos y de formación profesional o dentro de estos a todos los niveles

d) Sistemas de IA destinados a ser utilizados para el seguimiento y la detección de comportamientos prohibidos por parte de los estudiantes durante los exámenes en el contexto de los centros educativos y de formación profesional o dentro de estos a todos los niveles

4. Empleo, gestión de los trabajadores y acceso al autoempleo:

a) Sistemas de IA destinados a ser utilizados para la contratación o la selección de personas físicas, en particular para publicar anuncios de empleo específicos, analizar y filtrar las solicitudes de empleo y evaluar a los candidatos

b) Sistemas de IA destinados a ser utilizados para tomar decisiones que afecten a las condiciones de las relaciones de índole laboral o a la promoción o rescisión de relaciones contractuales de índole laboral, para la asignación de tareas a partir de comportamientos individuales o rasgos o características personales o para supervisar y evaluar el rendimiento y el comportamiento de las personas en el marco de dichas relaciones

5. Acceso a servicios privados esenciales y a servicios y prestaciones públicos esenciales y disfrute de estos servicios y prestaciones:

a) Sistemas de IA destinados a ser utilizados por las autoridades públicas o en su nombre para evaluar la admisibilidad de las personas físicas para beneficiarse de servicios y prestaciones esenciales de asistencia pública, incluidos los servicios de asistencia sanitaria, así como para conceder, reducir o retirar dichos servicios y prestaciones o reclamar su devolución

b) Sistemas de IA destinados a ser utilizados para evaluar la solvencia de personas físicas o establecer su calificación crediticia, salvo los sistemas de IA utilizados al objeto de detectar fraudes financieros

c) Sistemas de IA destinados a ser utilizados para la evaluación de riesgos y la fijación de precios en relación con las personas físicas en el caso de los seguros de vida y de salud

d) Sistemas de IA destinados a ser utilizados para la evaluación y la clasificación de las llamadas de emergencia realizadas por personas físicas o para el envío o el establecimiento de prioridades en el envío de servicios de primera intervención en situaciones de emergencia, por ejemplo, policía, bomberos y servicios de asistencia médica, y en sistemas de triaje de pacientes en el contexto de la asistencia sanitaria de urgencia

6. Garantía del cumplimiento del Derecho, en la medida en que su uso esté permitido por el Derecho de la Unión o nacional aplicable:

a) Sistemas de IA destinados a ser utilizados por las autoridades garantes del cumplimiento del Derecho, o en su nombre, o por las instituciones, órganos y organismos de la Unión en apoyo de las autoridades garantes del cumplimiento del Derecho, o en su nombre, para evaluar el riesgo de que una persona física sea víctima de delitos

b) Sistemas de IA destinados a ser utilizados por las autoridades garantes del cumplimiento del Derecho, o en su nombre, o por las instituciones, órganos y organismos de la Unión en apoyo de las autoridades garantes del cumplimiento del Derecho como polígrafos o herramientas similares

c) Sistemas de IA destinados a ser utilizados por las autoridades garantes del cumplimiento del Derecho, o en su nombre, o por las instituciones, órganos y organismos de la Unión en apoyo de las autoridades garantes del cumplimiento del Derecho para evaluar la fiabilidad de las pruebas durante la investigación o el enjuiciamiento de delitos

d) Sistemas de IA destinados a ser utilizados por las autoridades garantes del cumplimiento del Derecho, o en su nombre, o por las instituciones, órganos y organismos de la Unión en apoyo de las autoridades garantes del cumplimiento del Derecho para evaluar el riesgo de que una persona física cometa un delito o reincida en la comisión de un delito atendiendo no solo a la elaboración de perfiles de personas físicas mencionada en el artículo 3, punto 4, de la Directiva (UE) 2016/680 o para evaluar rasgos y características de la personalidad o comportamientos delictivos pasados de personas físicas o colectivos

e) Sistemas de IA destinados a ser utilizados por las autoridades garantes del cumplimiento del Derecho, o en su nombre, o por las instituciones, órganos y organismos de la Unión en apoyo de las autoridades garantes del cumplimiento del Derecho para elaborar perfiles de personas físicas, como se menciona en el artículo 3, punto 4, de la Directiva (UE) 2016/680, durante la detección, la investigación o el enjuiciamiento de delitos

7. Migración, asilo y gestión del control fronterizo, en la medida en que su uso esté permitido por el Derecho de la Unión o nacional aplicable:

a) Sistemas de IA destinados a ser utilizados por las autoridades públicas competentes, o en su nombre, o por las instituciones, órganos y organismos de la Unión, como polígrafos o herramientas similares

b) Sistemas de IA destinados a ser utilizados por las autoridades públicas competentes, o en su nombre, o por las instituciones, órganos y organismos de la Unión para evaluar un riesgo, por ejemplo, un riesgo para la seguridad, la salud o de migración irregular, que plantee una persona física que tenga la intención de entrar en el territorio de un Estado miembro o haya entrado en él

c) Sistemas de IA destinados a ser utilizados por las autoridades públicas competentes, o en su nombre, o por las instituciones, órganos y organismos de la Unión para ayudar a las autoridades públicas competentes a examinar las solicitudes de asilo, visado o permiso de residencia y las reclamaciones conexas con el fin de determinar si las personas físicas solicitantes reúnen los requisitos necesarios para que se conceda su solicitud, con inclusión de la evaluación conexa de la fiabilidad de las pruebas

d) Sistemas de IA destinados a ser utilizados por las autoridades públicas competentes, o en su nombre, o por las instituciones, órganos y organismos de la Unión, en el contexto de la migración, el asilo o la gestión del control fronterizo, con el fin de detectar, reconocer o identificar a personas físicas, con excepción de la verificación de documentos de viaje

8. Administración de justicia y procesos democráticos:

a) Sistemas de IA destinados a ser utilizados por una autoridad judicial, o en su nombre, para ayudar a una autoridad judicial en la investigación e interpretación de hechos y de la ley, así como en la garantía del cumplimiento del Derecho a un conjunto concreto de hechos, o a ser utilizados de forma similar en una resolución alternativa de litigios;

b) Sistemas de IA destinados a ser utilizados para influir en el resultado de una elección o referéndum o en el comportamiento electoral de personas físicas que ejerzan su derecho de voto en elecciones o referendos. Quedan excluidos los sistemas de IA a cuyos resultados de salida no estén directamente expuestos las personas físicas, como las herramientas utilizadas para organizar, optimizar o estructurar campañas políticas desde un punto de vista administrativo o logístico.

ANEXO IV. Documentación técnica a que se refiere el artículo 11, apartado 1

La documentación técnica a que se refiere el artículo 11, apartado 1, incluirá como mínimo la siguiente información, aplicable al sistema de IA pertinente:

1. Una descripción general del sistema de IA que incluya:

a) su finalidad prevista, el nombre del proveedor y la versión del sistema de tal manera que se refleje su relación con versiones anteriores;

b) la manera en que el sistema de IA interactúa o puede utilizarse para interactuar con hardware o software, también con otros sistemas de IA, que no formen parte del propio sistema de IA, cuando proceda;

c) las versiones de software o firmware pertinentes y todo requisito relacionado con la actualización de versiones;

d) la descripción de todas las formas en que el sistema de IA se introduce en el mercado o se pone en servicio, como paquetes de software integrados en el hardware, descargas o API;

e) la descripción del hardware en el que está previsto que se ejecute el sistema de IA;

f) en el caso de que el sistema de IA sea un componente de un producto, fotografías o ilustraciones de las características exteriores, el marcado y la configuración interna de dicho producto;

g) una descripción básica de la interfaz de usuario facilitada al responsable del despliegue;

h) instrucciones de uso para el responsable del despliegue y una descripción básica de la interfaz de usuario facilitada al responsable del despliegue, cuando proceda.

2. Una descripción detallada de los elementos del sistema de IA y de su proceso de desarrollo, incluidos:

a) los métodos y las medidas adoptados para el desarrollo del sistema de IA, incluido, en su caso, el recurso a sistemas o herramientas previamente entrenados facilitados por terceros y la manera en que han sido utilizados, integrados o modificados por el proveedor;

b) las especificaciones de diseño del sistema, a saber, la lógica general del sistema de IA y de los algoritmos; las decisiones clave de diseño, incluidos la lógica y los supuestos de los que se ha partido, también con respecto a las personas o colectivos de personas en relación con los que está previsto que se utilice el sistema; las principales decisiones de clasificación; aquello que el sistema está diseñado para optimizar y la pertinencia de los diversos parámetros; la descripción de los resultados de salida esperados del sistema y la calidad de dichos resultados; las decisiones adoptadas acerca de cualquier posible concesión con respecto a las soluciones técnicas adoptadas para dar cumplimiento a los requisitos establecidos en el capítulo III, sección 2;

c) la arquitectura del sistema, con una explicación de la manera en que los componentes del software se utilizan o enriquecen mutuamente y de la manera en que se integran en el procesamiento general; los recursos informáticos utilizados para desarrollar, entrenar, probar y validar el sistema de IA;

d) cuando proceda, los requisitos en materia de datos, en forma de fichas técnicas que describan las metodologías y técnicas de entrenamiento, así como los conjuntos de datos de entrenamiento utilizados, e incluyan una descripción general de dichos conjuntos de datos e información acerca de su procedencia, su alcance y sus características principales; la manera en que se obtuvieron y seleccionaron los datos; los procedimientos de etiquetado (p. ej., para el aprendizaje supervisado) y las metodologías de depuración de datos (p. ej., la detección de anomalías);

e) una evaluación de las medidas de supervisión humana necesarias de conformidad con el artículo 14, incluida una evaluación de las medidas técnicas necesarias para facilitar la interpretación de los resultados de salida de los sistemas de IA por parte de los responsables del despliegue, con arreglo al artículo 13, apartado 3, letra d);

f) en su caso, una descripción detallada de los cambios predeterminados en el sistema de IA y su funcionamiento, junto con toda la información pertinente relativa a las soluciones técnicas adoptadas con el objetivo de garantizar la conformidad permanente del sistema de IA con los requisitos pertinentes establecidos en el capítulo III, sección 2;

g) los procedimientos de validación y prueba utilizados, incluida la información acerca de los datos de validación y prueba empleados y sus características principales; los parámetros utilizados para medir la precisión, la solidez y el cumplimiento de otros requisitos pertinentes establecidos en el capítulo III, sección 2, así como los efectos potencialmente discriminatorios; los archivos de registro de las pruebas y todos los informes de las pruebas fechados y firmados por las personas responsables, también en lo que respecta a los cambios predeterminados a que se refiere la letra f);

h) las medidas de ciberseguridad adoptadas.

3. Información detallada acerca de la supervisión, el funcionamiento y el control del sistema de IA, en particular con respecto a sus capacidades y limitaciones de funcionamiento, incluidos los niveles de precisión para las personas o colectivos de personas específicos en relación con los que está previsto que se utilice el sistema y el nivel general de precisión esperado en relación con su finalidad prevista; los resultados no deseados previsibles y las fuentes de riesgo para la salud y la seguridad, los derechos fundamentales y la discriminación, en vista de la finalidad prevista del sistema de IA; las medidas de supervisión humana necesarias de conformidad con el artículo 14, incluidas las medidas técnicas establecidas para facilitar la interpretación de los resultados de salida de los sistemas de IA por parte de los responsables del despliegue; las especificaciones de los datos de entrada, según proceda.

4. Una descripción de la idoneidad de los parámetros de rendimiento para el sistema de IA concreto.

5. Una descripción detallada del sistema de gestión de riesgos con arreglo al artículo 9.

6. Una descripción de los cambios pertinentes realizados por el proveedor en el sistema a lo largo de su ciclo de vida.

7. Una lista de las normas armonizadas, aplicadas total o parcialmente, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea; cuando no se hayan aplicado normas armonizadas, una descripción detallada de las soluciones adoptadas para cumplir los requisitos establecidos en el capítulo III, sección 2, incluida una lista de otras normas y especificaciones técnicas pertinentes que se hayan aplicado.

8. Una copia de la declaración UE de conformidad de conformidad con el artículo 47.

9. Una descripción detallada del sistema establecido para evaluar el funcionamiento del sistema de IA en la fase posterior a la comercialización, de conformidad con el artículo 72, incluido el plan de vigilancia poscomercialización a que se refiere el artículo 72, apartado 3.

ANEXO V. Declaración UE de conformidad

La declaración UE de conformidad a que se hace referencia en el artículo 47 contendrá toda la información siguiente:

1. El nombre y tipo del sistema de IA, y toda referencia inequívoca adicional que permita la identificación y trazabilidad del sistema de IA.

2. El nombre y la dirección del proveedor o, en su caso, de su representante autorizado.

3. La afirmación de que la declaración UE de conformidad con el artículo 47 se expide bajo la exclusiva responsabilidad del proveedor.

4. La declaración de que el sistema de IA es conforme con el presente Reglamento y, en su caso, con cualquier otra disposición de Derecho de la Unión pertinente que disponga la expedición de la declaración UE de conformidad con el artículo 47.

5. Cuando un sistema de IA implique el tratamiento de datos personales, la declaración de que el sistema de IA se ajusta al Reglamento (UE) 2016/679, al Reglamento (UE) 2018/1725 y a la Directiva (UE) 2016/680.

6. Referencias a todas las normas armonizadas pertinentes que se hayan aplicado o a cualquier otra especificación común respecto de la que se declara la conformidad.

7. En su caso, el nombre y el número de identificación del organismo notificado, una descripción del procedimiento de evaluación de la conformidad que se haya seguido y la identificación del certificado expedido.

8. El lugar y la fecha de expedición de la declaración, el nombre y el cargo de la persona que la firme, la indicación de la persona en cuyo nombre o por cuya cuenta firma la declaración y la firma.

ANEXO VI. Procedimiento de evaluación de la conformidad fundamentado en un control interno

1. El procedimiento de evaluación de la conformidad fundamentado en un control interno es el procedimiento de evaluación de la conformidad basado en los puntos 2, 3 y 4.

2. El proveedor comprueba que el sistema de gestión de la calidad establecido cumple los requisitos establecidos en el artículo 17.

3. El proveedor examina la información de la documentación técnica para evaluar la conformidad del sistema de IA con los requisitos esenciales pertinentes establecidos en el capítulo III, sección 2.

4. Asimismo, el proveedor comprueba que el proceso de diseño y desarrollo del sistema de IA y la vigilancia poscomercialización del mismo a que se refiere el artículo 72 son coherentes con la documentación técnica.

ANEXO VII. Conformidad fundamentada en la evaluación del sistema de gestión de la calidad y la evaluación de la documentación técnica

1. Introducción

La conformidad fundamentada en la evaluación del sistema de gestión de la calidad y la evaluación de la documentación técnica es el procedimiento de evaluación de la conformidad basado en los puntos 2 a 5.

2. Presentación general

El sistema de gestión de la calidad aprobado en relación con el diseño, el desarrollo y las pruebas de los sistemas de IA con arreglo al artículo 17 se examinará de conformidad con el punto 3 y será objeto de vigilancia con arreglo a lo establecido en el punto 5. La documentación técnica del sistema de IA se examinará de conformidad con el punto 4.

3. Sistema de gestión de la calidad

3.1. La solicitud del proveedor incluirá:

a) el nombre y la dirección del proveedor y, si es el representante autorizado quien presenta la solicitud, también su nombre y dirección;

b) la lista de los sistemas de IA a los que se aplica el mismo sistema de gestión de la calidad;

c) la documentación técnica de cada sistema de IA al que se aplica el mismo sistema de gestión de la calidad;

d) la documentación relativa al sistema de gestión de la calidad, que cubrirá todos los aspectos enumerados en el artículo 17;

e) una descripción de los procedimientos establecidos para garantizar que el sistema de gestión de la calidad sigue siendo adecuado y eficaz;

f) una declaración por escrito de que no se ha presentado la misma solicitud ante ningún otro organismo notificado.

3.2. El sistema de gestión de la calidad será evaluado por el organismo notificado, que determinará si cumple los requisitos especificados en el artículo 17.

La decisión se notificará al proveedor o a su representante autorizado.

La notificación incluirá las conclusiones de la evaluación del sistema de gestión de la calidad y una decisión motivada sobre la evaluación.

3.3. El proveedor continuará aplicando y manteniendo el sistema de gestión de la calidad aprobado de forma que siga siendo adecuado y eficaz.

3.4. El proveedor comunicará al organismo notificado toda modificación prevista del sistema de gestión de la calidad aprobado o de la lista de sistemas de IA a los que este se aplica.

El organismo notificado examinará los cambios propuestos y decidirá si el sistema de gestión de la calidad modificado sigue cumpliendo los requisitos mencionados en el punto 3.2 o si es necesario realizar una nueva evaluación.

El organismo notificado notificará su decisión al proveedor. La notificación incluirá las conclusiones del examen de los cambios y una decisión motivada sobre la evaluación.

4. Control de la documentación técnica

4.1. Además de la solicitud a que se refiere el punto 3, el proveedor presentará una solicitud ante el organismo notificado de su elección para la evaluación de la documentación técnica relativa al sistema de IA que el proveedor pretenda introducir en el mercado o poner en servicio y al que se aplique el sistema de gestión de la calidad mencionado en el punto 3.

4.2. La solicitud incluirá:

a) el nombre y la dirección del proveedor;

b) una declaración por escrito de que no se ha presentado la misma solicitud ante ningún otro organismo notificado;

c) la documentación técnica prevista en el anexo IV.

4.3. El organismo notificado examinará la documentación técnica. Cuando proceda, y en la medida en que sea necesario para el desempeño de sus tareas, se concederá al organismo notificado pleno acceso a los conjuntos de datos de entrenamiento, validación y prueba utilizados, también, cuando proceda y con sujeción a garantías de seguridad, a través de API u otras herramientas y medios técnicos pertinentes que permitan el acceso a distancia.

4.4. Al examinar la documentación técnica, el organismo notificado podrá exigir que el proveedor facilite más pruebas justificativas o que lleve a cabo pruebas adicionales para que pueda evaluarse adecuadamente la conformidad del sistema de IA con los requisitos establecidos en el capítulo III, sección 2. Cuando el organismo notificado no quede satisfecho con las pruebas realizadas por el proveedor, efectuará él mismo directamente las pruebas adecuadas, según proceda.

4.5. Asimismo, se concederá al organismo notificado acceso al modelo de entrenamiento y al modelo entrenado del sistema de IA, con sus correspondientes parámetros, para, en caso necesario, una vez se hayan agotado y hayan demostrado ser insuficientes todas las demás vías razonables para verificar la conformidad, y previa solicitud motivada, evaluar la conformidad del sistema de IA de alto riesgo con los requisitos establecidos en el capítulo III, sección 2. Dicho acceso estará sujeto al Derecho de la Unión vigente relativo a la protección de la propiedad intelectual e industrial y los secretos comerciales.

4.6. Se notificará la decisión del organismo notificado al proveedor o a su representante autorizado. La notificación incluirá las conclusiones de la evaluación de la documentación técnica y una decisión motivada sobre la evaluación.

Cuando el sistema de IA cumpla los requisitos establecidos en el capítulo III, sección 2, el organismo notificado expedirá un certificado de la Unión de evaluación de la documentación técnica. Dicho certificado indicará el nombre y la dirección del proveedor, las conclusiones del examen, las condiciones de validez (en su caso) y los datos necesarios para identificar el sistema de IA.

El certificado y sus anexos contendrán toda la información pertinente para poder evaluar la conformidad del sistema de IA y permitir el control del sistema de IA mientras esté en uso, cuando proceda.

Cuando el sistema de IA no cumpla los requisitos establecidos en el capítulo III, sección 2, el organismo notificado denegará la expedición del certificado de la Unión de evaluación de la documentación técnica e informará de ello al solicitante, motivando detalladamente su decisión.

Cuando el sistema de IA no cumpla los requisitos relativos a los datos utilizados para su entrenamiento, será necesario llevar a cabo un nuevo entrenamiento del sistema antes de solicitar una nueva evaluación de la conformidad. En este caso, la decisión motivada sobre la evaluación del organismo notificado que deniegue la expedición del certificado de la Unión de evaluación de la documentación técnica contendrá consideraciones específicas relativas a la calidad de los datos utilizados para entrenar el sistema de IA, en particular acerca de los motivos del incumplimiento.

4.7. Todo cambio del sistema de IA que pueda afectar a su cumplimiento de los requisitos o su finalidad prevista será evaluado por el organismo notificado que haya expedido el certificado de la Unión de evaluación de la documentación técnica. El proveedor informará a dicho organismo notificado de su intención de introducir cualquiera de los cambios previamente mencionados o de si tiene constancia de que se hayan producido tales cambios. El organismo notificado evaluará los cambios previstos y decidirá si estos requieren una nueva evaluación de la conformidad con arreglo al artículo 43, apartado 4, o si pueden ser objeto de un suplemento al certificado de la Unión de evaluación de la documentación técnica. En este último caso, el organismo notificado evaluará los cambios, notificará su decisión al proveedor y, si aprueba los cambios, expedirá un suplemento al certificado de la Unión de evaluación de la documentación técnica.

5. Vigilancia del sistema de gestión de la calidad aprobado

5.1. La finalidad de la vigilancia por parte del organismo notificado a que se refiere el punto 3 es asegurarse de que el proveedor cumple debidamente las condiciones del sistema de gestión de la calidad aprobado.

5.2. A efectos de la evaluación, el proveedor dará acceso al organismo notificado a las instalaciones donde se estén diseñando, desarrollando o probando los sistemas de IA. Además, el proveedor facilitará al organismo notificado toda la información necesaria.

5.3. El organismo notificado realizará auditorías periódicas para asegurarse de que el proveedor mantiene y aplica el sistema de gestión de la calidad, y le entregará un informe de la auditoría. En el marco de dichas auditorías, el organismo notificado podrá efectuar más pruebas de los sistemas de IA para los que se hayan expedido certificados de la Unión de evaluación de la documentación técnica.

ANEXO VIII. Información que debe presentarse para la inscripción en el registro de sistemas de IA de alto riesgo de conformidad con el artículo 49

Sección A — Información que deben presentar los proveedores de sistemas de IA de alto riesgo de conformidad con el artículo 49, apartado 1

Con respecto a los sistemas de IA de alto riesgo que vayan a inscribirse en el registro de conformidad con el artículo 49, apartado 1, se facilitará y se actualizará debidamente la información siguiente:

1. El nombre, la dirección y los datos de contacto del proveedor.

2. Cuando sea otra persona la que presente la información en nombre del proveedor, el nombre, dirección y datos de contacto de dicha persona.

3. El nombre, la dirección y los datos de contacto del representante autorizado, en su caso.

4. El nombre comercial del sistema de IA y toda referencia inequívoca adicional que permita su identificación y trazabilidad.

5. La descripción de la finalidad prevista del sistema de IA y de los componentes y funciones que se apoyan a través del mismo.

6. Una descripción sencilla y concisa de la información que utiliza el sistema (datos, entradas) y su lógica de funcionamiento.

7. La situación del sistema de IA (comercializado o puesto en servicio, ha dejado de comercializarse o de estar en servicio, recuperado).

8. El tipo, el número y la fecha de caducidad del certificado expedido por el organismo notificado y el nombre o número de identificación de dicho organismo notificado, cuando proceda.

9. Una copia escaneada del certificado a que se refiere el punto 8, cuando proceda.

10. Todo Estado miembro en el que el sistema de IA se haya introducido en el mercado, puesto en servicio o comercializado en la Unión.

11.Una copia de la declaración UE de conformidad a que se refiere el artículo 47.

12.Las instrucciones de uso electrónicas. No se facilitará esta información en el caso de los sistemas de IA de alto riesgo en los ámbitos de la garantía del cumplimiento del Derecho o la migración, el asilo y la gestión del control fronterizo a que se refiere el anexo III, puntos 1, 6 y 7.

13. Una URL para obtener información adicional (opcional).

Sección B — Información que deben presentar los proveedores de sistemas de IA de alto riesgo de conformidad con el artículo 49, apartado 2

Con respecto a los sistemas de IA que vayan a inscribirse en el registro de conformidad con el artículo 49, apartado 2, se facilitará y se actualizará debidamente la información siguiente:

1. El nombre, la dirección y los datos de contacto del proveedor.

2. Cuando sea otra persona la que presente la información en nombre del proveedor, el nombre, dirección y datos de contacto de dicha persona.

3. El nombre, la dirección y los datos de contacto del representante autorizado, en su caso.

4. El nombre comercial del sistema de IA y toda referencia inequívoca adicional que permita su identificación y trazabilidad.

5. La descripción de la finalidad prevista del sistema de IA.

6. La condición o condiciones previstas en el artículo 6, apartado 3, con arreglo a las cuales se considera que el sistema de IA no es de alto riesgo.

7. Un breve resumen de los motivos por los que se considera que el sistema de IA no es de alto riesgo en aplicación del procedimiento previsto en el artículo 6, apartado 3.

8. La situación del sistema de IA (comercializado o puesto en servicio, ha dejado de comercializarse o de estar en servicio, recuperado).

9. Todo Estado miembro en el que el sistema de IA se haya introducido en el mercado, puesto en servicio o comercializado en la Unión.

Sección C — Información que deben presentar los responsables del despliegue de sistemas de IA de alto riesgo de conformidad con el artículo 49, apartado 3

Con respecto a los sistemas de IA de alto riesgo que vayan a inscribirse en el registro de conformidad con el artículo 49, apartado 3, se facilitará y se actualizará debidamente la información siguiente:

1. El nombre, la dirección y los datos de contacto del responsable del despliegue.

2. El nombre, la dirección y los datos de contacto de la persona que presente la información en nombre del responsable del despliegue.

3. La URL de entrada del sistema de IA en la base de datos de la UE por parte de su proveedor.

4. Un resumen de las conclusiones de la evaluación de impacto relativa a los derechos fundamentales realizada de conformidad con el artículo 27.

5. Un resumen de la evaluación de impacto relativa a la protección de datos realizada de conformidad con el artículo 35 del Reglamento (UE) 2016/679 o el artículo 27 de la Directiva (UE) 2016/680, tal como se especifica en el artículo 26, apartado 8, del presente Reglamento, cuando proceda.

ANEXO IX. Información que debe presentarse para la inscripción en el registro de los sistemas de IA de alto riesgo enumerados en el anexo III en relación con las pruebas en condiciones reales de conformidad con el artículo 60

Con respecto a las pruebas en condiciones reales que vayan a inscribirse en el registro de conformidad con el artículo 60, se facilitará y se actualizará debidamente la información siguiente:

1. El número de identificación único para toda la Unión de la prueba en condiciones reales.

2. El nombre y los datos de contacto del proveedor o proveedor potencial y de los responsables del despliegue que participen en la prueba en condiciones reales.

3. Una breve descripción del sistema de IA, su finalidad prevista y demás información necesaria para la identificación del sistema.

4. Un resumen de las principales características del plan de la prueba en condiciones reales.

5. Información sobre la suspensión o la conclusión de la prueba en condiciones reales.

ANEXO X. Actos legislativos de la Unión relativos a sistemas informáticos de gran magnitud en el espacio de libertad, seguridad y justicia

1. Sistema de Información de Schengen

a) Reglamento (UE) 2018/1860 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, sobre la utilización del Sistema de Información de Schengen para el retorno de nacionales de terceros países en situación irregular (DO L 312 de 7.12.2018, p. 1).

b) Reglamento (UE) 2018/1861 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de las inspecciones fronterizas, por el que se modifica el Convenio de aplicación del Acuerdo de Schengen y se modifica y deroga el Reglamento (CE) nº 1987/2006 (DO L 312 de 7.12.2018, p. 14).

c) Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal, por el que se modifica y deroga la Decisión 2007/533/JAI del Consejo, y se derogan el Reglamento (CE) nº 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE de la Comisión (DO L 312 de 7.12.2018, p. 56).

2. Sistema de Información de Visados

a) Reglamento (UE) 2021/1133 del Parlamento Europeo y del Consejo, de 7 de julio de 2021, por el que se modifican los Reglamentos (UE) nº 603/2013, (UE) 2016/794, (UE) 2018/1862, (UE) 2019/816 y (UE) 2019/818 en lo que respecta al establecimiento de las condiciones para acceder a otros sistemas de información de la UE a efectos del Sistema de Información de Visados (DO L 248 de 13.7.2021, p. 1).

b) Reglamento (UE) 2021/1134 del Parlamento Europeo y del Consejo, de 7 de julio de 2021, por el que se modifican los Reglamentos (CE) nº 767/2008, (CE) nº 810/2009, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1860, (UE) 2018/1861, (UE) 2019/817 y (UE) 2019/1896 del Parlamento Europeo y del Consejo y por el que se derogan las Decisiones 2004/512/CE y 2008/633/JAI del Consejo, a fin de reformar el Sistema de Información de Visados (DO L 248 de 13.7.2021, p. 11).

3. Eurodac

a) Reglamento (UE) 2024/1358 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, sobre la creación del sistema «Eurodac» para la comparación de datos biométricos a efectos de la aplicación efectiva de los Reglamentos (UE) 2024/1315y (UE) 2024/1350 del Parlamento Europeo y del Consejo y de la Directiva 2001/55/CE del Consejo y de la identificación de nacionales de terceros países y apátridas en situación irregular, y sobre las solicitudes de comparación con los datos de Eurodac presentadas por los servicios de seguridad de los Estados miembros y Europol a efectos de garantía de cumplimiento del Derecho, por el que se modifican los Reglamentos (UE) 2018/1240 y (UE) 2019/818 del Parlamento Europeo y del Consejo y se deroga el Reglamento (UE) nº 603/2013 del Parlamento Europeo y del Consejo (DO L, 2024/1358, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1358/oj).

4. Sistema de Entradas y Salidas

a) Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo, de 30 de noviembre de 2017, por el que se establece un Sistema de Entradas y Salidas (SES) para registrar los datos de entrada y salida y de denegación de entrada relativos a nacionales de terceros países que crucen las fronteras exteriores de los Estados miembros, se determinan las condiciones de acceso al SES con fines policiales y se modifican el Convenio de aplicación del Acuerdo de Schengen y los Reglamentos (CE) nº 767/2008 y (UE) nº 1077/2011 (DO L 327 de 9.12.2017, p. 20).

5. Sistema Europeo de Información y Autorización de Viajes

a) Reglamento (UE) 2018/1240 del Parlamento Europeo y del Consejo, de 12 de septiembre de 2018, por el que se establece un Sistema Europeo de Información y Autorización de Viajes (SEIAV) y por el que se modifican los Reglamentos (UE) nº 1077/2011, (UE) nº 515/2014, (UE) 2016/399, (UE) 2016/1624 y (UE) 2017/2226 (DO L 236 de 19.9.2018, p. 1).

b) Reglamento (UE) 2018/1241 del Parlamento Europeo y del Consejo, de 12 de septiembre de 2018, por el que se modifica el Reglamento (UE) 2016/794 con objeto de establecer el Sistema Europeo de Información y Autorización de Viajes (SEIAV) (DO L 236 de 19.9.2018, p. 72).

6. Sistema Europeo de Información de Antecedentes Penales en relación con los nacionales de terceros países y apátridas

Reglamento (UE) 2019/816 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, por el que se establece un sistema centralizado para la identificación de los Estados miembros que poseen información sobre condenas de nacionales de terceros países y apátridas (ECRIS-TCN) a fin de complementar el Sistema Europeo de Información de Antecedentes Penales, y por el que se modifica el Reglamento (UE) 2018/1726 (DO L 135 de 22.5.2019, p. 1).

7. Interoperabilidad

a) Reglamento (UE) 2019/817 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad de los sistemas de información de la UE en el ámbito de las fronteras y los visados y por el que se modifican los Reglamentos (CE) nº 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 y (UE) 2018/1861 del Parlamento Europeo y del Consejo, y las Decisiones 2004/512/CE y 2008/633/JAI del Consejo (DO L 135 de 22.5.2019, p. 27).

b) Reglamento (UE) 2019/818 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad entre los sistemas de información de la UE en el ámbito de la cooperación policial y judicial, el asilo y la migración y por el que se modifican los Reglamentos (UE) 2018/1726, (UE) 2018/1862 y (UE) 2019/816 (DO L 135 de 22.5.2019, p. 85).

ANEXO XI. Documentación técnica a que se refiere el artículo 53, apartado 1, letra a) — documentación técnica para proveedores de modelos de IA de uso general

Sección 1. Información que deben presentar los proveedores de modelos de IA de uso general

La documentación técnica a que se refiere el artículo 53, apartado 1, letra a), incluirá como mínimo la siguiente información en función del tamaño y perfil de riesgo del modelo:

1.Una descripción general del modelo de IA de uso general que incluya:

a) las tareas que el modelo vaya a realizar y el tipo y la naturaleza de los sistemas de IA en los que puede integrarse;

b) las políticas de usos aceptables aplicables;

c) la fecha de lanzamiento y los métodos de distribución;

d) la arquitectura y el número de parámetros;

e) la modalidad (por ejemplo, texto, imagen) y el formato de las entradas y salidas;

f) la licencia.

2. Una descripción detallada de los elementos del modelo a que se refiere el punto 1 e información pertinente sobre el proceso de desarrollo que incluya los siguientes elementos:

a) los medios técnicos (por ejemplo, instrucciones de uso, infraestructura, herramientas) necesarios para integrar el modelo de IA de uso general en los sistemas de IA;

b) las especificaciones de diseño del modelo y el proceso de entrenamiento, incluidos los métodos y las técnicas de entrenamiento, las decisiones clave de diseño, incluidas la justificación lógica y los supuestos de los que se ha partido; aquello que el modelo está diseñado para optimizar y la pertinencia de los diversos parámetros, según proceda;

c) información sobre los datos utilizados para el entrenamiento, las pruebas y la validación, cuando proceda, incluidos el tipo y la procedencia de los datos y los métodos de gestión (por ejemplo, limpieza, filtrado, etc.), el número de puntos de datos, su alcance y sus principales características; cómo se obtuvieron y seleccionaron los datos, así como cualquier otra medida que permita detectar que las fuentes de datos no son idóneas y los métodos para detectar sesgos identificables, cuando proceda;

d) los recursos computacionales utilizados para entrenar el modelo (por ejemplo, número de operaciones de coma flotante, el tiempo de entrenamiento y otros detalles pertinentes relacionados con el mismo;

e) el consumo de energía conocido o estimado del modelo.

A propósito de la letra e), cuando se desconozca el consumo de energía del modelo, podrá hacerse una estimación del consumo de energía a partir de la información relativa a los recursos computacionales utilizados.

Sección 2. Información adicional que deben presentar los proveedores de modelos de IA de uso general con riesgo sistémico

1. Una descripción detallada de las estrategias de evaluación, con los resultados de la misma, sobre la base de los protocolos y herramientas de evaluación públicos disponibles o de otros métodos de evaluación. Las estrategias de evaluación incluirán los criterios de evaluación, los parámetros y el método de detección de limitaciones.

2. Cuando proceda, una descripción detallada de las medidas adoptadas para realizar pruebas adversarias internas o externas (por ejemplo, utilización de «equipos rojos») y adaptaciones de los modelos, incluida su alineación y puesta a punto.

3. Cuando proceda, una descripción detallada de la arquitectura del sistema, con una explicación de la manera en que se incorporan o enriquecen mutuamente los componentes del software y de la manera en que se integran en el procesamiento general.

ANEXO XII. Información sobre transparencia a que se refiere el artículo 53, apartado 1, letra b) — documentación técnica de los proveedores de modelos de IA de uso general para los proveedores posteriores que integren el modelo en su sistema de IA

La información a que se refiere el artículo 53, apartado 1, letra b), incluirá como mínimo la siguiente información:

1. Una descripción general del modelo de IA de uso general que incluya:

a) las tareas que el modelo vaya a realizar y el tipo y la naturaleza de los sistemas de IA en los que puede integrarse;

b) las políticas de usos aceptables aplicables;

c) la fecha de lanzamiento y los métodos de distribución;

d) la manera en que el modelo interactúa o puede utilizarse para interactuar con el hardware o el software que no formen parte del propio modelo, cuando proceda;

e) las versiones del software pertinente relacionadas con el uso del modelo de IA de uso general, cuando proceda;

f) la arquitectura y el número de parámetros;

g) la modalidad (por ejemplo, texto, imagen) y el formato de las entradas y salidas;

h) la licencia del modelo.

2. Una descripción de los elementos del modelo y de su proceso de desarrollo, incluidos:

a) los medios técnicos (por ejemplo, instrucciones de uso, infraestructura, herramientas) necesarios para integrar el modelo de IA de uso general en los sistemas de IA;

b) la modalidad (por ejemplo, texto, imagen, etc.) y el formato de las entradas y salidas y su tamaño máximo (por ejemplo, longitud de la ventana de contexto, etc.);

c) información sobre los datos utilizados para el entrenamiento, las pruebas y la validación, cuando proceda, incluidos el tipo y la procedencia de los datos y los métodos de gestión.

ANEXO XIII. Criterios para la clasificación de los modelos de IA de uso general con riesgo sistémico a que se refiere el artículo 51

Con el fin de determinar si un modelo de IA de uso general tiene unas capacidades o unos efectos equivalentes a los contemplados en el artículo 51, apartado 1, letra a), la Comisión tendrá en cuenta los siguientes criterios:

a) el número de parámetros del modelo;

b) la calidad o el tamaño del conjunto de datos, por ejemplo medidos a través de criptofichas;

c) la cantidad de cálculo utilizada para entrenar el modelo, medida en operaciones de coma flotante o indicada con una combinación de otras variables, como el coste estimado del entrenamiento, el tiempo estimado necesario o el consumo de energía estimado para el mismo;

d) las modalidades de entrada y salida del modelo, como la conversión de texto a texto (grandes modelos de lenguaje), la conversión de texto a imagen, la multimodalidad y los umbrales punteros para determinar las capacidades de gran impacto de cada modalidad, y el tipo concreto de entradas y salidas (por ejemplo, secuencias biológicas);

e) los parámetros de referencia y las evaluaciones de las capacidades del modelo, también teniendo en cuenta el número de tareas sin entrenamiento adicional, la adaptabilidad para aprender tareas nuevas distintas, su nivel de autonomía y capacidad de ampliación y las herramientas a las que tiene acceso;

f) si sus repercusiones para el mercado interior son importantes debido a su alcance, lo que se dará por supuesto cuando se haya puesto a disposición de al menos 10 000 usuarios profesionales registrados establecidos en la Unión;

g) el número de usuarios finales registrados.

ELI: http://data.europa.eu/eli/reg/2024/1689/oj

ISSN 1977-0685 (electronic edition)

04Ago/24

COM (2024) 357 final de 25 de julio de 2024

4 agosto, 2024Comunicación Comisión EuropeaJosé Cuervo

COM (2024) 357 final de 25 de julio de 2024, Comunicación de la Comisión al Parlamento Europeo y al Consejo. Segundo Informe relativo a la aplicación del Reglamento General de Protección de Datos

COM(2024) 357 final, Comunicación de la Comisión al Parlamento Europeo y al Consejo, 25 de julio de 2024. Segundo Informe relativo a la aplicación del Reglamento General de Protección de Datos

1. Introducción

El presente documento constituye el segundo Informe de la Comisión relativo a la aplicación del Reglamento General de Protección de Datos (RGPD), adoptado de conformidad con el artículo 97 del RGPD. El primer informe se adoptó el 24 de junio de 2020 (en lo sucesivo, «informe de 2020») ( 1 ).

El RGPD es una de las piedras angulares del enfoque de la UE para la transformación digital. Sus principios básicos (un tratamiento leal, seguro y transparente de los datos personales que garantice que las personas sigan teniendo el control sobre ellos) sustentan todas las políticas de la UE que implican el tratamiento de datos personales.

Desde el informe de 2020, la UE ha adoptado una serie de iniciativas destinadas a situar a las personas en el centro de la transición digital. Cada iniciativa persigue un objetivo particular, como crear un entorno en línea más seguro, hacer que la economía digital sea más justa y competitiva, facilitar la investigación pionera, garantizar el desarrollo de una inteligencia artificial (IA) segura y fiable, y crear un auténtico mercado único de datos. En lo que respecta a los datos personales, estas iniciativas se sustentan en el RGPD, el cual también proporciona una base para iniciativas sectoriales que afectan al tratamiento de datos personales, por ejemplo en los ámbitos de los servicios financieros, la salud, el empleo, la movilidad y la aplicación de las leyes.

Existe un amplio consenso entre las partes interesadas, las autoridades de protección de datos y los Estados miembros en cuanto a que, a pesar de algunos retos, el RGPD ha dado resultados importantes para los particulares y las empresas. El enfoque basado en el riesgo y tecnológicamente neutro ofrece una sólida protección de datos a los interesados y establece obligaciones proporcionadas para los responsables y encargados del tratamiento. Al mismo tiempo, deben realizarse nuevos avances en algunos ámbitos. En particular, en los próximos años, la atención debe centrarse en apoyar los esfuerzos de cumplimiento de las partes interesadas, especialmente las pequeñas y medianas empresas (pymes), los pequeños operadores, los investigadores y las organizaciones de investigación, mediante el suministro de orientaciones más claras y prácticas por parte de las autoridades de protección de datos y el logro de una interpretación y una aplicación más coherentes del RGPD en toda la UE.

De conformidad con el artículo 97 del RGPD, la Comisión debe examinar, en particular, la aplicación y el funcionamiento de la transferencia internacional de datos personales a países terceros (es decir, países fuera de la UE/EEE) (capítulo V del RGPD) y los mecanismos de cooperación y coherencia entre las autoridades nacionales de protección de datos (capítulo VII del RGPD). Sin embargo, al igual que en el informe de 2020, el presente informe proporciona una evaluación general de la aplicación del RGPD que va más allá de estos dos elementos: también señala una serie de acciones necesarias para apoyar la aplicación eficaz del RGPD en ámbitos prioritarios clave.

El presente informe tiene en cuenta las siguientes fuentes: i) la posición y las conclusiones del Consejo, adoptadas en diciembre de 2023 ( 2 ); ii) las aportaciones recabadas de las partes interesadas, en particular a través del Grupo Multilateral de Expertos sobre el RGPD ( 3 ) y de una convocatoria pública de datos ( 4 ), y iii) las aportaciones de las autoridades de protección de datos a través de la contribución del Comité Europeo de Protección de Datos ( 5 ) (el Comité) y de un informe elaborado por la Agencia de los Derechos Fundamentales de la Unión Europea (FRA) sobre la base de entrevistas realizadas con autoridades de protección de datos individuales ( 6 ) (el «informe de la FRA»). El informe también se basa en el seguimiento continuado por parte de la Comisión de la aplicación del RGPD, especialmente los diálogos bilaterales con los Estados miembros sobre el cumplimiento de la legislación nacional, la contribución activa a la labor del Comité y contactos estrechos con un amplio abanico de partes interesadas sobre la aplicación práctica del Reglamento.

2. Aplicación del RGPD y funcionamiento de los mecanismos de cooperación y coherencia

El sistema de ventanilla única para el control del cumplimiento del RGPD tiene por objeto garantizar una interpretación y una ejecución armonizadas por parte de autoridades independientes de protección de datos. Dicho sistema exige cooperación entre las autoridades de protección de datos en los casos de tratamiento transfronterizo cuando los interesados de varios Estados miembros se ven sustancialmente afectados. Los conflictos entre autoridades los resuelve el Comité con arreglo al mecanismo de coherencia del RGPD.

2.1 Aumento de la eficiencia en la tramitación de los asuntos transfronterizos: propuesta de normas procedimentales

El informe de 2020 señalaba la necesidad de una tramitación más eficiente y armonizada de los asuntos transfronterizos en toda la UE, en particular a la luz de las grandes diferencias existentes entre los procedimientos administrativos nacionales y las distintas interpretaciones de algunos conceptos del mecanismo de cooperación del RGPD. Por consiguiente, en julio de 2023, la Comisión adoptó una propuesta de Reglamento sobre las normas procedimentales ( 7 ), basada también en una lista de cuestiones presentadas por el Comité a la Comisión en octubre de 2022 ( 8 ) y en las aportaciones de las partes interesadas ( 9 ) y los Estados miembros ( 10 ). La propuesta complementa el RGPD al establecer normas detalladas sobre las reclamaciones transfronterizas, la participación del reclamante, los derechos a las garantías procesales de las partes investigadas (responsables y encargados del tratamiento) y la cooperación entre las autoridades de protección de datos. La armonización de estos aspectos procedimentales contribuiría a una finalización más rápida de las investigaciones y a que los particulares dispusieran de una vía de recurso ágil. En la actualidad, esta propuesta está siendo negociada por el Parlamento Europeo y el Consejo.

2.2. Mayor cooperación entre las autoridades de protección de datos y uso del mecanismo de coherencia

El número de asuntos transfronterizos ha aumentado significativamente en los últimos años. Las autoridades de protección de datos han demostrado una mayor disposición a utilizar las herramientas de cooperación previstas en el RGPD. Todas las autoridades de protección de datos hicieron uso del instrumento de asistencia mutua ( 11 ), así como de las solicitudes «informales» de asistencia mutua con carácter voluntario. Las autoridades de protección de datos están a favor de las solicitudes informales, que no imponen un plazo ni una obligación estricta de responder. Aunque el Comité adoptó unas directrices sobre operaciones conjuntas en 2021 ( 12 ), las autoridades todavía no han hecho un uso significativo de este instrumento ( 13 ) y aluden a las diferencias en los procedimientos nacionales y la falta de claridad sobre el procedimiento como las principales razones de su limitado uso.

El RGPD ofrece a las autoridades de protección de datos interesadas la posibilidad de formular una objeción pertinente y motivada en caso de desacuerdo con un proyecto de decisión de la autoridad de protección de datos principal en un asunto transfronterizo. Cuando las autoridades de protección de datos no puedan alcanzar un consenso sobre una objeción pertinente y motivada, el RGPD prevé que sea el Comité quien resuelva los conflictos ( 14 ). Los temas que se plantearon con mayor frecuencia en las objeciones pertinentes y motivadas fueron: i) la base jurídica del tratamiento; ii) las obligaciones de información y transparencia; iii) la notificación de violaciones de la seguridad de los datos; iv) los derechos de los interesados; v) las excepciones aplicadas a las transferencias internacionales; vi) el uso de medidas correctoras, y vii) el importe de una multa administrativa.

El sistema de aplicación del RGPD se basa en la premisa de una cooperación leal y efectiva entre las autoridades de protección de datos. Si bien el procedimiento de resolución de conflictos desempeña un papel importante en esta arquitectura de ejecución, debe utilizarse con el ánimo con el que se diseñó, es decir, teniendo debidamente en cuenta el reparto de competencias entre las autoridades de protección de datos, la necesidad de respetar los derechos a las garantías procesales y el interés por lograr una resolución oportuna del caso para los interesados. Cada procedimiento de resolución de conflictos precisa de considerables recursos de la autoridad principal, las autoridades interesadas y la secretaría del Comité, y retrasa la presentación de una solución a los interesados.

Mayor uso de los instrumentos de cooperación por parte de las autoridades de protección de datos

·Se han registrado casi 2.400 casos en el sistema de intercambio de información del Comité ( 15 ).

·Las autoridades principales de protección de datos han emitido alrededor de 1 500 proyectos de decisión ( 16 ), de los cuales 990 dieron lugar a decisiones definitivas en las que se declara una infracción del RGPD ( 17 ).

·Las autoridades de protección de datos activaron casi 1 000 solicitudes «formales» de asistencia mutua ( 18 ) y alrededor de 12 300 solicitudes «informales» ( 19 ).

·Se han iniciado cinco operaciones conjuntas en las que han participado autoridades de protección de datos de siete Estados miembros.

·Las autoridades de protección de datos de dieciocho Estados miembros formularon objeciones pertinentes y motivadas ( 20 ).

Las autoridades de protección de datos utilizan cada vez más el mecanismo de coherencia del RGPD, el cual consta de tres componentes: i) dictámenes del Comité; ii) resolución de conflictos por el Comité, y iii) el procedimiento de urgencia ( 21 ).

Cada vez más, el Comité aborda cuestiones importantes de aplicación general en sus dictámenes ( 22 ). El Comité debe garantizar una consulta oportuna y significativa antes de la adopción de dichos dictámenes. Los asuntos sometidos a resolución de conflictos han abordado cuestiones como la base jurídica para el tratamiento de datos destinado a la publicidad comportamental en las redes sociales y el tratamiento de datos de menores en línea. La mayoría de las decisiones vinculantes posteriores han sido impugnadas ante el Tribunal General.

La transparencia en el proceso de toma de decisiones del Comité es fundamental para garantizar el respeto del derecho a una buena administración en virtud de la Carta de los Derechos Fundamentales de la UE. El procedimiento de urgencia del RGPD permite a las autoridades de protección de datos establecer excepciones al mecanismo de cooperación y coherencia para adoptar medidas urgentes cuando sea necesario para proteger los derechos y libertades de los interesados. Como excepción al procedimiento normal de cooperación en virtud del RGPD, existen instrumentos, como el procedimiento de urgencia, que están concebidos para utilizarse únicamente en circunstancias excepcionales y cuando el procedimiento normal de cooperación no pueda proteger los derechos y libertades de los interesados.

El mecanismo de coherencia

·El Comité ha adoptado 190 dictámenes de coherencia.

·Se han adoptado nueve decisiones vinculantes en materia de resolución de conflictos ( 23 ). Todas ellas exigían a la autoridad de protección de datos principal que modificara su proyecto de decisión y varias han dado lugar a multas significativas.

·Cinco autoridades de protección de datos adoptaron medidas provisionales en el marco del procedimiento de urgencia (Alemania, España, Finlandia, Italia y Noruega).

·Dos autoridades de protección de datos solicitaron una decisión vinculante urgente al Comité ( 24 ) y este ordenó medidas definitivas urgentes en un caso.

2.3. Medidas ejecutorias más estrictas

En los últimos años, las autoridades de protección de datos han experimentado un importante repunte en las actividades de control del cumplimiento, especialmente la imposición de multas sustanciales en casos históricos contra grandes multinacionales tecnológicas. Por ejemplo, se impusieron multas por i) infringir la licitud y la seguridad del tratamiento; ii) infringir el tratamiento de categorías especiales de datos personales, y iii) vulnerar los derechos de los particulares ( 25 ). Esto ha llevado a las empresas privadas a «tomarse en serio la protección de datos» ( 26 ) y ha contribuido a integrar una cultura del cumplimiento en las organizaciones. Las autoridades de protección de datos adoptan decisiones en las que declaran infracciones del RGPD en casos basados en reclamaciones y por propia iniciativa. Muchas autoridades de protección de datos han hecho un uso eficaz de los procedimientos de «arreglo amistoso» para resolver rápidamente los casos basados en reclamaciones de manera satisfactoria para el reclamante, si bien dichos procedimientos no están disponibles en todos los Estados miembros. La propuesta de normas procedimentales reconoce la posibilidad de que las reclamaciones se resuelvan mediante un arreglo amistoso ( 27 ).

Las autoridades de protección de datos han hecho un amplio uso de sus poderes correctivos, aunque el número de medidas correctoras impuestas varía considerablemente entre ellas. Aparte de las multas, las medidas correctoras más utilizadas fueron las advertencias, los apercibimientos y las órdenes de cumplimiento del RGPD. Los responsables y encargados del tratamiento impugnan con frecuencia las decisiones por las que se constatan infracciones del RGPD ante los órganos jurisdiccionales nacionales, generalmente aludiendo razones procesales ( 28 ).

Medidas ejecutorias más estrictas

·Las autoridades de protección de datos han incoado más de 20 000 investigaciones por iniciativa propia ( 29 ).

·En conjunto, reciben más de 100 000 reclamaciones al año ( 30 ).

·El plazo medio de tramitación de las reclamaciones por parte de las autoridades de protección de datos (desde la recepción hasta el cierre del asunto) oscila entre uno y doce meses, y es de tres meses o menos en cinco Estados miembros [Dinamarca (un mes), España (un mes y medio), Estonia (tres meses), Grecia (tres meses) e Irlanda (tres meses)].

·Más de 20 000 reclamaciones se han resuelto por medio de arreglos amistosos, y Austria, Hungría, Luxemburgo e Irlanda son los países donde se utilizan con más frecuencia.

·En 2022, el país con el mayor número de decisiones por las que se impusieron medidas correctoras fue Alemania (3 261), seguido de España (774), Lituania (308) y Estonia (332). El menor número de medidas correctoras se impuso en Liechtenstein (8), Chequia (8), Islandia (10), Países Bajos (17) y Luxemburgo (22).

·Las autoridades de protección de datos han impuesto más de 6 680 multas por un importe aproximado de 4 200 millones EUR ( 31 ). El mayor importe total de las multas fue impuesto por la autoridad de Irlanda (2 800 millones EUR), seguido de Luxemburgo (746 millones EUR), Italia (197 millones EUR) y Francia (131 millones EUR). Por su parte, los importes más bajos corresponden a Liechtenstein (9 600 EUR), Estonia (201 000 EUR) y Lituania (435 000 EUR).

Si bien la mayoría de las autoridades de protección de datos consideran que sus instrumentos de investigación son adecuados, algunas requieren instrumentos adicionales a nivel nacional, como sanciones adecuadas en caso de que los responsables del tratamiento no cooperen o no faciliten la información necesaria ( 32 ). Las autoridades de protección de datos consideran que los recursos insuficientes y las lagunas en los conocimientos técnicos y jurídicos son el principal factor que afecta a su capacidad de ejecución ( 33 ).

2.4. El Comité

El Comité está compuesto por el responsable de una autoridad de protección de datos de cada Estado miembro y por el Supervisor Europeo de Protección de Datos. La Comisión puede participar, pero sin derecho a voto. El Comité, con el apoyo de su secretaría, se encarga de garantizar una aplicación coherente del RGPD ( 34 ). La mayoría de las autoridades de protección de datos consideran que el Comité ha desempeñado un papel positivo a la hora de reforzar la cooperación entre ellas ( 35 ). Muchas autoridades de protección de datos destinan recursos significativos a las actividades del Comité, aunque las más pequeñas argumentan que su tamaño les impide participar plenamente ( 36 ). Algunas autoridades consideran que debe mejorarse la eficiencia de los procesos del Comité, en particular mediante la reducción del número de reuniones y la prestación de menos atención a cuestiones menores ( 37 ). Dependiendo del resultado de las negociaciones sobre la propuesta de normas procedimentales relativas al RGPD, que tiene por objeto reducir el número de casos que se presentan al Comité para la resolución de conflictos, es posible que haya que reflexionar sobre si el Comité necesita recursos adicionales.

En noviembre de 2023, el Comité había adoptado 35 directrices. Aunque las partes interesadas y las autoridades de protección de datos las han considerado útiles, también opinan que las directrices deben presentarse con mayor rapidez y que la calidad debe mejorarse ( 38 ). Las partes interesadas señalan que las directrices a menudo son excesivamente teóricas, demasiado largas y no reflejan el enfoque basado en el riesgo del RGPD ( 39 ). Las autoridades de protección de datos y el Comité deben proporcionar directrices concisas y prácticas que den respuesta a problemas concretos y reflejen un equilibrio entre la protección de datos y otros derechos fundamentales. También deben ser fáciles de entender para las personas sin formación jurídica, como las pymes y las organizaciones de voluntariado ( 40 ). Una manera de lograrlo es aumentar la transparencia en la elaboración de las directrices y realizar consultas en una fase temprana para permitir una mejor comprensión de la dinámica del mercado, las prácticas empresariales y la manera de aplicar las directrices en la práctica ( 41 ). Se acoge con satisfacción el hecho de que, como parte de su Estrategia 2024-2027, el Comité haya destacado su objetivo de proporcionar orientaciones prácticas que resulten accesibles para el público pertinente ( 42 ).

Las partes interesadas subrayan la necesidad de directrices adicionales, en particular relativas a la anonimización y la seudonimización ( 43 ), el interés legítimo y la investigación científica ( 44 ). En el informe de 2020, la Comisión pidió al Comité que adoptara directrices en materia de investigación científica, pero todavía no lo ha hecho. Habida cuenta de la importancia de la investigación científica en la sociedad, en particular para el seguimiento de las enfermedades y el desarrollo de tratamientos y para fomentar la innovación, es esencial que las autoridades de protección de datos tomen medidas para aclarar estas cuestiones sin más demora ( 45 ). Las autoridades públicas también se beneficiarían de orientaciones para abordar los retos particulares a los que se enfrentan ( 46 ).

2.5. Autoridades de protección de datos

2.5.1. Independencia y recursos

La independencia de las autoridades de protección de datos está consagrada en la Carta de los Derechos Fundamentales de la UE y en el Tratado de Funcionamiento de la UE. El RGPD establece requisitos para garantizar la «total independencia» de las autoridades de protección de datos ( 47 ). El informe de la FRA constató que la mayoría de las autoridades de protección de datos operan con independencia del Gobierno, el Parlamento o cualquier otro organismo público ( 48 ).

Las autoridades de protección de datos requieren recursos humanos, técnicos y financieros adecuados para poder desempeñar de manera eficaz e independiente las tareas que se les encomiendan en el marco del RGPD. En el informe de 2020, la Comisión señaló que la dotación de recursos de las autoridades de protección de datos seguía sin ser satisfactoria y había planteado sistemáticamente esta cuestión a los Estados miembros. Desde entonces, la situación ha mejorado.

Aumento de los recursos para las autoridades de protección de datos ( 49 )

·Entre 2020 y 2024, en las autoridades de protección de datos, excepto en dos, se produjo un aumento del personal, y dicho aumento superó el 25 % en 14 Estados miembros.

·La autoridad de protección de datos de Irlanda registró el mayor aumento del personal (79 %), seguida de Estonia y Suecia (ambos 57 %) y Bulgaria (56 %).

·Se produjo una ligera disminución del personal de la autoridad en Chequia (– 1 %), mientras que no hubo aumento en Liechtenstein y se produjeron aumentos menores en Chipre (4 %) y Hungría (8 %).

·Entre 2020 y 2024, en todas las autoridades de protección de datos, excepto en una, se produjo un aumento del presupuesto, y dicho aumento superó el 50 % en 13 Estados miembros.

·La autoridad de protección de datos de Chipre registró el mayor aumento del presupuesto (130 %), seguida de Austria (107 %), Bulgaria (100 %) y Estonia (97 %).

·El presupuesto de la autoridad griega de protección de datos disminuyó un 15 %, mientras que se produjeron pequeños aumentos presupuestarios en las autoridades de Liechtenstein (1 %), Eslovaquia (6 %) y Chequia (8 %).

Aunque estas estadísticas muestran una tendencia general al alza en la dotación de recursos a las autoridades de protección de datos, las propias autoridades consideran que siguen careciendo de recursos humanos suficientes ( 50 ). Subrayan la necesidad de conocimientos técnicos muy especializados, en particular sobre tecnologías nuevas y emergentes ( 51 ), cuya ausencia afecta a la cantidad y la calidad de su trabajo, así como las dificultades para competir por los recursos humanos con el sector privado. Las autoridades de protección de datos mencionan la insuficiencia de conocimientos jurídicos y la falta de competencias lingüísticas como factores que afectan a su desempeño. La baja remuneración, la incapacidad de seleccionar al personal de manera autónoma y la pesada carga de trabajo se destacan como factores clave que afectan a la capacidad de las autoridades para contratar y retener al personal ( 52 ). Las autoridades de protección de datos también subrayan su necesidad de recursos financieros para modernizar y digitalizar sus procesos y adquirir equipos técnicos ( 53 ). Todas las autoridades de protección de datos desempeñan funciones que van más allá de las que les encomienda el RGPD ( 54 ), por ejemplo, como autoridades de control en el marco de la Directiva sobre protección de datos en el ámbito penal y la Directiva sobre la intimidad en las comunicaciones electrónicas, mientras que muchas expresan su preocupación por hacer frente a responsabilidades adicionales en virtud de la nueva legislación del ámbito digital ( 55 ).

2.5.2. Dificultades para tramitar un gran número de reclamaciones

Varias autoridades de protección de datos indican que se utilizan demasiados recursos en la tramitación de las reclamaciones, cuyo número es muy elevado y que en su mayoría son triviales e infundadas, a su juicio, ya que existe la obligación, sujeta a control judicial, de tramitar todas las reclamaciones, de acuerdo con el RGPD ( 56 ). Esto significa que las autoridades de protección de datos no pueden asignar recursos suficientes a otras actividades, como las investigaciones por iniciativa propia, las campañas de sensibilización pública y la colaboración con los responsables del tratamiento ( 57 ). Como autoridades públicas, las autoridades de protección de datos tienen la facultad de asignar sus recursos como consideren oportuno para cumplir cada una de sus funciones (enumeradas en el artículo 57, apartado 1, del RGPD) en aras del interés público. Muchas autoridades de protección de datos han adoptado estrategias para aumentar la eficiencia de la tramitación de reclamaciones, como la automatización ( 58 ), el uso de procedimientos de arreglo amistoso ( 59 ) y la «agrupación» de reclamaciones relacionadas con cuestiones similares ( 60 ).

2.5.3. Interpretación del RGPD por parte de las autoridades nacionales de protección de datos

Un objetivo central del RGPD era eliminar el enfoque fragmentado de la protección de datos que existía en virtud de la anterior Directiva sobre protección de datos (Directiva 95/46/CE) ( 61 ). Sin embargo, las autoridades de protección de datos siguen adoptando interpretaciones divergentes sobre conceptos clave en esta materia ( 62 ). Las partes interesadas consideran que este es el principal obstáculo para la aplicación coherente del RGPD en la UE. La persistencia de interpretaciones divergentes crea inseguridad jurídica y aumenta los costes para las empresas (por ejemplo, al exigir documentación diferente para varios Estados miembros), lo cual perturba la libre circulación de datos personales en la UE, plantea dificultades para las empresas transfronterizas y obstaculiza la investigación y la innovación sobre desafíos sociales urgentes.

Entre las cuestiones específicas planteadas por las partes interesadas figuran las siguientes: i) las autoridades de protección de datos de tres Estados miembros tienen opiniones divergentes sobre la base jurídica adecuada para el tratamiento de datos personales al realizar un ensayo clínico; ii) a menudo existen opiniones divergentes sobre si una entidad constituye un responsable o un encargado del tratamiento, y iii) en algunos casos, las autoridades de protección de datos no siguen las directrices del Comité o publican directrices a escala nacional que entran en conflicto con las del Comité ( 63 ). Estas cuestiones se agravan cuando varias autoridades de protección de datos de un solo Estado miembro adoptan interpretaciones contradictorias.

Algunas partes interesadas también consideran que determinadas autoridades de protección de datos y el Comité adoptan interpretaciones que se alejan del enfoque basado en el riesgo del RGPD, lo que plantea dificultades para el desarrollo de la economía digital ( 64 ) y la libertad y pluralidad de los medios de comunicación. Como ámbitos que suscitan preocupación, mencionan los siguientes: i) la interpretación de la anonimización; ii) la base jurídica del interés legítimo y el consentimiento ( 65 ), y iii) las excepciones a la prohibición de la toma de decisiones individuales automatizadas ( 66 ). Cabe recordar que las autoridades de protección de datos y el Comité se encargan de garantizar tanto la protección de las personas físicas en relación con el tratamiento de sus datos personales como la libre circulación de datos personales dentro de la UE. Tal y como se consagra en el RGPD ( 67 ), el derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.

2.5.4. Colaboración con los responsables y encargados del tratamiento

Las partes interesadas subrayan la ventaja de tener la oportunidad de entablar un diálogo constructivo con las autoridades de protección de datos para garantizar que cumplen el RGPD desde el principio, en particular en relación con las tecnologías emergentes. Las partes interesadas señalan que algunas autoridades de protección de datos colaboran activamente con los responsables del tratamiento, mientras que otras tardan en responder, ofrecen respuestas vagas o no responden ( 68 ).

3. Aplicación del RGPD por parte de los Estados miembros

3.1. Fragmentación de la aplicación nacional

Si bien el RGPD es directamente aplicable como Reglamento, obliga a los Estados miembros a legislar en determinados ámbitos y les ofrece la posibilidad de especificar en mayor detalle su aplicación en un número limitado de ámbitos ( 69 ). A la hora de legislar a escala nacional, los Estados miembros deben hacerlo de acuerdo con las condiciones y los límites establecidos por el RGPD. Al igual que en 2020, las partes interesadas informan de dificultades derivadas de la fragmentación de las normas nacionales en las que los Estados miembros tienen la posibilidad de especificar más el RGPD, en particular en lo que respecta a las siguientes cuestiones:

·la edad mínima para que un niño otorgue su consentimiento en relación con los servicios de la sociedad de la información que se le oferten ( 70 );

·la introducción por parte de los Estados miembros de condiciones adicionales relativas al tratamiento de datos genéticos, biométricos o relativos a la salud ( 71 );

·el tratamiento de datos personales relativos a condenas e infracciones penales ( 72 ), lo que crea dificultades en determinados sectores regulados.

Al mismo tiempo, muchas partes interesadas argumentan que los problemas de fragmentación se derivan principalmente de interpretaciones divergentes del RGPD por parte de las autoridades de protección de datos, más que del uso de cláusulas de especificación facultativas por parte de los Estados miembros.

Los Estados miembros consideran que un grado limitado de fragmentación puede ser aceptable y que las cláusulas de especificación previstas en el RGPD siguen siendo beneficiosas, en particular para el tratamiento por parte de las autoridades públicas ( 73 ). El RGPD exige a los Estados miembros que consulten a su autoridad nacional de protección de datos a la hora de elaborar legislación relativa al tratamiento de datos personales ( 74 ). Sin embargo, el informe de la FRA constató que algunos Gobiernos fijaban plazos muy ajustados para dichas autoridades y, en algunos casos, no las consultaban ( 75 ).

3.2. Seguimiento por parte de la Comisión

La Comisión supervisa la aplicación del RGPD de forma continua y ha incoado procedimientos de infracción contra los Estados miembros sobre cuestiones como la independencia de las autoridades de protección de datos (especialmente la ausencia de influencia externa y la disponibilidad de acciones judiciales en caso de desestimación) ( 76 ) y el derecho a la tutela judicial efectiva de los interesados cuando la autoridad de protección de datos no dé curso a una reclamación ( 77 ). Como parte de su seguimiento, la Comisión también pide que las autoridades de protección de datos faciliten, con carácter estrictamente confidencial, información periódica ( 78 ) sobre los casos transfronterizos a gran escala en curso, en particular los relativos a grandes multinacionales tecnológicas,

La Comisión se comunica periódicamente con los Estados miembros sobre la aplicación del RGPD. Como se expuso en el informe de 2020, la Comisión ha seguido utilizando el grupo de expertos de los Estados miembros sobre el RGPD ( 79 ) para facilitar los debates y el intercambio de experiencias sobre la aplicación efectiva del RGPD. El grupo de expertos ha mantenido debates específicos sobre las siguientes cuestiones: i) el control de los tribunales en el ejercicio de su función judicial (artículo 55 del RGPD; artículo 8 de la Carta); ii) la conciliación del derecho a la protección de los datos personales con el derecho a la libertad de expresión (artículo 85 del RGPD), y iii) el derecho a la tutela judicial efectiva contra una autoridad de control (artículo 78 del RGPD). Tras estos debates, la Comisión recopiló resúmenes de los enfoques adoptados en la aplicación de dichas disposiciones en los Estados miembros ( 80 ). La Comisión también utilizó este grupo para intercambiar puntos de vista con los Estados miembros a la hora de preparar la propuesta de normas procedimentales.

La conformidad de la legislación y de las prácticas nacionales con las normas de protección de datos establecidas en el corpus de Derecho de la UE sobre el espacio Schengen también se evalúa como parte de las evaluaciones de Schengen, realizadas conjuntamente por los Estados miembros y la Comisión. Se llevan a cabo al menos cinco evaluaciones de protección de datos in situ al año, que actualmente se centran en sistemas informáticos de gran magnitud y el Sistema de Información de Schengen, el Sistema de Información de Visados y en la función control de las autoridades nacionales de protección de datos sobre dichos sistemas.

La Comisión está contribuyendo activamente al gran número de asuntos incoados ante el Tribunal de Justicia (con alrededor de treinta procedimientos prejudiciales al año en los últimos años), el cual desempeña un papel fundamental en la interpretación coherente de conceptos clave del RGPD. Un corpus de jurisprudencia del Tribunal cada vez más extenso ha aportado diversas aclaraciones, tales como la definición de conceptos como datos personales ( 81 ), categorías especiales de datos personales ( 82 ), responsable del tratamiento ( 83 ), consentimiento ( 84 ), interés legítimo ( 85 ), derecho de acceso ( 86 ), derecho de supresión ( 87 ), derecho a indemnización ( 88 ), toma de decisiones individuales automatizada ( 89 ), multas administrativas ( 90 ), delegados de protección de datos ( 91 ), publicación de datos personales en registros ( 92 ) y la aplicación del RGPD a las actividades de los parlamentos ( 93 ).

4. Derechos de los interesados

Sensibilización de la ciudadanía sobre el RGPD y las autoridades de protección de datos (Eurobarómetro 549 de 2024 sobre justicia, derechos y valores)

·El 72 % de los encuestados de toda la UE afirman haber oído hablar del RGPD, incluido un 40 % que sabe lo que es.

·En 19 Estados miembros, más del 70 % de los encuestados indicaron haber oído hablar del RGPD, con Suecia a la cabeza (92 %), seguida de Países Bajos (88 %), Malta y Dinamarca (84 %), mientras que los países con porcentajes más bajos fueron Bulgaria (59 %), Lituania (63 %) y Francia (64 %).

·El 68 % de los encuestados de la UE indican que han oído hablar de una autoridad nacional responsable de proteger sus derechos en materia de protección de datos, y el 24 % de todos los encuestados afirma saber también de qué autoridad se trata.

·En todos los Estados miembros, al menos la mitad de los encuestados ha oído hablar de dicha autoridad nacional, con los niveles más altos en Países Bajos (82 %), Chequia, Eslovenia y Polonia (todos ellos el 75 %), y Portugal (74 %). Los países donde los encuestados están menos familiarizados con esta autoridad fueron Austria (56 %) y España (58 %).

Los particulares están cada vez más familiarizados con el RGPD y ejercen activamente sus derechos en virtud de este con mayor frecuencia ( 94 ). Las autoridades de protección de datos dedican recursos sustanciales a promover el conocimiento sobre los derechos y las obligaciones en materia de protección de datos entre el público en general, por ejemplo, a través de las redes sociales y campañas de televisión, líneas de ayuda, boletines informativos y presentaciones en las instituciones educativas ( 95 ). Muchas de estas iniciativas se han beneficiado de financiación de la UE ( 96 ). La Agencia de los Derechos Fundamentales señala que, si bien el público general está más familiarizado con la protección de datos, todavía no la comprende en profundidad, como demuestra el gran número de reclamaciones triviales o infundadas ( 97 ). Se han desarrollado varias herramientas digitales de uso sencillo para facilitar a los interesados el ejercicio de sus derechos ( 98 ). Los actos legislativos, en particular el Reglamento de Gobernanza de Datos ( 99 ), deben conducir a la creación de vías adicionales para que los interesados ejerzan sus derechos en el futuro. Las empresas señalan que el derecho de supresión se utiliza cada vez más, algo que rara vez ocurre con el derecho de rectificación y el de oposición.

4.1.El derecho de acceso

Los responsables del tratamiento informan de que el derecho de acceso (artículo 15 del RGPD) es el que más ejercitan los interesados. Si bien el Comité adoptó directrices sobre este derecho en 2022, los responsables del tratamiento siguen informando de dificultades, por ejemplo, al interpretar el concepto de «solicitudes infundadas o excesivas» ( 100 ), al responder a un elevado número de solicitudes y al tramitar solicitudes que se realizan con fines no relacionados con la protección de datos, como para recabar pruebas para procedimientos judiciales ( 101 ). Las organizaciones de la sociedad civil señalan que las respuestas a las solicitudes de acceso suelen retrasarse o estar incompletas, mientras que los datos recibidos no siempre se encuentran en un formato legible ( 102 ). Las autoridades públicas mencionan dificultades en la interacción entre el derecho de acceso y las normas sobre el acceso del público a los documentos ( 103 ). Por lo tanto, es positivo que el Comité haya puesto en marcha, en febrero de 2024, una acción conjunta sobre el marco de ejecución coordinada relativo al derecho de acceso ( 104 ).

4.2. El derecho a la portabilidad

En el informe de 2020, la Comisión se comprometió a estudiar los medios prácticos para facilitar una mayor utilización del derecho a la portabilidad (artículo 20 del RGPD) por parte de los particulares, en consonancia con la estrategia de datos. Desde entonces, la Comisión ha adoptado una serie de iniciativas que complementan este derecho. Estas iniciativas facilitan un cambio sencillo entre servicios, por lo que se crean mayores posibilidades de elección para las personas, se apoya la competencia y la innovación, y se permite a las personas aprovechar las ventajas del uso de sus datos. El Reglamento de Datos otorga a los usuarios de dispositivos inteligentes un derecho mejorado a la portabilidad de los datos que se generan a través de dichos dispositivos y exige que el diseño del producto o del servidor final del fabricante o del titular de datos permita que dicha portabilidad sea posible técnicamente. El Reglamento de Mercados Digitales exige que los proveedores de servicios básicos de plataforma identificados como «guardianes de acceso» proporcionen una portabilidad efectiva de los datos de los usuarios, especialmente el acceso continuo y en tiempo real a dichos datos. Otras iniciativas de la Comisión que se encuentran actualmente en fase de negociación o sobre las que se ha alcanzado un acuerdo político prevén la mejora de los derechos de portabilidad en ámbitos específicos, como la Directiva relativa al trabajo en plataformas digitales ( 105 ), el Espacio Europeo de Datos Sanitarios ( 106 ) y el marco para el acceso a los datos financieros ( 107 ).

4.3. El derecho a presentar una reclamación

Como demuestra el gran número de reclamaciones, existe un amplio conocimiento del derecho a presentar una reclamación ante una autoridad de protección de datos. Las organizaciones de la sociedad civil ponen de relieve unas diferencias injustificadas en las prácticas nacionales a la hora de tramitar reclamaciones, cuestión que se aborda en la propuesta de normas procedimentales de la Comisión. Pocos Estados miembros han hecho uso de la opción prevista en el RGPD de conceder a un organismo sin ánimo de lucro el derecho a adoptar medidas con independencia del mandato del interesado (artículo 80, apartado 2). Sin embargo, la Directiva relativa a las acciones de representación ( 108 ), adoptada en 2020, dará lugar a una mayor armonización a este respecto al facilitar las acciones colectivas de particulares por incumplimiento del RGPD. Las medidas nacionales de transposición de la Directiva entraron en vigor en junio de 2023.

4.4. La protección de los datos personales de los niños

Los niños precisan de una protección específica en lo que respecta a sus datos personales ( 109 ). El RGPD forma parte de un marco jurídico global que garantiza la protección de los niños tanto en línea como fuera de línea ( 110 ). Dada la creciente presencia de niños en línea, en los últimos años se han adoptado una serie de medidas a escala nacional y de la UE para velar por su protección. Las autoridades de protección de datos han impuesto multas significativas a las empresas de medios sociales por vulnerar el RGPD al tratar los datos de los niños. También cooperan con otras autoridades para instar a una mayor protección de los niños en el ámbito de la publicidad. En el informe de 2020, la Comisión invitó al Comité a adoptar directrices sobre el tratamiento de los datos de los niños, una labor que se encuentra en proceso de desarrollo ( 111 ). El Reglamento de Servicios Digitales incluye disposiciones específicas para garantizar un alto nivel de privacidad, seguridad y protección de los niños que utilizan plataformas en línea.

Algunas partes interesadas informan de dificultades en el ejercicio de los derechos de los interesados cuando estos son niños. En particular, argumentan de que los niños no comprenden plenamente sus derechos, carecen de competencias de alfabetización digital y pueden ser objeto de influencias indebidas ( 112 ). La Comisión ha financiado varias iniciativas nacionales relativas a la protección de los datos de los niños y a la promoción de la sensibilización sobre la protección de datos entre los niños ( 113 ). En el marco de la estrategia para una internet mejor para los niños (BIK+), la Comisión está proporcionando a los niños recursos de sensibilización y formación sobre sus derechos digitales, especialmente la protección de datos (por ejemplo, el consentimiento digital) ( 114 ). Se presta cada vez más atención a la necesidad de herramientas de comprobación de la edad eficaces y respetuosas con la privacidad. A principios de 2024, la Comisión creó un Grupo de Trabajo sobre Comprobación de la Edad con los Estados miembros, el Comité y el Grupo de Entidades Reguladoras Europeas para los Servicios de Comunicación Audiovisual con el objetivo de debatir y apoyar el desarrollo de un enfoque a escala de la UE a este respecto. Este trabajo proseguirá ahora en el marco de la Junta de la Ley de Servicios Digitales, en el Grupo de Trabajo de Protección de Menores. En el contexto del Reglamento sobre la Identidad Digital Europea ( 115 ), que entró en vigor en mayo de 2024, la Comisión está trabajando para garantizar que la cartera europea de identidad digital se ofrezca a todos los ciudadanos y residentes de la UE en 2026, también para la verificación de la edad. Mientras tanto, antes de que el ecosistema de la cartera sea plenamente operativo, se desarrollará una solución a corto plazo para la verificación de la edad, que estará disponible en toda la UE.

5. Oportunidades y retos para las organizaciones, en particular las pymes

El RGPD ha creado unas condiciones de competencia equitativas para las empresas que operan en el mercado interior, y su enfoque tecnológicamente neutro y favorable a la innovación les permite reducir la burocracia y beneficiarse de una mayor confianza de los consumidores ( 116 ). Muchas empresas han desarrollado una cultura interna de protección de datos y consideran que la privacidad y la protección de datos son parámetros clave en términos de competencia. Las empresas valoran el enfoque basado en el riesgo del RGPD como principio rector que les permite abordar sus obligaciones con flexibilidad y escalabilidad ( 117 ).

5.1. Conjunto de instrumentos para las empresas

El RGPD proporciona un conjunto de instrumentos que permiten a las organizaciones gestionar y demostrar de manera flexible su cumplimiento, especialmente códigos de conducta, mecanismos de certificación y cláusulas contractuales tipo. Como se anunció en el informe de 2020, la Comisión adoptó en 2021 cláusulas contractuales tipo sobre la relación entre responsables y encargados del tratamiento ( 118 ). Estas cláusulas contractuales tipo proporcionan una herramienta de cumplimiento voluntaria prediseñada y fácil de aplicar que resulta especialmente útil para las pymes u organizaciones que pueden no disponer de los recursos necesarios para negociar contratos individuales con sus socios comerciales. Las empresas informan de comentarios dispares sobre el uso de las cláusulas contractuales tipo, en el sentido de que algunas empresas (principalmente pymes) las utilizan total o parcialmente, mientras que otras (en su mayoría empresas más grandes) tienden a no utilizarlas porque prefieren usar sus propias cláusulas.

Las empresas subrayan que los códigos de conducta tienen un gran potencial como instrumento de cumplimiento debido a su especificidad por sectores y a su rentabilidad ( 119 ). Sin embargo, la elaboración de códigos de conducta ha sido limitada ( 120 ). Según la información disponible hasta la fecha, solo se han aprobado dos códigos a escala de la UE (ambos en el sector de la nube), mientras que se han aprobado seis códigos a escala nacional ( 121 ). Las partes interesadas señalan que los principales factores que limitan la adopción de códigos de conducta son unos requisitos gravosos (especialmente la necesidad de crear un organismo de control acreditado), la falta de participación de las autoridades de protección de datos y el largo proceso de aprobación ( 122 ).

Hacen falta una mayor transparencia en el proceso y unos plazos de aprobación claros. Las autoridades de protección de datos y, en el caso de los códigos a escala de la UE, el Comité deberían fomentar más activamente la elaboración de los códigos de conducta colaborando con las asociaciones que los desarrollan. Esto ayudará a resolver las diferencias de interpretación y a acelerar el proceso de aprobación. Las partes interesadas lamentan las largas demoras en la adopción de códigos de conducta debido al hecho de que se lleven a cabo debates en paralelo en el marco de las labores de desarrollo de directrices. Las empresas también informan de que no se utiliza la certificación de manera generalizada porque el proceso de desarrollo es lento y complejo. Al igual que en el caso de los códigos de conducta, las autoridades de protección de datos deben establecer plazos más claros para la revisión y aprobación de las certificaciones.

En su Estrategia 2024-2027, el Comité se ha comprometido a seguir apoyando medidas de cumplimiento como la certificación y los códigos de conducta, en particular colaborando con grupos clave de partes interesadas para explicar cómo pueden utilizarse los instrumentos ( 123 ).

5.2. Desafíos específicos para las pymes y los pequeños operadores

En el informe de 2020, la Comisión pidió que se intensificaran los esfuerzos para apoyar el cumplimiento del RGPD por parte de las pymes. En los últimos años, las autoridades de protección de datos y el Comité han seguido desarrollando herramientas de cumplimiento para las pymes, respaldadas en parte por la financiación de la Comisión ( 124 ). En abril de 2023, el Comité puso en marcha una guía de protección de datos para pequeñas empresas ( 125 ), que ofrece información práctica a las pymes en un formato accesible y de fácil comprensión.

Las pymes de muchos Estados miembros subrayan los beneficios de un apoyo personalizado por parte de sus autoridades locales de protección de datos. Sin embargo, la diversidad de enfoques de concienciación y orientación por parte de las autoridades de protección de datos significa que las pymes de algunos Estados miembros perciben el cumplimiento como una cuestión compleja y temen posibles medidas o sanciones (126 ). Las autoridades de protección de datos deben redoblar sus esfuerzos para hacer frente a estos desafíos, en particular mediante la colaboración proactiva con las pymes para disipar las preocupaciones infundadas en lo que respecta al cumplimiento. Las autoridades de protección de datos deben centrarse en proporcionar apoyo personalizado y herramientas prácticas, como plantillas (por ejemplo, para realizar evaluaciones del impacto derivado de la protección de datos), líneas telefónicas de ayuda, ejemplos ilustrativos, listas de comprobación y orientaciones sobre operaciones de tratamiento específicas (por ejemplo, facturación o boletines informativos) y medidas técnicas y organizativas. Dado que la mayoría de las pymes no disponen de personal en plantilla que sea experto en protección de datos, cualquier orientación dirigida a estas empresas debe ser fácilmente comprensible para quienes carecen de formación jurídica ( 127 ).

En consonancia con el enfoque basado en el riesgo del RGPD, las pymes que llevan a cabo actividades de tratamiento de bajo riesgo no soportan una carga de cumplimiento sustancial. Aunque la excepción al mantenimiento de registros de las actividades de tratamiento ( 128 ) se aplica en circunstancias limitadas ( 129 ), las pymes que llevan a cabo un tratamiento de bajo riesgo pueden cumplir los requisitos manteniendo registros simplificados basados en plantillas facilitadas por las autoridades de protección de datos. Además, estos registros deben considerarse una herramienta útil para que las pymes hagan balance de sus actividades de tratamiento.

5.3. Delegados de protección de datos

Los delegados de protección de datos desempeñan un papel importante a la hora de garantizar el cumplimiento del RGPD en las organizaciones en las que trabajan. En general, los delegados de protección de datos que operan en la UE tienen los conocimientos y las capacidades necesarios para desempeñar sus funciones en virtud del RGPD y se respeta su independencia ( 130 ). Sin embargo, siguen existiendo varios desafíos, entre ellos: i) dificultades a la hora de nombrar delegados de protección de datos que dispongan de los conocimientos especializados necesarios; ii) falta de normas a escala de la UE en materia de educación y formación; iii) falta de integración adecuada de los delegados de protección de datos en los procesos organizativos; iv) falta de recursos; v) tareas adicionales además de la protección de datos, y vi) antigüedad insuficiente ( 131 ). El Comité señaló que es necesario que las autoridades de protección de datos intensifiquen las actividades de sensibilización, así como sus medidas de información y ejecución, para garantizar que los delegados de protección de datos puedan desempeñar su función en virtud del RGPD ( 132 ).

6. El RGPD como piedra angular de la política de la UE en el ámbito digital

6.1. Política digital basada en el RGPD

En el informe de 2020, la Comisión se comprometió a apoyar la aplicación coherente del marco de protección de datos en relación con las nuevas tecnologías con el fin de apoyar la innovación y los avances tecnológicos. Desde entonces, la UE ha adoptado una serie de iniciativas, algunas de las cuales complementan el RGPD o especifican cómo debe aplicarse en ámbitos específicos, con el fin de perseguir objetivos concretos, como se expone a continuación.

·El Reglamento de Servicios Digitales ( 133 ), cuyo objetivo es proporcionar un entorno en línea seguro para las personas y las empresas, prohíbe a las plataformas en línea mostrar anuncios basados en la elaboración de perfiles utilizando «categorías especiales de datos personales», tal como se definen en el RGPD.

·Para que los mercados digitales sean más equitativos y disputables, el Reglamento de Mercados Digitales ( 134 ) prohíbe a los operadores designados como «guardianes de acceso» «combinar» y «cruzar» datos personales procedentes de sus servicios básicos de plataforma con datos personales procedentes de otros servicios, a menos que el usuario haya dado su consentimiento conforme a lo previsto en el RGPD.

·La Ley de Inteligencia Artificial ( 135 ) especifica las normas de protección de datos de la UE en ámbitos específicos en los que se utiliza la inteligencia artificial, por ejemplo, en sistemas de identificación biométrica remota, en el tratamiento de categorías especiales de datos para detectar sesgos y en el tratamiento ulterior de datos personales en espacios controlados de pruebas.

·La Directiva relativa al trabajo en plataformas ( 136 ) complementa el RGPD en el ámbito del empleo mediante el establecimiento de normas sobre los sistemas automatizados de supervisión y toma de decisiones utilizados por las plataformas digitales de trabajo, y en particular determinadas limitaciones al tratamiento de datos personales, la transparencia y la supervisión y revisión humanas, y la portabilidad.

·El Reglamento sobre la publicidad política ( 137 ) prohíbe el uso de categorías especiales de datos personales en la publicidad política y exige una mayor transparencia sobre las técnicas de segmentación y amplificación utilizadas.

·El Reglamento sobre la Identidad Digital Europea permite la creación de una cartera europea de identidad digital universal, fiable y segura. Dicha cartera permitirá a las personas demostrar atributos personales como la edad, los permisos de conducción, los títulos y las cuentas bancarias con pleno control sobre sus datos personales y sin compartir información innecesaria.

La propuesta de Reglamento sobre la privacidad en las comunicaciones electrónicas ( 138 ) que sustituirá a la actual Directiva sobre la privacidad y las comunicaciones electrónicas ( 139 ) y complementará el marco legislativo en materia de privacidad y protección de datos se encuentra en fase de negociación desde hace varios años. Es necesario reflexionar sobre los próximos pasos de esta iniciativa, incluida su relación con el RGPD.

La Ley sobre la Europa Interoperable ( 140 ) tiene por objeto hacer que los servicios públicos digitales sean interoperables en toda la UE y apoya la cooperación entre las autoridades de protección de datos, en particular a través de los espacios controlados de pruebas de interoperabilidad.

Varias iniciativas de la UE proporcionan una base jurídica para el tratamiento de datos personales por parte de entidades privadas para la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales. Toda legislación de este tipo debe estar cuidadosamente orientada a minimizar la injerencia en el derecho a la protección de los datos personales y debe ser proporcionada al objetivo perseguido ( 141 ). La Carta, el RGPD y la jurisprudencia del Tribunal de Justicia proporcionan un marco para medir estas iniciativas. El paquete de medidas contra el blanqueo de capitales propuesto ( 142 ) contiene salvaguardias sustanciales para la protección de los datos personales, sin comprometer el objetivo de mitigar los riesgos de blanqueo de capitales y financiación del terrorismo y de detectar eficazmente las tentativas delictivas de utilizar indebidamente el sistema financiero de la UE.

En este contexto, el Consejo ha subrayado que cualquier nueva legislación de la UE que contenga disposiciones sobre el tratamiento de datos personales debe ser coherente con el RGPD y la jurisprudencia del Tribunal de Justicia.

6.2. Un marco jurídico para mejorar el intercambio de datos

La estrategia de datos tiene por objeto crear un mercado único de datos en el que los datos fluyan libremente dentro de la UE y entre sectores en beneficio de las empresas, los investigadores y las administraciones públicas. Un objetivo clave de la estrategia de datos es la creación de espacios comunes europeos de datos que faciliten su puesta en común, su acceso y su intercambio. En lo que respecta a los datos personales, el RGPD proporciona el marco para todas las iniciativas destinadas a mejorar la libre circulación de datos en la UE, que es a su vez un objetivo del RGPD. En cuanto a los datos personales, no se abordan las protecciones del RGPD.

El Reglamento de Gobernanza de Datos ( 143 ) y el Reglamento Datos ( 144 ) son pilares de la estrategia de datos. El Reglamento de Gobernanza de Datos establece normas concretas en el contexto de la reutilización de los datos del sector público que contengan datos personales y establece un marco legislativo para los servicios de intermediación de datos, incluidos los servicios de gestión de información personal (PIMS) o las nubes de datos personales ofrecidos con el fin de facultar a los interesados en el ejercicio de sus derechos en virtud del RGPD. También establece las condiciones de uso de los datos con fines altruistas. Por su parte, el Reglamento de Datos refuerza el control de los interesados sobre los datos que generan mediante el uso de productos inteligentes que poseen, alquilan o arriendan al imponer requisitos técnicos para el acceso a los datos y su portabilidad.

El Espacio Europeo de Datos Sanitarios (EEDS) ( 145 ) refleja las necesidades específicas identificadas en el sector de los datos sanitarios, al tiempo que se basa en el RGPD. Permite a las personas acceder fácilmente a sus datos sanitarios en formato electrónico y compartirlos con los profesionales sanitarios, también en otros Estados miembros, con la consiguiente mejora de la prestación de asistencia sanitaria y el aumento del control de los pacientes sobre sus datos. También establece un marco jurídico común para la reutilización de datos sanitarios con fines como la investigación, la innovación y la salud pública sujeta a la expedición de un permiso por parte de un organismo de acceso a los datos sanitarios. Para garantizar la protección de los datos personales, el EEDS proporcionará un marco fiable para el acceso seguro a los datos sanitarios y su tratamiento. La Comisión sigue apoyando los avances en el desarrollo de espacios comunes europeos de datos en catorce sectores mediante la aplicación del nuevo marco legislativo y la financiación de iniciativas sectoriales específicas.

6.3. Gobernanza de las nuevas normas digitales

El desarrollo de la normativa digital plantea la necesidad de una estrecha cooperación en todos los ámbitos normativos ( 146 ). Esta cooperación resulta, si cabe, más necesaria debido a que las cuestiones de protección de datos están cada vez más relacionadas con asuntos como, por ejemplo, el Derecho de la competencia, el Derecho de los consumidores, la normativa de los mercados digitales, la regulación de las comunicaciones electrónicas y la ciberseguridad. Este es el caso, por ejemplo, al evaluar la compatibilidad de los modelos «consentimiento o remuneración» (también llamados popularmente «pay or okay») con el Derecho de la Unión.

En algunos casos, las autoridades de protección de datos se encargan de hacer cumplir disposiciones específicas de la nueva legislación de la UE en el ámbito digital ( 147 ). Las nuevas normas digitales también crean estructuras específicas que reúnen a los reguladores competentes para garantizar una aplicación coherente, como el Grupo de Alto Nivel sobre el Reglamento de Mercados Digitales, el Comité Europeo de Innovación en materia de Datos (creado en virtud del Reglamento de Gobernanza de Datos) y la Junta Europea de Servicios Digitales (creada en virtud del Reglamento de Servicios Digitales). La Directiva SRI 2 ( 148 ) establece normas más detalladas sobre la cooperación entre las autoridades reguladoras y las autoridades de protección de datos en la gestión de incidentes de seguridad que constituyan violaciones de la seguridad de los datos personales.

Al margen de estas estructuras formales, las autoridades de protección de datos están tomando medidas para garantizar que sus acciones sean complementarias y coherentes con otros ámbitos reglamentarios. En julio de 2020, las autoridades de protección de los consumidores y de los datos crearon un «grupo de voluntarios» para determinar buenas prácticas y compartir experiencias de aplicación normativa. Las autoridades de protección de datos siguen participando en talleres conjuntos con la Red de Cooperación para la Protección de los Consumidores. En 2023, el Comité creó un grupo de trabajo sobre la interacción entre la protección de datos, la competencia y la protección de los consumidores.

Si bien estos avances son positivos, es necesario contar con medios de cooperación más estructurados y eficientes, en particular para abordar situaciones que afectan a un gran número de particulares en la UE y en las que participan varios reguladores ( 149 ). Estas estructuras deben garantizar que las autoridades sigan siendo responsables en todo momento de todas las cuestiones relativas al cumplimiento de las normas en sus ámbitos de competencia. Los Estados miembros también deben trabajar para garantizar que se lleve a cabo una cooperación adecuada a nivel nacional ( 150 ).

7. Transferencias internacionales y cooperación mundial

7.1. El conjunto de instrumentos de transferencia del RGPD

Los flujos de datos se han convertido en una parte integrante de la transformación digital de la sociedad y de la globalización de la economía. Más que nunca, el respeto de la privacidad es indispensable para asegurar unos flujos comerciales estables, seguros y competitivos, así como para facilitar muchas formas de cooperación internacional. El conjunto de instrumentos de transferencia del RGPD que establece su capítulo V ofrece una variedad de instrumentos para abordar diferentes hipótesis de transferencia, al tiempo que garantiza que los datos sigan beneficiándose de un elevado nivel de protección cuando abandonan la UE.

Desde el informe de 2020, se han aclarado aún más los requisitos para las transferencias de datos establecidos en la legislación de la UE en materia de protección de datos, y el conjunto de instrumentos de transferencia ha seguido evolucionando. Una aclaración importante hace referencia al concepto de «transferencia internacional», que, de acuerdo con la definición del Comité ( 151 ), abarca toda comunicación de datos personales por parte de un responsable o encargado del tratamiento sujeto al RGPD a otro responsable o encargado del tratamiento en un tercer país, independientemente de que el tratamiento por parte de este último esté o no sujeto al RGPD ( 152 ). Estas orientaciones del Comité fueron especialmente importantes para proporcionar seguridad jurídica a los responsables y encargados del tratamiento europeos sobre las situaciones en las que se necesita una herramienta de transferencia con arreglo al capítulo V del RGPD.

El Tribunal de Justicia también ha aportado más aclaraciones en su sentencia Schrems II ( 153 ) sobre la protección que deben proporcionar diferentes instrumentos de transferencia para garantizar que no se menoscabe el nivel de protección garantizado por el RGPD ( 154 ). En particular, estos instrumentos deben garantizar que las personas cuyos datos se transfieren fuera de la UE gocen de un nivel de protección sustancialmente equivalente al garantizado dentro de la UE ( 155 ). Es responsabilidad del exportador de datos de la UE evaluar si este es el caso, teniendo en cuenta las circunstancias específicas de sus transferencias ( 156 ).

Para evaluar el nivel de protección, los exportadores de datos deben tener en cuenta tanto las garantías de protección de datos establecidas en el instrumento de transferencia celebrado con un importador de datos no perteneciente a la UE (por ejemplo, un contrato) como los elementos pertinentes del sistema jurídico del país en el que esté situado el importador de datos, en particular en lo que respecta al posible acceso a los datos por parte de las autoridades públicas de ese país ( 157 ). Este último debe evaluarse a la luz de los criterios de evaluación de la adecuación establecidos en el artículo 45 del RGPD. El Tribunal también profundizó en estos criterios, en particular en lo que se refiere a las normas sobre el acceso a los datos personales por parte de las autoridades públicas con fines de aplicación de la ley y de seguridad nacional.

Esta interpretación también se ha reflejado en las orientaciones del Comité, que actualizó sus «referencias sobre adecuación» ( 158 ) (que proporcionaron orientaciones sobre los elementos que la Comisión debe tener en cuenta al llevar a cabo una evaluación de la adecuación). El Comité también adoptó nuevas orientaciones que ofrecen aclaraciones adicionales sobre las siguientes cuestiones: i) los elementos que deben tener en cuenta los exportadores de datos individuales a la hora de evaluar el nivel de protección; ii) una visión general de las posibles fuentes que pueden utilizarse, y iii) ejemplos de posibles medidas complementarias (por ejemplo, garantías contractuales y técnicas) ( 159 ). Las orientaciones destacan específicamente que cada evaluación realizada por los exportadores de datos es única y que, por lo tanto, deben tener en cuenta las características específicas de cada transferencia, que pueden diferir en función de la finalidad de la transferencia de datos, los tipos de entidades implicadas, el sector en el que se realiza la transferencia, las categorías de datos personales transferidos, etc. ( 60 ).

Teniendo en cuenta estas diferentes aclaraciones sobre los requisitos para las transferencias internacionales de datos, en los últimos años se han dado pasos significativos para seguir desarrollando y poniendo en práctica el conjunto de instrumentos de transferencia del RGPD.

7.1.1. Decisiones de adecuación

Como también se refleja en las observaciones recibidas de las partes interesadas, las decisiones de adecuación siguen desempeñando un papel clave en el conjunto de instrumentos de transferencia del RGPD ( 161 ), ya que ofrecen una solución sencilla y exhaustiva para las transferencias de datos sin necesidad de que el exportador proporcione más garantías u obtenga ninguna autorización. Al permitir la libre circulación de datos personales, estas decisiones han abierto canales comerciales para los operadores de la UE, en particular al complementar y amplificar los beneficios de los acuerdos comerciales, y han facilitado la cooperación con socios extranjeros en una amplia gama de ámbitos, desde la cooperación en materia de regulación hasta la investigación.

Desde el informe de 2020, ha seguido creciendo el número de países que han puesto en marcha leyes modernas en materia de protección de datos en las que prevén, entre otras cosas, principios clave en materia de protección de datos, derechos individuales y una aplicación efectiva por parte de reguladores independientes. Esta tendencia ( 162 ) también ha permitido a la Comisión intensificar su labor en materia de adecuación. Esto incluye la adopción de una decisión de adecuación para el Reino Unido ( 163 ), que es fundamental para garantizar el correcto funcionamiento de los diversos acuerdos celebrados con el Reino Unido tras el Brexit. Para garantizar que la decisión de adecuación tenga garantías de futuro, incluye una «cláusula de extinción» que vencerá en 2025, tras lo cual podrá renovarse si el nivel de protección sigue siendo adecuado. La Comisión también adoptó una decisión de adecuación para la República de Corea ( 164 ), que complementa el Acuerdo de Libre Comercio UE-Corea sobre los flujos de datos personales y facilita la cooperación en materia de regulación. Está prevista una primera revisión de la decisión de adecuación para finales de 2024.

Además, tras la anulación de la decisión de adecuación del Escudo de la privacidad UE-EE. UU., la Comisión entabló conversaciones con el Gobierno estadounidense para desarrollar un nuevo acuerdo de conformidad con los requisitos aclarados por el Tribunal ( 165 ). El presidente de los Estados Unidos adoptó un nuevo Decreto sobre el refuerzo de las salvaguardias para las actividades de inteligencia de señales de los Estados Unidos, por el que se introdujeron nuevas salvaguardias vinculantes y ejecutables para garantizar que solo se pueda acceder a los datos con fines de seguridad nacional en la medida en que resulte necesario y proporcionado, y que la ciudadanía europea disponga de vías de recurso efectivas. Sobre esta base, la Comisión adoptó su decisión de adecuación sobre el Marco de Privacidad de Datos UE-EE. UU. ( 166 ), que permite que los datos personales circulen libremente desde la UE a las empresas estadounidenses que se adhieran al Marco de Privacidad de Datos. Dado que las salvaguardias establecidas por el Gobierno de los Estados Unidos en el ámbito de la seguridad nacional se aplican a todas las transferencias de datos a empresas de los Estados Unidos, independientemente del mecanismo de transferencia del RGPD utilizado, se ha facilitado significativamente el uso de otras herramientas, como las cláusulas contractuales tipo y las normas corporativas vinculantes. Durante el verano de 2024 se llevará a cabo una primera revisión del funcionamiento del Marco de Privacidad de Datos con el objeto de verificar si todos los elementos pertinentes se han implantado plenamente y funcionan eficazmente en la práctica.

Actualmente se están llevando a cabo negociaciones sobre adecuación con Brasil y Kenia, así como, por primera vez, con varias organizaciones internacionales (las conversaciones sobre adecuación se encuentran, por ejemplo, en una fase avanzada con la Organización Europea de Patentes) ( 167 ). En consonancia también con las peticiones de diversas partes interesadas ( 168 ), la Comisión ha participado activamente en conversaciones exploratorias con países de diferentes regiones del mundo.

La Comisión también supervisa continuamente la evolución en los países que ya se benefician de las constataciones de adecuación y revisa periódicamente las decisiones existentes, de conformidad con sus correspondientes obligaciones en virtud del RGPD ( 169 ). En abril de 2023, la Comisión adoptó su informe sobre la primera revisión periódica de la decisión de adecuación relativa a Japón ( 170 ), en el que se llegaba a la conclusión de que Japón sigue garantizando un nivel de protección adecuado ( 171 ). La revisión demostró que los marcos de protección de datos de la UE y Japón han seguido convergiendo desde la adopción de las decisiones de adecuación mutua.

Además, de conformidad con el artículo 97 del RGPD, la primera revisión de las once decisiones de adecuación ( 172 ) adoptadas en virtud del anterior marco de protección de datos de la UE (la Directiva sobre protección de datos) se inició como parte de la evaluación de 2020 de la aplicación y el funcionamiento del RGPD. La conclusión de este aspecto de la revisión se aplazó, en particular para tener en cuenta la sentencia del Tribunal de Justicia en el asunto Schrems II y su posterior interpretación por parte del Comité. Las mencionadas aclaraciones del Tribunal sobre los elementos clave de la norma de adecuación dieron lugar a intercambios detallados con los países y territorios afectados sobre aspectos pertinentes de su marco jurídico, así como sobre mecanismos de supervisión y ejecución.

El 15 de enero de 2024, la Comisión publicó su informe sobre estas once decisiones, junto con informes detallados por país en los que se describe la evolución en cada uno de los países y territorios desde la adopción de las decisiones de adecuación, así como las normas aplicables al acceso a los datos por parte de las autoridades públicas, en particular con fines de aplicación de la ley y de seguridad nacional ( 173 ). El informe concluye que los once países y territorios siguen ofreciendo un nivel adecuado de protección de los datos personales transferidos desde la UE, lo cual refleja que todos los países y territorios correspondientes han modernizado y reforzado de diferentes maneras su marco jurídico en materia de privacidad. Además, con el fin de abordar las diferencias existentes en lo relativo al nivel de protección, se han negociado y acordado garantías adicionales para los datos personales transferidos desde Europa con algunos de ellos, en aquellos casos en los que ha sido necesario para garantizar la continuidad de la decisión de adecuación.

Estas revisiones también muestran que las decisiones de adecuación, en lugar de constituir un fin en sí mismas, han sentado las bases para una cooperación más estrecha y una mayor convergencia normativa entre la UE y estos socios afines. Por ejemplo, el informe sobre la primera revisión del funcionamiento de la decisión de adecuación relativa a Japón reconoce que el refuerzo adicional del marco de protección de datos de Japón puede allanar el camino para ampliar la decisión de adecuación más allá de los intercambios comerciales, a fin de cubrir transferencias actualmente no incluidas en su ámbito de aplicación, como por ejemplo en la esfera de la cooperación reglamentaria y la investigación. Las conversaciones para estudiar esta posible ampliación están en curso. En general, las decisiones de adecuación se han convertido en un componente estratégico de la relación general de la UE con estos socios extranjeros y se reconocen como un factor clave para profundizar la cooperación en un amplio abanico de ámbitos.

Además de proporcionar una base sólida para una mayor cooperación bilateral, la creciente red de países y territorios para los que la UE ha adoptado una decisión de adecuación ofrece nuevas oportunidades para maximizar los beneficios de unos flujos de datos seguros y libres y para cooperar más estrechamente entre socios afines en la aplicación de las normas de protección de datos. Por consiguiente, en marzo de 2024, la Comisión organizó la primera reunión de alto nivel sobre flujos de datos seguros, en la que se reunieron ministros competentes en la materia y directores de las autoridades de protección de datos de quince países y territorios para los que la UE ha adoptado una decisión de adecuación, así como el presidente del Comité Europeo de Protección de Datos ( 174 ). En la reunión se definieron varios puntos de actuación concretos sobre los que se está llevando a cabo un trabajo de seguimiento en el seno de este grupo.

En líneas más generales, gracias a su «efecto de red», las decisiones de adecuación adoptadas por la Comisión Europea son cada vez más importantes también fuera de la UE, ya que no solo permiten la libre circulación de datos con las treinta economías del EEE, sino también con muchas más jurisdicciones de todo el mundo que reconocen a los países para los que existe una decisión de adecuación de la UE como «destinos seguros» con arreglo a sus propias normas de protección de datos ( 175 ).

7.1.2. Instrumentos que ofrecen garantías adecuadas

Desde el informe de 2020, se han desarrollado instrumentos adicionales que prevén garantías adecuadas y se han publicado orientaciones prácticas para facilitar su uso.

Como se anunció en el informe de 2020, la Comisión ha adoptado cláusulas contractuales tipo modernizadas ( 176 ), las cuales se desarrollaron basándose en gran medida en las observaciones de diversas partes interesadas ( 177 ). Las nuevas cláusulas contractuales tipo han sustituido a los tres conjuntos de cláusulas adoptados en virtud de la Directiva sobre protección de datos. Las principales novedades son las siguientes: i) garantías actualizadas en consonancia con el RGPD; ii) un enfoque modular que ofrezca un único punto de entrada en el que se englobe una amplia gama de hipótesis de transferencia; iii) una mayor flexibilidad para el uso de cláusulas contractuales tipo por diversas partes, y iv) un conjunto de instrumentos prácticos para dar cumplimiento a la sentencia Schrems II.

Las partes interesadas han acogido favorablemente las cláusulas contractuales tipo modernizadas, y las observaciones recibidas confirman que siguen siendo, con diferencia, el instrumento más utilizado para las transferencias por parte de los exportadores de datos de la UE ( 178 ). Para ayudar a los exportadores de datos en sus esfuerzos de cumplimiento, la Comisión ha elaborado una serie de preguntas y respuestas que proporcionan orientaciones adicionales sobre el uso de las cláusulas ( 179 ), las cuales se actualizarán en caso de que surjan nuevas dudas, también a la luz de las observaciones adicionales recibidas en el marco de esta evaluación.

Muchos exportadores de datos afirman tener dificultades para llevar a cabo las «evaluaciones de impacto de las transferencias» que exige la sentencia Schrems II, refiriéndose, en particular, a su complejidad, así como a los costes y el tiempo necesarios para llevarlas a cabo ( 180 ). Si bien acogen con satisfacción las orientaciones del Comité y las cláusulas contractuales tipo, también solicitan orientaciones adicionales (por ejemplo, sobre las responsabilidades de las partes implicadas y el nivel de detalle requerido en las evaluaciones de impacto de las transferencias) y herramientas adicionales para ayudar en la realización de dichas evaluaciones (por ejemplo, plantillas, evaluaciones generales por país, catálogos de riesgos). Aunque las partes interesadas proporcionaron estas observaciones sobre todo en lo que respecta a las cláusulas contractuales tipo, también se piden las mismas evaluaciones para otros instrumentos de transferencia (como las normas corporativas vinculantes). Por lo tanto, es importante que el Comité estudie formas y herramientas para seguir ayudando a los exportadores de datos en sus esfuerzos de cumplimiento en este contexto, sobre la base de la experiencia adquirida al aplicar los requisitos previstos en la sentencia Schrems II en los últimos años, también como parte de las actividades de ejecución de las autoridades nacionales de protección de datos.

Para complementar las cláusulas contractuales tipo existentes, la Comisión está desarrollando conjuntos adicionales de cláusulas para proporcionar a los exportadores de datos de la UE un paquete completo y coherente. Esto incluirá las cláusulas contractuales tipo en virtud del Reglamento (UE) 2018/1725 para las transferencias de datos por parte de las instituciones y organismos de la UE a operadores comerciales de terceros países ( 181 ) y las cláusulas contractuales tipo para las transferencias de datos a importadores de datos de terceros países cuyas operaciones de tratamiento estén directamente sujetas al RGPD. Estas últimas responden a la petición de las partes interesadas de cubrir específicamente los escenarios en los que el importador de datos entra en el ámbito de aplicación territorial del RGPD (por ejemplo, porque el tratamiento en cuestión se dirige al mercado de la UE de conformidad con el artículo 3, apartado 2, del RGPD) ( 182 ). Como aclara el Comité, en este caso también es necesaria un instrumento de transferencia en virtud del capítulo V del RGPD debido al aumento de los riesgos para los datos personales tratados fuera de la UE, por ejemplo, debido a legislaciones nacionales posiblemente contradictorias o a un acceso desproporcionado por parte del Gobierno en el tercer país ( 183 ). Las nuevas cláusulas contractuales tipo que está desarrollando la Comisión abordarán específicamente este escenario y tendrán plenamente en cuenta los requisitos que ya se aplican directamente a dichos responsables y encargados del tratamiento en virtud del RGPD ( 184 ).

Como también reconocen los diferentes tipos de partes interesadas ( 185 ), las cláusulas tipo desempeñan un papel cada vez más importante a la hora de facilitar los flujos de datos en todo el mundo. Varias jurisdicciones han aprobado las cláusulas contractuales tipo de la UE como mecanismo de transferencia de su propia legislación en materia de protección de datos, con adaptaciones formales que se limitan a su ordenamiento jurídico nacional ( 186 ). Otros países han adoptado sus propias cláusulas tipo, las cuales comparten importantes características comunes con las de la UE ( 187 ). Un ejemplo especialmente pertinente es la creación de cláusulas tipo por parte de otras organizaciones o redes internacionales o regionales, como el Comité Consultivo del Consejo de Europa del Convenio 108, la Red Iberoamericana de Protección de Datos y la Asociación de Naciones de Asia Sudoriental (ASEAN) ( 188 ). Esto brinda nuevas oportunidades para facilitar los flujos de datos entre las distintas regiones del mundo sobre la base de cláusulas tipo. Un ejemplo concreto es la Guía UE-ASEAN sobre las cláusulas contractuales tipo de la UE y las cláusulas tipo de la ASEAN, que, a partir de las aportaciones de las empresas, contribuye a los esfuerzos de cumplimiento en el marco de ambos conjuntos de cláusulas ( 189 ).

Además de las cláusulas contractuales tipo, las normas corporativas vinculantes siguen utilizándose ampliamente para los flujos de datos entre miembros de grupos empresariales o entre empresas que realizan una actividad económica conjunta. Dado que se aplica el RGPD, el Comité adoptó ochenta dictámenes favorables sobre decisiones nacionales por las que se aprueban normas corporativas vinculantes ( 190 ). El Comité también publicó orientaciones sobre los elementos que deben incluirse en las normas corporativas vinculantes para los responsables del tratamiento (y la información que debe facilitarse como parte de su aplicación), las cuales se han actualizado para reflejar los requisitos del RGPD y la sentencia Schrems II ( 191 ). También se están elaborando orientaciones actualizadas sobre las normas corporativas vinculantes para los encargados del tratamiento ( 192 ). Dado que las normas corporativas vinculantes tienen por objeto establecer políticas o programas vinculantes en materia de protección de datos en las empresas, muchas partes interesadas las consideran un instrumento de cumplimiento especialmente útil y un instrumento de transferencia fiable ( 193 ). Al mismo tiempo, las partes interesadas siguen informando de que la duración y la complejidad del proceso de aprobación por parte de las autoridades nacionales de protección de datos obstaculizan una adopción más amplia de las normas corporativas vinculantes. Por lo tanto, es importante que las autoridades sigan trabajando para optimizar y acortar el proceso de aprobación.

Desde el informe de 2020, también se han tomado medidas para facilitar el uso de la certificación y de los códigos de conducta como herramientas para las transferencias, por ejemplo, mediante la adopción de directrices específicas sobre ambas herramientas por parte del Comité ( 194 ). No obstante, las partes interesadas informan sobre dificultades relacionadas con la complejidad y duración prolongada, similares a las mencionadas anteriormente con respecto a la certificación y los códigos de conducta como herramientas de responsabilidad proactiva.

Por último, el RGPD también prevé instrumentos específicos (acuerdos internacionales y acuerdos administrativos aprobados por las autoridades de protección de datos) que deben utilizar las autoridades públicas para transferir datos personales a sus homólogas en terceros países o a las organizaciones internacionales. El Comité adoptó directrices sobre las garantías que deben incluirse en dichos instrumentos ( 195 ), las cuales pueden contribuir a la negociación de dichos acuerdos y arreglos.

7.1.3. Garantizar la complementariedad con otras políticas

Dado que los flujos de datos se han vuelto esenciales para tantas actividades, es fundamental garantizar que las políticas de protección de datos y otras políticas se complementen entre sí. La inclusión de garantías de protección de datos en los instrumentos internacionales no solo es a menudo una condición previa para los flujos de datos, sino también un importante catalizador para una cooperación estable y fiable.

Por ejemplo, los acuerdos internacionales que establecen las garantías necesarias en materia de protección de datos, en particular al garantizar la continuidad de la protección por parte de una autoridad requirente, son esenciales para garantizar la cortesía y facilitar el acceso transfronterizo de las autoridades policiales a las pruebas electrónicas que obran en poder de las empresas y, de este modo, velar por una lucha más eficaz contra la delincuencia. Este enfoque se refleja en el Segundo Protocolo adicional al Convenio sobre la Ciberdelincuencia ( 196 ), que mejora las normas existentes para obtener acceso transfronterizo a pruebas electrónicas en las investigaciones penales al tiempo que se ofrecen unas garantías adecuadas en materia de protección de datos. Varios Estados miembros de la UE han firmado ya el Protocolo. Del mismo modo, están avanzando las negociaciones bilaterales entre la UE y EE. UU. sobre un acuerdo relativo al acceso transfronterizo a las pruebas electrónicas para la cooperación en materia penal ( 197 ).

El intercambio de datos del registro de nombres de los pasajeros (PNR) es otro ámbito de la política de seguridad de la UE que se ha beneficiado del desarrollo de garantías sólidas en materia de protección de datos. En 2023, la UE y Canadá concluyeron sus negociaciones sobre un nuevo Acuerdo relativo al PNR en consonancia con los requisitos establecidos por el Tribunal de Justicia en su Dictamen 1/15 ( 198 ). Se han introducido garantías similares en el capítulo relativo al PNR del Acuerdo de Comercio y Cooperación entre la UE y el Reino Unido. La inclusión de una mayor protección de la privacidad en estos acuerdos, que puede servir de modelo para futuros acuerdos con otros socios, aporta seguridad jurídica a las compañías aéreas y, al mismo tiempo, garantiza la estabilidad de importantes intercambios de información para luchar contra el terrorismo y otros delitos transnacionales graves.

En las negociaciones relativas a la declaración sobre la Iniciativa Conjunta sobre el Comercio Electrónico, la Comisión también se muestra a favor de que se establezcan disposiciones estrictas para proteger la privacidad e impulsar el comercio digital en la Organización Mundial del Comercio. Tras la entrada en vigor del RGPD, también se han incluido sistemáticamente disposiciones similares sobre la lucha contra los obstáculos injustificados al comercio digital, al tiempo que se protege el espacio político necesario de las Partes en el ámbito de la protección de datos, en los acuerdos de libre comercio celebrados por la UE, en particular en el Acuerdo de Comercio y Cooperación entre la UE y el Reino Unido y en los acuerdos con Chile, Japón y Nueva Zelanda. También se están barajando disposiciones relativas a la privacidad y los flujos de datos en las negociaciones sobre comercio digital con Singapur y Corea del Sur.

7.2. Cooperación internacional en materia de protección de datos

7.2.1. La dimensión bilateral

La Comisión ha seguido dialogando con países y organizaciones internacionales sobre el desarrollo, la reforma y la aplicación de las normas de privacidad, en particular mediante la presentación de observaciones a consultas públicas sobre proyectos de legislación o medidas reglamentarias en el ámbito de la privacidad ( 199 ), la testificación ante los órganos parlamentarios competentes ( 200 ) y la participación en reuniones específicas con representantes gubernamentales, delegaciones parlamentarias y reguladores de muchas regiones del mundo ( 201 ). Varias de estas actividades se han llevado a cabo a través del proyecto «Enhanced Data Protection and Data Flows» («Mejora de la protección de datos y los flujos de datos»), financiado por la UE, que brinda apoyo a los países que tienen la intención de desarrollar marcos modernos de protección de datos o de reforzar la capacidad de sus autoridades reguladoras, a través de la formación, el intercambio de conocimientos, el desarrollo de capacidades y el intercambio de buenas prácticas. La Comisión también contribuyó a otras iniciativas, como la Alianza Digital UE-CELAC.

La protección de datos también seguirá desempeñando un papel clave en la labor que la Comisión desempeña en relación con la ampliación. La legislación de la UE en materia de protección de datos es un componente importante del esfuerzo global que hacen los países candidatos por adaptar sus marcos jurídicos a los de la UE (especialmente porque el tratamiento y el intercambio de datos personales constituyen el núcleo de multitud de políticas). Además, la independencia y el correcto funcionamiento de una autoridad de protección de datos es un elemento clave de los sistemas de contrapoderes institucionales y del Estado de Derecho, y será cada vez más importante a medida que la UE integre gradualmente a los países candidatos en el mercado único (según lo previsto en iniciativas como el Plan de Crecimiento para los Balcanes Occidentales).

Un aspecto cada vez más importante del diálogo de la UE con terceros países se centra en los intercambios entre los reguladores. Como se anunció en el informe de 2020, la Comisión ha creado una «Academia de Protección de Datos» para fomentar los intercambios entre las autoridades de protección de datos de la UE y de terceros países y, de este modo, contribuir al desarrollo de capacidades y mejorar la cooperación «sobre el terreno». La Academia ofrece formación adaptada a petición de las autoridades de terceros países y reúne los conocimientos especializados de los representantes de las fuerzas de seguridad, el mundo académico, el sector privado y las instituciones europeas. El valor añadido de la formación reside en la adaptación de los distintos componentes a los intereses y necesidades de la autoridad requirente. Además, estas formaciones permiten a las autoridades de protección de datos de la UE y de terceros países establecer contactos, compartir conocimientos, intercambiar experiencias y buenas prácticas, y determinar posibles ámbitos de cooperación. Hasta la fecha, la Academia ha impartido formación a las autoridades de protección de datos de Brasil, Indonesia, Kenia, Nigeria y Ruanda, y actualmente está preparando formaciones para otros países.

Más allá de la importancia de mantener un diálogo entre los reguladores, existe una necesidad creciente, como también se reconoce en las observaciones recibidas del Consejo y del Comité ( 202 ), de desarrollar instrumentos jurídicos adecuados que permitan formas más estrechas de cooperación y asistencia mutua, en particular al permitir el intercambio necesario de información en el contexto de las investigaciones. De hecho, dado que las intrusiones en la vida privada producen cada vez más efectos transfronterizos, a menudo solo pueden investigarse y abordarse eficazmente mediante la cooperación entre reguladores de la UE y de fuera de ella. Por consiguiente, la Comisión solicitará autorización para entablar negociaciones destinadas a celebrar acuerdos de cooperación en materia de ejecución con los terceros países pertinentes (como también se prevé en el artículo 50 del RGPD). A este respecto, la Comisión toma nota de la petición del Comité de que se consideren como posibles homólogos a los países donde la mayoría de los operadores estén sujetos de forma directa al RGPD, en particular los países del G7 o aquellos que cuentan con decisiones de adecuación ( 203 ).

El establecimiento de estos acuerdos de cooperación y asistencia mutua en materia de ejecución también contribuiría a garantizar el cumplimiento por parte de los operadores extranjeros que estén sujetos al RGPD porque, por ejemplo, porque ofrecen bienes o servicios específicamente al mercado de la UE, así como a la aplicación efectiva del RGPD sobre ellos. El Consejo toma nota de la importancia de hacer cumplir el RGPD en tales casos, y expresa su preocupación por la igualdad de condiciones con las entidades de la UE, así como por la protección efectiva de los derechos de las personas ( 204 ). La Comisión está de acuerdo con el llamamiento del Consejo a que se estudien diferentes formas de facilitar el cumplimiento en estos casos. Si bien es cierto que unas modalidades más formales de cooperación con los reguladores de terceros países podrían desempeñar un papel importante, también se debería perseguir con mayor firmeza el uso de otras vías ya existentes. Esto incluye hacer pleno uso del conjunto de poderes previstos en el artículo 58 del RGPD e implicar a representantes de empresas extranjeras en la UE (nombrados de conformidad con el artículo 27 del RGPD).

7.2.2. La dimensión multilateral

La Comisión también sigue participando activamente en una serie de foros internacionales para promover valores compartidos y fomentar la convergencia a escala regional y mundial.

Esto incluye, por ejemplo, contribuir activamente a la labor del Comité Consultivo del Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter persona (Convenio 108), el único instrumento multilateral jurídicamente vinculante en el ámbito de la protección de datos personales. Hasta la fecha, 31 Estados han ratificado el Protocolo que modifica y moderniza el Convenio 108 ( 205 ), entre ellos muchos Estados miembros de la UE, así como algunos no miembros del Consejo de Europa (Argentina, Mauricio y Uruguay). Entre los Estados miembros de la UE, solo la firma de un Estado miembro sigue pendiente ( 206 ), mientras que hasta la fecha ocho Estados miembros ( 207 ) han firmado el Convenio modernizado, pero no lo han ratificado. La Comisión insta al Estado miembro restante a firmar el Convenio modernizado y a los demás a que procedan rápidamente a la ratificación a fin de permitir su entrada en vigor en un futuro próximo. Además, sigue fomentando de forma proactiva la adhesión de terceros países.

A nivel del G20 y el G7, los debates sobre la privacidad y los flujos de datos se han centrado en poner en práctica el concepto de «libre circulación de datos con confianza», propuesto inicialmente por Japón, que reconoce que la protección y la seguridad de estos pueden contribuir a la confianza en la economía digital y facilitar los flujos de datos (208 ). La OCDE desempeña un papel especialmente importante en este contexto, ya que proporciona un foro para una comunidad de expertos en materia de libre circulación de datos con confianza, la cual reúne a una amplia gama de partes interesadas (Gobiernos, reguladores, industria, sociedad civil, mundo académico) para contribuir a proyectos específicos y cuestiones relacionadas con este ámbito. Además, un resultado significativo de la iniciativa de la libre circulación de datos con confianza, a la que la Comisión contribuyó significativamente, es la adopción por parte de la OCDE de una Declaración sobre el acceso de los gobiernos a los datos personales en poder de las entidades del sector privado, el primer instrumento internacional en este ámbito. La Declaración contiene una serie de requisitos compartidos para salvaguardar la privacidad en el acceso a los datos personales con fines de seguridad nacional y de aplicación de la ley. En un contexto global en el que cada vez más se reconoce que la confianza en las transferencias de datos se ve afectada negativamente por el acceso desproporcionado del Gobierno, la presente Declaración constituye una importante contribución para facilitar los flujos de datos fiables. La Comisión seguirá animando a los países a adherirse a la Declaración, que también está abierta a los países que no son miembros de la OCDE.

La Comisión también está colaborando con diferentes organizaciones y redes regionales que conforman garantías comunes en materia de protección de datos. Entre ellas se incluyen, por ejemplo, la ASEAN, la Unión Africana, el Foro de Autoridades de Privacidad de Asia-Pacífico, la Red Iberoamericana de Protección de Datos y la Red Africana de Autoridades de Protección de Datos (NADPA-RAPDP). El desarrollo de la mencionada Guía UE-ASEAN sobre cláusulas tipo es un ejemplo concreto de dicha cooperación fructífera.

Por último, la Comisión mantiene un diálogo con diferentes organizaciones internacionales, en particular para explorar formas de facilitar aún más sus flujos de datos con la UE. Dado que muchas organizaciones han modernizado sus marcos de protección de datos en los últimos años, o están en proceso de hacerlo, también están surgiendo nuevas oportunidades de intercambio de experiencias y buenas prácticas. A este respecto, los talleres anuales con organizaciones internacionales y un grupo de trabajo específico sobre transferencias internacionales de datos organizados por el Supervisor Europeo de Protección de Datos han demostrado ser foros especialmente útiles para intercambiar y explorar instrumentos concretos de cooperación, especialmente el intercambio de datos personales ( 209 ).

8. Conclusión

En los seis años que han transcurrido desde que el RGPD pasó a ser aplicable, este ha empoderado a las personas al permitirles tener un verdadero control sobre sus datos. También ha contribuido a crear unas condiciones de competencia equitativas para las empresas y ha proporcionada una piedra angular para las numerosas iniciativas que impulsan la transición digital en la UE.

Para alcanzar la plena consecución de los dos objetivos del RGPD (a saber, una protección sólida de los particulares, al tiempo que se garantiza la libre circulación de datos personales dentro de la UE, y la seguridad de los flujos de datos fuera de la UE), es necesario centrarse en:

·una aplicación rigurosa del RGPD, empezando por la rápida adopción de la propuesta de normas procedimentales de la Comisión para ofrecer vías de recurso rápidas y seguridad jurídica en los casos que afectan a los particulares en toda la Unión;

·el apoyo proactivo por parte de las autoridades de protección de datos a las partes interesadas en sus esfuerzos de cumplimiento, especialmente a las pymes y los pequeños operadores;

·una interpretación y aplicación coherentes del RGPD en toda la UE;

·una cooperación eficaz entre los reguladores, tanto a escala nacional como de la UE, para garantizar una aplicación sistemática y coherente del creciente corpus de normas digitales de la UE;

·seguir avanzando en la estrategia internacional de la Comisión en materia de protección de datos.

Para apoyar la aplicación efectiva del RGPD e influir en nuevas reflexiones sobre la protección de datos, son necesarias varias acciones identificadas en este punto. La Comisión apoyará y supervisará su aplicación también con vistas al próximo informe, previsto para 2028.

Desarrollo de estructuras de cooperación eficaces

Se invita al Parlamento Europeo y al Consejo a que adopten rápidamente la propuesta sobre las normas procedimentales del RGPD.

Se invita al Comité y a las autoridades de protección de datos a que lleven a cabo las siguientes acciones:

-establecer una cooperación regular con otros reguladores sectoriales sobre cuestiones que repercutan en la protección de datos, en particular aquellas establecidas en virtud de la nueva legislación de la UE en el ámbito digital, y participar activamente en estructuras a escala de la UE diseñadas para facilitar la cooperación entre reguladores;

-hagan un uso más amplio de los instrumentos de cooperación previstos en el RGPD, de modo que la resolución de litigios solo se utilice como último recurso;

-aplicar fórmulas de trabajo más eficientes y específicas a las directrices, los dictámenes y las decisiones, y dar prioridad a cuestiones clave con el fin de reducir la carga que pesa sobre las autoridades de protección de datos y responder con mayor rapidez a la evolución del mercado.

Los Estados miembros deben:

-garantizar la independencia plena y efectiva de las autoridades nacionales de protección de datos;

-asignar recursos suficientes a las autoridades de protección de datos para que puedan desempeñar sus funciones, en particular mediante la provisión de los recursos técnicos y los conocimientos especializados necesarios para hacer frente a las tecnologías emergentes y cumplir nuevas responsabilidades en virtud de la legislación digital;

-dotar a las autoridades de protección de datos de los instrumentos de investigación necesarios para que puedan utilizar eficazmente los poderes de ejecución previstos en el RGPD;

-apoyar el diálogo entre las autoridades de protección de datos y otros reguladores nacionales, en particular aquellos que se creen en virtud de nuevos instrumentos jurídicos en materia digital.

La Comisión:

-apoyará activamente la rápida adopción de la propuesta de las normas procedimentales del RGPD por parte de los colegisladores;

-seguirá supervisando de cerca la independencia efectiva y plena de las autoridades nacionales de protección de datos;

-creará sinergias y coherencia entre el RGPD y toda la legislación que afecte al tratamiento de datos personales sobre la base de la experiencia y, en caso necesario, adoptará las medidas adecuadas para proporcionar seguridad jurídica;

-reflexionará como abordar mejor la necesidad de una cooperación estructurada y eficiente entre los reguladores para garantizar una aplicación eficaz, coherente y congruente de las normas de la UE en materia digital, respetando al mismo tiempo la competencia de las autoridades de protección de datos en lo que respecta a todas las cuestiones relativas al tratamiento de datos personales.

Aplicar y complementar el marco jurídico

Los Estados miembros deben:

-garantizar que se consulte oportunamente a las autoridades de protección de datos antes de la adopción de la legislación sobre el tratamiento de datos personales.

La Comisión:

-seguirá haciendo uso de todos los instrumentos a su disposición, en particular los procedimientos de infracción, para garantizar que los Estados miembros cumplan el RGPD;

-seguirá apoyando los intercambios de puntos de vista y prácticas nacionales entre los Estados miembros, en particular a través del Grupo de Expertos de los Estados miembros sobre el RGPD;

-llevará a cabo acciones para garantizar la protección, la capacitación y el respeto de los niños en línea;

-reflexionará sobre las posibles perspectivas de futuro en relación con la propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas, especialmente su relación con el RGPD.

Apoyar a las partes interesadas

Se invita al Comité y a las autoridades de protección de datos a que lleven a cabo las siguientes acciones:

-entablar un diálogo constructivo con los responsables y encargados del tratamiento acerca del cumplimiento del RGPD;

-seguir intensificando los esfuerzos para apoyar el cumplimiento por parte de las pymes, proporcionando orientaciones y herramientas diseñadas a medida, disipando cualquier preocupación infundada en materia de cumplimiento que tengan las pymes que no tratan datos personales como actividad principal, y acompañándolas en sus esfuerzos de cumplimiento;

-apoyar la aplicación de medidas de cumplimiento eficaces por parte de las empresas, como la certificación y los códigos de conducta (también como herramientas para las transferencias), mediante la colaboración con las partes interesadas durante el proceso de aprobación, el establecimiento de plazos claros para las aprobaciones y, tal como se prometió en la Estrategia 2024-2027 del Comité, la explicación a los principales grupos de partes interesadas de cómo pueden utilizarse estas herramientas;

-garantizar que las directrices nacionales y la aplicación del RGPD a escala nacional sean coherentes con las directrices del Comité y la jurisprudencia del Tribunal de Justicia;

-resolver interpretaciones divergentes del RGPD entre las autoridades de protección de datos, y especialmente entre las autoridades de un mismo Estado miembro;

-proporcionar directrices concisas, prácticas y accesibles para el público pertinente, tal como se prometió en la Estrategia 2024-2027 del Comité;

-garantizar consultas más tempranas y significativas acerca de las directrices y dictámenes con el fin de comprender mejor la dinámica del mercado y las prácticas empresariales, estudiar debidamente las observaciones recibidas y tener en cuenta la aplicación concreta de las interpretaciones adoptadas;

-completar con carácter prioritario los trabajos en curso sobre las directrices relativas a los datos de los niños, la investigación científica, la anonimización, la seudonimización y el interés legítimo;

-intensificar las actividades de sensibilización, la información y las medidas coercitivas para garantizar que los delegados de protección de datos puedan desempeñar las funciones que les confiere el RGPD.

La Comisión:

-seguirá prestando apoyo financiero a las actividades de las autoridades de protección de datos que faciliten la aplicación de las obligaciones del RGPD por parte de las pymes;

-utilizará todos los medios disponibles para proporcionar aclaraciones oportunas sobre cuestiones de importancia para las partes interesadas, especialmente las pymes, en particular solicitando dictámenes del Comité.

Continuar el desarrollo del conjunto de instrumentos para las transferencias de datos y la cooperación internacional

Se invita al Comité y a las autoridades de protección de datos a llevar a cabo las siguientes acciones:

-completar las labores de optimización y acortamiento del proceso de aprobación de las normas corporativas vinculantes, así como la actualización de las orientaciones sobre los elementos que deben incluirse en las normas corporativas vinculantes para el encargado del tratamiento;

-explorar formas y herramientas para seguir ayudando a los exportadores de datos en sus esfuerzos de cumplimiento en relación con los requisitos de la sentencia Schrems II;

-explorar otras formas de garantizar el cumplimiento efectivo de las normas por parte de los operadores establecidos en terceros países que entren en el ámbito territorial de aplicación del RGPD.

Los Estados miembros deben:

-garantizar la firma y la ratificación del Convenio 108 modernizado del Consejo de Europa lo antes posible, con vistas a permitir su entrada en vigor.

La Comisión:

-seguirá avanzando en los diálogos sobre adecuación que están en curso, explorará el desarrollo de las constataciones existentes en materia de adecuación y entablará nuevas conversaciones sobre adecuación con socios interesados;

-fomentará una mayor cooperación entre la red de países que se benefician de decisiones de adecuación;

-finalizará los trabajos sobre cláusulas contractuales tipo adicionales, en particular en lo que respecta a las transferencias de datos a importadores de datos cuyo tratamiento esté directamente sujeto al RGPD y a las transferencias efectuadas en virtud del Reglamento (UE) 2018/1725 por parte de las instituciones y organismos de la Unión;

-cooperará con socios internacionales para facilitar los flujos de datos sujetos a cláusulas contractuales tipo;

-apoyará los procesos de reforma en curso en terceros países sobre normas de protección de datos nuevas o modernizadas mediante el intercambio de experiencias y buenas prácticas;

-colaborará con organizaciones internacionales y regionales como la OCDE y el G7 para promover la circulación de datos fiables basada en normas estrictas de protección de datos, incluido en el contexto de la iniciativa de «libre circulación de datos con confianza»;

-facilitará y apoyará los intercambios entre los reguladores europeos e internacionales, en particular a través de su Academia de Protección de Datos;

-contribuirá a facilitar la cooperación internacional en materia de cumplimiento de la normativa entre las autoridades de control, especialmente mediante la negociación de acuerdos de cooperación y asistencia mutua.

(1) «La protección de datos como pilar del empoderamiento de los ciudadanos y del enfoque de la UE para la transición digital: dos años de aplicación del Reglamento General de Protección de Datos», de 24.6.2020 [COM(2020) 264 final].

(2) https://data.consilium.europa.eu/doc/document/ST-15507-2023-INIT/es/pdf .

(3) Puede consultarse un resumen de las aportaciones del Grupo Multilateral de Expertos sobre el RGPD en el siguiente enlace: Report from Multistakeholder Expert group on GDPR application – June 2024.pdf . Las aportaciones recibidas en respuesta a la convocatoria pública de datos y a través de reuniones bilaterales con las partes interesadas se hacen eco en gran medida de las opiniones expresadas por los miembros del Grupo Multilateral de Expertos sobre el RGPD.

(4) https://ec.europa.eu/info/law/better-regulation/have-your-say_es .

(5) Contribution of the EDPB to the evaluation of the GDPR under Article 97 [«Contribución del CEPD a la evaluación del RGPD con arreglo al artículo 97», documento en inglés] | Comité Europeo de Protección de Datos (europa.eu) .

(6) GDPR in practice – Experiences of data protection authorities [«El RGPD en la práctica: experiencias de las autoridades de protección de datos», documento en inglés] | Agencia de los Derechos Fundamentales de la Unión Europea (europa.eu) .

(7) Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas procedimentales adicionales en lo que se refiere a la garantía del cumplimiento del Reglamento (UE) 2016/679 [COM(2023) 348 final].

(8) https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-eu-commission-procedural-aspects-could-be_es .

(9) A través del Grupo Multilateral de Expertos sobre el RGPD y de una convocatoria de datos puesta en marcha en febrero de 2023.

(10) En particular a través del Grupo de Expertos de los Estados miembros sobre el RGPD: https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=es&do=groupDetail.groupDetail&groupID=3461 .

(11) Artículo 61 del RGPD.

(12) internal_edpb_document_1_2021_on_art_62_joint_operations_en.pdf (europa.eu)

(13) Artículo 62 del RGPD.

(14) Artículo 65 del RGPD.

(15) A 3 de noviembre de 2023 (contribución del Comité).

(16) De conformidad con el artículo 60, apartado 3, del RGPD.

(17) A 3 de noviembre de 2023.

(18) La autoridad irlandesa fue la que más solicitudes formales presentó (246), mientras que las autoridades alemanas fueron las que más solicitudes recibieron (516).

(19) La autoridad irlandesa fue la que más solicitudes informales presentó (4 245), seguida por las autoridades alemanas (2 036).

(20) De las 289 objeciones pertinentes y motivadas comunicadas por las autoridades, 101 (35 %) fueron planteadas por las autoridades alemanas. El índice de éxito a la hora de alcanzar un consenso sobre las objeciones pertinentes y motivadas oscila entre el 15 % (de las objeciones formuladas por las autoridades alemanas) y el 100 % (de las objeciones formuladas por la autoridad polaca).

(21) Artículos 64, 65 y 66 del RGPD, respectivamente.

(22) Dictámenes en virtud del artículo 64, apartado 2, del RGPD.

(23) De conformidad con el artículo 65, apartado 1, letra a), del RGPD.

(24) De conformidad con el artículo 66, apartado 2, del RGPD.

(25) Véase el apartado 5.3.4 de la contribución del Comité.

(26) Informe de la FRA, p. 36.

(27) Propuesta de normas procedimentales, artículo 5.

(28) En Rumanía, la totalidad de las veintiséis decisiones en las que se declaraba la existencia de una infracción fueron recurridas ante los tribunales, mientras que en los Países Bajos el porcentaje de impugnación fue del 23 %. La tasa de éxito de las impugnaciones más elevada fue la de Bélgica (39 %).

(29) Las autoridades de protección de datos de Alemania iniciaron el mayor número de investigaciones por iniciativa propia (7 647), seguidas de Hungría (3 332), Austria (1 681) y Francia (1 571).

(30) En 2022, nueve autoridades de protección de datos recibieron más de 2 000 reclamaciones. El mayor número de reclamaciones se registró en Alemania (32 300), Italia (30 880), España (15 128), Países Bajos (13 133) y Francia (12 193), mientras que el número más bajo lo registraron Liechtenstein (40), Islandia (140) y Croacia (271).

(31) Todas las autoridades impusieron multas administrativas, excepto Dinamarca, que no prevé dicha posibilidad. El mayor número de multas se impuso en Alemania (2 106) y España (1 596), y el menor, en Liechtenstein (3), Islandia (15) y Finlandia (20).

(32) Informe de la FRA, p. 38.

(33) Informe de la FRA, pp. 20 y 23. Véanse también la posición y las conclusiones del Consejo, apartado 17.

(34) Artículo 70, apartado 1, del RGPD.

(35) Informe de la FRA, p. 64.

(36) Informe de la FRA, p. 67. En 2023, las autoridades alemanas de protección de datos fueron las que más recursos dedicaron a las actividades del Comité (26 equivalentes a jornada completa), seguidas de Irlanda (16) y Francia (12) (de acuerdo con la contribución del Comité).

(37) Informe de la FRA, p. 67.

(38) Informe de la FRA, p. 67; resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(39) Resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(40) Véanse también la posición y las conclusiones del Consejo, apartado 45.

(41) Véanse también la posición y las conclusiones del Consejo, apartado 34.

(42) https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(43) Véanse también la posición y las conclusiones del Consejo, apartado 31, letra d).

(44) Requieren claridad, en particular, sobre el significado del término «investigación científica», el papel del consentimiento para el tratamiento de datos personales con fines de investigación, la base jurídica pertinente y las funciones y responsabilidades de los agentes participantes.

(45) Véanse también la posición y las conclusiones del Consejo, apartado 31, letra b).

(46) Posición y conclusiones del Consejo, apartados 27 a 28.

(47) Artículo 52 del RGPD.

(48) Informe de la FRA, p. 31.

(49) Véase el apartado 4.4.1 de la contribución del Comité, también en lo que respecta a las cifras absolutas.

(50) Solo cinco autoridades de protección de datos consideran que disponen de recursos humanos adecuados (contribución del Comité, página 33).

(51) Informe de la FRA, p. 20. Algunas autoridades de protección de datos externalizan determinadas tareas a contratistas externos, como la tramitación de reclamaciones, el análisis jurídico y el análisis forense.

(52) Informe de la FRA, p. 24.

(53) Informe de la FRA, p. 22.

(54) Véase el apartado 4.4.5 de la contribución del Comité.

(55) Contribución del Comité, p. 32.

(56) Informe de la FRA, p. 48.

(57) Informe de la FRA, p. 45. Las autoridades de protección de datos consideran especialmente importantes las investigaciones de oficio, ya que los reclamantes pueden no ser conscientes de multitud de infracciones del RGPD.

(58) Informe de la FRA, p. 8.

(59) Informe de la FRA, p. 39.

(60) Informe de la FRA, p. 41.

(61) Considerando 9 del RGPD.

(62) Resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(63) Resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(64) Resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(65) Artículo 6, apartado 1, letra f), y artículo 6, apartado 1, letra a) del RGPD.

(66) Artículo 22, apartado 2, del RGPD.

(67) Considerando 4.

(68) Resumen de las observaciones del grupo multilateral de expertos sobre el RGPD.

(69) Por ejemplo, la edad mínima para que un niño otorgue su consentimiento en relación con los servicios de la sociedad de la información (artículo 8, apartado 1, del RGPD).

(70) Artículo 8, apartado 1, del RGPD.

(71) Una posibilidad prevista en el artículo 9, apartado 4, del RGPD.

(72) Artículo 10 del RGPD.

(73) Posición y conclusiones del Consejo, apartado 30.

(74) Artículo 36 del RGPD.

(75) Informe de la FRA, p. 11.

(76) Bélgica (2021/4045) y Bélgica (2022/2160).

(77) Finlandia (2022/4010) y Suecia (2022/2022).

(78) En la que se incluyan la referencia del asunto, el tipo de investigación (por iniciativa propia o a raíz de una reclamación), un resumen del alcance de la investigación, las autoridades de protección de datos afectadas, los principales trámites procesales adoptados y sus fechas, las medidas de investigación o cualquier otra medida adoptada y sus fechas.

(79) https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=es&do=groupDetail.groupDetail&groupID=3461 .

(80) https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=es&meetingId=31754&fromExpertGroups=3461 .

(81) Asunto C‑319/22, ECLI:EU:C:2023:837.

(82) Asuntos C-184/20, ECLI:EU:C:2022:601; C-252/21, ECLI:EU:C:2023:537.

(83) Asuntos C-683/21, ECLI:EU:C:2023:949; C-604/22, ECLI:EU:C:2024:214; C-231/22, ECLI:EU:C:2024:7.

(84) Asunto C-61/19, ECLI:EU:C:2020:901.

(85) Asuntos C-597/19, ECLI:EU:C:2021:492; C-252/21, ECLI:EU:C:2023:537.

(86) Asuntos C-307/22, ECLI:EU:C:2023:811; C-154/21, ECLI:EU:C:2023:3.

(87) Asunto C-460/20, ECLI:EU:C:2022:962.

(88) Asunto C-300/21, ECLI:EU:C:2023:370; asunto C-687/21, ECLI:EU:C:2024:72; asunto C-667/21, ECLI:EU:C:2023:1022.

(89) Asuntos acumulados C‑26/22 y C‑64/22, ECLI:EU:C:2023:958.

(90) Asuntos C-807/21, ECLI:EU:C:2023:950; Asunto C-683/21, ECLI:EU:C:2023:949.

(91) Asunto C‑453/21, ECLI:EU:C:2023:79.

(92) Asuntos C-439/19, ECLI:EU:C:2021:504; C-184/20, ECLI:EU:C:2022:601.

(93) Asuntos C-33/22, ECLI:EU:C:2024:46; C‑272/19, ECLI:EU:C:2020:535.

(94) Posición y conclusiones del Consejo, apartado 13.

(95) Contribución del Comité, apartado 6.

(96) https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_es .

(97) Informe de la FRA, pp. 9 y 48.

(98) Resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(99) Artículo 10 del Reglamento (UE) 2022/868 (Reglamento de Gobernanza de Datos) (DO L 152 de 3.6.2022, p. 1).

(100) Artículo 12, apartado 5, del RGPD.

(101) Sin embargo, el Tribunal de Justicia ha aclarado que el interesado no está obligado a indicar los motivos por los que solicita el acceso a los datos personales: asunto C-307/22, ECLI:EU:C:2023:811, apartado 38.

(102) Resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(103) Posición y conclusiones del Consejo, apartados 27 a 28.

(104) https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_es .

(105) Trabajadores de plataformas digitales: el Consejo confirma el acuerdo sobre nuevas normas para mejorar sus condiciones laborales – Consilium (europa.eu) .

(106) Propuesta de Reglamento sobre el Espacio Europeo de Datos Sanitarios [COM(2022) 197].

(107) Propuesta de Reglamento relativo a un marco para el acceso a los datos financieros y por el que se modifican los Reglamentos (UE) n.º 1093/2010, (UE) n.º 1094/2010, (UE) n.º 1095/2010 y (UE) 2022/2554 [COM(2023) 360 final].

(108) Directiva (UE) 2020/1828, de 25 de noviembre de 2020, relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, y por la que se deroga la Directiva 2009/22/CE (DO L 409 de 4.12.2020, p. 1).

(109) Considerando 38 del RGPD.

(110) Recomendación sobre el desarrollo y el refuerzo de los sistemas integrados de protección de la infancia que redunden en el interés superior del niño: https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/rights-child/combating-violence-against-children-and-ensuring-child-protection_es .

(111) Véanse también la posición y las conclusiones del Consejo, apartado 31, letra a).

(112) Resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(113) https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en?prefLang=es&etrans=es .

(114) https://digital-strategy.ec.europa.eu/es/policies/strategy-better-internet-kids .

(115) Reglamento (UE) 2024/1183 por el que se modifica el Reglamento (UE) n.º 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital (DO L, 2024/1183, 30.4.2024).

(116) Como se reconoce en el informe de la plataforma «Preparados para el futuro», un grupo de expertos de alto nivel creado para ayudar a la Comisión a simplificar la legislación de la UE y reducir los costes innecesarios asociados a ella: https://commission.europa.eu/law/law-making-process/evaluating-and-improving-existing-laws/refit-making-eu-law-simpler-less-costly-and-future-proof/fit-future-platform-f4f_es . Véase también el resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD y la posición y las conclusiones del Consejo, apartado 12.

(117) Resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(118) Decisión de Ejecución (UE) 2021/915 de la Comisión, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo entre responsables y encargados del tratamiento contempladas en el artículo 28, apartado 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y en el artículo 29, apartado 7, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo [C(2021) 3701] (DO L 199 de 7.6.2021, p. 18).

(119) Resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(120) Posición y conclusiones del Consejo, apartado 25.

(121) https://www.edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conduct-amendments-and-extensions-art-4011_en?f%5B0%5D=coc_scope%3Anational .

(122) Resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(123) https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(124) https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en?prefLang=es&etrans=es .

(125) https://edpb.europa.eu/sme-data-protection-guide/home_es .

(126) Resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(127) Véanse la posición y las conclusiones del Consejo, apartado 24; resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(128) Artículo 30, apartado 5, del RGPD.

(129) Cuando la organización emplee a menos de 250 personas, salvo que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, del RGPD o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD.

(130) Posición y conclusiones del Consejo, apartado 26; EDPB 2023 Coordinated Enforcement Action Designation and Position of Data Protection Officers [«Acción de Ejecución Coordinada del CEPD de 2023; Designación y funciones de los delegados de la protección de datos», documento en inglés]: https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf .

(131) Resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(132) Véanse las recomendaciones de la Acción de Ejecución Coordinada del CEPD.

(133) Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).

(134) Reglamento (UE) 2022/1925 (Reglamento de Mercados Digitales) (DO L 265 de 12.10.2022, p. 1).

(135) Reglamento (UE) 2024/1689 (Reglamento de Inteligencia Artificial) (DO L, 2024/1689, 12.7.2024).

(136) Trabajadores de plataformas digitales: el Consejo confirma el acuerdo sobre nuevas normas para mejorar sus condiciones laborales – Consilium (europa.eu) .

(137) Reglamento (UE) 2024/900 sobre la transparencia y la segmentación de la publicidad política (DO L, 2024/900, 20.3.2024).

(138) Propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas [COM(2017) 10 final].

(139) Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(140) Reglamento (UE) 2024/903 (Ley sobre la Europa Interoperable) (DO L, 2024/903, 22.3.2024).

(141) Véanse la posición y las conclusiones del Consejo, apartado 31, letra f).

(142) https://finance.ec.europa.eu/publications/anti-money-laundering-and-countering-financing-terrorism-legislative-package_en?prefLang=es&etrans=es .

(143) Reglamento (UE) 2022/868 (Reglamento de Gobernanza de Datos) (DO L 152 de 3.6.2022, p. 1).

(144) Reglamento (UE) 2023/2854 (Reglamento de Datos) (DO L, 2023/2854, 22.12.2023).

(145) https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_ES.html .

(146) Véanse la posición y las conclusiones del Consejo, apartados 40 a 41, y el resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(147) Véase, por ejemplo, el artículo 37, apartado 3, del Reglamento de Datos.

(148) Directiva (UE) 2022/2555 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80).

(149) Véanse la posición y las conclusiones del Consejo, apartados 18 y 40 a 41, y el resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(150) Alemania ha creado un «clúster digital» que incluye a reguladores de diversos ámbitos con el objetivo de ampliar su cooperación en todos los aspectos de la digitalización y compartir conocimientos y buenas prácticas: https://www.dataguidance.com/news/germany-bsi-announces-formation-digital-cluster-bonn .

(151) Directrices n.º 05/2021 del CEPD.

(152) Sección 2 de las Directrices n.º 05/2021 del CEPD.

(153) Asunto C-311/18, ECLI:EU:C:2020:559 (Schrems II).

(154) Schrems II, apartado 93.

(155) Schrems II, apartados 96 y 105.

(156) Schrems II, apartado 131.

(157) Schrems II, apartado 105.

(158) Recomendaciones n.º 02/2020 del CEPD y referencias de adecuación (WP 254 rev. 01).

(159) Recomendaciones n.º 01/2020 del CEPD, complementadas por las Recomendaciones n.º 02/2020.

(160) Véanse, por ejemplo, los apartados 8 a 13 y 32 a 33 de las Recomendaciones n.º 01/2020.

(161) Véanse, por ejemplo, la contribución del Comité, páginas 7 y 8; la posición y conclusiones del Consejo apartado 36, y el resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(162) Comunicación de la Comisión titulada «Intercambio y protección de los datos personales en un mundo globalizado» de 10.1.2017 [COM(2017) 7 final].

(163) Decisión de Ejecución (UE) 2021/1772 de la Comisión (DO L 360 de 11.10.2021, p. 1).

(164) Decisión de Ejecución (UE) 2022/254 de la Comisión (DO L 44 de 24.2.2022, p. 1).

(165) https://commission.europa.eu/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-2020-08-10_es .

(166) Decisión de Ejecución (UE) 2023/1795 de la Comisión (DO L 231 de 20.9.2023, p. 118).

(167) La Organización Europea de Patentes es una organización intergubernamental creada sobre la base del Convenio sobre la Patente Europea y su misión principal es la concesión de patentes europeas. En este contexto, coopera estrechamente con empresas y autoridades públicas de los Estados miembros de la UE, así como con diferentes instituciones y organismos de la UE.

(168) Contribución del Comité, pp. 7 y 8.

(169) Artículo 45, apartados 4 y 5, del RGPD. Véase también Schrems I, apartado 76.

(170) Decisión de Ejecución (UE) 2019/419 de la Comisión (DO L 76 de 19.3.2019, p. 1). Véase también https://ec.europa.eu/commission/presscorner/detail/es/IP_19_421 . Esta decisión constituyó la primera decisión de adecuación adoptada en virtud del RGPD y el primer acuerdo de adecuación recíproca.

(171) Informe de la Comisión sobre la primera revisión del funcionamiento de la decisión de adecuación relativa a Japón, de 3.4.2023 [COM(2023) 275 final y SWD(2023) 75 final].

(172) Andorra, Argentina, Canadá (para los operadores comerciales), Guernesey, las Islas Feroe, la Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay.

(173) Informe de la Comisión sobre la primera revisión del funcionamiento de las decisiones de adecuación adoptadas en virtud del artículo 25, apartado 6, de la Directiva 95/46/CE, de 15.1.2024 [COM(2024) 7 final] [y SWD(2024) 3 final].

(174) https://ec.europa.eu/commission/presscorner/detail/es/mex_24_1307#11 .

(175) Por ejemplo, Argentina, Colombia, Israel, Marruecos, Suiza y Uruguay.

(176) Decisión de Ejecución (UE) 2021/914 de la Comisión (DO L 199 de 7.6.2021, p. 31).

(177) Esto incluía, por ejemplo, el Dictamen conjunto 2/2021 del CEPD-SEPD como parte del procedimiento de adopción de las cláusulas contractuales tipo.

(178) Posición y conclusiones del Consejo, apartado 37; contribución del Comité, página 9; resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(179) https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_es .

(180) Véase, por ejemplo, el resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(181) De conformidad con el artículo 48, apartado 2, letra b), del Reglamento (UE) 2018/1725.

(182) Posición y conclusiones del Consejo, apartado 37; contribución del Comité, página 9; resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(183) Directrices n.º 05/2021 del CEPD, p. 3.

(184) Como también se establece en las Directrices n.º 05/2021 del CEPD, sección 4.

(185) Contribución del Comité, página 9, y resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(186) Por ejemplo, el Reino Unido ( https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf ) y Suiza ( https://www.edoeb.admin.ch/edoeb/en/home/datenschutz/arbeit_wirtschaft/datenuebermittlung_ausland.html ).

(187) Por ejemplo, Nueva Zelanda ( https://privacy.org.nz/responsibilities/your-obligations/disclosing-personal-information-outside-new-zealand/ ) y Argentina ( https://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm ).

(188) Véanse https://rm.coe.int/t-pd-2022-1rev10-en-final/1680abc6b4 ; https://www.redipd.org/sites/default/files/2023-02/anexo-modelos-clausulas-contractuales-en.pdf y https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf .

(189) https://commission.europa.eu/document/download/df5cd5a0-7387-4a2a-8058-8d2ccfec3062_es?filename=%28Final%29%20Joint_Guide_to_ASEAN_MCC_and_EU_SCC.pdf .

(190) Contribución del Comité, p. 9.

(191) Recomendaciones n.º 01/2022 del CEPD.

(192) Contribución del Comité, p. 9.

(193) Resumen de las observaciones del Grupo Multilateral de Expertos sobre el RGPD.

(194) Directrices n.º 07/2022 y Directrices n.º 04/2021 del CEPD.

(195) Directrices n.º 2/2020 del CEPD.

(196) Segundo Protocolo adicional al Convenio sobre la Ciberdelincuencia, relativo a la cooperación reforzada y la revelación de pruebas electrónicas (STCE n.º 224).

(197) https://commission.europa.eu/news/eu-us-announcement-resumption-negotiations-eu-us-agreement-facilitate-access-electronic-evidence-2023-03-02_en?prefLang=es&etrans=es .

(198) Propuesta de Decisión del Consejo sobre la firma, en nombre de la Unión Europea, del Acuerdo entre Canadá y la Unión Europea sobre la transferencia y el tratamiento de datos del registro de nombres de los pasajeros (PNR) [COM(2024) 94 final].

(199) Se trataba de consultas organizadas, por ejemplo, por Australia, China, Ruanda, Argentina, Brasil, Etiopía, Indonesia, Perú, Malasia y Tailandia.

(200) Por ejemplo, ante los órganos parlamentarios de Chile, Ecuador y Paraguay.

(201) Esto también incluyó la organización de seminarios y visitas de estudio, por ejemplo, con Kenia, Indonesia y Singapur.

(202) Contribución del Comité, p. 8; posición y conclusiones del Consejo, apartado 38.

(203) Contribución del Comité, p. 8.

(204) Posición y conclusiones del Consejo, apartado 39.

(205) Protocolo que modifica el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (STCE n.º 223).

(206) Dinamarca.

(207) Bélgica, Chequia, Grecia, Irlanda, Letonia, Luxemburgo, Países Bajos y Suecia.

(208) Véase, por ejemplo, https://www.g7germany.de/resource/blob/974430/2062292/fbdb2c7e996205aee402386aae057c5e/2022-07-14-leaders-communique-data.pdf?download=1 .

(209) https://www.edps.europa.eu/data-protection/our-work/edps-worldwide/data-protection-and-international-organisations_en .

04Ago/24

Reglamento (UE) 2024/1358 del Parlamento Europeo y del Consejo de 14 de mayo de 2024

4 agosto, 2024Parlamento Europeo y del Consejo, Unión EuropeDatos biométricos, Sistema EurodacJosé Cuervo

Reglamento (UE) 2024/1358 del Parlamento Europeo y del Consejo de 14 de mayo de 2024, sobre la creación del sistema «Eurodac» para la comparación de datos biométricos a efectos de la aplicación efectiva de los Reglamentos (UE) 2024/1351 y (UE) 2024/1350 del Parlamento Europeo y del Consejo y de la Directiva 2001/55/CE del Consejo y de la identificación de nacionales de terceros países y apátridas en situación irregular, y sobre las solicitudes de comparación con los datos de Eurodac presentadas por los servicios de seguridad de los Estados miembros y Europol a efectos de aplicación de la ley, por el que se modifican los Reglamentos (UE) 2018/1240 y (UE) 2019/818 del Parlamento Europeo y del Consejo y se deroga el Reglamento (UE) nº 603/2013 del Parlamento Europeo y del Consejo

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 78, apartado 2, letras c), d), e) y g), su artículo 79, apartado 2, letra c), su artículo 87, apartado 2, letra a), y su artículo 88, apartado 2, letra a),

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Vistos los dictámenes del Comité Económico y Social Europeo (1),

Vistos los dictámenes del Comité de las Regiones (2),

De conformidad con el procedimiento legislativo ordinario (3),

Considerando lo siguiente:

(1)

Una política común en materia de asilo, incluido un Sistema Europeo Común de Asilo, es uno de los elementos constitutivos del objetivo de la Unión de establecer progresivamente un espacio de libertad, seguridad y justicia abierto a quienes, obligados por las circunstancias, busquen protección internacional en la Unión.

(2)

A efectos de la aplicación del Reglamento (UE) 2024/1351 del Parlamento Europeo y del Consejo (4), resulta necesario determinar la identidad de los solicitantes de protección internacional y de las personas aprehendidas con ocasión del cruce irregular de las fronteras exteriores de los Estados miembros. Con el fin de aplicar eficazmente dicho Reglamento, es conveniente asimismo que cada Estado miembro pueda comprobar si los nacionales de terceros países o los apátridas que se encuentran en situación irregular en su territorio han solicitado protección internacional en otro Estado miembro.

(3)

Además, a los efectos de la aplicación efectiva del Reglamento (UE) 2024/1351, es necesario registrar claramente en Eurodac que se ha producido un traspaso de la responsabilidad entre Estados miembros, también en casos de reubicación.

(4)

Con el fin de aplicar eficazmente el Reglamento (UE) 2024/1351 y para detectar cualquier movimiento secundario dentro de la Unión, es necesario asimismo que cada Estado miembro pueda comprobar si a los nacionales de terceros países o los apátridas que se encuentran en situación irregular en su territorio o que han solicitado protección internacional se les ha concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional por otro Estado miembro de conformidad con el Reglamento (UE) 2024/1350 del Parlamento Europeo y del Consejo (5) o en virtud de un programa de reasentamiento nacional. Para ello, los datos biométricos de las personas registradas con objeto de tramitar un procedimiento de admisión se deben conservarse en Eurodac tan pronto como se conceda la protección internacional o el estatuto humanitario con arreglo al Derecho nacional, y a más tardar, en las 72 horas siguientes.

(5)

Con el fin de aplicar eficazmente el Reglamento (UE) 2024/1350, es necesario que cada Estado miembro pueda comprobar si a los nacionales de terceros países o los apátridas se les ha concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional en virtud de dicho Reglamento por otro Estado miembro o han sido admitidos en el territorio de un Estado miembro en virtud de un programa de reasentamiento nacional. Con el fin de poder aplicar los correspondientes motivos de denegación establecidos en dicho Reglamento en el contexto de un nuevo procedimiento de admisión, los Estados miembros también necesitan información sobre la conclusión de los procedimientos de admisión anteriores e información sobre cualquier decisión de concesión de protección internacional o estatuto humanitario con arreglo al Derecho nacional. Además, la información sobre una decisión relativa a la concesión de protección internacional o estatuto humanitario con arreglo al Derecho nacional es necesaria para determinar el Estado miembro que concluyó el procedimiento y, de este modo, permitir a otros Estados miembros solicitar información complementaria a dicho Estado.

(6)

Asimismo, con el fin de reflejar con precisión las obligaciones que tienen los Estados miembros, en virtud del Derecho internacional, de realizar operaciones de búsqueda y salvamento y con el fin de obtener una imagen más precisa de la composición de los flujos migratorios en la Unión, también es necesario registrar en Eurodac si los nacionales de terceros países o apátridas han sido desembarcados tras una operación de búsqueda y salvamento, también con fines estadísticos. Sin perjuicio de la aplicación del Reglamento (UE) 2024/1351, el registro de este hecho no debe dar lugar a ninguna diferencia de trato de las personas registradas en Eurodac tras ser aprehendidas con ocasión del cruce irregular de una frontera exterior. Esto debe entenderse sin perjuicio de las normas del Derecho de la Unión aplicables a los nacionales de terceros países o apátridas que desembarquen después de operaciones de búsqueda y salvamento.

(7)

Asimismo, a los efectos de apoyar el sistema de asilo mediante la aplicación de los Reglamentos (UE) 2024/1351, (UE) 2024/1348 (6) y (UE) 2024/1347 (7) del Parlamento Europeo y del Consejo y de la Directiva (UE) 2024/1346 del Parlamento Europeo y del Consejo (8), es necesario registrar si, tras las inspecciones de seguridad a que se refiere el presente Reglamento, se considera que la persona podría ser una amenaza para la seguridad interior. Dicho registro debe realizarlo el Estado miembro de origen. La existencia de dicho registro en Eurodac se entiende sin perjuicio del requisito de un examen del caso concreto en virtud de los Reglamentos (UE) 2024/1346 y (UE) 2024/1347. El registro debe suprimirse si la investigación muestra que no hay motivos suficientes para pensar que la persona en cuestión supone una amenaza para la seguridad interior.

(8)

Tras las inspecciones de seguridad a que se refiere el presente Reglamento, el hecho de que una persona pueda suponer una amenaza para la seguridad interior (en lo sucesivo, «alerta de seguridad») se debe registrar en Eurodac solo si la persona es violenta o está armada ilegalmente o si existen indicios claros de que la persona está implicada en cualquiera de los delitos mencionados en la Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo (9) o en la Decisión Marco 2002/584/JAI del Consejo (10). Al evaluar si una persona está armada ilegalmente, es necesario que un Estado miembro determine si la persona lleva un arma de fuego sin un permiso o autorización válidos o cualquier otro tipo de arma prohibida según se define en el Derecho nacional. Al evaluar si una persona es violenta, es necesario que un Estado miembro determine si la persona ha mostrado un comportamiento que haya producido daños físicos a otras personas que supongan una infracción penal en virtud del Derecho nacional.

(9)

La Directiva 2001/55/CE del Consejo (11) dispone un sistema de protección temporal que se activó por primera vez por medio de la Decisión de Ejecución (UE) 2022/382 del Consejo (12) en respuesta a la guerra en Ucrania. En virtud de ese sistema de protección temporal, los Estados miembros llevarán un registro de las personas que gozan de protección temporal en su territorio. Los Estados miembros también están obligados, entre otras cosas, a reagrupar a los miembros de la familia y a cooperar entre sí en lo relativo al traslado, de un Estado miembro a otro, de la residencia de las personas que gozan de protección temporal. Conviene complementar las disposiciones sobre recopilación de datos de la Directiva 2001/55/CE incluyendo en Eurodac a las personas que gozan de protección temporal. A este respecto, los datos biométricos son un elemento importante para establecer la identidad o las relaciones familiares de dichas personas y, por tanto, proteger un interés público esencial en el sentido del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (13). Asimismo, al incluir los datos biométricos de los beneficiarios de protección temporal en Eurodac en lugar de en un sistema alternativo entre iguales entre los Estados miembros, dichas personas se van a beneficiar de las salvaguardias y la protección establecidas en el presente Reglamento, en concreto en lo referente a los períodos de conservación de datos, que deben ser lo más breves posible.

(10)

No obstante, en vista de que la Comisión ya ha creado una plataforma, en cooperación con la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA), establecida por el Reglamento (UE) 2018/1726 del Parlamento Europeo y del Consejo (14), y con los Estados miembros para gestionar los intercambios de información necesarios en virtud de la Directiva 2001/55/CE, procede excluir de Eurodac a las personas que gozan de protección temporal en virtud de la Decisión de Ejecución (UE) 2022/382 y de cualquier otra protección nacional equivalente en virtud de dicha Decisión. Dicha exclusión también debe aplicarse a cualquier modificación futura de la Decisión de Ejecución (UE) 2022/382 y a cualquier prórroga de esa protección temporal.

(11)

Procede aplazar la recopilación y transmisión de datos biométricos de nacionales de terceros países o apátridas registrados como beneficiarios de protección temporal a tres años después de la entrada en vigor de las demás disposiciones del presente Reglamento, a fin de garantizar que la Comisión disponga de tiempo suficiente para evaluar el funcionamiento y la eficiencia operativa de cualquier sistema informático utilizado para intercambiar los datos de los beneficiarios de protección temporal y las repercusiones previstas de dicha recopilación y transmisión en caso de que se active la Directiva 2001/55/CE.

(12)

La biometría constituye un elemento importante para determinar la identidad exacta de las personas que estén incluidas en el ámbito de aplicación del presente Reglamento, pues garantiza un nivel muy elevado de precisión en la identificación. Por lo tanto, es necesario crear un sistema para comparar los datos biométricos de dichas personas.

(13)

Además, es necesario garantizar que el sistema para la comparación de datos biométricos funcione dentro del marco para la interoperabilidad establecido por los Reglamentos (UE) 2019/817 (15) y (UE) 2019/818 (16) del Parlamento Europeo y del Consejo de conformidad con el presente Reglamento y con el Reglamento (UE) 2016/679, en concreto con los principios de necesidad y proporcionalidad y con el principio de limitación de la finalidad establecido en el Reglamento (UE) 2016/679.

(14)

Debe fomentarse la reutilización por parte de los Estados miembros de los datos biométricos de nacionales de terceros países o apátridas que ya se hayan tomado en virtud del presente Reglamento a efectos de transmisión a Eurodac de conformidad con las condiciones establecidas en el presente Reglamento.

(15)

Asimismo, es preciso introducir disposiciones que encuadren el acceso a Eurodac de las unidades nacionales del Sistema Europeo de Información y Autorización de Viajes (SEIAV) y de las autoridades competentes en materia de visados, de conformidad con los Reglamentos (UE) 2018/1240 (17) y (CE) nº 767/2008 (18) del Parlamento Europeo y del Consejo, respectivamente.

(16)

Con el fin de ayudar en el control de la inmigración irregular y de facilitar estadísticas que respalden la elaboración de políticas basadas en pruebas, eu-LISA debe poder elaborar estadísticas transversales usando datos de Eurodac, del Sistema de Información de Visados (VIS), del SEIAV y del Sistema de Entradas y Salidas (SES) establecido por el Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo (19). Para especificar el contenido de dichas estadísticas transversales, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo (20).

(17)

Por tanto, es necesario crear un sistema, al que se llamará «Eurodac», integrado por un Sistema Central y el registro común de datos de identidad (RCDI) establecido por el Reglamento (UE) 2019/818, que gestionará una base central informatizada de datos biométricos, datos alfanuméricos y, cuando se disponga de ella, una copia escaneada en color de un documento de identidad o de viaje, así como los medios electrónicos de transmisión entre Eurodac y los Estados miembros (en lo sucesivo, «Infraestructura de Comunicación»).

(18)

En su Comunicación de 13 de mayo de 2015, titulada «Una Agenda Europea de Migración», la Comisión señaló que los Estados miembros deben asimismo aplicar íntegramente las normas relativas a la toma de las huellas dactilares de los migrantes en las fronteras y propuso, además, que va a estudiar asimismo cómo utilizar más elementos de identificación biométrica, como técnicas de reconocimiento facial a través de fotos digitales, en el marco de Eurodac.

(19)

A fin de obtener una identificación con un nivel muy elevado de precisión, es preferible utilizar siempre las impresiones dactilares en lugar de las imágenes faciales. Para ello, los Estados miembros deben agotar todas las vías para garantizar que puedan tomarse las impresiones dactilares del interesado antes de proceder a una comparación basada exclusivamente en una imagen facial. Para ayudar a los Estados miembros a superar los desafíos, cuando resulte imposible tomar las impresiones dactilares de nacionales de terceros países o apátridas porque sus yemas dactilares estén dañadas, de forma deliberada o no, o amputadas, el presente Reglamento debe permitir que los Estados miembros realicen la comparación usando una imagen facial, sin tomar impresiones dactilares.

(20)

El retorno de nacionales de terceros países o de apátridas que no tengan derecho a permanecer en la Unión, de conformidad con los derechos fundamentales como principio general del Derecho de la Unión y del Derecho internacional, incluidos la protección de los refugiados, el principio de no devolución y las obligaciones en materia de derechos humanos, y en cumplimiento de la Directiva 2008/115/CE del Parlamento Europeo y del Consejo (21), es una parte importante de los esfuerzos globales dirigidos a abordar la migración de una manera justa y eficiente y, en particular, a reducir y prevenir la inmigración irregular. Es necesario aumentar la eficacia del sistema de la Unión para proceder al retorno de los nacionales de terceros países o de apátridas en situación irregular, a fin de mantener la confianza de los ciudadanos en el sistema de migración y asilo de la Unión, y esta labor debe ir acompañada de esfuerzos encaminados a proteger a las personas necesitadas de protección.

(21)

A tal efecto, es necesario también registrar claramente en Eurodac el hecho de que una solicitud de protección internacional ha sido denegada cuando el nacional de un tercer país o apátrida no tenga derecho a permanecer y no se le haya permitido permanecer de conformidad con el Reglamento (UE) 2024/1348.

(22)

Las autoridades nacionales de los Estados miembros tienen dificultades para identificar a los nacionales de terceros países o apátridas en situación irregular con miras a su retorno y readmisión. Por consiguiente, es fundamental garantizar que los datos relativos a los nacionales de terceros países o apátridas que se encuentran en situación irregular en la Unión sean recopilados y transmitidos a Eurodac y se comparen también con los recopilados y transmitidos a efectos de establecer la identidad de los solicitantes de protección internacional y los nacionales de terceros países o apátridas aprehendidos con ocasión del cruce irregular de las fronteras exteriores de los Estados miembros, a fin de facilitar su identificación y redocumentación, garantizar su retorno y readmisión y reducir los casos de usurpación de identidad. Dicha recopilación, transmisión y comparación de datos también debe contribuir a reducir la duración de los procedimientos administrativos necesarios para garantizar el retorno y la readmisión de los nacionales de terceros países o apátridas en situación irregular, incluyendo el período durante el cual pueden ser mantenidos en internamiento administrativo a la espera de su expulsión. Asimismo, debe permitir determinar los terceros países de tránsito en los que el nacional de un tercer país o apátrida en situación irregular puede ser readmitido.

(23)

Con el fin de facilitar los procedimientos de identificación y de expedición de documentos de viaje a efectos de retorno de nacionales de terceros países o apátridas en situación irregular, debe registrarse en Eurodac, cuando se disponga de ella, una copia escaneada en color de un documento de identidad o de viaje, junto con una indicación de su autenticidad. Cuando no se disponga de dicho documento de identidad o de viaje, se debe registrar en Eurodac únicamente otro documento disponible de identificación del nacional de tercer país o apátrida junto con una indicación de su autenticidad. Con el fin de facilitar los procedimientos de identificación y de expedición de documentos de viaje a efectos de retorno de nacionales de terceros países o apátridas en situación irregular, y de no llenar el sistema de documentos falsos, únicamente deben mantenerse en el sistema los documentos validados como auténticos o cuya autenticidad no haya podido ser demostrada debido a la falta de elementos de seguridad.

(24)

En sus Conclusiones, de 8 de octubre de 2015, sobre el futuro de la política de retorno, el Consejo refrendó la iniciativa anunciada por la Comisión de estudiar la ampliación del ámbito de aplicación y la finalidad de Eurodac a fin de permitir la utilización de datos a efectos de retorno. Los Estados miembros deben contar con los instrumentos necesarios para poder controlar la migración irregular a la Unión y detectar los movimientos secundarios en su territorio y los nacionales de terceros países y los apátridas en situación irregular en la Unión. Por lo tanto, los datos de Eurodac deben estar disponibles, en las condiciones establecidas en el presente Reglamento, para su comparación por las autoridades designadas de los Estados miembros.

(25)

La Agencia Europea de la Guardia de Fronteras y Costas, establecida por el Reglamento (UE) 2019/1896 del Parlamento Europeo y del Consejo (22), apoya a los Estados miembros en sus esfuerzos por gestionar mejor las fronteras exteriores y controlar la inmigración irregular. La Agencia de Asilo de la Unión Europea, establecida por el Reglamento (UE) 2021/2303 del Parlamento Europeo y del Consejo (23), ofrece asistencia operativa y técnica a los Estados miembros. Por consiguiente, los usuarios autorizados de dichas agencias, así como de otros organismos que actúen en el ámbito de la Justicia y los Asuntos de Interior, deben tener acceso al repositorio central si dicho acceso es pertinente para el desempeño de sus tareas en consonancia con las salvaguardias pertinentes en materia de protección de datos.

(26)

Dado que los miembros de los equipos de la Guardia Europea de Fronteras y Costas y los expertos de los equipos de apoyo al asilo a que se refieren los Reglamentos (UE) 2019/1896 y (UE) 2021/2303, respectivamente, pueden, a petición del Estado miembro de acogida, tomar y transmitir datos biométricos, deben desarrollarse soluciones tecnológicas adecuadas para asegurarse de que se preste una asistencia eficiente y eficaz al Estado miembro de acogida.

(27)

Asimismo, para que Eurodac pueda asistir eficazmente en el control de la inmigración irregular a la Unión y la detección de movimientos secundarios dentro de la Unión, es preciso permitir que el sistema cuente solicitantes, además de solicitudes, vinculando todos los conjuntos de datos correspondientes a una persona, independientemente de su categoría, en una única secuencia. Cuando se suprima un conjunto de datos registrado en Eurodac, se debe suprimir automáticamente cualquier enlace a dicho conjunto de datos.

(28)

En la lucha contra los delitos de terrorismo y otros delitos graves, es esencial que los servicios de seguridad dispongan de la información más completa y actualizada para llevar a cabo su cometido. La información que contiene Eurodac es necesaria a efectos de prevención, detección o investigación de los delitos de terrorismo como se contempla en la Directiva (UE) 2017/541 o de otros delitos graves como se contempla en la Decisión Marco 2002/584/JAI. Por lo tanto, los datos de Eurodac deben estar disponibles, en las condiciones establecidas en el presente Reglamento, para su comparación por las autoridades designadas de los Estados miembros y la autoridad designada de la Agencia de la Unión Europea para la Cooperación Policial (Europol), establecida por el Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo (24).

(29)

Las competencias otorgadas a los servicios de seguridad para acceder a Eurodac no deben ir en detrimento del derecho del solicitante de protección internacional a que su solicitud se tramite a su debido tiempo y de conformidad con el Derecho aplicable. Además, toda actuación que se realice tras la obtención de una respuesta positiva de Eurodac no debe ir en detrimento de tal derecho.

(30)

En su Comunicación al Consejo y al Parlamento Europeo, de 24 de noviembre de 2005, sobre una mayor eficacia, interoperabilidad y sinergia entre las bases de datos europeas en el ámbito de la Justicia y los Asuntos de Interior, la Comisión indicó que las autoridades responsables de la seguridad interior podrían tener acceso a Eurodac en casos concretos, cuando haya sospechas fundadas de que el autor de un delito de terrorismo u otra infracción penal grave ha solicitado protección internacional. En esa Comunicación, la Comisión consideraba que el principio de proporcionalidad exige que Eurodac solo pueda ser consultado con esos fines cuando lo exija un interés superior de seguridad pública, es decir, cuando el acto cometido por el delincuente o el terrorista que deba identificarse sea lo suficientemente reprensible como para justificar búsquedas en una base de datos donde se registran personas sin antecedentes penales, y concluía que el umbral que deben respetar las autoridades responsables de la seguridad interior para poder consultar Eurodac debe ser siempre, por tanto, considerablemente más elevado que el umbral que debe respetarse para poder consultar bases de datos penales.

(31)

Además, Europol desempeña una función clave para la cooperación entre las autoridades de los Estados miembros en el ámbito de la investigación penal transfronteriza en apoyo de la prevención, el análisis y la investigación de la delincuencia en toda la Unión. En consecuencia, Europol también debe tener acceso a Eurodac en el marco de sus funciones y de conformidad con el Reglamento (UE) 2016/794.

(32)

Las solicitudes de Europol para la comparación de datos de Eurodac solo deben admitirse en casos concretos, siempre que se cumplan circunstancias específicas y con arreglo a condiciones estrictas, en consonancia con los principios de necesidad y proporcionalidad consagrados en el artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») y tal y como ha interpretado la jurisprudencia del Tribunal de Justicia de la Unión Europea (en lo sucesivo, «Tribunal de Justicia») (25).

(33)

Habida cuenta de que Eurodac se creó originariamente para facilitar la aplicación del Convenio de Dublín (26), el acceso a Eurodac a efectos de prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves constituye un nuevo desarrollo con respecto a la finalidad original de Eurodac. En consonancia con el artículo 52, apartado 1, de la Carta, cualquier limitación del ejercicio del derecho fundamental de respeto de la vida privada de los particulares cuyos datos personales sean tratados en Eurodac debe ser establecida por la ley, la cual tiene que estar formulada con la suficiente precisión como para que los particulares puedan adaptar su conducta, debe protegerlos de la arbitrariedad e indicar con suficiente claridad el alcance del poder discrecional conferido a las autoridades competentes y el modo de su ejercicio. Con sujeción al principio de proporcionalidad, cualquier limitación de este tipo ha de ser necesaria ha de lograr de forma legítima los objetivos de interés general reconocidos por la Unión.

(34)

Aun cuando el propósito original de la creación de Eurodac no requería la posibilidad de solicitar la comparación de datos con la base de datos a partir de una impresión dactilar latente, que es la huella dactiloscópica que puede encontrarse en la escena de un delito, una característica de este tipo es fundamental en el campo de la cooperación policial. La posibilidad de comparar una impresión dactilar latente con los datos dactiloscópicos que se conservan en Eurodac, en los casos en que existan motivos razonables para creer que el autor del delito o la víctima pueden pertenecer a alguna de las categorías a las que se aplica el presente Reglamento, dotaría a las autoridades designadas de los Estados miembros de un instrumento muy valioso a la hora de prevenir, detectar o investigar los delitos de terrorismo u otros delitos graves cuando, por ejemplo, la única prueba disponible en la escena de un delito sean impresiones dactilares latentes.

(35)

El presente Reglamento establece igualmente las condiciones en las que deben permitirse las solicitudes de comparación de datos biométricos o alfanuméricos con los datos de Eurodac con fines de prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves y las salvaguardias necesarias para garantizar la protección del derecho fundamental al respeto de la vida privada de aquellos individuos cuyos datos personales se tratan en Eurodac. El rigor de estas condiciones se debe a que la base de datos Eurodac registra datos biométricos y alfanuméricos de personas de las que no se presume la comisión de un delito de terrorismo u otro delito grave. Se reconoce que las autoridades responsables de aplicar la ley y Europol no siempre disponen de los datos biométricos del sospechoso o de la víctima cuyo caso están investigando, lo que puede dificultar su capacidad para comprobar datos biométricos consultando bases de datos como Eurodac. Es importante equipar a los servicios de seguridad y a Europol con los instrumentos necesarios para prevenir, detectar e investigar los delitos de terrorismo u otros delitos graves, cuando sea necesario. A fin de contribuir en mayor medida a las investigaciones de dichas autoridades y Europol, deben permitirse las búsquedas basadas en datos alfanuméricos en Eurodac, en particular en aquellos casos en que no se puedan encontrar pruebas biométricas pero cuando dichas autoridades y Europol estén en posesión de pruebas de los datos personales o documentos de identidad de la persona sospechosa o la víctima.

(36)

La ampliación del ámbito de aplicación y la simplificación del acceso a Eurodac a efectos de aplicación de la ley debe ayudar a los Estados miembros a enfrentarse a situaciones operativas cada vez más complicadas y a casos relacionados con la delincuencia transfronteriza y el terrorismo que tienen una repercusión directa en la situación de la seguridad en la Unión. Las condiciones de acceso a Eurodac a efectos de prevención, detección o investigación de delitos de terrorismo o de otros delitos graves deben también permitir que los servicios de seguridad de los Estados miembros aborden los casos de sospechosos que emplean identidades múltiples. A tal fin, el hecho de obtener una respuesta positiva al consultar una base de datos pertinente antes de acceder a Eurodac no debe impedir dicho acceso. Puede tratarse también de una herramienta útil para dar respuesta a la amenaza que suponen las personas radicalizadas o los terroristas que puedan estar registrados en Eurodac. La ampliación y simplificación del acceso a Eurodac para los servicios de seguridad de los Estados miembros, además de garantizar el pleno respeto de los derechos fundamentales, debe permitir a los Estados miembros utilizar todos los instrumentos existentes para asegurar un espacio de libertad, seguridad y justicia.

(37)

Con objeto de garantizar la igualdad de trato para todos los solicitantes y para los beneficiarios de protección internacional, así como de garantizar la coherencia con el acervo vigente en la Unión en materia de asilo, especialmente con el Reglamento (UE) 2024/1347, el Reglamento (UE) 2024/1350 y el Reglamento (UE) 2024/1351, el presente Reglamento incluye en su ámbito de aplicación a los solicitantes de protección subsidiaria y las personas que pueden acogerse a protección subsidiaria.

(38)

Es también necesario que los Estados miembros tomen y transmitan cuanto antes los datos biométricos de los solicitantes de protección internacional, de las personas para las que los Estados miembros tengan previsto realizar un procedimiento de admisión de conformidad con el Reglamento (UE) 2024/1350, de los nacionales de terceros países o apátridas aprehendidos con ocasión del cruce irregular de una frontera exterior de un Estado miembro o que se encuentren en situación irregular en un Estado miembro, y de las personas que hayan sido desembarcadas tras una operación de búsqueda y salvamento, siempre que tengan al menos seis años de edad.

(39)

La obligación de tomar los datos biométricos de nacionales de terceros países o apátridas de al menos seis años de edad que se encuentren en situación irregular no afecta al derecho de los Estados miembros de prorrogar la autorización a permanecer en su territorio de un nacional de un tercer país o apátrida en virtud del artículo 20, apartado 2, del Convenio de aplicación del Acuerdo de Schengen (27).

(40)

El hecho de que la solicitud de protección internacional se formule inmediatamente después de la aprehensión o simultáneamente a la interceptación del nacional de un tercer país o apátrida con ocasión del cruce irregular de una frontera exterior no exime a los Estados miembros de registrar a dichas personas como personas aprehendidas con ocasión del cruce irregular de la frontera exterior.

(41)

El hecho de que la solicitud de protección internacional se formule inmediatamente después de la aprehensión o simultáneamente a la aprehensión del nacional de un tercer país o apátrida que se encuentre en situación irregular en el territorio de un Estado miembro no exime a los Estados miembros de registrar a dichas personas como personas que se encuentran en situación irregular en el territorio de un Estado miembro.

(42)

El hecho de que la solicitud de protección internacional se formule inmediatamente después del desembarque o simultáneamente al desembarque del nacional de un tercer país o apátrida tras una operación de búsqueda y salvamento no exime a los Estados miembros de registrar a dichas personas como personas desembarcadas tras una operación de búsqueda y salvamento.

(43)

El hecho de que la solicitud de protección internacional se formule inmediatamente después del registro o simultáneamente al registro del beneficiario de protección temporal no exime a los Estados miembros de registrar a dichas personas como beneficiarias de protección temporal.

(44)

A fin de reforzar la protección de los menores que entren en el ámbito de aplicación del presente Reglamento, incluidos los menores no acompañados que no hayan solicitado protección internacional y los niños que podrían verse separados de sus familias, conviene asimismo tomar los datos biométricos que se conservarán en Eurodac para así ayudar a determinar la identidad de los niños y ayudar a los Estados miembros a localizar a los familiares o a establecer los vínculos que puedan tener con otro Estado miembro, así como a localizar menores desaparecidos, también a efectos de aplicación de la ley, complementando los instrumentos existentes, en particular el Sistema de Información de Schengen (SIS), establecido por el Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo (28). Un procedimiento de identificación eficaz ayudará a los Estados miembros a garantizar la adecuada protección de los menores. La determinación de vínculos familiares es un elemento esencial para restablecer la unidad familiar y debe estar estrechamente relacionada con la determinación del interés superior del niño y, a la postre, de una solución sostenible de conformidad con las prácticas naciones tras una evaluación de las necesidades por parte de las autoridades nacionales competentes en materia de protección de los menores.

(45)

El funcionario responsable de tomar los datos biométricos a menores debe recibir la formación necesaria para que se tomen las precauciones suficientes para garantizar que la calidad de los datos biométricos del menor sea la adecuada y que el proceso esté adaptado a los niños, de forma que los menores, especialmente los más pequeños, se sientan protegidos y puedan cooperar fácilmente en el proceso de toma de datos biométricos.

(46)

A partir de los seis años, todos los menores deben estar acompañados por un miembro adulto de su familia, cuando estén presentes, durante todo el proceso de toma de datos biométricos. El menor no acompañado debe ir acompañado de un representante o, cuando no se haya designado un representante, de una persona formada para salvaguardar el interés superior del niño y su bienestar general, durante el proceso de toma de sus datos biométricos. Dicha persona con formación no debe ser el funcionario responsable de tomar los datos biométricos, debe actuar con independencia y no debe recibir órdenes del funcionario o del servicio encargado de tomar los datos biométricos. Dicha persona con formación debe ser la persona designada para actuar provisionalmente como representante con arreglo a la Directiva (UE) 2024/1346 cuando dicha persona haya sido designada.

(47)

El interés superior del niño debe ser una consideración primordial de los Estados miembros al aplicar el presente Reglamento. En caso de que el Estado miembro solicitante establezca que los datos de Eurodac corresponden a un niño, esos datos solo pueden ser utilizados a efectos de aplicación de la ley, en particular los relativos a la prevención, detección e investigación de la trata de niños y de otros delitos graves contra los menores, por el Estado miembro solicitante y de conformidad con el Derecho de dicho Estado miembro aplicable a los menores y con la obligación de dar consideración primordial al interés superior del niño.

(48)

Es necesario fijar normas precisas para la transmisión de dichos datos biométricos y de otros datos personales pertinentes en Eurodac, la conservación, la comparación con otros datos biométricos, la transmisión de los resultados de dichas comparaciones y el marcado y la supresión de los datos registrados. Dichas normas pueden diferir según la situación de las distintas categorías de nacionales de terceros países o apátridas, a la que deben adaptarse.

(49)

Los Estados miembros deben garantizar una calidad adecuada en la transmisión de datos biométricos a efectos de su comparación mediante el sistema informatizado de reconocimiento facial y de impresiones dactilares. Todas las autoridades con derecho de acceso a Eurodac deben invertir en la formación adecuada y el equipo técnico necesario. Las autoridades con derecho de acceso a Eurodac deben informar a eu-LISA sobre las dificultades específicas que detecten en la calidad de los datos, a fin de resolverlas.

(50)

La imposibilidad temporal o permanente de tomar o transmitir los datos biométricos de una persona por razones como, por ejemplo, la calidad insuficiente de los datos para una comparación adecuada, problemas técnicos, razones relativas a la protección de la salud o porque el interesado no esté en condiciones o sea incapaz de proporcionar sus datos biométricos por circunstancias ajenas a su control no debe afectar negativamente al examen de la solicitud de protección internacional de dicha persona ni a la decisión correspondiente.

(51)

Los Estados miembros deben tener en cuenta el documento de trabajo de los servicios de la Comisión sobre la aplicación del Reglamento Eurodac en relación con la obligación de tomar impresiones dactilares, que el Consejo invitó a los Estados miembros a seguir el 20 de julio de 2015, y que establece un enfoque basado en las mejores prácticas para la toma de las impresiones dactilares. En su caso, los Estados miembros también deben tener en cuenta la hoja de comprobación para actuar en consonancia con los derechos fundamentales a la hora de tomar impresiones dactilares para Eurodac, publicada por la Agencia de los Derechos Fundamentales de la Unión Europea y que tiene por objeto proporcionar asistencia para cumplir con los derechos fundamentales a la hora de tomar impresiones dactilares.

(52)

Los Estados miembros deben informar a todas las personas a las que se exija proporcionar datos biométricos al amparo del presente Reglamento de dicha obligación. Asimismo, los Estados miembros deben explicar a dichas personas que redunda en su propio interés cooperar de manera plena e inmediata con el procedimiento mediante la provisión de sus datos biométricos. Cuando el Derecho nacional de un Estado miembro establezca medidas administrativas que contemplen la posibilidad de tomar datos biométricos utilizando medidas de coerción como último recurso, tales medidas deben respetar plenamente la Carta. Salvo en circunstancias debidamente justificadas y como último recurso, tras agotar otras posibilidades, se puede recurrir a un nivel proporcionado de coacción para asegurar el cumplimiento por parte de nacionales de terceros países o apátridas que sean considerados personas vulnerables, así como menores, de la obligación de proporcionar datos biométricos.

(53)

En aquellos casos en que el internamiento se emplee para determinar o verificar la identidad de un nacional de un tercer país o un apátrida, los Estados miembros solo lo utilizarán como instrumento de último recurso y con pleno respeto del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales y de conformidad con el Derecho de la Unión pertinente, incluida la Carta.

(54)

Cuando resulte necesario, las respuestas positivas serán comprobadas por un experto cualificado en impresiones dactilares a fin de garantizar la correcta determinación de responsabilidad con arreglo al Reglamento (UE) 2024/1351, la identificación exacta del nacional de un tercer país o apátrida y la identificación exacta de personas sospechosas de haber cometido delitos o personas víctimas de delitos cuyos datos puedan conservarse en Eurodac. Las comprobaciones por un experto cualificado se deben considerar necesarias cuando existan dudas acerca de si el resultado de la comparación de los datos sobre las impresiones dactilares se refiere a la misma persona, en particular cuando los datos correspondientes a una respuesta positiva de impresión dactilar se refieran a una persona de un sexo distinto o cuando los datos de la imagen facial no se correspondan con los rasgos faciales de la persona cuyos datos biométricos se hayan tomado. Las respuestas positivas que se obtengan de Eurodac basadas en imágenes faciales también serán comprobadas por un experto cualificado con arreglo a la práctica nacional cuando solo se establezca la comparación con los datos de la imagen facial. Cuando se comparen simultáneamente los datos de impresiones dactilares e imágenes faciales y se obtenga una respuesta positiva para ambos conjuntos de datos biométricos, los Estados miembros deben poder comprobar el resultado de la comparación de los datos de la imagen facial.

(55)

Los nacionales de terceros países o apátridas que hayan solicitado protección internacional en un Estado miembro podrían tratar de solicitar protección internacional en otro Estado miembro durante muchos años. El período máximo para la conservación en Eurodac de los datos biométricos de los nacionales de terceros países o apátridas que hayan solicitado protección internacional debe limitarse al estrictamente necesario y proporcional, en consonancia con el principio de proporcionalidad consagrado en el artículo 52, apartado 1, de la Carta y según la interpretación del Tribunal de Justicia. Teniendo en cuenta que la mayor parte de los nacionales de terceros países o apátridas que hayan permanecido en la Unión durante varios años habrán obtenido un estatuto permanente o incluso la ciudadanía de un Estado miembro después de dicho período, un período de diez años debe considerarse razonable para la conservación de los datos biométricos y alfanuméricos.

(56)

En sus Conclusiones sobre la apatridia de 4 de diciembre de 2015, el Consejo y los representantes de los Gobiernos de los Estados miembros recordaron el compromiso de la Unión, de septiembre de 2012, de que todos los Estados miembros se adherirían a la Convención sobre el Estatuto de los Apátridas, adoptada en Nueva York el 28 de septiembre de 1954, y estudiarían adherirse a la Convención para Reducir los Casos de Apatridia, adoptada en Nueva York el 30 de agosto de 1961.

(57)

Con objeto de aplicar los motivos de denegación con arreglo al Reglamento (UE) 2024/1350, los datos biométricos de nacionales de terceros países o apátridas registrados con objeto de tramitar un procedimiento de admisión con arreglo a dicho Reglamento deben ser recogidos, transmitidos a Eurodac y comparados con los datos conservados en Eurodac sobre beneficiarios de protección internacional, personas a las que se ha concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional de conformidad con dicho Reglamento, personas cuya admisión a un Estado miembro ha sido rechazada por uno de los motivos indicados en dicho Reglamento, en concreto por haber existido motivos razonables para considerar que el nacional de un tercer país o el apátrida supone un peligro para la sociedad, el orden público, la seguridad o la salud pública del Estado miembro de que se trate, o por haberse emitido una descripción en el SIS o en una base de datos nacional de un Estado miembro a efectos de denegación de entrada, o con respecto a las cuales se ha suspendido un procedimiento de admisión por no haber dado su consentimiento o por haberlo retirado, y personas que han sido admitidas al amparo de un programa nacional de reasentamiento. Por consiguiente, estas categorías de datos deben conservarse en Eurodac y estar disponibles con fines de comparación.

(58)

Con objeto de aplicar el Reglamento (UE) 2024/1350 y el Reglamento (UE) 2024/1351, los datos biométricos de nacionales de terceros países o apátridas a los que se ha concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional de conformidad con el Reglamento (UE) 2024/1350 deben conservarse en Eurodac durante cinco años a partir de la fecha en la que se tomaron. Dicho período debe ser suficiente habida cuenta de que la mayoría de dichas personas habrán residido durante varios años en la Unión y habrán obtenido el estatuto de residente de larga duración o incluso la ciudadanía de un Estado miembro.

(59)

Cuando a un nacional de un tercer país o a un apátrida le sea denegada la admisión en un Estado miembro por uno de los motivos detallados en el Reglamento (UE) 2024/1350, a saber, que existían motivos suficientes para considerar que el nacional de un tercer país o apátrida supone un peligro para la comunidad, el orden público, la seguridad o la salud pública del Estado miembro en cuestión o por el motivo de que se ha emitido una alerta en el SIS o en una base de datos nacional de un Estado miembro con fines de denegar la entrada, los datos conexos deben conservarse durante un período de tres años a partir de la fecha en que se haya llegado a la conclusión negativa sobre la admisión. Esos datos deben ser conservados durante dicho período a fin de permitir que otros Estados miembros que estén tramitando un procedimiento de admisión reciban información de Eurodac, incluida cualquier información sobre el marcado de los datos por otros Estados miembros, a lo largo del procedimiento de admisión, en su caso, mediante la aplicación de los motivos de denegación que figuran en el Reglamento (UE) 2024/1350. Además, los datos sobre procedimientos de admisión que habían sido suspendidos anteriormente porque los nacionales de terceros países o los apátridas no habían dado su consentimiento o lo habían retirado deben ser conservados durante tres años en Eurodac para permitir a otros Estados miembros que estén tramitando un procedimiento de admisión alcanzar una conclusión negativa, tal como permite dicho Reglamento.

(60)

La transmisión de datos de personas registradas con objeto de tramitar un procedimiento de admisión en Eurodac debe contribuir a limitar el número de Estados miembros que intercambian los datos personales de dichas personas durante un posterior procedimiento de admisión, y por consiguiente debe contribuir a asegurar el cumplimiento del principio de minimización de datos.

(61)

Cuando un Estado miembro reciba una respuesta positiva de Eurodac que pueda ayudar a dicho Estado miembro a completar sus obligaciones necesarias para la aplicación de los motivos para denegar la admisión con arreglo al Reglamento (UE) 2024/1350, el Estado miembro de origen que hubiera denegado anteriormente la admisión de un nacional de un tercer país o un apátrida debe intercambiar rápidamente información suplementaria con el Estado miembro que recibió la respuesta positiva de conformidad con el principio de cooperación leal y con sujeción a los principios de protección de datos. Este intercambio de datos debe permitir al Estado miembro que recibió la respuesta positiva alcanzar una conclusión sobre la admisión dentro del plazo fijado en dicho Reglamento para la conclusión del procedimiento de admisión.

(62)

La obligación de tomar y transmitir datos biométricos de personas registradas con objeto de tramitar un procedimiento de admisión no debe aplicarse cuando el Estado miembro en cuestión suspenda el procedimiento antes de la toma de los datos biométricos.

(63)

Con miras a prevenir y controlar eficazmente los movimientos no autorizados de nacionales de terceros países o apátridas que no tengan derecho a permanecer en la Unión, así como a tomar las medidas necesarias para ejecutar satisfactoriamente el retorno y la readmisión efectivos a terceros países de conformidad con la Directiva 2008/115/CE y teniendo en cuenta el derecho a la protección de los datos personales, debe considerarse necesario un período de cinco años para la conservación de los datos biométricos y alfanuméricos.

(64)

Con el fin de apoyar a los Estados miembros en su cooperación administrativa durante la aplicación de la Directiva 2001/55/CE, los datos de los beneficiarios de protección temporal deben conservarse en Eurodac durante un período de un año a partir de la fecha de entrada en vigor de la decisión de ejecución del Consejo pertinente. El período de conservación se prorrogará cada año a lo largo del período de protección temporal.

(65)

El período de conservación debe acortarse en ciertas situaciones especiales en las que no exista la necesidad de mantener los datos biométricos ni alguno de los demás datos personales durante todo ese tiempo. Los datos biométricos y todos los demás datos personales relativos a nacionales de un tercer país o a apátridas deben suprimirse de forma inmediata y permanente en cuanto los nacionales de terceros países o apátridas obtengan la ciudadanía de un Estado miembro.

(66)

Conviene conservar los datos relativos a aquellas personas cuyos datos biométricos hayan sido registrados en Eurodac en el momento de la formulación o el registro de sus solicitudes de protección internacional, y a quienes se haya concedido protección internacional en un Estado miembro, con objeto de posibilitar que los datos registrados en el momento del registro o la tramitación de otra solicitud de protección internacional puedan ser comparados con los datos registrados previamente.

(67)

Se han encomendado a eu-LISA las tareas de la Comisión relacionadas con la gestión operativa de Eurodac de conformidad con el presente Reglamento y determinadas tareas relacionadas con la Infraestructura de Comunicación a partir del 1 de diciembre de 2012, la fecha en que eu-LISA asumió sus responsabilidades. Además, Europol debe tener el estatuto de observador en las reuniones del Consejo de Administración de eu-LISA cuando figure en el orden del día algún asunto relativo a la aplicación del presente Reglamento en relación con el acceso para consultar Eurodac por parte de las autoridades designadas de los Estados miembros y por la autoridad designada de Europol, con fines de prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves. Europol debe poder nombrar a un representante en el Grupo consultivo Eurodac de eu-LISA.

(68)

Es necesario determinar claramente las responsabilidades respectivas de la Comisión y de eu-LISA, por lo que se refiere a Eurodac y a la Infraestructura de Comunicación, y las responsabilidades de los Estados miembros, por lo que se refiere al tratamiento y la seguridad de los datos, así como al acceso a los datos registrados y a su rectificación.

(69)

Es necesario designar a las autoridades competentes de los Estados miembros, así como los Puntos de Acceso Nacionales a través de los cuales se realizan las solicitudes de comparación con los datos de Eurodac y disponer de una lista de las unidades operativas dentro de las autoridades designadas autorizadas para solicitar dicha comparación con los fines específicos de prevención, detección o investigación de delitos de terrorismo o de otros delitos graves.

(70)

Resulta necesario designar y disponer de una lista de las unidades operativas de Europol que estén autorizadas a solicitar comparaciones con los datos de Eurodac a través del Punto de Acceso de Europol. Dichas unidades, entre las que se encuentran las unidades que hacen frente a la trata de seres humanos, el abuso sexual y la explotación sexual, en particular cuando las víctimas son menores, deben estar autorizadas a solicitar comparaciones con datos de Eurodac mediante el Punto de Acceso de Europol con objeto de apoyar y reforzar las iniciativas de los Estados miembros en la prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves que entren dentro del ámbito del mandato de Europol.

(71)

Las unidades operativas de las autoridades designadas del Punto de Acceso Nacional tienen que presentar las solicitudes de comparación con los datos conservados en Eurodac, que deben ir motivadas, a través de la autoridad verificadora. Las unidades operativas de las autoridades designadas autorizadas para solicitar dichas comparaciones con los datos de Eurodac no deben actuar como autoridad verificadora. Las autoridades verificadoras deben actuar con independencia frente a las autoridades designadas y deben ser las responsables de garantizar, de modo independiente, el estricto cumplimiento de las condiciones de acceso, tal como se establecen en el presente Reglamento. Las autoridades verificadoras deben remitir a continuación las solicitudes, que no deben ir motivadas, a través del Punto de Acceso Nacional a Eurodac, previa verificación de que se han cumplido todas las condiciones de acceso. En casos excepcionales de urgencia, cuando sea necesario tener un acceso rápido para responder a una amenaza específica y real relacionada con delitos de terrorismo u otros delitos graves, la autoridad verificadora debe poder remitir la solicitud inmediatamente y solo después proceder a la verificación.

(72)

La autoridad designada y la autoridad verificadora deben poder formar parte de la misma organización, si así lo permite el Derecho nacional, pero la autoridad verificadora debe actuar con independencia cuando desempeñe las funciones que le atribuye el presente Reglamento.

(73)

A fin de proteger los datos personales y excluir comparaciones sistemáticas que deben estar prohibidas, el tratamiento de los datos de Eurodac solo debe efectuarse en casos específicos y cuando sea necesario para los fines de prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves. Un caso específico se da, en particular, cuando la solicitud de comparación está vinculada a una situación específica y concreta, a un peligro específico y concreto asociado a un delito de terrorismo u otros delitos graves, o a personas específicas respecto de las cuales haya motivos fundados para creer que han cometido o cometerán cualquiera de dichos delitos. Se da también un caso específico cuando la solicitud de comparación está vinculada con una persona que es víctima de un delito de terrorismo u otro delito grave. Las autoridades designadas de los Estados miembros y la autoridad designada de Europol, por tanto, solo deben solicitar una comparación con Eurodac cuando tengan motivos fundados para creer que dicha comparación facilitará información que les ayudará sustancialmente en la prevención, detección o investigación de un delito de terrorismo u otro delito grave.

(74)

Además, solo se debe permitir el acceso a condición de que se haya realizado una búsqueda previa en las bases de datos biométricos nacionales del Estado miembro y en los sistemas automatizados de identificación dactilar de todos los demás Estados miembros en virtud de la Decisión 2008/615/JAI del Consejo (29), salvo que la consulta del RDCI de conformidad con el artículo 22, apartado 2, del Reglamento (UE) 2019/818 indique que los datos de la persona en cuestión están conservados en Eurodac. Esa condición exige que el Estado miembro solicitante efectúe comparaciones con los sistemas automatizados de identificación dactilar de todos los demás Estados miembros, con arreglo a la Decisión 2008/615/JAI, que estén disponibles desde el punto de vista técnico, a menos que dicho Estado miembro pueda justificar que existen motivos razonables para creer que esta comparación no va a permitir establecer la identidad del interesado. Existirán estos motivos razonables, en particular, cuando el caso concreto no presente ninguna relación operativa o de investigación con un Estado miembro determinado. Esta condición requiere que el Estado miembro solicitante ya haya llevado a la práctica los aspectos jurídicos y técnicos de la Decisión 2008/615/JAI por lo que se refiere a los datos dactiloscópicos, ya que no estará permitido proceder a una comprobación en Eurodac a efectos de aplicación de la ley cuando no se hayan cumplido los requisitos para cumplir con dicha condición. Aparte de las comprobaciones previas de las bases de datos, las autoridades designadas también deben poder realizar una comprobación simultánea en el VIS, siempre que se hayan cumplido las condiciones para una comparación con los datos ahí conservados tal como figura en la Decisión 2008/633/JAI del Consejo (30).

(75)

Para que la comparación y el intercambio de datos personales sean eficaces, los Estados miembros deben aplicar y usar plenamente los acuerdos internacionales existentes y el Derecho de la Unión en materia de intercambio de datos personales, en particular la Decisión 2008/615/JAI.

(76)

La responsabilidad extracontractual de la Unión con respecto al funcionamiento de Eurodac se rige por las disposiciones pertinentes del Tratado de Funcionamiento de la Unión Europea (TFUE); es necesario, sin embargo, establecer normas específicas sobre la responsabilidad extracontractual de los Estados miembros en relación con el funcionamiento del sistema.

(77)

El Reglamento (UE) 2016/679 es aplicable al tratamiento de datos personales llevado a cabo en aplicación del presente Reglamento por los Estados miembros, a menos que dicho tratamiento sea llevado a cabo por las autoridades designadas o verificadoras competentes de los Estados miembros a efectos de prevención, investigación, detección o persecución de los delitos de terrorismo o de otros delitos graves, incluidas la protección frente a las amenazas contra la seguridad pública y su prevención.

(78)

Las normas nacionales adoptadas en virtud de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (31) se aplican al tratamiento de datos personales por parte de las autoridades competentes de los Estados miembros con fines de prevención, investigación, detección o enjuiciamiento de delitos de terrorismo o de otros delitos graves de conformidad con el presente Reglamento.

(79)

El Reglamento (UE) 2016/794 se aplica al tratamiento de datos personales por parte de Europol con fines de prevención, investigación o detección de delitos de terrorismo o de otros delitos graves de conformidad con el presente Reglamento.

(80)

Las normas establecidas en el Reglamento (UE) 2016/679 respecto de la protección de los derechos y libertades de las personas físicas, y en particular su derecho a la protección de los datos personales que les conciernan, deben especificarse en este Reglamento en lo relativo a la responsabilidad por el tratamiento de los datos, la salvaguardia de los derechos de los interesados y la supervisión de la protección de los datos, en especial para determinados sectores.

(81)

El derecho de una persona a la intimidad y a la protección de datos debe salvaguardarse en todo momento de conformidad con el presente Reglamento, tanto en lo que respecta al acceso a Eurodac por parte de las autoridades de los Estados miembros como por parte de los organismos autorizados de la Unión.

(82)

Los interesados deben tener derecho de acceso a los datos personales que les conciernan, a su rectificación y supresión, así como a limitar su tratamiento. Teniendo en cuenta los fines del tratamiento de los datos, los interesados deben tener derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional. Dichos derechos deben ejercerse con arreglo al Reglamento (UE) 2016/679 y de conformidad con los procedimientos establecidos en el presente Reglamento, la Directiva (UE) 2016/680 y el Reglamento (UE) 2016/794 en lo que respecta al tratamiento de datos personales a efectos de aplicación de la ley en virtud del presente Reglamento. En relación con el tratamiento de datos personales en Eurodac por parte de las autoridades nacionales, por razones de seguridad jurídica y transparencia, cada Estado miembro debe designar a la autoridad que se considerará responsable del tratamiento de conformidad con el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680 y que debe tener la responsabilidad central del tratamiento de datos por parte de dicho Estado miembro. Cada Estado miembro debe comunicar los datos de dicha autoridad a la Comisión.

(83)

También es importante rectificar los datos materialmente incorrectos registrados en Eurodac para garantizar la exactitud de las estadísticas elaboradas de conformidad con el presente Reglamento.

(84)

Las transferencias de datos personales obtenidos por un Estado miembro o por Europol de conformidad con el presente Reglamento a partir de Eurodac con destino a terceros países u organizaciones internacionales o entidades privadas establecidas dentro o fuera de la Unión deben estar prohibidas para garantizar el derecho de asilo y proteger a las personas cuyos datos se tratan en virtud del presente Reglamento frente al riesgo de comunicación de sus datos a cualquier tercer país. Ello implica que los Estados miembros no pueden transferir información obtenida de Eurodac relativa a: el nombre y los apellidos; la fecha de nacimiento; la nacionalidad; el Estado miembro o Estados miembros de origen, el Estado miembro de reubicación o el de reasentamiento; los datos del documento de identidad o del documento de viaje; el lugar y la fecha de reasentamiento o de presentación de la solicitud de protección internacional; el número de referencia atribuido por el Estado miembro de origen; la fecha en que se hayan tomado los datos biométricos y la fecha en que el Estado miembro o los Estados miembros hayan transmitido los datos a Eurodac; la identificación de usuario del operador; y cualquier otra información relativa a cualquier traslado del interesado de conformidad con el Reglamento (UE) 2024/1351. Dicha prohibición debe entenderse sin perjuicio del derecho de los Estados miembros a transferir dichos datos a los terceros países a los que se aplique el Reglamento (UE) 2024/1351, de conformidad con el Reglamento (UE) 2016/679 y con las normas nacionales adoptadas con arreglo a la Directiva (UE) 2016/680, a fin de asegurar que los Estados miembros tengan la posibilidad de cooperar con dichos terceros países a efectos del presente Reglamento.

(85)

Como excepción a lo dispuesto en la norma según la cual los datos personales obtenidos por un Estado miembro de acuerdo con el presente Reglamento no deben transferirse ni ponerse a disposición de ningún tercer país, debe ser posible transferir dichos datos personales a un tercer país cuando dicha transferencia esté sujeta a condiciones estrictas y sea necesaria en casos concretos con el fin de ayudar a la identificación de los nacionales de terceros países con miras a su retorno. La transferencia de todo dato personal debe estar sujeta a condiciones estrictas. En el caso de que se transfieran dichos datos personales, la información sobre el hecho de que el nacional de un tercer país ha formulado una solicitud de protección internacional no debe divulgarse a un tercer país. La transferencia de datos personales a terceros países debe llevarse a cabo de conformidad con el Reglamento (UE) 2016/679 y con el acuerdo del Estado miembro de origen. A menudo, los terceros países de retorno no han sido objeto de decisiones de adecuación adoptadas por la Comisión con arreglo al Reglamento (UE) 2016/679. Por otra parte, el gran empeño que ha puesto la Unión en la cooperación con los principales países de origen de nacionales de terceros países en situación irregular sujetos a una obligación de retorno no ha garantizado el cumplimiento sistemático por parte de estos terceros países de la obligación, establecida por el Derecho internacional, de readmitir a sus propios nacionales. Los acuerdos de readmisión que han celebrado o están negociando la Unión o los Estados miembros y que prevén garantías adecuadas para la transferencia de datos a terceros países de conformidad con el artículo 46 del Reglamento (UE) 2016/679 abarcan un número limitado de esos terceros países, y la celebración de nuevos acuerdos de readmisión sigue siendo incierta. En tales situaciones, y como excepción al requisito de una decisión de adecuación o de garantías adecuadas, debe autorizarse, de conformidad con el presente Reglamento y a efectos de la aplicación de la política de retorno de la Unión, la transferencia de datos personales a autoridades de terceros países, para lo cual debe ser posible recurrir a la excepción establecida en el Reglamento (UE) 2016/679, siempre y cuando se cumplan las condiciones establecidas en dicho Reglamento. La aplicación del Reglamento (UE) 2016/679 —también en lo que respecta a las transferencias de datos personales a terceros países en virtud del presente Reglamento— está sujeta al control de la autoridad de control nacional independiente. El Reglamento (UE) 2016/679 se aplica en relación con la responsabilidad de las autoridades de los Estados miembros como responsables del tratamiento en el sentido de dicho Reglamento.

(86)

El Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (32), y en particular su artículo 33 relativo a la confidencialidad y la seguridad del tratamiento, se aplica al tratamiento de datos personales llevado a cabo por las instituciones, órganos y organismos de la Unión en aplicación del presente Reglamento, sin perjuicio del Reglamento (UE) 2016/794, que debe aplicarse al tratamiento de datos personales por parte de Europol. No obstante, es preciso aclarar determinados puntos relativos a la responsabilidad derivada del tratamiento de los datos y de la supervisión de la protección de los datos, teniendo en cuenta que la protección de datos es un factor clave para el buen funcionamiento de Eurodac y que la seguridad de los datos, la elevada calidad técnica y la legalidad de las consultas son esenciales para garantizar el funcionamiento correcto y libre de contratiempos de Eurodac y para facilitar la aplicación de los Reglamentos (UE) 2024/1351 y (UE) 2024/1350.

(87)

El interesado debe ser informado, en particular, de la finalidad que tendrá el tratamiento de sus datos en Eurodac, incluida una descripción de los objetivos del Reglamento (UE) 2024/1351 y (UE) 2024/1350, y del uso que de sus datos podrán hacer los servicios de seguridad.

(88)

Es conveniente que las autoridades de control nacionales establecidas de conformidad con el Reglamento (UE) 2016/679 supervisen la legalidad del tratamiento de datos personales por los Estados miembros, mientras que el Supervisor Europeo de Protección de Datos, establecido por el Reglamento (UE) 2018/1725, supervisa las actividades de las instituciones, órganos y organismos de la Unión en relación con el tratamiento de datos personales llevado a cabo en aplicación del presente Reglamento. Dichas autoridades de control y el Supervisor Europeo de Protección de Datos deben cooperar entre sí en la supervisión del tratamiento de datos personales, también en el contexto del Comité de Supervisión Coordinada creado en el marco del Comité Europeo de Protección de Datos.

(89)

Los Estados miembros, el Parlamento Europeo, el Consejo y la Comisión deben asegurarse de que las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos estén en condiciones de supervisar adecuadamente el uso de los datos de Eurodac y el acceso a ellos.

(90)

Es conveniente proceder al seguimiento y evaluación de las actividades de Eurodac periódicamente, también para determinar si el acceso a efectos de aplicación de la ley ha supuesto la discriminación indirecta de los solicitantes de protección internacional, tal como se plantea en la evaluación de la Comisión de la conformidad de este Reglamento con la Carta. eu-LISA debe presentar al Parlamento Europeo y al Consejo un informe anual sobre las actividades de Eurodac.

(91)

Los Estados miembros deben establecer un sistema de sanciones efectivas, proporcionadas y disuasorias para el tratamiento ilícito de los datos registrados en Eurodac que sea contrario a su finalidad.

(92)

Es preciso que los Estados miembros sean informados de la situación de determinados procedimientos de asilo, con el fin de facilitar la aplicación adecuada del Reglamento (UE) 2024/1351.

(93)

El presente Reglamento debe entenderse sin perjuicio de la aplicación de la Directiva 2004/38/CE del Parlamento Europeo y del Consejo (33).

(94)

El presente Reglamento respeta los derechos fundamentales y observa los principios reconocidos, entre otros textos, en la Carta. En especial, el presente Reglamento aspira a garantizar la plena observancia de la protección de los datos personales y del derecho a buscar protección internacional, así como a promover la aplicación de los artículos 8 y 18 de la Carta. Por consiguiente, el presente Reglamento debe aplicarse en consecuencia.

(95)

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42 del Reglamento (UE) 2018/1725, emitió sus dictámenes el 21 de septiembre de 2016 y el 30 de noviembre de 2020.

(96)

Dado que el objetivo del presente Reglamento, a saber, la creación de un sistema de comparación de datos biométricos para colaborar en la aplicación de la política de asilo y migración de la Unión, no puede ser alcanzado de manera suficiente por los Estados miembros, en razón de su propio carácter, sino que puede lograrse mejor a escala de la Unión, la Unión puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea (TUE). De conformidad con el principio de proporcionalidad establecido en dicho artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

(97)

Es conveniente restringir el ámbito territorial del presente Reglamento con el fin de que se corresponda con el ámbito territorial del Reglamento (UE) 2024/1351, con excepción de las disposiciones relativas a los datos recopilados para contribuir a la aplicación del Reglamento (UE) 2024/1350 en virtud de las condiciones establecidas en el presente Reglamento.

(98)

De conformidad con los artículos 1 y 2 del Protocolo nº 22 sobre la posición de Dinamarca, anejo al TUE y al TFUE, Dinamarca no participa en la adopción del presente Reglamento y no queda vinculada por él ni sujeta a su aplicación.

(99)

De conformidad con los artículos 1 y 2 y el artículo 4 bis, apartado 1, del Protocolo nº 21 sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al TUE y al TFUE, y sin perjuicio del artículo 4 de dicho Protocolo, Irlanda no participa en la adopción del presente Reglamento y no queda vinculada por él ni sujeta a su aplicación.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I. Disposiciones generales

Artículo 1. Finalidad de «Eurodac»

1. Se crea un sistema denominado «Eurodac». Su finalidad es:

apoyar el sistema de asilo, inclusive ayudando a determinar el Estado miembro responsable con arreglo al Reglamento (UE) 2024/1351 del examen de las solicitudes de protección internacional registradas en los Estados miembros por los nacionales de terceros países o apátridas y facilitando la aplicación de dicho Reglamento en las condiciones establecidas en el presente Reglamento;

prestar asistencia en la aplicación del Reglamento (UE) 2024/1350 de conformidad con las condiciones establecidas en el presente Reglamento;

prestar asistencia en relación con el control de la inmigración irregular a la Unión, con la detección de los movimientos secundarios dentro de su territorio y con la identificación de los nacionales de terceros países y apátridas en situación irregular a efectos de determinar las medidas apropiadas que han de adoptar los Estados miembros;

prestar asistencia en la protección de los menores, también en el contexto de la aplicación de la ley;

establecer las condiciones en las que las autoridades designadas de los Estados miembros y la autoridad designada de Europol podrán solicitar la comparación de datos biométricos o alfanuméricos con los conservados en Eurodac a efectos de aplicación de la ley para la prevención, detección o investigación de los delitos de terrorismo u otros delitos graves;

ayudar a identificar correctamente a las personas registradas en Eurodac, con arreglo al artículo 20 del Reglamento (UE) 2019/818, mediante la conservación de datos de identidad, datos de documentos de viaje y datos biométricos en el registro común de datos de identidad (RCDI);

apoyar los objetivos del Sistema Europeo de Información y Autorización de Viajes (SEIAV) establecido por el Reglamento (UE) 2018/1240;

apoyar los objetivos del Sistema de Información de Visados (VIS) a que hace referencia el Reglamento (CE) nº 767/2008;

apoyar la elaboración de políticas basadas en datos contrastados mediante la elaboración de estadísticas;

prestar asistencia en la aplicación de la Directiva 2001/55/CE.

2. Sin perjuicio del tratamiento por el Estado miembro de origen de los datos destinados a Eurodac en otras bases de datos establecidas en virtud del Derecho nacional de este Estado miembro, los datos biométricos y demás datos personales únicamente podrán ser tratados en Eurodac a los efectos establecidos en el presente Reglamento, en los Reglamentos (CE) nº 767/2008, (UE) 2018/1240, (UE) 2019/818, (UE) 2024/1351 y (UE) 2024/1350 y en la Directiva 2001/55/CE.

El presente Reglamento respeta plenamente la dignidad humana y los derechos fundamentales y observa los principios reconocidos por la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), incluidos el derecho al respeto de la vida privada, el derecho a la protección de los datos de carácter personal, el derecho de asilo y la prohibición de la tortura y los tratos inhumanos o degradantes. A este respecto, el tratamiento de datos personales con arreglo al presente Reglamento no dará lugar a discriminación alguna contra las personas a las que se aplica el presente Reglamento por motivos tales como el sexo, la raza, el color, el origen étnico o social, las características genéticas, el idioma, la religión o las creencias, las opiniones políticas o de cualquier otro tipo, la pertenencia a una minoría nacional, el patrimonio, el nacimiento, la discapacidad, la edad o la orientación sexual.

El derecho de las personas a la intimidad y a la protección de datos se protegerá de conformidad con el presente Reglamento, tanto en lo que se refiere al acceso a Eurodac por parte de las autoridades de los Estados miembros como por parte de los organismos autorizados de la Unión.

Artículo 2. Definiciones

1. A efectos del presente Reglamento, se entenderá por:

«solicitante de protección internacional»: el nacional de un tercer país o el apátrida que ha formulado una solicitud de protección internacional, tal como se define en el artículo 3, punto 7, del Reglamento (UE) 2024/1347, sobre la que aún no se haya adoptado una decisión definitiva;

«persona registrada con objeto de tramitar un procedimiento de admisión»: una persona que ha sido registrada con objeto de tramitar un procedimiento de reasentamiento o de admisión humanitaria conforme a lo dispuesto en el artículo 9, apartado 3, del Reglamento (UE) 2024/1350;

«persona admitida en virtud de un programa de reasentamiento nacional»: una persona reasentada por un Estado miembro al margen del marco del Reglamento (UE) 2024/1350, cuando a dicha persona se le ha concedido protección internacional en el sentido del artículo 3, punto 3, del Reglamento (UE) 2024/1347 o estatuto humanitario con arreglo al Derecho nacional en el sentido del artículo 2, apartado 3, letra c), del Reglamento (UE) 2024/1350 conforme a las normas que regulan el programa de reasentamiento nacional;

«estatuto humanitario con arreglo al Derecho nacional»: un estatuto humanitario con arreglo al Derecho nacional que establece derechos y obligaciones equivalentes a los establecidos en los artículos 20 a 26 y 28 a 35 del Reglamento (UE) 2024/1347;

«Estado miembro de origen»:

en relación con las personas a las que se aplica el artículo 15, apartado 1, el Estado miembro que transmita los datos personales a Eurodac y reciba los resultados de la comparación,

ii)

en relación con las personas a las que se aplica el artículo 18, apartado 1, el Estado miembro que transmita los datos personales a Eurodac y reciba los resultados de la comparación,

iii)

en relación con las personas a las que se aplica el artículo 18, apartado 2, el Estado miembro que transmita los datos personales a Eurodac,

iv)

en relación con las personas a las que se aplica el artículo 20, apartado 1, el Estado miembro que transmita los datos personales a Eurodac,

en relación con las personas a las que se aplica el artículo 22, apartado 1, el Estado miembro que transmita los datos personales a Eurodac y reciba los resultados de la comparación,

vi)

en relación con las personas a las que se aplica el artículo 23, apartado 1, el Estado miembro que transmita los datos personales a Eurodac y reciba los resultados de la comparación,

vii)

en relación con las personas a las que se aplica el artículo 24, apartado 1, el Estado miembro que transmita los datos personales a Eurodac y reciba los resultados de la comparación,

viii)

en relación con las personas a las que se aplica el artículo 26, apartado 1, el Estado miembro que transmita los datos personales a Eurodac y reciba los resultados de la comparación;

«nacional de un tercer país»: cualquier persona que no es ciudadano de la Unión en el sentido del artículo 20, apartado 1, del TFUE, ni de un Estado que participe en la aplicación del presente Reglamento en virtud de un acuerdo con la Unión;

«situación irregular»: la presencia en el territorio de un Estado miembro de un nacional de un tercer país o un apátrida que no cumpla o haya dejado de cumplir las condiciones de entrada establecidas en el artículo 6 del Reglamento (UE) 2016/399 del Parlamento Europeo y del Consejo (34) u otras condiciones de entrada, estancia o residencia en ese Estado miembro;

«beneficiario de protección internacional»: una persona a la que se ha concedido el estatuto de refugiado tal como se define en el artículo 3, punto 1, del Reglamento (UE) 2024/1347 o el estatuto de protección subsidiaria definidos en el artículo 3, punto 2, de dicho Reglamento;

«beneficiario de protección temporal»: una persona que disfruta de protección temporal tal como se define en el artículo 2, letra a), de la Directiva 2001/55/CE y en una decisión de ejecución del Consejo por la que se establezca la protección temporal o cualquier otra protección nacional equivalente establecida en respuesta al mismo hecho que dicha decisión de ejecución del Consejo;

«respuesta positiva»: la correspondencia o correspondencias establecidas por Eurodac mediante una comparación entre los datos biométricos de una persona conservados en la base de datos central informatizada y los transmitidos por un Estado miembro, sin perjuicio de la obligación que tienen los Estados miembros de comprobar inmediatamente los resultados de la comparación, con arreglo al artículo 38, apartado 4;

«Punto de Acceso Nacional»: el sistema nacional designado que se comunica con Eurodac;

«Punto de Acceso de Europol»: el sistema de Europol designado que se comunica con Eurodac;

«datos de Eurodac»: todos los datos conservados en Eurodac de conformidad con el artículo 17, apartados 1 y 2, el artículo 19, apartado 1, el artículo 21, apartado 1, el artículo 22, apartados 2 y 3, el artículo 23, apartados 2 y 3, el artículo 24, apartados 2 y 3, y el artículo 26, apartado 2;

«aplicación de la ley»: prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves;

«delito de terrorismo»: un delito tipificado en el Derecho nacional que se corresponde con, o es equivalente a, alguno de los delitos recogidos en la Directiva (UE) 2017/541;

«delito grave»: un delito que se corresponde con, o es equivalente a, alguno de los delitos recogidos en el artículo 2, apartado 2, de la Decisión Marco 2002/584/JAI, si es punible con arreglo al Derecho nacional con una pena privativa de libertad o de internamiento de una duración máxima no inferior a tres años;

«datos dactiloscópicos»: los datos relativos a impresiones simples y roladas de las impresiones dactilares de los diez dedos, cuando no falte ninguno, o una huella dactilar latente;

«datos de imagen facial»: imágenes digitales del rostro con una resolución de imagen y calidad suficientes para ser utilizadas en la correspondencia biométrica automática;

«datos biométricos»: los datos dactiloscópicos o los datos de imagen facial;

«datos alfanuméricos»: datos representados por letras, dígitos, caracteres especiales, espacios o signos de puntuación;

«documento de residencia»: cualquier autorización expedida por las autoridades de un Estado miembro por la que se autoriza a un nacional de un tercer país o a un apátrida a permanecer en su territorio, entre ellos los documentos en los que se materializa la autorización de permanecer en el territorio en el marco de un régimen de protección temporal o a la espera de que finalicen las circunstancias que se oponen a la ejecución de una medida de expulsión, con excepción de visados y autorizaciones de residencia expedidos durante el periodo exigido para determinar el Estado miembro responsable, según se establece en el Reglamento (UE) 2024/1351 o durante el examen de una solicitud de protección internacional o una solicitud de permiso de residencia;

«documento de control de las interfaces»: todo documento técnico en el que se especifiquen los requisitos necesarios a los que se han de ajustar los Puntos de Acceso Nacionales o el Punto de Acceso de Europol, para poder comunicarse electrónicamente con Eurodac, en especial mediante la definición del formato y el posible contenido de la información que se intercambiará entre Eurodac y los Puntos de Acceso Nacionales o el Punto de Acceso de Europol;

«RCDI»: el registro común de datos de identidad creado mediante el artículo 17, apartados 1 y 2, del Reglamento (UE) 2019/818;

«datos de identidad»: los datos a que se refieren el artículo 17, apartado 1, letras c) a f) y h), el artículo 19, apartado 1, letras c) a f) y h), el artículo 21, apartado 1, letras c) a f) y h), el artículo 22, apartado 2, letras c) a f) y h), el artículo 23, apartado 2, letras c) a f) y h), el artículo 24, apartado 2, letras c) a f) y h), y el artículo 26, apartado 2, letras c) a f) y h);

«conjunto de datos»: el conjunto de información registrado en Eurodac con arreglo a los artículos 17, 19, 21, 22, 23, 24 o 26, correspondiente a un conjunto de impresiones dactilares de una persona interesada e integrado por datos biométricos, datos alfanuméricos y, cuando esté disponible, una copia escaneada en color de un documento de identidad o de viaje;

«niño» o «menor»: un nacional de un tercer país o un apátrida menor de dieciocho años.

2. Las definiciones establecidas en el artículo 4 del Reglamento (UE) 2016/679 se aplicarán al presente Reglamento en la medida en que el tratamiento de datos personales sea llevado a cabo por las autoridades de los Estados miembros a los efectos establecidos en el artículo 1, apartado 1, letras a), b), c) y j), del presente Reglamento.

3. Salvo disposición en contrario, las definiciones establecidas en el artículo 2 del Reglamento (UE) 2024/1351 se aplicarán al presente Reglamento.

4. Las definiciones establecidas en el artículo 3 de la Directiva (UE) 2016/680 se aplicarán al presente Reglamento en la medida en que el tratamiento de datos personales sea llevado a cabo por las autoridades competentes de los Estados miembros a efectos de aplicación de la ley.

Artículo 3. Arquitectura del sistema y principios básicos

1. Eurodac constará de:

un Sistema Central integrado por:

una Unidad Central,

ii)

un plan y un sistema de continuidad operativa;

una infraestructura de comunicación entre el Sistema Central y los Estados miembros que proveerá un canal de comunicación seguro y cifrado para los datos Eurodac (en lo sucesivo, «Infraestructura de Comunicación»);

el RCDI;

una infraestructura de comunicación segura entre el Sistema Central y las infraestructuras centrales del portal europeo de búsqueda y entre el Sistema Central y el RCDI.

2. El RCDI contendrá los datos a que se refieren el artículo 17, apartado 1, letras a) a f), h) e i), el artículo 19, apartado 1, letras a) a f), h) e i), el artículo 21, apartado 1, letras a) a f), h) e i), el artículo 22, apartado 2, letras a) a f), h) e i), el artículo 23, apartado 2, letras a) a f), h) e i), el artículo 24, apartado 2, letras a) a f) y h), y apartado 3, letra a), y el artículo 26, apartado 2, letras a) a f), h) e i). Los demás datos de Eurodac se conservarán en el Sistema Central.

3. La Infraestructura de Comunicación utilizará la red existente «Servicios Transeuropeos Seguros de Telemática entre Administraciones» (TESTA). Con el fin de garantizar la confidencialidad, los datos personales trasmitidos a o desde Eurodac irán encriptados.

4. Cada Estado miembro dispondrá de un único Punto de Acceso Nacional. Europol dispondrá de un único punto de acceso (en lo sucesivo, «Punto de Acceso de Europol»).

5. Los datos relativos a las personas a las que se aplican el artículo 15, apartado 1, el artículo 18, apartado 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, y el artículo 26, apartado 1, que sean objeto de tratamiento en Eurodac lo serán por cuenta del Estado miembro de origen de conformidad con lo dispuesto en el presente Reglamento y se separarán con los medios técnicos adecuados.

6. Todos los conjuntos de datos registrados en Eurodac correspondientes al mismo nacional de un tercer país o apátrida se vincularán en una secuencia. Cuando se efectúe una comparación automática de conformidad con los artículos 27 y 28 y se obtenga una respuesta positiva respecto de al menos otro conjunto de impresiones dactilares o —cuando esas impresiones dactilares sean de una calidad que no garantice una comparación adecuada o no estén disponibles— datos de imagen facial de otro conjunto de datos correspondiente al mismo nacional de un tercer país o apátrida, Eurodac vinculará automáticamente ambos conjuntos de datos a partir de la comparación. Cuando sea necesario, un experto comprobará, de conformidad con el artículo 38, apartados 4 y 5, el resultado de la comparación automática efectuada de conformidad con los artículos 27 y 28. Cuando el Estado miembro receptor confirme la respuesta positiva, enviará una notificación a eu-LISA en la que se confirme la vinculación de dichos conjuntos de datos.

7. Las normas que rigen Eurodac se aplicarán también a las operaciones efectuadas por los Estados miembros desde la transmisión de los datos a Eurodac hasta la utilización de los resultados de la comparación.

Artículo 4. Gestión operativa

1. eu-LISA será responsable de la gestión operativa de Eurodac.

La gestión operativa de Eurodac consistirá en todas las funciones necesarias para mantener Eurodac en funcionamiento durante las 24 horas del día, siete días a la semana, de conformidad con el presente Reglamento, y, en particular, en el trabajo de mantenimiento y de desarrollo técnico necesario para garantizar que el sistema funciona a un nivel suficiente de calidad operativa, en particular en lo que se refiere al tiempo necesario para consultar Eurodac. eu-LISA elaborará un plan y sistema de continuidad operativa teniendo en cuenta las necesidades de mantenimiento y el tiempo de inactividad imprevisto de Eurodac, incluida la repercusión de las medidas de continuidad operativa en la protección y seguridad de los datos.

eu-LISA se asegurará, en cooperación con los Estados miembros, de que en Eurodac se utilicen la tecnología y las técnicas mejores y más seguras que haya, sobre la base de un análisis de costes-beneficios.

2. eu-LISA podrá utilizar datos personales reales del sistema de producción de Eurodac para realizar ensayos, de conformidad con el Reglamento (UE) 2016/679, en las circunstancias siguientes:

a efectos de diagnóstico y reparación, cuando se descubran defectos en Eurodac, o

para someter a ensayo nuevas tecnologías y técnicas pertinentes con el fin de mejorar el rendimiento de Eurodac o la transmisión de datos al mismo.

En los casos a que se refieren las letras a) y b) del párrafo primero, las medidas de seguridad, el control del acceso y las actividades de conexión en el entorno de ensayo deberán ser iguales a los del sistema de producción de Eurodac. El tratamiento de los datos personales reales adaptados a efectos de ensayo estará sujetos a condiciones estrictas y se anonimizarán de forma que el interesado deje de ser identificable. Los datos personales serán suprimidos de forma inmediata y para siempre del entorno del ensayo una vez alcanzados los objetivos por los que se realizó el ensayo o tras la finalización de los ensayos.

3. La Agencia eu-LISA será responsable de las siguientes funciones relacionadas con la Infraestructura de Comunicación:

supervisión;

seguridad;

coordinación de las relaciones entre los Estados miembros y el proveedor.

4. La Comisión será responsable de todas las funciones relacionadas con la Infraestructura de Comunicación distintas de las mencionadas en el apartado 3, en particular:

ejecución del presupuesto;

adquisición y renovación;

cuestiones contractuales.

5. Sin perjuicio de lo dispuesto en el artículo 17 del Estatuto de los funcionarios de la Unión Europea y el régimen aplicable a los otros agentes de la Unión, establecidos en el Reglamento (CEE, Euratom, CECA) nº 259/68 del Consejo (35), eu-LISA aplicará las normas pertinentes sobre secreto profesional u otras obligaciones equivalentes de confidencialidad a todo miembro de su personal que deba trabajar con los datos de Eurodac. Este apartado seguirá siendo aplicable después de que dichos miembros del personal hayan cesado en el cargo o el empleo o tras la terminación de sus funciones.

Artículo 5. Autoridades designadas por los Estados miembros a efectos de aplicación de la ley

1. Los Estados miembros designarán a efectos de aplicación de la ley a las autoridades que estarán autorizadas a solicitar comparaciones con los datos de Eurodac con arreglo al presente Reglamento. Las autoridades designadas serán autoridades de los Estados miembros responsables de la prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves.

2. Cada Estado miembro dispondrá de una lista de sus autoridades designadas.

3. Cada Estado miembro dispondrá de una lista de las unidades operativas dependientes de sus autoridades designadas que estén autorizadas a solicitar comparaciones con los datos de Eurodac a través del Punto de Acceso Nacional.

Artículo 6. Autoridades verificadoras de los Estados miembros a efectos de aplicación de la ley

1. Cada Estado miembro designará a efectos de aplicación de la ley una autoridad nacional única o una unidad de dicha autoridad que actuará como autoridad verificadora. La autoridad verificadora será una autoridad del Estado miembro responsable de la prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves.

La autoridad designada y la autoridad verificadora pueden formar parte de la misma organización, si así lo permite el Derecho nacional, pero la autoridad verificadora actuará con independencia cuando desempeñe las funciones que le atribuye el presente Reglamento. La autoridad verificadora será distinta de las unidades operativas a que se refiere el artículo 5, apartado 3, y no recibirá instrucciones de ellas por lo que se refiere al resultado de la verificación.

De acuerdo con sus requisitos constitucionales o jurídicos, los Estados miembros podrán designar más de una autoridad verificadoras para reflejar sus estructuras organizativas y administrativas.

2. La autoridad verificadora garantizará que se cumplan las condiciones para solicitar comparaciones de datos biométricos o alfanuméricos con los datos de Eurodac.

Solo el personal debidamente habilitado de la autoridad verificadora estará autorizado a recibir y transmitir solicitudes de acceso a Eurodac de conformidad con lo establecido en el artículo 32.

Solo la autoridad verificadora estará autorizada a transmitir solicitudes de comparación de datos biométricos o alfanuméricos al Punto de Acceso Nacional.

Artículo 7. Autoridad designada de Europol y autoridad verificadora de Europol a efectos de aplicación de la ley

1. Europol designará a efectos de aplicación de la ley una o más de sus unidades operativas como la «autoridad designada de Europol». La autoridad designada de Europol estará autorizada para solicitar comparaciones con los datos de Eurodac a través del Punto de Acceso de Europol para apoyar y reforzar la actuación de los Estados miembros en materia de prevención, detección o investigación de los delitos de terrorismo o de otros delitos graves incluidos en el mandato de Europol.

2. Europol designará a efectos de aplicación de la ley una unidad especializada con agentes de Europol debidamente habilitados para actuar como su autoridad verificadora. La autoridad verificadora de Europol estará autorizada a transmitir solicitudes de la autoridad designada de Europol de comparación de datos con los datos de Eurodac a través del Punto de Acceso de Europol. La autoridad verificadora de Europol será totalmente independiente de la autoridad designada de Europol cuando desempeñe las funciones que le atribuye el presente Reglamento. La autoridad verificadora de Europol será distinta de la autoridad designada de Europol y no recibirá instrucciones de ella por lo que se refiere al resultado de la verificación. La autoridad verificadora de Europol garantizará que se cumplan las condiciones para solicitar comparaciones de datos biométricos o alfanuméricos con los datos de Eurodac.

Artículo 8. Interoperabilidad con el SEIAV

1. Desde el 12 de junio de 2026, Eurodac estará conectado con el portal europeo de búsqueda a que se refiere el artículo 6 del Reglamento (UE) 2019/818 con el fin de permitir la aplicación de los artículos 11 y 20 del Reglamento (UE) 2018/1240.

2. El tratamiento automatizado a que se refiere el artículo 20 del Reglamento (UE) 2018/1240 permitirá las verificaciones establecidas en dicho artículo y las subsiguientes verificaciones establecidas en los artículos 22 y 26 de dicho Reglamento.

A efectos de la realización de las verificaciones establecidas en el artículo 20, apartado 2, letra k), del Reglamento (UE) 2018/1240, el Sistema Central del SEIAV utilizará el portal europeo de búsqueda con el fin de comparar los datos del SEIAV con los datos de Eurodac, recopilados al amparo de los artículos 17, 19, 21, 22, 23, 24 y 26 del presente Reglamento, en formato de solo lectura, haciendo uso de las categorías de datos enumeradas en la tabla de correspondencias que figura en el anexo I del presente Reglamento, relativos a personas que hayan abandonado o hayan sido expulsadas del territorio de los Estados miembros en cumplimiento de una decisión de retorno o una orden de expulsión. Tales verificaciones se entenderán sin perjuicio de las normas específicas establecidas en el artículo 24, apartado 3, del Reglamento (UE) 2018/1240.

Artículo 9. Condiciones de acceso a Eurodac para el tratamiento manual por las unidades nacionales del SEIAV

1. Las unidades nacionales del SEIAV consultarán Eurodac por medio de los mismos datos alfanuméricos utilizados para el tratamiento automatizado a que se refiere el artículo 8.

2. A los efectos del artículo 1, apartado 1, letra g) del presente Reglamento, las unidades nacionales del SEIAV tendrán acceso a Eurodac, de conformidad con el Reglamento (UE) 2018/1240, para consultar datos, en formato de solo lectura, a los efectos de examinar las solicitudes de autorización de viaje. En particular, las unidades nacionales del SEIAV podrán consultar los datos a que se refieren los artículos 17, 19, 21, 22, 23, 24 y 26 del presente Reglamento.

3. Tras la consulta y el acceso con arreglo a los apartados 1 y 2, el resultado de la evaluación se registrará exclusivamente en los expedientes de solicitud del SEIAV.

Artículo 10. Acceso a Eurodac por parte de las autoridades competentes en materia de visados

Con el fin de comprobar manualmente las respuestas positivas activadas por las consultas automatizadas realizadas por el VIS de conformidad con los artículos 9 bis y 9 quater del Reglamento (CE) nº 767/2008 y de examinar solicitudes de visado y decidir sobre ellas de conformidad con el artículo 21 del Reglamento (CE) nº 810/2009 del Parlamento Europeo y del Consejo (36), las autoridades competentes en materia de visados tendrán acceso a Eurodac, de conformidad con dichos Reglamentos, para consultar datos en formato de solo lectura.

Artículo 11. Interoperabilidad con el VIS

Según lo dispuesto en el artículo 3, apartado 1, letra d), del presente Reglamento, Eurodac estará conectado con el portal europeo de búsqueda a que se refiere al artículo 6 del Reglamento (UE) 2019/817 para permitir el tratamiento automatizado que se menciona en el artículo 9 bis del Reglamento (CE) nº 767/2008 y, por tanto, con el fin de realizar consultas en Eurodac y comparar los datos pertinentes del VIS con los datos pertinentes de Eurodac. Las verificaciones se entenderán sin perjuicio de las normas específicas establecidas en el artículo 9 ter del Reglamento (CE) nº 767/2008.

Artículo 12. Estadísticas

1. eu-LISA elaborará cada mes un informe estadístico sobre el trabajo de Eurodac en el que figurarán, en particular:

el número de solicitantes y el número de solicitantes que presentan una solicitud por primera vez, obtenidos al aplicar el proceso de vinculación a que se refiere el artículo 3, apartado 6;

el número de solicitantes rechazados obtenidos al aplicar el proceso de vinculación a que se refiere el artículo 3, apartado 6, y de conformidad con el artículo 17, apartado 2, letra j);

el número de personas que hayan sido desembarcadas tras operaciones de búsqueda y salvamento;

el número de personas que hayan sido registradas como beneficiarias de protección temporal;

el número de solicitantes a los que se haya concedido protección internacional en un Estado miembro;

el número de personas que han sido registradas como menores;

el número de personas a que se refiere el artículo 18, apartado 2, letra a), del presente Reglamento que han sido admitidas con arreglo al Reglamento (UE) 2024/1350;

el número de personas a que se refiere el artículo 20, apartado 1, que han sido admitidas con arreglo a un programa nacional de reasentamiento;

el número de conjuntos de datos que le hayan sido transmitidos en relación con las personas a que se refieren el artículo 15, apartado 1, el artículo 18, apartado 2, letras b) y c), el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, y el artículo 26, apartado 1;

el número de transmisiones de datos en relación con las personas a que se refiere el artículo 18, apartado 1;

el número de respuestas positivas en relación con las personas a que se refiere el artículo 15, apartado 1, del presente Reglamento:

para las que haya registrada una solicitud de protección internacional en un Estado miembro,

ii)

que hayan sido aprehendidas con ocasión del cruce irregular de una frontera exterior,

iii)

que se encuentren en situación irregular en un Estado miembro,

iv)

que hayan sido desembarcadas tras una operación de búsqueda y salvamento,

a las que se haya concedido protección internacional en un Estado miembro,

vi)

que hayan sido registradas como beneficiarias de protección temporal en un Estado miembro,

vii)

que hayan sido registradas con objeto de tramitar un procedimiento de admisión de conformidad con el Reglamento (UE) 2024/1350 y:

—

a las que se haya concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional,

—

cuya admisión haya sido rechazada por los motivos indicados en el artículo 6, apartado 1, letra f), de dicho Reglamento, o

—

cuyo procedimiento de admisión haya sido interrumpido debido a que la persona no haya dado su consentimiento o lo haya retirado de conformidad con el artículo 7 de dicho Reglamento,

viii)

que hayan sido admitidas en virtud de un programa de reasentamiento nacional;

el número de respuestas positivas en relación con las personas a que se refiere el artículo 18, apartado 1 del presente Reglamento:

a las que se haya concedido protección internacional en un Estado miembro anteriormente,

ii)

que hayan sido registradas con objeto de tramitar un procedimiento de admisión de conformidad con el Reglamento (UE) 2024/1350 y:

—

a las que se haya concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional,

—

cuya admisión haya sido rechazada por los motivos indicados en el artículo 6, apartado 1, letra f), de dicho Reglamento, o

—

cuyo procedimiento de admisión hubiera sido interrumpido debido a que la persona no haya dado su consentimiento o lo haya retirado de conformidad con el artículo 7 de dicho Reglamento,

iii)

que hayan sido admitidas en virtud de un programa de reasentamiento nacional;

el número de respuestas positivas para las personas a que se refiere el artículo 22, apartado 1 del presente Reglamento:

para las que haya registrada una solicitud de protección internacional en un Estado miembro,

ii)

que hayan sido aprehendidas con ocasión del cruce irregular de una frontera exterior,

iii)

que se encuentren en situación irregular en un Estado miembro,

iv)

que hayan sido desembarcadas tras una operación de búsqueda y salvamento,

a las que se haya concedido protección internacional en un Estado miembro,

vi)

que hayan sido registradas con objeto de tramitar un procedimiento de admisión de conformidad con el Reglamento (UE) 2024/1350 y:

—

a las que se haya concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional,

—

cuya admisión haya sido rechazada por los motivos indicados en el artículo 6, apartado 1, letra f), de dicho Reglamento, o

—

cuyo procedimiento de admisión haya sido interrumpido debido a que la persona no haya dado su consentimiento o lo haya retirado de conformidad con el artículo 7 de dicho Reglamento,

vii)

que hayan sido admitidas en virtud de un programa de reasentamiento nacional,

viii)

que hayan sido registradas como beneficiarias de protección temporal en un Estado miembro;

el número de respuestas positivas en relación con las personas a que se refiere el artículo 23, apartado 1 del presente Reglamento:

para las que haya registrada una solicitud de protección internacional en un Estado miembro,

ii)

que hayan sido aprehendidas con ocasión del cruce irregular de una frontera exterior,

iii)

que se encuentren en situación irregular en un Estado miembro,

iv)

que hayan sido desembarcadas tras una operación de búsqueda y salvamento,

a las que se haya concedido protección internacional en un Estado miembro,

vi)

que hayan sido registradas con objeto de tramitar un procedimiento de admisión de conformidad con el Reglamento (UE) 2024/1350 y:

—

a las que se haya concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional,

—

cuya admisión haya sido rechazada por los motivos indicados en el artículo 6, apartado 1, letra f), de dicho Reglamento, o

—

cuyo procedimiento de admisión haya sido interrumpido debido a que la persona no haya dado su consentimiento o lo haya retirado de conformidad con el artículo 7 de dicho Reglamento,

vii)

que hayan sido admitidas en virtud de un programa de reasentamiento nacional,

viii)

que hayan sido registradas como beneficiarias de protección temporal en un Estado miembro;

el número de respuestas positivas en relación con las personas a que se refiere el artículo 24, apartado 1, del presente Reglamento:

para las que haya registrada una solicitud de protección internacional en un Estado miembro,

ii)

que hayan sido aprehendidas con ocasión del cruce irregular de una frontera exterior,

iii)

que se encuentren en situación irregular en un Estado miembro,

iv)

que hayan sido desembarcadas tras una operación de búsqueda y salvamento,

a las que se haya concedido protección internacional en un Estado miembro,

vi)

que hayan sido registradas con objeto de tramitar un procedimiento de admisión de conformidad con el Reglamento (UE) 2024/1350 y:

—

a las que se haya concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional,

—

cuya admisión haya sido rechazada por los motivos indicados en el artículo 6, apartado 1, letra f), de dicho Reglamento, o

—

cuyo procedimiento de admisión haya sido interrumpido debido a que la persona no haya dado su consentimiento o lo haya retirado de conformidad con el artículo 7 de dicho Reglamento,

vii)

que hayan sido admitidas en virtud de un programa de reasentamiento nacional,

viii)

que hayan sido registradas como beneficiarias de protección temporal en un Estado miembro;

el número de respuestas positivas en relación con las personas a que se refiere el artículo 26, apartado 1, del presente Reglamento:

para las que se haya registrado una solicitud de protección internacional en un Estado miembro,

ii)

que hayan sido aprehendidas con ocasión del cruce irregular de una frontera exterior,

iii)

que se encuentren en situación irregular en un Estado miembro,

iv)

que hayan sido desembarcadas tras una operación de búsqueda y salvamento,

a las que se haya concedido protección internacional en un Estado miembro,

vi)

que hayan sido registradas con objeto de tramitar un procedimiento de admisión de conformidad con el Reglamento (UE) 2024/1350 y:

—

a las que se haya concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional,

—

cuya admisión haya sido rechazada por los motivos indicados en el artículo 6, apartado 1, letra f), de dicho Reglamento, o

—

cuyo procedimiento de admisión haya sido interrumpido debido a que la persona no haya dado su consentimiento o lo haya retirado de conformidad con el artículo 7 de dicho Reglamento,

vii)

que hayan sido admitidas en virtud de un programa de reasentamiento nacional,

viii)

que hayan sido registradas como beneficiarias de protección temporal en un Estado miembro;

el número de datos biométricos que Eurodac haya tenido que solicitar más de una vez al Estado miembro de origen, por no ser los datos biométricos transmitidos en un primer momento apropiados para su comparación mediante los sistemas informáticos de reconocimiento de impresiones dactilares y de imagen facial;

el número de conjuntos de datos marcados y sin marcar de conformidad con el artículo 31, apartados 1, 2, 3 y 4;

el número de respuestas positivas en relación con las personas a que se refiere el artículo 31, apartados 1 y 4, para quienes se hayan registrado respuestas positivas en virtud del apartado 1, letras k) a p), del presente artículo;

el número de solicitudes y de respuestas positivas a que se refiere el artículo 33, apartado 1;

el número de solicitudes y de respuestas positivas a que se refiere el artículo 34, apartado 1;

el número de solicitudes presentadas de conformidad con el artículo 43;

el número de respuestas positivas recibidas de Eurodac a que se refiere el artículo 38, apartado 6.

2. Los datos estadísticos mensuales relativos a las personas a que se refiere el apartado 1, se publicarán cada mes. Al final de cada año, eu-LISA publicará los datos estadísticos anuales relativos a las personas a que se refiere el apartado 1. Los datos estadísticos estarán desglosados por Estados miembros. Los datos estadísticos relativos a las personas a que se refiere el apartado 1, letra i), se desglosarán, siempre que sea posible, por año de nacimiento y sexo.

Nada de lo dispuesto en el presente apartado afectará a la naturaleza anonimizada de los datos estadísticos.

3. Con el fin de apoyar los objetivos a que se refiere el artículo 1, letras c) e i), eu-LISA elaborará estadísticas transversales mensuales. Dichas estadísticas no permitirán la identificación de personas y utilizarán datos de Eurodac, del VIS, del SEIAV y del SES.

Las estadísticas a las que se refiere el párrafo primero se pondrán a disposición de los Estados miembros, el Parlamento Europeo, la Comisión, la Agencia de Asilo de la Unión Europea, la Agencia Europea de la Guardia de Fronteras y Costas y Europol.

La Comisión especificará mediante actos de ejecución el contenido de las estadísticas transversales mensuales a que se refiere el párrafo primero. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 56, apartado 2.

No se emplearán las estadísticas transversales por sí solas para denegar el acceso al territorio de la Unión.

4. A petición de la Comisión, eu-LISA, le facilitará estadísticas sobre aspectos específicos relacionados con la aplicación del presente Reglamento y las estadísticas a que se refiere el apartado 1 y, previa petición, las pondrá a disposición de los Estados miembros, el Parlamento Europeo, la Agencia de Asilo de la Unión Europea, la Agencia Europea de la Guardia de Fronteras y Costas y Europol.

5. eu-LISA conservará los datos a que se refieren los apartados 1 a 4 del presente artículo con fines de investigación y análisis, lo que permitirá a las autoridades citadas en el apartado 3 del presente artículo obtener informes y estadísticas personalizados en el repositorio central para la presentación de informes y estadísticas a que se refiere el artículo 39 del Reglamento (UE) 2019/818. Dichos datos no permitirán la identificación de personas.

6. El acceso al repositorio central para la presentación de informes y estadísticas tal como se indica en el artículo 39 del Reglamento (UE) 2019/818 se concederá a eu-LISA, la Comisión, las autoridades designadas por cada Estado miembro de conformidad con el artículo 40, apartado 2, del presente Reglamento y los usuarios autorizados de la Agencia de Asilo de la Unión Europea, la Agencia Europea de la Guardia de Fronteras y Costas y Europol, donde dicho acceso es pertinente para la puesta en práctica de sus tareas.

Artículo 13. Obligación de tomar los datos biométricos

1. Los Estados miembros tomarán los datos biométricos de las personas a las que se refiere el artículo 15, apartado 1, el artículo 18, apartados 1 y 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, y el artículo 26, apartado 1, a efectos del artículo 1, apartado 1, letras a), b), c) y j), y requerirán a dichas personas que proporcionen sus datos biométricos y que informen de ellos de conformidad con el artículo 42.

2. Los Estados miembros respetarán la dignidad y la integridad física de la persona durante el proceso de toma de impresiones dactilares y la captación de la imagen facial.

3. Las medidas administrativas que tienen por objeto garantizar el cumplimiento de la obligación de proporcionar datos biométricos que figura en el apartado 1 se establecerán en el Derecho nacional. Estas medidas serán efectivas, proporcionadas y disuasorias y podrán incluir la posibilidad de recurrir a medidas de coerción como último recurso.

4. En aquellos casos en que las medidas establecidas en el Derecho nacional a que se refiere el apartado 3 no logren asegurar el cumplimiento por parte de un solicitante de la obligación de proporcionar datos biométricos, serán de aplicación las disposiciones pertinentes del Derecho de la Unión en materia de asilo relativas al incumplimiento de dicha obligación.

5. Sin perjuicio de lo dispuesto en los apartados 3 y 4, en aquellos casos en los que resulte imposible la toma de datos biométricos de un nacional de terceros países o un apátrida considerado persona vulnerable debido al estado de las yemas de sus dedos o su rostro, y cuando dicha persona no haya provocado tal condición de forma deliberada, las autoridades del Estado miembro de que se trate no recurrirán a medidas administrativas para asegurar el cumplimiento de la obligación de proporcionar datos biométricos.

6. El procedimiento para tomar los datos biométricos se adoptará y se aplicará de acuerdo con la práctica del Estado miembro de que se trate y de conformidad con las garantías establecidas en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales.

Artículo 14. Disposiciones específicas aplicables a los menores

1. De la toma de datos biométricos de los menores de seis años se encargarán funcionarios formados específicamente para tomar los datos biométricos de menores, de manera adaptada a sus necesidades y con sensibilidad, respetando plenamente el interés superior del niño y las salvaguardias establecidas en la Convención de las Naciones Unidas sobre los Derechos del Niño.

Al aplicar el presente Reglamento, se tendrá en cuenta de manera primordial el interés superior del niño. En caso de que no exista certeza sobre si el niño es menor de seis años ni existan pruebas que acrediten su edad, las autoridades competentes de los Estados miembros considerarán que el niño es menor de seis años a los efectos del presente Reglamento.

El menor irá acompañado, cuando sea posible, de un adulto miembro de su familia durante todo el proceso de toma de datos biométricos. El menor no acompañado irá acompañado de un representante o, cuando no se haya designado un representante, de una persona formada para salvaguardar el interés superior del niño y su bienestar general, durante el proceso de toma de sus datos biométricos. Dicha persona con formación no será el funcionario responsable de tomar los datos biométricos, actuará con independencia y no recibirá órdenes del funcionario o del servicio encargado de los datos biométricos. Dicha persona con formación será la persona designada para actuar provisionalmente como representante con arreglo a la Directiva (UE) 2024/1346 cuando dicha persona haya sido designada.

No se utilizará ninguna forma de fuerza contra los menores para garantizar su cumplimiento de la obligación de proporcionar datos biométricos. No obstante, cuando lo permita el Derecho nacional o de la Unión pertinente, y como último recurso, se podrá recurrir a un nivel proporcionado de coerción sobre los menores para asegurar su cumplimiento de dicha obligación. Los Estados miembros respetarán la dignidad y la integridad física del menor al aplicar dicho nivel proporcionado de coerción.

Cuando un menor, en particular un menor no acompañado o separado de su familia, se niegue a facilitar sus datos biométricos y haya motivos razonables para considerar que existen riesgos para la salvaguardia o protección del menor, de acuerdo con la evaluación de un funcionario formado específicamente para tomar los datos biométricos del menor, se remitirá al menor a las autoridades nacionales de protección de la infancia, a los mecanismos nacionales de derivación o a ambos.

2. Cuando no sea posible tomar las impresiones dactilares o tomar la imagen facial de un menor debido a las condiciones de las yemas de los dedos o del rostro, se aplicará el artículo 13, apartado 5. Cuando se vuelvan a tomar las impresiones dactilares o la imagen facial de un menor, se aplicará el apartado 1 del presente artículo.

3. Los datos de Eurodac correspondientes a un niño menor de catorce años solo se emplearán a efectos de aplicación de la ley contra dicho menor cuando existan motivos, aparte de los indicados en el artículo 33, apartado 1, letra d), para considerar que dichos datos son necesarios para la prevención, detección o investigación de los delitos de terrorismo u otros delitos graves de los que dicho menor sea sospechoso.

4. El presente Reglamento se entenderá sin perjuicio de la aplicación de las condiciones establecidas en el artículo 13 de la Directiva (UE) 2024/1346.

CAPÍTULO II. Solicitantes de protección internacional

Artículo 15. Recopilación y transmisión de los datos biométricos

1. Los Estados miembros tomarán, de conformidad con el artículo 13, apartado 2, los datos biométricos de cada solicitante de protección internacional de al menos seis años de edad:

en el momento en el que se registre la solicitud de protección internacional a que se refiere el artículo 27 del Reglamento (UE) 2024/1348 y los transmitirán cuanto antes y, a más tardar, en las 72 horas a partir de dicho registro, junto con los otros datos a que se refiere el artículo 17, apartado 1, del presente Reglamento, a Eurodac, de conformidad con el artículo 3, apartado 2; del presente Reglamento, o

en el momento en que se formule la solicitud de protección internacional, cuando la solicitud sea formulada en un paso fronterizo exterior o en una zona de tránsito por una persona que no cumpla las condiciones de entrada establecidas en el artículo 6 del Reglamento (UE) 2016/399, y los transmitirán cuanto antes y, a más tardar, 72 horas después de que se hayan tomado los datos biométricos, junto con los demás datos a que se refiere el artículo 17, apartado 1, del presente Reglamento a Eurodac, de conformidad con el artículo 3, apartado 2, del presente Reglamento.

El incumplimiento del plazo de 72 horas a que se refiere el párrafo primero, letras a) y b), del presente apartado, no eximirá a los Estados miembros de la obligación de tomar los datos biométricos y transmitirlos a Eurodac. Cuando el estado de las yemas de los dedos no permita tomar impresiones dactilares de calidad que puedan compararse adecuadamente con arreglo al artículo 38, el Estado miembro de origen volverá a tomar las impresiones dactilares del solicitante y las volverá a transmitir cuanto antes y, a más tardar, 48 horas después de que se tomen de nuevo correctamente.

2. Como excepción a lo dispuesto en el apartado 1, cuando no sea posible tomar los datos biométricos de un solicitante de protección internacional debido a las medidas adoptadas para proteger su salud o la salud pública, los Estados miembros tomarán y transmitirán dichos datos biométricos a la mayor brevedad posible, y a más tardar, 48 horas después de que dejen de darse esas razones de salud.

En caso de problemas técnicos graves, los Estados miembros podrán ampliar el plazo de 72 horas mencionado en el apartado 1, párrafo primero, letras a) y b), en un máximo de 48 horas, con el fin de llevar a cabo sus planes nacionales de continuidad.

3. Cuando así lo solicite el Estado miembro de que se trate, también podrán tomar y transmitir datos biométricos, datos alfanuméricos y, cuando se disponga de ella, una copia escaneada en color de un documento de identidad o de viaje, en nombre de ese Estado miembro, los miembros de los equipos de la Guardia Europea de Fronteras y Costas o los expertos de los equipos de apoyo al asilo formados específicamente a tal efecto, en el desempeño de sus tareas y el ejercicio de sus competencias con arreglo a los Reglamentos (UE) 2019/1896 y (UE) 2021/2303.

4. Cada conjunto de datos recopilados y transmitido de conformidad con el presente artículo se vinculará con otros conjuntos de datos correspondientes al mismo nacional de un tercer país o apátrida en una secuencia, tal como prevé el artículo 3, apartado 6.

Artículo 16. Información sobre el estatuto de la persona interesada

1. Tan pronto como se haya determinado el Estado miembro responsable con arreglo al Reglamento (UE) 2024/1351, el Estado miembro que lleve a cabo los procedimientos para determinar el Estado miembro responsable actualizará el conjunto de datos registrado con respecto a la persona interesada, de conformidad con el artículo 17 del presente Reglamento, añadiendo el Estado miembro responsable.

Cuando un Estado miembro sea el responsable porque haya motivos fundados para creer que el solicitante supone una amenaza para la seguridad interior con arreglo al artículo 16, apartado 4, del Reglamento (UE) 2024/1351, actualizará su conjunto de datos registrado de conformidad con el artículo 17 del presente Reglamento, con respecto a la persona interesada, añadiendo el Estado miembro responsable.

2. La información siguiente se enviará a Eurodac para su conservación con arreglo al artículo 29, apartado 1, a efectos de su transmisión según lo dispuesto en los artículos 27 y 28:

cuando un solicitante de protección internacional llegue al Estado miembro responsable tras un traslado efectuado en aplicación de una decisión favorable a la petición de toma a cargo a que se refiere el artículo 40 del Reglamento (UE) 2024/1351, el Estado miembro responsable enviará el conjunto de datos registrados de conformidad con el artículo 17 del presente Reglamento con respecto a la persona interesada, e incluirá la fecha de llegada de dicha persona;

cuando un solicitante de protección internacional u otra persona mencionada en el artículo 36, apartado 1, letras b) o c), del Reglamento (UE) 2024/1351 llegue al Estado miembro responsable tras un traslado efectuado en aplicación de una notificación de readmisión mencionada en el artículo 41 de dicho Reglamento, el Estado miembro responsable actualizará el conjunto de datos registrados de conformidad con el artículo 17 del presente Reglamento con respecto a la persona interesada, añadiendo la fecha de llegada de dicha persona;

tan pronto como pueda determinar que la persona interesada cuyos datos fueron registrados en Eurodac con arreglo al artículo 17 del presente Reglamento ha abandonado el territorio de los Estados miembros, el Estado miembro de origen actualizará el conjunto de datos registrados de conformidad con el artículo 17 del presente Reglamento con respecto a la persona interesada, añadiendo la fecha en que abandonó el territorio, a fin de facilitar la aplicación del artículo 37, apartado 4, del Reglamento (UE) 2024/1351;

tan pronto como se asegure de que la persona interesada cuyos datos hayan sido registrados en Eurodac con arreglo al artículo 17 del presente Reglamento ha abandonado el territorio de los Estados miembros en cumplimiento de una decisión de retorno o de una orden de expulsión dictada como consecuencia de la retirada o la denegación de la solicitud de protección internacional, con arreglo a lo dispuesto en el artículo 37, apartado 5, del Reglamento (UE) 2024/1351, el Estado miembro de origen actualizará el conjunto de datos registrados de conformidad con el artículo 17 del presente Reglamento con respecto a la persona interesada, añadiendo la fecha de expulsión o la fecha en que abandonó el territorio.

3. Cuando la responsabilidad se transfiera a otro Estado miembro, con arreglo al artículo 37, apartado 1, y al artículo 68, apartado 3, del Reglamento (UE) 2024/1351, el Estado miembro que constate que la responsabilidad ha sido transferida, o el Estado miembro de reubicación, indicará el Estado miembro responsable.

4. Cuando sean de aplicación el apartado 1 o el apartado 3 del presente artículo, o el artículo 31, apartado 6, Eurodac informará a todos los Estados miembros de origen, lo antes posible y en un plazo máximo de 72 horas después de recibir los datos de que se trate, acerca de la transmisión, por parte de otro Estado miembro de origen, de datos que hayan generado una respuesta positiva con respecto a los datos que aquellos hubieran transmitido en relación con las personas a que se refiere el artículo 15, apartado 1, el artículo 18, apartado 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, o el artículo 26, apartado 1. Dichos Estados miembros de origen actualizarán también el Estado miembro responsable en los conjuntos de datos correspondientes a las personas a que se refiere el artículo 15, apartado 1.

Artículo 17. Registro de datos

1. En Eurodac, de conformidad con el artículo 3, apartado 2, se registrarán exclusivamente los datos siguientes:

datos dactiloscópicos;

una imagen facial;

nombre o nombres y apellido o apellidos, nombre o nombres de nacimiento y nombres usados con anterioridad, así como cualquier alias que podrá registrarse separadamente;

nacionalidad o nacionalidades;

fecha de nacimiento;

lugar de nacimiento;

Estado miembro de origen, lugar y fecha de la solicitud de protección internacional; en los casos a que se refiere el artículo 16, apartado 2, letra a), la fecha de solicitud será la fecha introducida por el Estado miembro que haya trasladado al solicitante;

sexo;

cuando estén disponibles, el tipo y número de documento de identidad o de viaje, el código de tres letras del país expedidor y la fecha de caducidad de dicho documento;

cuando esté disponible, una copia escaneada en color de un documento de identidad o de viaje, junto con una indicación de su autenticidad o, cuando no esté disponible, otro documento que facilite la identificación del nacional de un tercer país o apátrida y una indicación de su autenticidad;

el número de referencia atribuido por el Estado miembro de origen;

la fecha de toma de los datos biométricos;

la fecha de transmisión de los datos a Eurodac;

identificación de usuario del operador.

2. Adicionalmente, cuando corresponda y estén disponibles se registrarán con prontitud en Eurodac de conformidad con el artículo 3, apartado 2, los datos siguientes:

el Estado miembro responsable, en los casos a que se refiere el artículo 16, apartados 1, 2 o 3;

el Estado miembro de reubicación de conformidad con el artículo 25, apartado 1;

la fecha de llegada de la persona interesada tras un traslado efectuado con éxito, en los casos a que se refiere el artículo 16, apartado 2, letra a);

la fecha de llegada de la persona interesada tras un traslado efectuado con éxito, en los casos a que se refiere el artículo 16, apartado 2, letra b);

la fecha en que la persona interesada abandonó el territorio de los Estados miembros, en los casos a que se refiere el artículo 16, apartado 2, letra c);

la fecha en que la persona interesada fue expulsada del territorio de los Estados miembros o lo abandonó, en los casos a que se refiere el artículo 16, apartado 2, letra d);

la fecha de llegada de la persona interesada tras un traslado efectuado con éxito, en los casos a que se refiere el artículo 25, apartado 2;

el hecho de haberse expedido un visado al solicitante, el Estado miembro que expidió o prorrogó el visado o en cuyo nombre fue expedido y el número de solicitud de visado;

el hecho de que la persona podría suponer una amenaza para la seguridad interior a raíz de la inspección de seguridad a que se refiere el Reglamento (UE) 2024/1356 del Parlamento Europeo y del Consejo (37) o tras un examen de conformidad con el artículo 16, apartado 4, del Reglamento (UE) 2024/1351 o con el artículo 9, apartado 5, del Reglamento (UE) 2024/1348, si se da cualquiera de las circunstancias siguientes:

la persona en cuestión está armada,

ii)

la persona en cuestión es violenta,

iii)

existen indicios de que la persona en cuestión está implicada en cualquiera de los delitos mencionados en la Directiva (UE) 2017/541,

iv)

existen indicios de que la persona interesada está implicada en cualquiera de los delitos mencionados en el artículo 2, apartado 2, de la Decisión Marco 2002/584/JAI;

el hecho de que la solicitud de protección internacional ha sido denegada, cuando el solicitante no tenga derecho a permanecer y no se le haya permitido permanecer en un Estado miembro de conformidad con el Reglamento (UE) 2024/1348;

el hecho de que, tras un examen de una solicitud en un procedimiento fronterizo con arreglo al Reglamento (UE) 2024/1348, haya adquirido carácter definitivo una resolución por la que se deniegue una solicitud de protección internacional por considerarse inadmisible, infundada o manifiestamente infundada, o una resolución por la que una solicitud se declare implícita o explícitamente retirada;

el hecho de que se ha proporcionado retorno voluntario asistido y reintegración.

3. Cuando se registren en Eurodac todos los datos mencionados en el apartado 1, letras a) a f) y h), del presente artículo en relación con las personas indicadas en el artículo 15, se considerarán un conjunto de datos transmitido a Eurodac a efectos del artículo 27, apartado 1, letra a bis), del Reglamento (UE) 2019/818.

4. El Estado miembro de origen que haya llegado a la conclusión de que ya no se da la amenaza para la seguridad interior detectada tras el triaje a que se refiere el Reglamento (UE) 2024/1356 o tras un examen de conformidad con el artículo 16, apartado 4, del Reglamento (UE) 2024/1351 o el artículo 9, apartado 5, del Reglamento (UE) 2024/1348 suprimirá el registro de la alerta de seguridad del conjunto de datos, previa consulta a cualquier otro Estado miembro que haya registrado un conjunto de datos de la misma persona. Eurodac informará a los Estados miembros de origen, lo antes posible y en un plazo máximo de 72 horas después de la supresión de que se trate, acerca de la supresión, por parte de otro Estado miembro de origen, de la alerta de seguridad que haya generado una respuesta positiva con respecto a los datos que aquellos hubieran transmitido en relación con las personas a que se refiere el artículo 15, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, o el artículo 24, apartado 1, del presente Reglamento. Dichos Estados miembros de origen suprimirán también la alerta de seguridad de su conjunto de datos correspondiente.

CAPÍTULO III. Personas registradas con objeto de tramitar un procedimiento de admisión y personas admitidas en virtud de un programa de reasentamiento nacional

SECCIÓN 1. Personas registradas con objeto de tramitar un procedimiento de admisión en virtud del Marco de Reasentamiento y Admisión Humanitaria de la Unión

Artículo 18. Recopilación y transmisión de los datos biométricos

1. Cada Estado miembro tomará y transmitirá a Eurodac los datos biométricos de toda persona que tenga, como mínimo, seis años de edad y que esté registrada con objeto de tramitar un procedimiento de admisión en virtud del Marco de Reasentamiento y Admisión Humanitaria de la Unión lo antes posible tras el registro a que se refiere el artículo 9, apartado 3, del Reglamento (UE) 2024/1356 y, a más tardar, antes de llegar a la conclusión sobre la admisión a que se refiere el artículo 9, apartado 9, de dicho Reglamento. Esta obligación no se aplicará si un Estado miembro puede llegar a esa conclusión sin una comparación de los datos biométricos, cuando dicha conclusión sea negativa.

2. Cada Estado miembro tomará los datos biométricos de toda persona que tenga, como mínimo, seis años de edad, que esté registrada con objeto de tramitar un procedimiento de admisión en virtud del Marco de Reasentamiento y Admisión Humanitaria de la Unión y:

a la que ese Estado miembro conceda protección internacional o estatuto humanitario con arreglo al Derecho nacional de conformidad con el Reglamento (UE) 2024/1350;

a la que ese Estado miembro rechace admitir por los motivos indicados en el artículo 6, apartado 1, letra f), de dicho Reglamento, o

cuyo procedimiento de admisión haya sido interrumpido por ese Estado, debido a que la persona no haya dado su consentimiento o lo haya retirado de conformidad con el artículo 7 de dicho Reglamento;

Los Estados miembros transmitirán a Eurodac los datos biométricos de las personas a que se refiere el párrafo primero junto con los demás datos a que se refiere el artículo 19, apartado 1, letras c) a q), del presente Reglamento lo antes posible y en un plazo máximo de 72 horas después de la decisión de conceder protección internacional o estatuto humanitario con arreglo al Derecho nacional, de denegar la admisión o de suspender el procedimiento de admisión.

3. El incumplimiento de los plazos establecidos en los apartados 1 y 2 del presente artículo no eximirá a los Estados miembros de la obligación de tomar y transmitir los datos biométricos a Eurodac. Cuando el estado de las yemas de los dedos no permita tomar impresiones dactilares de calidad que puedan compararse adecuadamente con arreglo al artículo 38, el Estado miembro de origen volverá a tomar las impresiones dactilares y las volverá a transmitir cuanto antes después de que se tomen de nuevo correctamente.

Cuando no sea posible tomar los datos biométricos debido a las medidas adoptadas para proteger la salud de la persona o la salud pública, los Estados miembros tomarán y transmitirán dichos datos biométricos a la mayor brevedad posible después de que dejen de darse esas razones de salud.

4. Cuando así lo solicite el Estado miembro de que se trate, otro Estado miembro, la Agencia de Asilo de la Unión Europea o una organización internacional pertinente podrán tomar datos biométricos y transmitirlos al Estado miembro solicitante, a efectos del Reglamento (UE) 2024/1350.

5. La Agencia de Asilo de la Unión Europea y las organizaciones internacionales a que se refiere el apartado 4 no tendrán acceso a Eurodac a los efectos del presente artículo.

Artículo 19. Registro de datos

1. En Eurodac, de conformidad con el artículo 3, apartado 2, del presente Reglamento, se registrarán exclusivamente los datos siguientes:

datos dactiloscópicos;

una imagen facial;

nombre o nombres y apellido o apellidos, nombre o nombres de nacimiento y nombres usados con anterioridad, así como cualquier alias, que podrán registrarse separadamente;

nacionalidad o nacionalidades;

fecha de nacimiento;

lugar de nacimiento;

Estado miembro de origen, lugar y fecha del registro con arreglo al artículo 9, apartado 3, del Reglamento (UE) 2024/1350;

sexo;

cuando estén disponibles, el tipo y número de documento de identidad o de viaje, el código de tres letras del país expedidor y la fecha de caducidad de dicho documento;

cuando esté disponible, una copia en color escaneada de un documento de identidad o de viaje junto con una indicación de su autenticidad y, cuando no esté disponible, otro documento que sirva para la identificación del nacional de tercer país o apátrida junto con una indicación de su autenticidad;

el número de referencia atribuido por el Estado miembro de origen;

la fecha de toma de los datos biométricos;

la fecha de transmisión de los datos a Eurodac;

identificación de usuario del operador;

cuando proceda, la fecha de la decisión de conceder protección internacional o estatuto humanitario con arreglo al Derecho nacional de conformidad con el artículo 9, apartado 14, del Reglamento (UE) 2024/1350;

cuando proceda, la fecha de la denegación de la admisión de conformidad con el Reglamento (UE) 2024/1350 y los motivos por los que se denegó la admisión;

cuando proceda, la fecha de la suspensión del procedimiento de admisión a que se refiere el Reglamento (UE) 2024/1350.

2. Cuando se registren en Eurodac todos los datos mencionados en el apartado 1, letras a) a f) y h), del presente artículo en relación con las personas a que se refiere el artículo 18, apartado 2, se considerarán como un conjunto de datos transmitido a Eurodac a los efectos del artículo 27, apartado 1, letra a bis), del Reglamento (UE) 2019/818.

SECCIÓN 2. Personas admitidas en virtud de un programa de reasentamiento nacional

Artículo 20. Recopilación y transmisión de los datos biométricos

1. Cada Estado miembro tomará los datos biométricos de toda persona que tenga, como mínimo, seis años de edad, y que haya sido admitida en virtud de un programa de reasentamiento nacional, y los transmitirá, junto con los demás datos a que se refiere el artículo 21, apartado 1, letras c) a o), tan pronto como conceda a dicha persona protección internacional o estatuto humanitario con arreglo al Derecho nacional y, a más tardar, en las 72 horas siguientes.

2. El incumplimiento del plazo establecido en el apartado 1 no eximirá a los Estados miembros de la obligación de tomar y transmitir los datos biométricos a Eurodac. Cuando el estado de las yemas de los dedos no permita tomar impresiones dactilares de calidad que puedan compararse adecuadamente con arreglo al artículo 38, el Estado miembro de origen volverá a tomar las impresiones dactilares y las volverá a transmitir cuanto antes después de que se tomen de nuevo correctamente.

3. Como excepción a lo dispuesto en el apartado 2, cuando no sea posible tomar los datos biométricos de una persona admitida en virtud de un programa de reasentamiento nacional debido a las medidas adoptadas para proteger su salud o la salud pública, los Estados miembros tomarán y transmitirán dichos datos biométricos a la mayor brevedad posible, y a más tardar, 48 horas después de que dejen de darse esas razones de salud.

Artículo 21. Registro de datos

1. En Eurodac, de conformidad con el artículo 3, apartado 2, se registrarán exclusivamente los datos siguientes:

datos dactiloscópicos;

una imagen facial;

nombre o nombres y apellido o apellidos, nombre o nombres de nacimiento y nombres usados con anterioridad, así como cualquier alias, que podrán registrarse separadamente;

nacionalidad o nacionalidades;

fecha de nacimiento;

lugar de nacimiento;

Estado miembro de origen, lugar y fecha del registro;

sexo;

cuando estén disponibles, el tipo y número de documento de identidad o de viaje, el código de tres letras del país expedidor y la fecha de caducidad de dicho documento;

el número de referencia atribuido por el Estado miembro de origen;

la fecha de toma de los datos biométricos;

la fecha de transmisión de los datos a Eurodac;

identificación de usuario del operador;

la fecha en la que se haya concedido protección internacional o estatuto humanitario con arreglo al Derecho nacional.

2. Cuando se registren en Eurodac todos los datos mencionados en el apartado 1, letras a) a f) y h), del presente artículo en relación con las personas mencionadas en el artículo 20, apartado 1, del presente Reglamento se considerarán como un conjunto de datos transmitido a Eurodac a los efectos del artículo 27, apartado 1, letra a bis), del Reglamento (UE) 2019/818.

CAPÍTULO IV. Nacionales de terceros países o apátridas aprehendidos con ocasión del cruce irregular de una frontera exterior

Artículo 22. Recopilación y transmisión de los datos biométricos

1. Cada Estado miembro tomará sin demora, con arreglo al artículo 13, apartado 2, los datos biométricos de todos los nacionales de terceros países o apátridas que tengan, como mínimo, seis años de edad y que hayan sido aprehendidos por las autoridades competentes de control con ocasión del cruce irregular de fronteras terrestres, marítimas o aéreas de dicho Estado miembro desde un tercer país, a los que no se devuelva al lugar de procedencia o que permanezcan físicamente en el territorio de los Estados miembros sin estar bajo custodia, reclusión o internamiento durante todo el período comprendido entre la aprehensión y la expulsión con arreglo a la decisión de devolución.

2. El Estado miembro de que se trate transmitirá lo antes posible, y a más tardar, antes de que transcurran 72 horas desde la fecha de aprehensión, a Eurodac, de conformidad con el artículo 3, apartado 2, los siguientes datos relativos a los nacionales de terceros países o apátridas mencionados en el apartado 1 que no hayan sido devueltos al lugar de procedencia:

datos dactiloscópicos;

una imagen facial;

nombre o nombres y apellido o apellidos, nombre o nombres de nacimiento y nombres usados con anterioridad, así como cualquier alias, que podrán registrarse separadamente;

nacionalidad o nacionalidades;

fecha de nacimiento;

lugar de nacimiento;

Estado miembro de origen, lugar y fecha de la aprehensión;

sexo;

cuando estén disponibles, el tipo y número de documento de identidad o de viaje, el código de tres letras del país expedidor y la fecha de caducidad de dicho documento;

el número de referencia atribuido por el Estado miembro de origen;

la fecha de toma de los datos biométricos;

la fecha de transmisión de los datos a Eurodac;

identificación de usuario del operador.

3. Adicionalmente, cuando corresponda y estén disponibles, se transmitirán con prontitud a Eurodac, según proceda de conformidad con el artículo 3, apartado 2, los datos siguientes:

la fecha en que la persona interesada abandonó el territorio de los Estados miembros afectados o fue expulsada de este, de conformidad con el apartado 7 del presente artículo;

el Estado miembro de reubicación con arreglo al artículo 25, apartado 1;

el hecho de que se ha proporcionado retorno voluntario asistido y reintegración;

el hecho de que la persona podría ser una amenaza para la seguridad interior, tras el triaje a que se refiere el Reglamento (UE) 2024/1356, si se da cualquiera de las siguientes circunstancias:

la persona en cuestión está armada,

ii)

la persona en cuestión es violenta,

iii)

existen indicios de que la persona en cuestión está implicada en cualquiera de los delitos mencionados en la Directiva (UE) 2017/541,

iv)

existen indicios de que la persona en cuestión está implicada en cualquiera de los delitos a que se refiere el artículo 2, apartado 2, de la Decisión Marco 2002/584/JAI.

4. Como excepción a lo dispuesto en el apartado 2, los datos mencionados en dicho apartado relativos a personas aprehendidas tal como se menciona en el apartado 1 que permanezcan físicamente en el territorio de los Estados miembros pero en régimen de custodia, confinamiento o internamiento desde el momento de su aprehensión y durante un período superior a 72 horas, serán transmitidos antes de la terminación de la custodia, confinamiento o internamiento.

5. El incumplimiento del plazo de 72 horas mencionado en el apartado 2 del presente artículo no eximirá a los Estados miembros de la obligación de tomar y transmitir los datos biométricos a Eurodac. Cuando el estado de las yemas de los dedos no permita la toma de impresiones dactilares de una calidad que garantice una comparación adecuada con arreglo al artículo 38, el Estado miembro de origen volverá a tomar las impresiones dactilares de las personas aprehendidas según se describe en el apartado 1 del presente artículo, y volverá a transmitirlas lo antes posible, y a más tardar, 48 horas después de que se tomen de nuevo correctamente.

6. Como excepción a lo dispuesto en el apartado 1, cuando no sea posible tomar los datos biométricos de la persona aprehendida debido a las medidas adoptadas para proteger su salud o la salud pública, el Estado miembro correspondiente tomará y transmitirá dichos datos biométricos a la mayor brevedad posible, y a más tardar, 48 horas después de que dejen de darse esas razones de salud.

En caso de problemas técnicos graves, los Estados miembros podrán ampliar el plazo de 72 horas mencionado en el apartado 2 en un máximo de 48 horas, con el fin de llevar a cabo sus planes nacionales de continuidad.

7. Tan pronto como el Estado miembro de origen garantice que la persona interesada cuyos datos fueron registrados en Eurodac con arreglo al apartado 1 ha abandonado el territorio de los Estados miembros en cumplimiento de una decisión de retorno o de una orden de expulsión, actualizará su conjunto de datos registrados con respecto a la persona interesada, añadiendo la fecha de expulsión o la fecha en que abandonó el territorio.

8. Cuando así lo solicite el Estado miembro de que se trate, también podrán tomar y transmitir datos biométricos, datos alfanuméricos y, cuando se disponga de ella, una copia escaneada en color de un documento de identidad o de viaje, en nombre de ese Estado miembro, los miembros de los equipos de la Guardia Europea de Fronteras y Costas o los expertos de los equipos de apoyo al asilo formados específicamente a tal efecto, en el desempeño de sus tareas y el ejercicio de sus competencias con arreglo al Reglamento (UE) 2019/1896 y el Reglamento (UE) 2021/2303.

9. Cada conjunto de datos recopilado y transmitido de conformidad con el presente artículo se vinculará con otros conjuntos de datos correspondientes al mismo nacional de un tercer país o apátrida en una secuencia, tal como prevé el artículo 3, apartado 6.

10. Cuando todos los datos mencionados en el apartado 2, letras a) a f) y h), del presente artículo sobre las personas a que se refiere el apartado 1 del presente artículo estén registrados en Eurodac, se considerará que son un conjunto de datos transmitido a Eurodac, a efectos del artículo 27, apartado 1, letra a bis), del Reglamento (UE) 2019/818.

CAPÍTULO V. Nacionales de terceros países o apátridas que se encuentren en situación irregular en un Estado miembro

Artículo 23. Recopilado y transmisión de los datos biométricos

1. Cada Estado miembro tomará sin demora, de conformidad con el artículo 13, apartado 2, los datos biométricos de todos los nacionales de terceros países o apátridas que tengan, como mínimo, seis años de edad y que se encuentren en situación irregular en su territorio.

2. El Estado miembro de que se trate transmitirá a Eurodac, de conformidad con el artículo 3, apartado 2, lo antes posible y, a más tardar, 72 horas después de que se detecte que un nacional de un tercer país o un apátrida se encuentra en situación irregular en su territorio, los siguientes datos relativos a los nacionales de terceros países o apátridas a que se refiere el apartado 1:

datos dactiloscópicos;

una imagen facial;

nombre o nombres y apellido o apellidos, nombre o nombres de nacimiento y nombres usados con anterioridad, así como cualquier alias, que podrán registrarse separadamente;

nacionalidad o nacionalidades;

fecha de nacimiento;

lugar de nacimiento;

Estado miembro de origen, lugar y fecha de la aprehensión;

sexo;

cuando estén disponibles, el tipo y número de documento de identidad o de viaje, el código de tres letras del país expedidor y la fecha de caducidad de dicho documento;

el número de referencia atribuido por el Estado miembro de origen;

la fecha de toma de los datos biométricos;

la fecha de transmisión de los datos a Eurodac;

identificación de usuario del operador.

3. Adicionalmente, cuando corresponda y estén disponibles, se transmitirán con prontitud a Eurodac, de conformidad con el artículo 3, apartado 2, los datos siguientes:

la fecha en que la persona interesada abandonó el territorio de los Estados miembros o fue expulsada de este, de conformidad con el apartado 6;

el Estado miembro de reubicación de conformidad con el artículo 25, apartado 1;

la fecha de llegada de la persona interesada tras un traslado efectuado con éxito, cuando proceda en los casos a que se refiere el artículo 25, apartado 2;

el hecho de que se ha proporcionado retorno voluntario asistido y reintegración;

el hecho de que la persona podría ser una amenaza para la seguridad interior, tras el triaje a que se refiere el Reglamento (UE) 2024/1356 o tras una inspección de seguridad realizado en el momento de tomar los datos biométricos con arreglo a lo dispuesto en el apartado 1 del presente artículo, si se da alguna de las circunstancias siguientes:

la persona en cuestión está armada,

ii)

la persona en cuestión es violenta,

iii)

existen indicios de que la persona en cuestión está implicada en cualquiera de los delitos mencionados en la Directiva (UE) 2017/541,

iv)

existen indicios de que la persona en cuestión está implicada en cualquiera de los delitos a que se refiere el artículo 2, apartado 2, de la Decisión Marco 2002/584/JAI.

4. El incumplimiento del plazo de 72 horas mencionado en el apartado 2 del presente artículo no eximirá a los Estados miembros de la obligación de tomar y transmitir los datos biométricos a Eurodac. Cuando el estado de las yemas de los dedos no permita la toma de impresiones dactilares de una calidad que garantice una comparación adecuada con arreglo al artículo 38, el Estado miembro de origen volverá a tomar las impresiones dactilares de las personas aprehendidas según se describe en el apartado 1 del presente artículo, y volverá a transmitirlas lo antes posible, y a más tardar, 48 horas después de que se tomen de nuevo correctamente.

5. Como excepción a lo dispuesto en el apartado 1, cuando no sea posible tomar los datos biométricos de la persona aprehendida debido a las medidas adoptadas para proteger su salud o la salud pública, el Estado miembro correspondiente tomará y transmitirá dichos datos biométricos a la mayor brevedad posible, y a más tardar, 48 horas después de que dejen de darse esas razones de salud.

6. Tan pronto como el Estado miembro de origen garantice que la persona interesada cuyos datos fueron registrados en Eurodac con arreglo al apartado 1 ha abandonado el territorio de los Estados miembros en cumplimiento de una decisión de retorno o de una orden de expulsión, actualizará su conjunto de datos registrados con respecto a la persona interesada, añadiendo la fecha de expulsión o la fecha en que abandonó el territorio.

7. Cada conjunto de datos recopilado y transmitido de conformidad con el presente artículo se vinculará con otros conjuntos de datos correspondientes al mismo nacional de un tercer país o apátrida en una secuencia, tal como prevé el artículo 3, apartado 6.

8. Cuando todos los datos mencionados en el apartado 2, letras a) a f) y h), del presente artículo sobre las personas a que se refiere el apartado 1 del presente artículo estén registrados en Eurodac, se considerará que son un conjunto de datos transmitido a Eurodac, a efectos del artículo 27, apartado 1, letra a bis), del Reglamento (UE) 2019/818.

CAPÍTULO VI. Nacionales de terceros países o apátridas desembarcados tras una operación de búsqueda y salvamento

Artículo 24. Recopilado y transmisión de los datos biométricos

1. Cada Estado miembro tomará sin demora los datos biométricos de todos los nacionales de terceros países o apátridas que tengan, como mínimo, seis años de edad y que hayan sido desembarcados tras una operación de búsqueda y salvamento según se define en el Reglamento (UE) 2024/1351.

2. El Estado miembro de que se trate transmitirá a Eurodac, de conformidad con el artículo 3, apartado 2, lo antes posible y, a más tardar, en las 72 horas siguientes a la fecha de desembarque, los datos siguientes relativos a los nacionales de terceros países o apátridas a que se refiere el apartado 1:

datos dactiloscópicos;

una imagen facial;

nombre o nombres y apellido o apellidos, nombre o nombres de nacimiento y nombres usados con anterioridad, así como cualquier alias, que podrán registrarse separadamente;

nacionalidad o nacionalidades;

fecha de nacimiento;

lugar de nacimiento;

Estado miembro de origen, lugar y fecha del desembarque;

sexo;

el número de referencia atribuido por el Estado miembro de origen;

la fecha de toma de los datos biométricos;

la fecha de transmisión de los datos a Eurodac;

identificación de usuario del operador.

3. Adicionalmente, cuando corresponda y estén disponibles, de conformidad con el artículo 3, apartado 2, se transmitirán a Eurodac los datos siguientes en cuanto estén disponibles:

el tipo y número de documento de identidad o de viaje, el código de tres letras del país expedidor y la fecha de caducidad de dicho documento;

una copia escaneada en color de un documento de identidad o de viaje, junto con una indicación de su autenticidad o, cuando no esté disponible, otro documento que facilite la identificación del nacional de un tercer país o apátrida y una indicación de su autenticidad;

la fecha en que la persona interesada abandonó el territorio de los Estados miembros o fue expulsada de este, de conformidad con el apartado 8 del presente artículo;

el Estado miembro de reubicación de conformidad con el artículo 25, apartado 1;

el hecho de que se ha proporcionado retorno voluntario asistido y reintegración;

el hecho de que la persona podría ser una amenaza para la seguridad interior tras el triaje a que se refiere el Reglamento (UE) 2024/1356, si se da alguna de las circunstancias siguientes:

la persona en cuestión está armada,

ii)

la persona en cuestión es violenta,

iii)

existen indicios de que la persona en cuestión está implicada en cualquiera de los delitos mencionados en la Directiva (UE) 2017/541,

iv)

existen indicios de que la persona en cuestión está implicada en cualquiera de los delitos mencionados en el artículo 2, apartado 2, de la Decisión Marco 2002/584/JAI.

4. El incumplimiento del plazo mencionado en el apartado 2 del presente artículo no eximirá a los Estados miembros de la obligación de tomar y transmitir los datos biométricos a Eurodac. Cuando el estado de las yemas de los dedos no permita tomar impresiones dactilares de calidad que puedan compararse adecuadamente con arreglo al artículo 38, el Estado miembro de origen volverá a tomar las impresiones dactilares de las personas desembarcadas como se describe en el apartado 1 de este artículo y las volverá a transmitir cuanto antes y, a más tardar, 48 horas después de que se tomen de nuevo correctamente.

5. Como excepción a lo dispuesto en el apartado 1, cuando no sea posible tomar los datos biométricos de una persona desembarcada debido a las medidas adoptadas para proteger su salud o la salud pública, el Estado miembro correspondiente tomará y transmitirá dichos datos biométricos a la mayor brevedad posible, y a más tardar, 48 horas después de que dejen de darse esas razones de salud.

6. En caso de afluencia repentina, los Estados miembros podrán ampliar el plazo de 72 horas mencionado en el apartado 2 en un máximo de 48 horas. Dicha excepción entrará en vigor en la fecha en que se notifique a la Comisión y a los demás Estados miembros, y se mantendrá durante el período declarado en la notificación. La duración indicada en la notificación no excederá de un mes.

10. Sin perjuicio de la aplicación del Reglamento (UE) 2024/1351, el hecho de que los datos de una persona se transmitan a Eurodac de conformidad con el presente artículo no dará lugar a ninguna discriminación o diferencia de trato frente a una persona a la que se aplique el artículo 22, apartado 1, del presente Reglamento.

11. Cuando todos los datos mencionados en el apartado 2, letras a) a f) y h), del presente artículo sobre las personas a que se refiere el apartado 1 del presente artículo estén registrados en Eurodac, se considerará que son un conjunto de datos transmitido a Eurodac, a efectos del artículo 27, apartado 1, letra a bis), del Reglamento (UE) 2019/818.

CAPÍTULO VII. Información sobre reubicación

Artículo 25. Información sobre el estatuto de la persona interesada

1. En cuanto el Estado miembro de reubicación esté obligado a reubicar a la persona interesada en virtud del artículo 67, apartado 9, del Reglamento (UE) 2024/1351, el Estado miembro beneficiario actualizará el conjunto de datos registrados con respecto a la persona interesada de conformidad con los artículos 17, 22, 23 o 24 del presente Reglamento, añadiendo el Estado miembro de reubicación.

2. Cuando una persona llegue al Estado miembro de reubicación tras la confirmación por dicho Estado miembro de la reubicación de la persona interesada de conformidad con el artículo 67, apartado 9, del Reglamento (UE) 2024/1351, tal Estado miembro enviará el conjunto de datos registrados de conformidad con los artículos 17 o 23 del presente Reglamento con respecto a la persona interesada, e incluirá la fecha de llegada de dicha persona. El conjunto de datos se conservará con arreglo al artículo 29, apartado 1, a efectos de su transmisión según lo dispuesto en los artículos 27 y 28.

CAPÍTULO VIII. Beneficiarios de protección temporal

Artículo 26. Recopilación y transmisión de los datos biométricos

1. Cada Estado miembro tomará sin demora los datos biométricos de todos los nacionales de terceros países o apátridas que tengan, como mínimo, seis años de edad y que hayan sido registrados como beneficiarios de protección temporal en el territorio de dicho Estado miembro con arreglo a la Directiva 2001/55/CE.

2. El Estado miembro de que se trate transmitirá a Eurodac, de conformidad con el artículo 3, apartado 2, lo antes posible y en un plazo máximo de diez días desde la fecha de registro como beneficiarios de protección temporal, los datos siguientes relativos a los nacionales de terceros países o apátridas a que se refiere el apartado 1:

datos dactiloscópicos;

una imagen facial;

nombre o nombres y apellido o apellidos, nombre o nombres de nacimiento y nombres usados con anterioridad, así como cualquier alias, que podrán registrarse separadamente;

nacionalidad o nacionalidades;

fecha de nacimiento;

lugar de nacimiento;

Estado miembro de origen, lugar y fecha de la solicitud de protección internacional;

sexo;

cuando estén disponibles, el tipo y número de documento de identidad o de viaje, el código de tres letras del país expedidor y la fecha de caducidad de dicho documento;

cuando esté disponible, una copia escaneada en color de un documento de identidad o de viaje junto con una indicación de su autenticidad o, cuando no esté disponible, otro documento;

el número de referencia atribuido por el Estado miembro de origen;

la fecha de toma de los datos biométricos;

la fecha de transmisión de los datos a Eurodac;

identificación de usuario del operador;

cuando proceda, el hecho de que la persona previamente registrada como beneficiaria de protección temporal esté incluida en uno de los motivos de exclusión establecidos en el artículo 28 de la Directiva 2001/55/CE;

la referencia de la decisión de ejecución del Consejo pertinente.

3. El incumplimiento del plazo de diez días mencionado en el apartado 2 del presente artículo no eximirá a los Estados miembros de la obligación de tomar los datos biométricos y transmitirlos a Eurodac. Cuando el estado de las yemas de los dedos no permita tomar impresiones dactilares de calidad que puedan compararse adecuadamente con arreglo al artículo 38, el Estado miembro de origen volverá a tomar las impresiones dactilares de las personas beneficiarias de protección temporal como se describe en el apartado 1 del presente artículo y las volverá a transmitir cuanto antes y, a más tardar, 48 horas después de que se tomen de nuevo correctamente.

4. Como excepción a lo dispuesto en el apartado 1, cuando no sea posible tomar los datos biométricos de la persona beneficiaria de protección temporal debido a las medidas adoptadas para proteger su salud o la salud pública, el Estado miembro correspondiente tomará y transmitirá dichos datos biométricos a la mayor brevedad posible, y a más tardar, 48 horas después de que dejen de darse esas razones de salud.

En caso de problemas técnicos graves, los Estados miembros podrán ampliar el plazo de diez días mencionado en el apartado 2 en un máximo de 48 horas, con el fin de llevar a cabo sus planes nacionales de continuidad.

5. Cuando así lo solicite el Estado miembro de que se trate, también podrán tomar y transmitir datos biométricos en nombre de ese Estado miembro los miembros de los equipos de la Guardia Europea de Fronteras y Costas o los expertos de los equipos de apoyo al asilo formados específicamente a tal efecto en el desempeño de sus tareas y el ejercicio de sus competencias con arreglo a los Reglamentos (UE) 2019/1896 y (UE) 2021/2303.

6. Cada conjunto de datos recopilado y transmitido de conformidad con el presente artículo se vinculará con otros conjuntos de datos correspondientes al mismo nacional de un tercer país o apátrida en una secuencia, tal como prevé el artículo 3, apartado 6.

7. Cuando todos los datos mencionados en el apartado 2, letras a) a f) y h), del presente artículo sobre las personas a que se refiere el apartado 1 del presente artículo estén registrados en Eurodac, se considerará que son un conjunto de datos transmitido a Eurodac, a efectos del artículo 27, apartado 1, letra a bis), del Reglamento (UE) 2019/818.

CAPÍTULO IX. Procedimiento para la comparación de los datos de los solicitantes de protección internacional, los nacionales de terceros países y apátridas aprehendidos al cruzar la frontera irregularmente o en situación irregular en el territorio de un Estado miembro, los nacionales de terceros países y apátridas registrados con objeto de tramitar un procedimiento de admisión y admitidos en virtud de un programa de reasentamiento nacional, los nacionales de terceros países y apátridas que hayan desembarcado tras una operación de búsqueda y salvamento y los beneficiarios de protección temporal

Artículo 27. Comparación de los datos biométricos

1. Los datos biométricos transmitidos por cualquier Estado miembro, con excepción de los transmitidos de conformidad con el artículo 16, apartado 2, letras a) y c), y los artículos 18 y 20, se compararán automáticamente con los datos biométricos transmitidos por otros Estados miembros y ya conservados en Eurodac de conformidad con el artículo 15, el artículo 18, apartado 2, y los artículos 20, 22, 23, 24 y 26.

2. Los datos biométricos transmitidos por cualquier Estado miembro de conformidad con el artículo 18, apartado 1, se compararán automáticamente con los datos biométricos transmitidos por otros Estados miembros y ya conservados en Eurodac de conformidad con el artículo 15 y marcados de conformidad con el artículo 31, y con el artículo 18, apartado 2, y el artículo 20.

3. Cualquier Estado miembro podrá requerir a Eurodac que la comparación a que se refiere el apartado 1 se extienda a los datos biométricos anteriormente transmitidos por él, además de a los datos biométricos procedentes de otros Estados miembros.

4. Eurodac transmitirá automáticamente al Estado miembro de origen la respuesta positiva o el resultado negativo de la comparación siguiendo los procedimientos establecidos en el artículo 38, apartado 4. En caso de respuesta positiva, Eurodac transmitirá, para todos los conjuntos de datos que correspondan a la respuesta positiva, los datos mencionados en el artículo 17, apartados 1 y 2, el artículo 19, apartado 1, el artículo 21, apartado 1, el artículo 22, apartados 2 y 3, el artículo 23, apartados 2 y 3, el artículo 24, apartados 2 y 3, y el artículo 26, apartado 2, junto con, cuando proceda, el marcado a que se refiere el artículo 31, apartados 1 y 4. En caso de que se reciba un resultado negativo, no se transmitirán los datos mencionados en el artículo 17, apartados 1 y 2, el artículo 19, apartado 1, el artículo 21, apartado 1, el artículo 22, apartados 2 y 3, el artículo 23, apartados 2 y 3, el artículo 24, apartados 2 y 3, y el artículo 26, apartado 2.

5. Cuando un Estado miembro reciba de Eurodac una respuesta positiva que pueda ayudar a ese Estado miembro a cumplir sus obligaciones en virtud del artículo 1, apartado 1, letra a), dicha respuesta positiva prevalecerá sobre cualquier otra respuesta positiva recibida.

Artículo 28. Comparación de los datos de imagen facial

1. Cuando el estado de las yemas de los dedos no permita tomar impresiones dactilares de una calidad que garantice una comparación adecuada con arreglo al artículo 38 o cuando no se disponga de impresiones dactilares para la comparación, el Estado miembro efectuará una comparación de los datos de imagen facial.

2. Los datos de imagen facial y los datos relacionados con el sexo del interesado podrán compararse automáticamente con los datos de imagen facial y los datos relacionados con el sexo del interesado transmitidos por otros Estados miembros y ya conservados en Eurodac de conformidad con el artículo 15, el artículo 18, apartado 2, los artículos 20, 22, 23, 24 y 26, con excepción de los transmitidos de conformidad con el artículo 16, apartado 2, letras a) y c), y los artículos 18 y 20.

Eurodac garantizará, a petición de un Estado miembro, que la comparación mencionada en el apartado 1 cubre los datos de imagen facial transmitida previamente por ese Estado miembro, además de los datos de imagen facial procedentes de otros Estados miembros.

3. Los datos de imagen facial y los datos relacionados con el sexo del interesado, transmitidos por cualquier Estado miembro de conformidad con el artículo 18, apartado 1, podrán compararse automáticamente con los datos de imagen facial y los datos relacionados con el sexo de la persona interesada transmitidos por otros Estados miembros y ya conservados en Eurodac de conformidad con el artículo 15 y marcados de conformidad con el artículo 31, y con el artículo 18, apartado 2, y el artículo 20.

4. Eurodac transmitirá automáticamente al Estado miembro de origen la respuesta positiva o el resultado negativo de la comparación siguiendo los procedimientos establecidos en el artículo 38, apartado 5. En caso de respuesta positiva, Eurodac transmitirá, para todos los conjuntos de datos que correspondan a la respuesta positiva, los datos mencionados en el artículo 17, apartados 1 y 2, el artículo 19, apartado 1, el artículo 21, apartado 1, el artículo 22, apartados 2 y 3, el artículo 23, apartados 2 y 3, el artículo 24, apartados 2 y 3, y el artículo 26, apartado 2, junto con, cuando proceda, el marcado a que se refiere el artículo 31, apartados 1 y 4. En caso de que se reciba un resultado negativo, no se transmitirán los datos mencionados en el artículo 17, apartados 1 y 2, el artículo 19, apartado 1, el artículo 21, apartado 1, el artículo 22, apartados 2 y 3, el artículo 23, apartados 2 y 3, el artículo 24, apartados 2 y 3, y el artículo 26, apartado 2.

CAPÍTULO X. Conservación, supresión anticipada y marcado de datos

Artículo 29. Conservación de datos

1. Para los fines establecidos en el artículo 15, apartado 1, cada conjunto de datos con respecto a un solicitante de protección internacional registrado de conformidad con el artículo 17 se conservará en Eurodac durante diez años a partir de la fecha en que se hayan transmitido los datos biométricos.

2. Los datos biométricos a que se refiere el artículo 18, apartado 1, no se registrarán en Eurodac.

3. Para los fines establecidos en el artículo 18, apartado 2, cada conjunto de datos registrado de conformidad con el artículo 19 con respecto a un nacional de un tercer país o a un apátrida como se contempla en el artículo 18, apartado 2, letra a), se conservará en Eurodac durante cinco años a partir de la fecha en que se hayan transmitido los datos biométricos.

4. Para los fines establecidos en el artículo 18, apartado 2, cada conjunto de datos registrado de conformidad con el artículo 19 con respecto a un nacional de un tercer país o a un apátrida como se contempla en el artículo 18, apartado 2, letras b) o c), se conservará en Eurodac durante tres años a partir de la fecha en que se hayan transmitido los datos biométricos.

5. Para los fines establecidos en el artículo 20, cada conjunto de datos relativo a un nacional de un tercer país o a un apátrida y registrado de conformidad con el artículo 21 se conservará en Eurodac durante cinco años a partir de la fecha en que se hayan transmitido los datos biométricos.

6. Para los fines establecidos en el artículo 22, apartado 1, cada conjunto de datos relativo a un nacional de un tercer país o a un apátrida y registrado de conformidad con el artículo 22 se conservará en Eurodac durante cinco años a partir de la fecha en que se hayan transmitido los datos biométricos.

7. Para los fines establecidos en el artículo 23, apartado 1, cada conjunto de datos relativo a un nacional de un tercer país o a un apátrida y registrado de conformidad con el artículo 23 se conservará en Eurodac durante cinco años a partir de la fecha en que se hayan transmitido los datos biométricos.

8. Para los fines establecidos en el artículo 24, apartado 1, cada conjunto de datos relativo a un nacional de un tercer país o a un apátrida y registrado de conformidad con el artículo 24 se conservará en Eurodac durante cinco años a partir de la fecha en que se hayan transmitido los datos biométricos.

9. Para los fines establecidos en el artículo 26, apartado 1, cada conjunto de datos relativo a un nacional de un tercer país o a un apátrida y registrado de conformidad con el artículo 26 se conservará en Eurodac durante un año a partir de la fecha de entrada en vigor de la decisión de ejecución del Consejo pertinente. El período de conservación se prorrogará cada año a lo largo del período de protección temporal.

10. Los datos de los interesados se suprimirán automáticamente de Eurodac al vencer los períodos de conservación de datos a que se refieren los apartados 1 a 9 del presente artículo.

Artículo 30. Supresión anticipada de los datos

1. Los datos relativos a una persona que haya adquirido la nacionalidad de un Estado miembro de origen antes de que venza el plazo mencionado en el artículo 29, apartados 1, 3, 5, 6, 7, 8 o 9 serán suprimidos de Eurodac sin demora por dicho Estado miembro con arreglo al artículo 40, apartado 3.

Los datos relativos a una persona que haya adquirido la nacionalidad de otro Estado miembro antes de que venza el plazo mencionado en el artículo 29, apartados 1, 3, 5, 6, 7, 8 o 9 serán suprimidos de Eurodac por el Estado miembro de origen, con arreglo al artículo 40, apartado 3, tan pronto como el Estado miembro de origen tenga conocimiento de que la persona en cuestión ha adquirido dicha nacionalidad.

2. Eurodac informará, lo antes posible y en un plazo máximo de 72 horas tras la supresión, a todos los Estados miembros de origen acerca de la supresión, por parte de otro Estado miembro de origen y de conformidad con el apartado 1 del presente artículo, de datos que hayan generado una respuesta positiva al cotejarlos con los datos que estos le transmitieron sobre las personas a que se refieren el artículo 15, apartado 1, el artículo 18, apartado 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, o el artículo 26, apartado 1.

Artículo 31. Marcado de datos

1. A los efectos establecidos en el artículo 1, apartado 1, letra a), el Estado miembro de origen que haya concedido protección internacional a una persona cuyos datos hubieran sido registrados previamente en Eurodac con arreglo al artículo 17 marcará los datos correspondientes de conformidad con los requisitos de comunicación electrónica con Eurodac establecidos por eu-LISA. Dicho marcado se conservará en Eurodac de conformidad con el artículo 29, apartado 1, a efectos de la transmisión según lo dispuesto en los artículos 27 y 28. Eurodac informará, lo antes posible y en un plazo máximo de 72 horas, a todos los Estados miembros de origen acerca del marcado, por parte de otro Estado miembro de origen, de datos que hayan generado una respuesta positiva con respecto a los datos que aquellos hubieran transmitido en relación con las personas a que se hace referencia en el artículo 15, apartado 1, el artículo 18, apartado 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1 o el artículo 26, apartado 1. Dichos Estados miembros de origen marcarán también los conjuntos de datos correspondientes.

2. Los datos de beneficiarios de protección internacional conservados en Eurodac con arreglo al artículo 3, apartado 2, y marcados de conformidad con el apartado 1 del presente artículo estarán disponibles para la comparación a efectos de aplicación de la ley hasta que estos datos se supriman automáticamente de Eurodac de conformidad con el artículo 29, apartado 10.

3. El Estado miembro de origen eliminará el marcado de los datos relativos a un nacional de un tercer país o apátrida cuyos datos hubieran sido marcados anteriormente con arreglo al apartado 1 del presente artículo, si su estatuto se retirara de conformidad con los artículos 14 o 19 del Reglamento (UE) 2024/1347.

4. A los efectos establecidos en el artículo 1, apartado 1, letras a) y c), el Estado miembro de origen que expida un documento de residencia a un nacional de un tercer país o apátrida en situación irregular cuyos datos hubieran sido registrados previamente en Eurodac, según proceda, con arreglo al artículo 22, apartado 2, o al artículo 23, apartado 2, o a un nacional de un tercer país o apátrida desembarcado tras una operación de búsqueda y salvamento cuyos datos hubieran sido registrados previamente en Eurodac con arreglo al artículo 24, apartado 2, marcará los datos correspondientes de conformidad con los requisitos de comunicación electrónica con Eurodac establecidos por eu-LISA. Este marcado se conservará en Eurodac de conformidad con el artículo 29, apartados 6, 7, 8 y 9, a efectos de la transmisión según lo dispuesto en los artículos 27 y 28. Eurodac informará, lo antes posible y en un plazo máximo de 72 horas, a todos los Estados miembros de origen acerca del marcado, por parte de otro Estado miembro de origen, de datos que hayan generado una respuesta positiva con respecto a los datos que aquellos hubieran transmitido en relación con las personas a que se hace referencia en el artículo 15, apartado 1, el artículo 18, apartado 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1 o el artículo 26, apartado 1. Dichos Estados miembros de origen marcarán también los conjuntos de datos correspondientes.

5. Los datos de los nacionales de terceros países o apátridas en situación irregular conservados en Eurodac y marcados de conformidad con el apartado 4 del presente artículo estarán disponibles para la comparación a efectos de aplicación de la ley hasta que estos datos se supriman automáticamente de Eurodac de conformidad con el artículo 29, apartado 10.

6. A los efectos del artículo 68, apartado 4, del Reglamento (UE) 2024/1351, tras el registro de los datos de conformidad con el artículo 25, apartado 2, del presente Reglamento, el Estado miembro de reubicación se registrará como Estado miembro responsable y marcará dichos datos con la marca introducida por el Estado miembro que concedió la protección.

CAPÍTULO XI. Procedimiento para la comparación y la transmisión de datos a efectos de aplicación de la ley

Artículo 32. Procedimiento para la comparación de datos biométricos o alfanuméricos con los datos de Eurodac

1. Las autoridades designadas de los Estados miembros y la autoridad designada de Europol podrán, a efectos de aplicación de la ley, presentar a la autoridad verificadora, tal como se contempla en el artículo 33, apartado 1, y en el artículo 34, apartado 1, junto con el número de referencia utilizado por ellas mismas, una solicitud electrónica motivada de transmisión de datos biométricos o alfanuméricos a Eurodac a través del Punto de Acceso Nacional para su comparación. Una vez recibida una solicitud de este tipo, la autoridad verificadora comprobará si se cumplen las condiciones para solicitar la comparación a las que se refieren los artículos 33 o 34, en su caso.

2. Si se cumplen todas las condiciones para solicitar la comparación a que se refieren los artículos 33 o 34, la autoridad verificadora transmitirá la solicitud al Punto de Acceso Nacional o al Punto de Acceso de Europol, que la remitirá a Eurodac con arreglo al procedimiento establecido en los artículos 27 y 28 para su comparación con los datos biométricos o alfanuméricos transmitidos a Eurodac de conformidad con el artículo 15, el artículo 18, apartado 2, y los artículos 20, 22, 23, 24 y 26.

3. Podrá llevarse a cabo, de conformidad con el artículo 28, apartado 1, una comparación de una imagen facial con otros datos de imagen facial en Eurodac a efectos de aplicación de la ley, si se dispone de esos datos en el momento de la solicitud electrónica motivada presentada por las autoridades designadas de los Estados miembros o la autoridad designada de Europol.

4. En casos de urgencia excepcionales en los que sea necesario prevenir un peligro inminente asociado con un delito de terrorismo u otro delito grave, la autoridad verificadora podrá transmitir los datos biométricos o alfanuméricos al Punto de Acceso Nacional o al Punto de Acceso de Europol para su comparación inmediatamente después de la recepción de la solicitud por la autoridad designada, y comprobar a posteriori si se cumplen todas las condiciones para solicitar una comparación a tenor de los artículos 33 o 34, inclusive si se trataba realmente de un caso de urgencia excepcional. La comprobación a posteriori se realizará con la mayor brevedad después de tramitar la solicitud.

5. Si la comprobación a posteriori determina que el acceso a los datos de Eurodac no estaba justificado, todas las autoridades que hayan tenido acceso a la información comunicada desde Eurodac suprimirán dicha información e informarán de ello a la autoridad verificadora.

Artículo 33. Condiciones de acceso a Eurodac por parte de las autoridades designadas

1. Las autoridades designadas, a efectos de aplicación de la ley, únicamente podrán presentar una solicitud electrónica motivada de comparación de datos biométricos o alfanuméricos con los datos conservados en Eurodac, dentro de los límites de sus competencias, si se han cumplido todas las condiciones siguientes:

se ha efectuado una comprobación previa en:

las bases de datos nacionales, y

ii)

los sistemas automatizados de identificación dactilar de todos los demás Estados miembros en virtud de la Decisión 2008/615/JAI cuando la comparación sea posible desde el punto de vista técnico, a menos que existan motivos fundados para creer que la comparación con estos sistemas no va a permitir establecer la identidad del interesado; se incluirán estos motivos fundados en la solicitud electrónica motivada de comparación con los datos de Eurodac que envíe la autoridad designada a la autoridad verificadora;

la comparación sea necesaria a efectos de prevención, detección o investigación de delitos de terrorismo o de otros delitos graves, es decir, que exista un interés superior de seguridad pública que haga que la consulta de la base de datos sea proporcionada al objetivo perseguido;

la comparación sea necesaria en un caso concreto para personas concretas, y

existan motivos razonables para considerar que la comparación contribuirá sustancialmente a la prevención, detección o investigación de cualquiera de los delitos de terrorismo u otros delitos graves en cuestión. Existirán dichos motivos razonables, en particular, cuando haya sospechas fundadas de que el sospechoso, el autor o la víctima de un delito de terrorismo o de otro delito grave están encuadrados en una categoría regulada por el presente Reglamento.

Aparte de las comprobaciones previas de las bases de datos a que se refiere el párrafo primero, las autoridades designadas podrán realizar también una comprobación simultánea en el VIS, siempre que se hayan cumplido las condiciones para una comparación con los datos ahí conservados, tal como figura en la Decisión 2008/633/JAI. Las autoridades designadas podrán presentar la solicitud electrónica motivada a que se refiere el párrafo primero simultáneamente con una solicitud de comparación con los datos conservados en el VIS.

2. Cuando las autoridades designadas consulten al RCDI de conformidad con el artículo 22, apartado 1, del Reglamento (UE) 2019/818 y, de conformidad con el apartado 2 de dicho artículo, el RCDI indique que los datos sobre la persona en cuestión se conservan en Eurodac, las autoridades designadas podrán tener acceso a Eurodac para su consulta sin una comprobación previa en las bases de datos nacionales o en los sistemas automáticos de identificación dactilar de todos los demás Estados miembros.

3. Las solicitudes de comparación con los datos de Eurodac a efectos de aplicación de la ley se llevarán a cabo con datos biométricos o alfanuméricos.

Artículo 34. Condiciones de acceso a Eurodac por parte de Europol

1. A efectos de aplicación de la ley, la autoridad designada de Europol únicamente podrá presentar una solicitud electrónica motivada de comparación de datos biométricos o alfanuméricos con los datos conservados en Eurodac, dentro del mandato de Europol y cuando sea necesario para el cumplimiento de su cometido, si se han cumplido todas las condiciones siguientes:

las comparaciones con los datos biométricos o alfanuméricos conservados en cualquier sistema de tratamiento de información al que Europol pueda técnica y legalmente acceder no hayan permitido establecer la identidad del interesado;

la comparación sea necesaria para apoyar y reforzar la actuación de los Estados miembros a la hora de prevenir, detectar o investigar los delitos de terrorismo u otros delitos graves incluidos en el mandato de Europol, es decir, que exista un interés superior de seguridad pública que haga que la consulta de la base de datos sea proporcionada al objetivo perseguido;

la comparación sea necesaria en un caso concreto para personas concretas, y

existan motivos razonables para considerar que la comparación contribuirá sustancialmente a la prevención, detección o investigación de cualquiera de los delitos de terrorismo u otros delitos graves en cuestión; existirán dichos motivos razonables, en particular, cuando haya sospechas fundadas de que el sospechoso, el autor o la víctima de un delito de terrorismo o de otro delito grave están encuadrados en una categoría regulada por el presente Reglamento.

2. Cuando Europol consulte al RCDI de conformidad con el artículo 22, apartado 1, del Reglamento (UE) 2019/818 y, de conformidad con el apartado 2 de dicho artículo, el RCDI indique que los datos sobre la persona en cuestión se conservan en Eurodac, Europol podrá tener acceso a Eurodac para su consulta con arreglo a las condiciones establecidas en el presente artículo.

3. Las solicitudes de comparación con los datos de Eurodac a efectos de aplicación de la ley se llevarán a cabo con datos biométricos o alfanuméricos.

4. El tratamiento de la información obtenida por Europol a partir de comparaciones con los datos de Eurodac estará sujeto a la autorización del Estado miembro de origen. Dicha autorización se recabará a través de la unidad nacional de Europol de dicho Estado miembro.

Artículo 35. Comunicación entre las autoridades designadas, las autoridades verificadoras, los Puntos de Acceso Nacionales y el Punto de Acceso de Europol

1. Sin perjuicio de lo dispuesto en el artículo 39, todas las comunicaciones entre las autoridades designadas, las autoridades verificadoras, los Puntos de Acceso Nacionales y el Punto de Acceso de Europol serán seguras y se efectuarán electrónicamente.

2. A efectos de aplicación de la ley, las búsquedas con datos biométricos o alfanuméricos serán tratadas digitalmente por los Estados miembros y Europol y se transmitirán en el formato establecido en el documento de control de las interfaces acordado, con objeto de garantizar que pueda realizarse la comparación con otros datos conservados en Eurodac.

CAPÍTULO XII- Tratamiento de los datos, protección de los datos y responsabilidad

Artículo 36. Responsabilidad en cuanto al tratamiento de los datos

1. El Estado miembro de origen responderá:

de la legalidad de la toma y de la transmisión a Eurodac de los datos biométricos y de los demás datos a que se refieren el artículo 17, apartados 1 y 2, el artículo 19, apartado 1, el artículo 21, apartado 1, el artículo 22, apartados 2 y 3, el artículo 23, apartados 2 y 3, el artículo 24, apartados 2 y 3, y el artículo 26, apartado 2;

de la exactitud y actualidad de los datos cuando se transmitan a Eurodac;

sin perjuicio de las responsabilidades de eu-LISA, de la legalidad del registro, conservación, rectificación y supresión de los datos en Eurodac;

de la legalidad del tratamiento de los resultados de la comparación de los datos biométricos transmitidos por Eurodac.

2. El Estado miembro de origen garantizará la seguridad de los datos a que se refiere el apartado 1 del presente artículo antes de la transmisión a Eurodac y mientras esta se produce, según establece el artículo 48, y la seguridad de los datos que reciba de Eurodac.

3. El Estado miembro de origen será responsable de la identificación final de los datos, de conformidad con el artículo 38, apartado 4.

4. La Agencia eu-LISA se asegurará de que Eurodac funcione, también con fines de ensayo, con arreglo a las disposiciones del presente Reglamento y las normas pertinentes de la Unión en materia de protección de datos. En particular, eu-LISA:

tomará medidas que garanticen que todas las personas, incluidos los contratistas, que trabajen con Eurodac solamente traten los datos registrados en él de acuerdo con la finalidad de Eurodac establecida en el artículo 1;

adoptará las medidas necesarias para garantizar la seguridad de Eurodac de conformidad con el artículo 48;

se asegurará de que únicamente las personas autorizadas a trabajar con Eurodac tengan acceso a los datos registrados en él, sin perjuicio de las competencias del Supervisor Europeo de Protección de Datos.

La Agencia eu-LISA informará al Parlamento Europeo, al Consejo y al Supervisor Europeo de Protección de Datos, de las medidas que tome en virtud del párrafo primero del presente apartado.

Artículo 37. Transmisión

1. La digitalización de los datos biométricos y demás datos personales y su transmisión se realizarán en el formato de datos establecido en el documento de control de las interfaces acordado. En la medida en que sea preciso para el funcionamiento eficaz de Eurodac, eu-LISA establecerá los requisitos técnicos relativos al formato de datos que se utilizará para la transmisión de datos por los Estados miembros a Eurodac y de este a los Estados miembros. La Agencia eu-LISA se asegurará de que los datos biométricos transmitidos por los Estados miembros puedan ser comparados en el sistema informático de reconocimiento facial y de impresiones dactilares.

2. Los Estados miembros transmitirán por vía electrónica los datos biométricos y de los demás datos a que se refieren el artículo 17, apartados 1 y 2, el artículo 19, apartado 1, el artículo 21, apartado 1, el artículo 22, apartados 2 y 3, el artículo 23, apartados 2 y 3, el artículo 24, apartados 2 y 3, y el artículo 26, apartado 2. Los datos a que se refieren el artículo 17, apartados 1 y 2, el artículo 19, apartado 1, el artículo 21, apartado 1, el artículo 22, apartados 2 y 3, el artículo 23, apartados 2 y 3, el artículo 24, apartados 2 y 3, y el artículo 26, apartado 2, se registrarán automáticamente en Eurodac. En la medida en que sea preciso para el funcionamiento eficaz de Eurodac, eu-LISA establecerá los requisitos técnicos necesarios por lo que respecta al formato de transmisión electrónica de datos de los Estados miembros a Eurodac y de este a los Estados miembros.

3. Los Estados miembros se asegurarán de que el número de referencia mencionado en el artículo 17, apartado 1, letra k), el artículo 19, apartado 1, letra k), el artículo 21, apartado 1, letra k), el artículo 22, apartado 2, letra k), el artículo 23, apartado 2, letra k), el artículo 24, apartado 2, letra k), el artículo 26, apartado 2, letra k), y el artículo 32, apartado 1, permita la asignación inequívoca de los datos a una persona y al Estado miembro que transmita los datos, y también determinar si tales datos están asignados a una de las personas a que se refiere el artículo 15, apartado 1, el artículo 18, apartado 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, o el artículo 26, apartado 1.

4. El número de referencia a que se refiere el apartado 3 del presente artículo comenzará por la letra o letras de identificación con las que se designará al Estado miembro que haya transmitido los datos. Tras las letras de identificación figurará la identificación de la categoría de las personas o solicitudes: «1» para las personas a que se refiere el artículo 15, apartado 1; «2» para las personas a que se refiere el artículo 22, apartado 1; «3» para las personas a que se refiere el artículo 23, apartado 1; «4» para las solicitudes a que se refiere el artículo 33; «5» para las solicitudes a que se refiere el artículo 34; «6» para las solicitudes a que se refiere el artículo 43; «7» para las solicitudes a que se refiere el artículo 18; «8» para las personas a que se refiere el artículo 20; «9» para las personas a que se refiere el artículo 24, apartado 1, y «0» para las personas a que se refiere el artículo 26, apartado 1.

5. La Agencia eu-LISA establecerá los procedimientos técnicos necesarios que deberán aplicar los Estados miembros para garantizar que Eurodac reciba datos inequívocos.

6. Tan pronto como sea posible, Eurodac acusará recibo de los datos transmitidos. Para ello, eu-LISA establecerá los requisitos técnicos necesarios con el fin de garantizar que los Estados miembros reciban este acuse de recibo si lo hubieran solicitado.

Artículo 38. Ejecución de la comparación y transmisión del resultado

1. Los Estados miembros deben garantizar la transmisión de datos biométricos con una calidad que permita su comparación mediante el sistema de reconocimiento facial y de impresiones dactilares informatizado. En la medida en que sea necesario para garantizar que los resultados de la comparación por parte de Eurodac alcancen un nivel muy elevado de precisión, eu-LISA determinará la calidad adecuada de los datos biométricos transmitidos. Eurodac comprobará, tan pronto como sea posible, la calidad de los datos biométricos transmitidos. En caso de que estos no sean apropiados para su comparación por medio del sistema informático de reconocimiento facial y de impresiones dactilares, Eurodac informará al Estado miembro interesado. El Estado miembro transmitirá entonces unos datos biométricos más adecuados, utilizando el mismo número de referencia del anterior conjunto de datos biométricos.

2. Eurodac llevará a cabo las comparaciones siguiendo el orden de recepción de las solicitudes. Toda solicitud se tramitará en un plazo de 24 horas a partir de su recepción. Los Estados miembros, basándose en razones de Derecho nacional, podrán exigir que se realice una comparación particularmente urgente en el plazo de una hora. Si, por razones ajenas a la responsabilidad de eu-LISA, no pudieran cumplirse los plazos de tramitación indicados, Eurodac, una vez desaparecidas dichas razones, tramitará con carácter prioritario las solicitudes de que se trate. En tales casos, y en la medida en que sea preciso para el funcionamiento eficaz de Eurodac, eu-LISA establecerá criterios destinados a garantizar el tratamiento prioritario de las solicitudes.

3. En la medida en que sea necesario para el funcionamiento eficaz de Eurodac, eu-LISA establecerá los procedimientos operativos para el tratamiento de los datos recibidos y la transmisión del resultado de la comparación.

4. En caso necesario, un experto en impresiones dactilares en el Estado miembro receptor, de conformidad con sus normas nacionales y formado específicamente en los tipos de comparaciones de impresiones dactilares establecidos en el presente Reglamento, comprobará inmediatamente los resultados de la comparación de los datos dactiloscópicos realizada de conformidad con el artículo 27.

Cuando, tras la comparación de datos dactiloscópicos y de imagen facial con los datos registrados en la base de datos central informatizada, Eurodac dé una respuesta positiva de impresiones dactilares y de imagen facial, los Estados miembros podrán controlar el resultado de la comparación de los datos de imagen facial.

A efectos de lo dispuesto en el artículo 1, apartado 1, letras a), b), c) y j), del presente Reglamento, la identificación final será efectuada por el Estado miembro de origen, en cooperación con los demás Estados miembros interesados.

5. El resultado de la comparación de los datos de imagen facial llevada a cabo de conformidad con el artículo 27, si se recibe una respuesta positiva basada únicamente en una imagen facial, y con el artículo 28 será controlado y verificado inmediatamente en el Estado miembro de recepción por un experto formado con arreglo a la práctica nacional.

La información recibida de Eurodac sobre otros datos que no hayan resultado ser fiables será suprimida tan pronto como se declare su falta de fiabilidad.

6. Cuando la identificación final con arreglo a los apartados 4 y 5 revele que el resultado de la comparación recibido de Eurodac no corresponde a los datos biométricos enviados para su comparación, los Estados miembros suprimirán inmediatamente el resultado de la comparación y comunicarán este hecho lo antes posible, en un plazo máximo de tres días laborables tras la recepción del resultado, a eu-LISA y la informará del número de referencia del Estado miembro de origen y del número de referencia del Estado miembro que recibió el resultado.

Artículo 39. Comunicación entre los Estados miembros y Eurodac

Los datos transmitidos desde los Estados miembros a Eurodac y de este a los Estados miembros utilizarán la Infraestructura de Comunicación. En la medida en que sea preciso para garantizar el funcionamiento eficaz de Eurodac, eu-LISA establecerá los procedimientos técnicos necesarios para la utilización de la Infraestructura de Comunicación.

Artículo 40. Acceso a los datos registrados en Eurodac, rectificación y supresión de estos

1. El Estado miembro de origen tendrá acceso a los datos que haya transmitido y que estén registrados en Eurodac con arreglo al presente Reglamento.

Los Estados miembros no efectuarán búsquedas en los datos transmitidos por otro Estado miembro ni recibirán tales datos, excepto los que sean resultado de la comparación indicada en los artículos 27 y 28.

2. Las autoridades de los Estados miembros que, con arreglo al apartado 1 del presente artículo, tengan acceso a los datos registrados en Eurodac serán las designadas por cada Estado miembro a los efectos establecidos en el artículo 1, apartado 1, letras a), b), c) y j). Esta designación especificará la unidad exacta responsable de llevar a cabo las tareas relativas a la aplicación del presente Reglamento. Los Estados miembros comunicarán sin demora a la Comisión y eu-LISA la lista de dichas unidades y cualquier modificación de la misma. eu-LISA publicará la lista consolidada en el Diario Oficial de la Unión Europea. Cuando se produzcan modificaciones en dicha lista, eu-LISA publicará en línea una vez al año una lista consolidada actualizada.

3. Únicamente el Estado miembro de origen estará facultado para modificar los datos por él transmitidos a Eurodac, rectificándolos o completándolos, o para suprimirlos, sin perjuicio de la supresión efectuada en aplicación del artículo 29.

4. El acceso a efectos de la consulta de los datos de Eurodac conservados en el RCDI se concederá al personal debidamente autorizado de las autoridades nacionales de cada Estado miembro y al personal debidamente autorizado de los organismos de la Unión que sean competentes para los fines establecidos en los artículos 20 y 21 del Reglamento (UE) 2019/818. Este acceso se limitará a la medida necesaria para la realización de las tareas de esas autoridades nacionales y organismos de la Unión para la consecución de dichos fines, y será proporcionado a los objetivos perseguidos.

5. Cuando un Estado miembro o eu-LISA tenga indicios de que los datos registrados en Eurodac son materialmente inexactos, informará de ello al Estado miembro de origen lo antes posible, sin perjuicio de la notificación de la violación de un dato personal con arreglo al artículo 33 del Reglamento (UE) 2016/679.

Cuando un Estado miembro tenga indicios de que se han registrado datos en Eurodac incumpliendo lo dispuesto en el presente Reglamento, informará de ello lo antes posible a eu-LISA, a la Comisión y al Estado miembro de origen. El Estado miembro de origen comprobará los datos de que se trate y, en su caso, los rectificará o suprimirá de inmediato.

6. La Agencia eu-LISA no transferirá ni facilitará datos registrados en Eurodac a las autoridades de un tercer país. Esta prohibición no se aplicará a las transferencias de dichos datos a terceros países que se rigen por el Reglamento (UE) 2024/1351.

Artículo 41. Conservación de los registros

1. La Agencia eu-LISA llevará registros de todas las operaciones de tratamiento de datos que se lleven a cabo en Eurodac. En dichos registros se hará constar el objeto, la fecha y la hora del acceso, los datos transmitidos, los datos utilizados para una consulta y el nombre tanto de la unidad que los haya introducido o extraído como el de las personas responsables.

2. A efectos de lo dispuesto en el artículo 8 del presente Reglamento, eu-LISA llevará registros de todas las operaciones de tratamiento de datos llevadas a cabo dentro de Eurodac. Los registros de ese tipo de operaciones incluirán los elementos indicados en el apartado 1 del presente artículo y las respuestas positivas activadas en el curso de la tramitación automatizada establecida en el artículo 20 del Reglamento (UE) 2018/1240.

3. A efectos de lo dispuesto en el artículo 10 del presente Reglamento, los Estados miembros y eu-LISA llevarán registros de todas las operaciones de tratamiento de datos llevadas a cabo dentro de Eurodac y el VIS de conformidad con el presente artículo y el artículo 34 del Reglamento (CE) nº 767/2008.

4. Los registros mencionados en el apartado 1 del presente artículo solo podrán emplearse para controlar la conformidad del tratamiento de datos y para garantizar la seguridad de los datos con arreglo al artículo 46. Estarán adecuadamente protegidos contra el acceso no autorizado y, salvo que se necesiten para la realización de un procedimiento de control ya iniciado, se suprimirán transcurrido un plazo de un año desde el vencimiento del período de conservación a que se refiere el artículo 29.

5. A efectos de lo dispuesto en el artículo 1, apartado 1, letras a), b, c), g), h) y j), cada Estado miembro adoptará las medidas necesarias para alcanzar los objetivos fijados en los apartados 1 a 4 del presente artículo en relación con su sistema nacional. Además, cada Estado miembro llevará un registro del personal debidamente autorizado para introducir o extraer datos.

Artículo 42. Derechos de información

1. El Estado miembro de origen informará a las personas a que se refiere el artículo 15, apartado 1, el artículo 18, apartados 1 y 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, o el artículo 26, apartado 1, del presente Reglamento, por escrito y, cuando resulte necesario, oralmente, en una lengua que entiendan o que se suponga razonablemente que entienden, de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo, de lo que sigue:

la identidad y los datos de contacto del responsable del tratamiento en el sentido del artículo 4, apartado 7, del Reglamento (UE) 2016/679 y, en su caso, de su representante, y los datos de contacto del responsable de la protección de datos;

los datos objeto de tratamiento en Eurodac y la base jurídica del tratamiento, incluida una descripción de los objetivos del Reglamento (UE) 2024/1351, de conformidad con su artículo 19 y, en su caso, de los objetivos del Reglamento (UE) 2024/1350, así como una explicación inteligible del hecho de que los Estados miembros y Europol pueden acceder a Eurodac a efectos de aplicación de la ley;

en relación con las personas a las que se aplican el artículo 15, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, o el artículo 24, apartado 1, el hecho de que, si la inspección de seguridad a que se refieren el artículo 17, apartado 2, letra i), el artículo 22, apartado 3, letra d), el artículo 23, apartado 3, letra e), y el artículo 24, apartado 3, letra f), demuestra que dichas personas podrían suponer una amenaza para la seguridad interior, el Estado miembro de origen tiene la obligación de registrar ese hecho en Eurodac;

los destinatarios o categorías de destinatarios de los datos, si procede;

para las personas a las que se aplican el artículo 15, apartado 1, el artículo 18, apartados 1 y 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, o el artículo 26, apartado 1, la obligatoriedad de la toma de sus datos biométricos y el procedimiento pertinente, junto con las eventuales consecuencias del incumplimiento de tal obligación;

el período durante el que se conservarán los datos de conformidad con el artículo 29;

la existencia del derecho a solicitar al responsable del tratamiento acceso a los datos relacionados con ellas, a solicitar la rectificación de los datos personales inexactos, a que se completen los datos personales incompletos o a que se supriman o restrinjan los datos personales que les conciernan que hayan sido tratados de forma ilegal, así como a recibir información sobre los procedimientos para el ejercicio de tales derechos, incluidos los datos de contacto del responsable del tratamiento y de las autoridades de control a que se refiere el artículo 44, apartado 1;

el derecho a presentar una queja a la autoridad de control.

2. A las personas a las que se aplican el artículo 15, apartado 1, el artículo 18, apartados 1 y 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, y el artículo 26, apartado 1, se les facilitará la información a que se refiere el apartado 1 del presente artículo en el momento de la toma de sus datos biométricos.

Cuando las personas a las que se aplican el artículo 15, apartado 1, el artículo 18, apartados 1 y 2, el artículo 20, apartado 1, el artículo 22, apartado 1, el artículo 23, apartado 1, el artículo 24, apartado 1, y el artículo 26, apartado 1, sean menores, los Estados miembros facilitarán la información de forma adaptada a su edad.

El procedimiento de toma de datos biométricos se explicará a los menores mediante folletos, infografías o demostraciones, o una combinación de cualquiera de ellos, según proceda, diseñados específicamente para garantizar que los menores los entiendan.

3. Se elaborará un folleto común que contenga, al menos, la información a que se refiere el apartado 1 del presente artículo y la información a que se refiere el artículo 19, apartado 1, del Reglamento (UE) 2024/1351, de conformidad con el procedimiento mencionado en el artículo 77, apartado 2, de dicho Reglamento.

El folleto será claro y sencillo y estará redactado de forma concisa, transparente, inteligible y fácilmente accesible, en una lengua que la persona interesada entienda o que se suponga razonablemente que entiende.

El folleto común se elaborará de forma que permita a los Estados miembros completarlo con información adicional específica de cada uno de ellos. Esta información específica del Estado miembro incluirá, al menos, las medidas administrativas para asegurarse de se cumple la obligación de proporcionar datos biométricos, los derechos del interesado, la posibilidad de solicitar información y asistencia a las autoridades de control nacionales y los datos de contacto de la oficina del responsable del tratamiento, del responsable de la protección de datos y de las autoridades de control nacionales.

Artículo 43. Derecho de acceso a los datos personales, derecho de rectificación, compleción y supresión de datos personales y derecho de restricción del tratamiento de datos personales

1. A efectos de lo dispuesto en el artículo 1, apartado 1, letras a), b), c) y j), del presente Reglamento, los derechos del interesado en cuanto al acceso a los datos personales, a la rectificación, compleción y supresión de dichos datos y a la restricción de su tratamiento se ejercerán de conformidad con el capítulo III del Reglamento (UE) 2016/679 y se aplicarán con arreglo al presente artículo.

2. El derecho de acceso del interesado en cada Estado miembro incluirá el derecho a que se le comuniquen los datos personales relativos a su persona registrados en Eurodac, incluido cualquier registro que indique que la persona podría suponer una amenaza para la seguridad interior, así como el Estado miembro que los haya transmitido a Eurodac, en las condiciones establecidas en el Reglamento (UE) 2016/679 y en el Derecho nacional adoptado con arreglo a él. Dicho acceso a los datos personales solo podrá ser concedido por un Estado miembro.

Cuando los derechos de rectificación y supresión de datos personales se ejerzan en un Estado miembro distinto del Estado o Estados que hayan transmitido los datos, las autoridades de dicho Estado miembro se pondrán en contacto con las autoridades del Estado o Estados miembros que hayan transmitido los datos con el fin de que puedan comprobar la exactitud de los datos y la legalidad de su transmisión y registro en Eurodac.

3. Tratándose de un registro que indique que la persona podría suponer una amenaza para la seguridad interior, los Estados miembros podrán restringir los derechos del interesado mencionados en el presente artículo de conformidad con el artículo 23 del Reglamento (UE) 2016/679.

4. Si se comprueba que hay datos registrados en Eurodac que son materialmente inexactos o han sido ilegalmente registrados, el Estado miembro que los haya transmitido los rectificará o suprimirá, de conformidad con el artículo 40, apartado 3. Dicho Estado miembro informará por escrito al interesado de que ha tomado medidas para rectificar, completar o suprimir los datos personales que guarden relación con su persona o para restringir su tratamiento.

5. Si el Estado miembro que ha transmitido los datos no acepta que los datos registrados en Eurodac son materialmente inexactos o han sido registrados ilegalmente, explicará por escrito al interesado los motivos por los que no está dispuesto a rectificar o suprimir los datos.

Dicho Estado miembro también facilitará al interesado información explicativa de las medidas que pueden adoptarse en caso de que no acepte la explicación dada. Entre otra información, se le indicará la manera de interponer una demanda o, en su caso, una denuncia ante las autoridades u órganos jurisdiccionales competentes de dicho Estado miembro y las ayudas financieras o de otro tipo a que puede acogerse con arreglo a los procedimientos y disposiciones legales y reglamentarias de dicho Estado miembro.

6. Las solicitudes de acceso a los datos personales, de rectificación, compleción o supresión de dichos datos o de restricción de su tratamiento que se presenten con arreglo a los apartados 1 y 2 contendrán toda la información necesaria para identificar al interesado, incluidos sus datos biométricos. Estos datos solo se utilizarán para el ejercicio de los derechos del interesado recogidos en los apartados 1 y 2, tras lo cual se suprimirán inmediatamente.

7. Las autoridades competentes de los Estados miembros colaborarán activamente a fin de que los derechos del interesado en cuanto al acceso a los datos personales, a la rectificación, compleción o supresión de dichos datos y a la restricción de su tratamiento reciban pronta satisfacción.

8. Cuando una persona solicite acceso a datos relativos a ella, la autoridad competente lo consignará en un registro en forma de documento escrito para acreditar que dicha solicitud se ha presentado y de qué manera se ha tratado, y pondrá este documento a disposición de las autoridades de control nacionales sin dilación.

9. La autoridad de control nacional del Estado miembro que haya transmitido los datos y la autoridad de control nacional del Estado miembro en que esté presente el interesado facilitarán a esta información, cuando así lo solicite, acerca del ejercicio de su derecho a solicitar al responsable de la protección de datos el acceso a los datos personales, a la rectificación, compleción o supresión de dichos datos o a la restricción del tratamiento de datos personales que le conciernan. Las autoridades de control cooperarán de conformidad con el capítulo VII del Reglamento (UE) 2016/679.

Artículo 44. Supervisión por parte de las autoridades de control nacionales

1. Cada Estado miembro dispondrá que su autoridad o autoridades de control a que se refiere el artículo 51, apartado 1, del Reglamento (UE) 2016/679 realicen un control de la legalidad del tratamiento de los datos personales por el Estado miembro en cuestión, a los fines establecidos en el artículo 1, apartado 1, letras a), b), c) y j), incluida su transmisión a Eurodac.

2. Cada Estado miembro garantizará que su autoridad de control cuente con el asesoramiento de personas con suficientes conocimientos de datos biométricos.

Artículo 45. Supervisión a cargo del Supervisor Europeo de Protección de Datos

1. El Supervisor Europeo de Protección de Datos se asegurará de que todas las actividades de tratamiento de datos personales relativos a Eurodac, en particular las que lleve a cabo eu-LISA, sean conformes al Reglamento (UE) 2018/1725 y al presente Reglamento.

2. El Supervisor Europeo de Protección de Datos se asegurará de que, al menos cada tres años, se lleve a cabo una auditoría de las actividades de tratamiento de datos personales de eu-LISA siguiendo normas de auditoría internacionales. El informe de las auditorías se enviará al Parlamento Europeo, al Consejo, a la Comisión, a eu-LISA y a las autoridades de control nacionales. Se dará a eu-LISA la oportunidad de formular comentarios antes de que se apruebe el informe.

Artículo 46. Cooperación entre las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos

1. Con arreglo al artículo 62 del Reglamento (UE) 2018/1725, las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos, cada uno dentro del ámbito de sus competencias respectivas, cooperarán activamente en el marco de sus responsabilidades y garantizarán una supervisión coordinada de Eurodac.

2. Los Estados miembros garantizarán que se lleve a cabo anualmente una auditoría del tratamiento de datos personales a efectos de aplicación de la ley por parte de un organismo independiente de conformidad con el artículo 47, apartado 1, incluido un análisis de una muestra de las solicitudes electrónicas motivadas.

La auditoría se adjuntará al informe anual presentado por los Estados miembros al que se hace referencia en el artículo 57, apartado 8.

3. Las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos, cada uno dentro del ámbito de sus competencias respectivas, intercambiarán la información pertinente, se asistirán mutuamente en la realización de inspecciones y auditorías, estudiarán las dificultades en la interpretación o aplicación del presente Reglamento, examinarán los problemas relativos al ejercicio del control independiente o al ejercicio de los derechos de los interesados, elaborarán propuestas armonizadas para hallar soluciones comunes a los problemas y fomentarán el conocimiento de los derechos en materia de protección de datos, en la medida necesaria.

4. A efectos del apartado 3, las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos se reunirán al menos dos veces al año en el marco del Comité Europeo de Protección de Datos. Los gastos y la organización de las reuniones correrán a cargo del Comité Europeo de Protección de Datos. El reglamento interno de las reuniones se adoptará en la primera reunión que se celebre. Los métodos de trabajo se irán desarrollando conjuntamente y en función de las necesidades. Cada dos años el Comité Europeo de Protección de Datos remitirá al Parlamento Europeo, al Consejo y a la Comisión un informe conjunto sobre las actividades realizadas. Dicho informe incluirá un capítulo relativo a cada Estado miembro, redactado por la respectiva autoridad de control nacional.

Artículo 47. Protección de datos personales a efectos de aplicación de la ley

1. La autoridad o autoridades de control de cada Estado miembro a que se hace referencia en el artículo 41, apartado 1, de la Directiva (UE) 2016/680 controlarán la legalidad del tratamiento de los datos personales en virtud del presente Reglamento por parte de los Estados miembros a efectos de aplicación de la ley, incluida su transmisión con origen o destino en Eurodac.

2. El tratamiento de datos personales efectuado por Europol con arreglo al presente Reglamento se llevará a cabo de conformidad con el Reglamento (UE) 2016/794 y estará supervisado por el Supervisor Europeo de Protección de Datos.

3. Los datos personales obtenidos de Eurodac conforme al presente Reglamento a efectos de aplicación de la ley únicamente serán objeto de tratamiento a efectos de la prevención, detección o investigación del caso específico para el que hayan sido solicitados por un Estado miembro o por Europol.

4. Sin perjuicio del artículo 24 de la Directiva (UE) 2016/680, Eurodac, las autoridades designadas, las autoridades verificadoras y Europol llevarán los registros de las búsquedas, al objeto de que las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos puedan efectuar un seguimiento para comprobar que el tratamiento de datos cumple las normas de protección de la Unión, también al objeto de conservar registros para elaborar los informes anuales mencionados en el artículo 57, apartado 8, del presente Reglamento. Para otros fines distintos, tanto los datos personales como el registro de las búsquedas serán suprimidos de todos los registros nacionales y de Europol en el plazo de un mes, salvo que un Estado miembro o Europol necesiten los datos para la investigación penal específica en curso para la cual se hubiesen solicitado los datos.

Artículo 48. Seguridad de los datos

1. El Estado miembro de origen garantizará la seguridad de los datos antes de la transmisión a Eurodac y mientras esta se produce.

2. Los Estados miembros adoptarán, en relación con todos los datos tratados por sus autoridades competentes de conformidad con el presente Reglamento, las medidas necesarias, incluido un plan de seguridad de los datos, para:

proteger los datos físicamente, entre otras cosas mediante la elaboración de planes de emergencia para la protección de infraestructuras críticas;

denegar el acceso de las personas no autorizadas a los equipos de tratamiento de datos y a las instalaciones nacionales en que el Estado miembro lleva a cabo operaciones de conformidad con el objetivo de Eurodac (control de acceso a los equipos y controles a la entrada de la instalación);

impedir que los soportes de datos puedan ser leídos, copiados, modificados o suprimidos sin autorización (control de los soportes de datos);

impedir que se introduzcan datos sin autorización, o que puedan inspeccionarse, modificarse o suprimirse sin autorización datos personales conservados (control de la conservación);

impedir la utilización de sistemas de tratamiento de datos automatizados por parte de personas no autorizadas utilizando equipos de comunicación de datos (control del usuario);

impedir el tratamiento no autorizado de datos en Eurodac y toda modificación o supresión no autorizada de datos tratados en Eurodac (control de la entrada de datos);

garantizar que el personal autorizado para acceder a Eurodac solo pueda tener acceso a los datos que prevea su autorización de acceso, mediante identificaciones personales y de utilización única, y claves de acceso confidenciales (control de acceso a los datos);

garantizar que todas las autoridades con derecho de acceso a Eurodac creen perfiles que describan las funciones y responsabilidades de las personas con autorización de acceso, registro, actualización, supresión y búsqueda de datos, y que dichas autoridades pongan dichos perfiles y cualquier otra información pertinente que puedan precisar a efectos de supervisión a disposición de las autoridades de control mencionadas en el artículo 51 del Reglamento (UE) 2016/679 y en el artículo 41 de la Directiva (UE) 2016/680, sin demora, a petición de estas (perfiles del personal);

garantizar la posibilidad de verificar y determinar a qué autoridades pueden transmitirse datos personales mediante equipos de transmisión de datos (control de la transmisión);

garantizar la posibilidad de verificar y determinar qué datos han sido tratados en Eurodac, en qué momento, por quién y con qué fin (control del registro de datos);

impedir la lectura, copia, modificación o borrado no autorizados de datos personales durante la transmisión de estos a o desde Eurodac o durante el transporte de los soportes de datos, en particular mediante técnicas adecuadas de criptografiado (control del transporte);

asegurar que los sistemas instalados puedan ser restaurados en caso de interrupción (recuperación);

asegurar que Eurodac lleva a cabo sus funciones, que se notifica la aparición de defectos en las funciones (fiabilidad) y que los datos personales conservados no pueden ser corrompidos por el mal funcionamiento del sistema (integridad), y

controlar la eficacia de las medidas de seguridad mencionadas en el presente apartado y adoptar las medidas de organización necesarias relativas al control interno, para garantizar el cumplimiento del presente Reglamento (control interno) y detectar automáticamente en el plazo de 24 horas cualquier acontecimiento relevante que se produzca como consecuencia de la aplicación de las medidas mencionadas en las letras b) a k) que pueda indicar que se ha producido un incidente de seguridad.

3. Los Estados miembros y Europol informarán a eu-LISA de los incidentes de seguridad relativos a Eurodac detectados en sus sistemas, sin perjuicio de la notificación y comunicación de una violación de un dato personal, de conformidad con los artículos 33 y 34 del Reglamento (UE) 2016/679, los artículos 30 y 31 de la Directiva (UE) 2016/680 y los artículos 34 y 35 del Reglamento (UE) 2016/794, respectivamente. La Agencia eu-LISA informará sin demora injustificada a los Estados miembros, a Europol y al Supervisor Europeo de Protección de Datos de los incidentes de seguridad relativos a Eurodac detectados en sus sistemas, sin perjuicio de los artículos 34 y 35 del Reglamento (UE) 2018/1725. Los Estados miembros de que se trate, eu-LISA y Europol colaborarán durante un incidente de seguridad.

4. La Agencia eu-LISA adoptará las medidas necesarias para alcanzar los objetivos fijados en el apartado 2 del presente artículo en relación con el funcionamiento de Eurodac, incluida la adopción de un plan de seguridad de los datos.

Antes de que comience el uso operativo de Eurodac, se actualizará el marco de seguridad para el entorno empresarial y técnico de Eurodac, de conformidad con el artículo 33 del Reglamento (UE) 2018/1725.

5. La Agencia de Asilo de la Unión Europea adoptará las medidas necesarias para aplicar lo dispuesto en el artículo 18, apartado 4, incluida la adopción del plan de seguridad de los datos mencionado en el apartado 2 del presente artículo.

Artículo 49. Prohibición de transferencia de datos a terceros países, organismos internacionales o particulares

1. Los datos personales obtenidos por un Estado miembro o Europol de Eurodac de acuerdo con el presente Reglamento no se transferirán a ningún tercer país, organización internacional o persona física establecida dentro o fuera de la Unión Europea, ni se pondrán a su disposición. Esta prohibición se aplicará también si estos datos reciben un tratamiento ulterior en el sentido del artículo 4, punto 2, del Reglamento (UE) 2016/679 y del artículo 3, punto 2, de la Directiva (UE) 2016/680, en el nivel nacional o entre Estados miembros.

2. Los datos personales que se originan en un Estado miembro y se intercambian entre Estados miembros a raíz de una respuesta positiva de búsqueda obtenida a efectos de aplicación de la ley no se transferirán a terceros países si existe un riesgo real de que, como resultado de dicha transferencia, el interesado sea objeto de tortura, de tratos o penas inhumanos o degradantes, o de cualquier otra violación de sus derechos fundamentales.

3. Los datos personales que se originan en un Estado miembro y se intercambian entre un Estado miembro y Europol a raíz de una respuesta positiva de búsqueda obtenida a efectos de aplicación de la ley no se transferirán a terceros países si existe un riesgo real de que, como resultado de dicha transferencia, el interesado sea objeto de tortura, de tratos o penas inhumanos o degradantes, o de cualquier otra violación de sus derechos fundamentales. Además, las transferencias solo se llevarán a cabo cuando sean necesarias y proporcionadas en casos incluidos en el mandato de Europol, de conformidad con el capítulo V del Reglamento (UE) 2016/794 y con el consentimiento del Estado miembro de origen.

4. No se comunicará a ningún tercer país información relativa al hecho de que se ha formulado una solicitud de protección internacional o de que una persona ha sido objeto de un procedimiento de admisión en un Estado miembro en lo que respecta a las personas a las que se refieren el artículo 15, apartado 1, el artículo 18, apartados 1 y 2, o el artículo 20, apartado 1.

5. Las prohibiciones establecidas en los apartados 1 y 2 del presente artículo se entenderán sin perjuicio del derecho de los Estados miembros a transferir dichos datos de conformidad con el capítulo V del Reglamento (UE) 2016/679 o con las normas nacionales adoptadas con arreglo al capítulo V de la Directiva (UE) 2016/680, según corresponda, a los terceros países a los que se aplica el Reglamento (UE) 2024/1351.

Artículo 50. Transferencia de datos a terceros países a efectos de retorno

1. Como excepción a lo dispuesto en el artículo 49, los datos personales relativos a las personas a que se refiere el artículo 15, apartado 1, el artículo 18, apartado 2, letra a), el artículo 20, apartado 1, el artículo 22, apartado 2, el artículo 23, apartado 1, el artículo 24, apartado 1, y el artículo 26, apartado 1, obtenidos por un Estado miembro a raíz de una respuesta positiva a efectos de lo establecido en el artículo 1, apartado 1, letras a), b), c) o j) podrán transmitirse o ponerse a disposición de un tercer país previo acuerdo con el Estado miembro de origen.

2. Las transmisiones de datos a un tercer país en virtud del apartado 1 del presente artículo se efectuarán de conformidad con las disposiciones pertinentes del Derecho de la Unión, en particular las relativas a la protección de datos, incluido el capítulo V del Reglamento (UE) 2016/679, y, cuando proceda, los acuerdos de readmisión, y con el Derecho nacional del Estado miembro que transmita los datos.

3. Las transmisiones de datos a un tercer país en virtud del apartado 1 se realizarán solamente cuando se hayan cumplido las siguientes condiciones:

que los datos se transfieran o pongan a disposición del tercer país exclusivamente con fines de identificación y expedición de un documento de identidad o de viaje a un nacional de un tercer país en situación irregular con vistas al retorno, y

que el nacional de un tercer país interesado haya sido informado de que sus datos personales podrán ponerse en conocimiento de las autoridades de un tercer país;

4. La aplicación del Reglamento (UE) 2016/679, también con respecto a las transferencias de datos personales a terceros países de conformidad con el presente artículo, y en particular la utilización, la proporcionalidad y la necesidad de las transferencias basadas en el artículo 49, apartado 1, letra d), de dicho Reglamento, estará sujeta al control de la autoridad de control independiente establecida en virtud del capítulo VI del Reglamento (UE) 2016/679.

5. Las transmisiones de datos a terceros países en virtud del presente artículo se entenderán sin perjuicio de los derechos de las personas a las que se refiere el artículo 15, apartado 1, el artículo 18, apartado 2, letra a), el artículo 20, apartado 1, el artículo 22, apartado 2, el artículo 23, apartado 1, el artículo 24, apartado 1, y el artículo 26, apartado 1, del presente Reglamento en lo que respecta a la no devolución o a la prohibición de divulgar u obtener información de conformidad con el artículo 7 del Reglamento (UE) 2024/1348.

6. Los terceros países no tendrán acceso directo a Eurodac para comparar o transmitir datos biométricos ni ningún otro dato personal de un nacional de un tercer país o apátrida, ni se les concederá acceso a Eurodac por conducto del Punto de Acceso Nacional de un Estado miembro.

Artículo 51. Registro y documentación

1. Los Estados miembros y Europol se asegurarán de que todas las operaciones de tratamiento de datos derivadas de solicitudes de comparación con los datos de Eurodac a efectos de aplicación de la ley, queden registradas o sean documentadas para comprobar la admisibilidad de la solicitud, controlar la legalidad del tratamiento de datos y la integridad y seguridad de los datos, y para fines de control interno.

2. En el registro y documentación se indicará en todos los casos:

el fin exacto de la solicitud de comparación, incluido el tipo de delito de terrorismo u otro delito grave en cuestión y, para Europol, el fin exacto de la solicitud de comparación;

los motivos fundados alegados de conformidad con el artículo 33, apartado 1, letra a), del presente Reglamento para no efectuar la comparación con otros Estados miembros con arreglo a la Decisión 2008/615/JAI;

el número de expediente nacional;

la fecha y hora exacta de la solicitud de comparación por el Punto de Acceso Nacional a Eurodac;

el nombre de la autoridad que ha solicitado el acceso para la comparación y la persona responsable que ha efectuado la solicitud y tratado los datos;

en su caso, si se recurrió al procedimiento de urgencia mencionado en el artículo 32, apartado 4, y la decisión adoptada respecto de la comprobación a posteriori;

los datos utilizados para la comparación;

conforme a las normas nacionales o a las normas del Reglamento (UE) 2016/794, la marca identificadora del funcionario que haya realizado la búsqueda y la del funcionario que haya ordenado la búsqueda o el suministro de datos;

en su caso, una referencia a la utilización del portal europeo de búsqueda para consultar el sistema Eurodac a que se refiere el artículo 7, apartado 2, del Reglamento (UE) 2019/818.

3. Los registros y la documentación solo se utilizarán para el control de la legalidad del tratamiento de datos y para garantizar la integridad y la seguridad de los datos. Los registros que contengan datos de carácter personal no podrán utilizarse para el seguimiento y evaluación a que se refiere el artículo 57.

Las autoridades de control nacionales responsables del control de la admisibilidad de la solicitud y del control de la legalidad del tratamiento de datos y de la integridad y seguridad de los datos tendrán acceso a dichos registros previa petición, a efectos del desempeño de sus funciones.

Artículo 52. Responsabilidad

1. Toda persona o Estado miembro que haya sufrido un perjuicio material o inmaterial como consecuencia de una operación de tratamiento ilegal o un acto incompatible con el presente Reglamento tendrá derecho a indemnización por parte del Estado miembro responsable del perjuicio sufrido, o por parte de eu-LISA si es responsable del perjuicio sufrido y en la medida en que no haya cumplido con las obligaciones con arreglo al presente Reglamento que le incumban específicamente o cuando haya actuado al margen o en contra de instrucciones legítimas de dicho Estado miembro. El Estado miembro responsable o eu-LISA quedarán exentos de su responsabilidad, total o parcialmente, si demuestran que no son responsables en modo alguno del acontecimiento que originó el perjuicio.

2. Si cualquier incumplimiento, por parte de un Estado miembro, de las obligaciones impuestas por el presente Reglamento ocasionase daños a Eurodac, el responsable será dicho Estado miembro, salvo que eu-LISA u otro Estado miembro no hubieren tomado las medidas oportunas para impedir que se causaran los daños o para paliar sus consecuencias.

3. Las reclamaciones contra un Estado miembro por los perjuicios a los que se refieren los apartados 1 y 2 del presente artículo estarán sujetas a las disposiciones del Derecho nacional del Estado miembro demandado de conformidad con los artículos 79 y 80 del Reglamento (UE) 2016/679 y los artículos 54 y 55 de la Directiva (UE) 2016/680. Las reclamaciones de indemnización contra eu-LISA por los daños y perjuicios a que se refieren los apartados 1 y 2 del presente artículo estarán sujetas a las condiciones establecidas en los Tratados.

CAPÍTULO XIII. Modificaciones de los Reglamentos (UE) 2018/1240 y (UE) 2019/818

Artículo 53. Modificaciones del Reglamento (UE) 2018/1240

En el artículo 11, se inserta el apartado siguiente:

«6 bis. A efectos de proceder a las verificaciones mencionadas en el artículo 20, apartado 2, párrafo segundo, letra k), las verificaciones automatizadas en virtud del apartado 1 del presente artículo permitirán al Sistema Central del SEIAV consultar a Eurodac según se establece en el Reglamento (UE) 2024/1358 del Parlamento Europeo y del Consejo (*1) con respecto a los siguientes datos proporcionados por los solicitantes con arreglo al artículo 17, apartado 2, letras a) a d), del presente Reglamento:

apellido(s), nombre(s), apellido(s) de nacimiento; fecha de nacimiento, lugar de nacimiento, sexo, nacionalidad actual;

otros nombres (alias, nombres artísticos, nombres habituales), en su caso;

otras nacionalidades, en su caso;

tipo, número y país de expedición del documento de viaje.

En el artículo 25 bis, apartado 1, se añade la letra siguiente:

«f)

los datos a que se refieren los artículos 17, 19, 21, 22, 23, 24 y 26 del Reglamento (UE) 2024/1358.».

En el artículo 88, el apartado 6 se sustituye por el texto siguiente:

«6. El SEIAV iniciará las operaciones con independencia de que se establezca la interoperabilidad con Eurodac o con el ECRIS-TCN.».

Artículo 54. Modificaciones del Reglamento (UE) 2019/818

El Reglamento (UE) 2019/818 se modifica como sigue:

En el artículo 4, el punto 20 se sustituye por el texto siguiente:

«20)

“autoridades designadas”: las autoridades designadas de los Estados miembros en el sentido del artículo 5 del Reglamento (UE) 2024/1358 del Parlamento Europeo y del Consejo (*2), en el artículo 3, apartado 1, punto 26, del Reglamento (UE) 2017/2226 del Parlamento Europeo (*3) y del Consejo, en el artículo 4, punto 3 bis, del Reglamento (CE) nº 767/2008 y en el artículo 3, apartado 1, punto 21, del Reglamento (UE) 2018/1240 del Parlamento Europeo y del Consejo (*4);

En el artículo 10, apartado 1, la parte introductoria se sustituye por el texto siguiente:

«Sin perjuicio de lo dispuesto en el artículo 51 del Reglamento (UE) 2024/1358, los artículos 12 y 18 del Reglamento (UE) 2018/1862, el artículo 31 del Reglamento (UE) 2019/816 y el artículo 40 del Reglamento (UE) 2016/794, eu-LISA conservará los registros de todas las operaciones de tratamiento de datos dentro del PEB. Dichos registros incluirán, en particular, lo siguiente:».

En el artículo 13, apartado 1, el párrafo primero se modifica como sigue:

la letra b) se sustituye por el texto siguiente:

«b)

los datos a que se refiere el artículo 5, apartado 1, letra b), y apartado 3 del Reglamento (UE) 2019/816;»;

se añade la letra siguiente:

«c)

los datos a que se refiere el artículo 17, apartado 1, letras a) y b), el artículo 19, apartado 1, letras a) y b), el artículo 21, apartado 1, letras a) y b), el artículo 22, apartado 2, letras a) y b), el artículo 23, apartado 2, letras a) y b), el artículo 24, apartado 2, letras a) y b) y el artículo 26, apartado 2, letras a) y b), del Reglamento (UE) 2024/1358.».

El artículo 14 se sustituye por el texto siguiente:

«Artículo 14

Búsqueda de datos biométricos con el servicio de correspondencia biométrica compartido

A fin de buscar los datos biométricos almacenados en el RCDI y el SIS, estos utilizarán las plantillas biométricas almacenadas en el SCB compartido. Las consultas con datos biométricos tendrán lugar de conformidad con los fines establecidos en el presente Reglamento y en los Reglamentos (CE) nº 767/2008, (UE) 2017/2226, (UE) 2018/1860, (UE) 2018/1861, (UE) 2018/1862, (UE) 2019/816 y (UE) 2024/1358.».

En el artículo 16, apartado 1, la primera frase se sustituye por el texto siguiente:

«Sin perjuicio del artículo 51 del Reglamento (UE) 2024/1358, los artículos 12 y 18 del Reglamento (UE) 2018/1862 y el artículo 31 del Reglamento (UE) 2019/816, eu-LISA conservará los registros de todas las operaciones de tratamiento de datos dentro del SCB compartido.».

En el artículo 18, el apartado 1 se sustituye por el texto siguiente:

«1. El RCDI almacenará, separados de un modo lógico, los siguientes datos según el sistema de información del que provengan:

los datos a que se refieren el artículo 17, apartado 1, letras a) a f), h) e i), el artículo 19, apartado 1, letras a) a f), h) e i), el artículo 21, apartado 1, letras a) a f), h) e i), el artículo 22, apartado 2, letras a) a f), h) e i), el artículo 23, apartado 2, letras a) a f), h) e i), el artículo 24, apartado 2, letras a) a f) y h), el artículo 24, apartado 3, letra a), y el artículo 26, apartado 2, letras a) a f), h) e i) del Reglamento (UE) 2024/1358;

b) los datos a que se refiere el artículo 5, apartados 1, letra b), y 3, del Reglamento (UE) 2019/816, y los siguientes datos enumerados en el artículo 5, apartado 1, letra a), de dicho Reglamento: apellido(s); nombre(s) de pila, fecha de nacimiento; lugar de nacimiento (localidad y país); nacionalidad o nacionalidades; género y, cuando proceda, nombre(s) o apellido(s) anterior(es), seudónimo(s) y/o alias, e información sobre los documentos de viaje, si está disponible.».

En el artículo 23, el apartado 1 se sustituye por el texto siguiente:

«1. Los datos a que se refiere el artículo 18, apartados 1, 2 y 4, se eliminarán del registro común de datos de identidad (RCDI) de forma automatizada de conformidad con las disposiciones de conservación de los datos del Reglamento (UE) 2024/1358 y del Reglamento (UE) 2019/816.».

En el artículo 24, el apartado 1 se sustituye por el texto siguiente:

«1. Sin perjuicio del artículo 51 del Reglamento (UE) 2024/1358 y del artículo 29 del Reglamento (UE) 2019/816, eu-LISA conservará los registros de todas las operaciones de tratamiento de datos dentro del RCDI de conformidad con los apartados 2, 3 y 4 del presente artículo.».

En el artículo 26, apartado 1, se añaden los puntos siguientes:

«c)

las autoridades competentes para recopilar los datos a tenor del capítulo II del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac;

las autoridades competentes para recopilar los datos a tenor del capítulo III del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac en caso de correspondencias que se produzcan al transmitir dichos datos;

las autoridades competentes para recopilar los datos a tenor del capítulo IV del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac;

las autoridades competentes para recopilar los datos a tenor del capítulo V del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac;

las autoridades competentes para recopilar los datos a tenor del capítulo VI del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac;

las autoridades competentes para recopilar los datos a tenor del capítulo VIII del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac;».

10)

El artículo 27 se modifica como sigue:

en el apartado 1 se añade la letra siguiente:

«c)

un conjunto de datos se transmite a Eurodac de conformidad con los artículos 17, 19, 21, 22, 23, 24 o 26 del Reglamento (UE) 2024/1358;»;

en el apartado 3 se añade la letra siguiente:

«c)

apellido(s); nombre o nombres; nombre o nombres de nacimiento, nombres usados con anterioridad y alias; fecha de nacimiento, lugar de nacimiento, nacionalidad o nacionalidades y sexo, según lo dispuesto en los artículos 17, 19, 21, 22, 23, 24 y 26 del Reglamento (UE) 2024/1358;».

11)

En el artículo 29, apartado 1, se añaden las letras siguientes:

«c)

las autoridades competentes para recopilar los datos a tenor del capítulo II del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac en caso de correspondencias que se produzcan al transmitir dichos datos;

las autoridades competentes para v los datos a tenor del capítulo III del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac en caso de correspondencias que se produzcan al transmitir dichos datos;

las autoridades competentes para recopilar los datos a tenor del capítulo IV del Reglamento (UE) 2024/1358 en caso de correspondencias que se produzcan al transmitir dichos datos;

las autoridades competentes para recopilar los datos a tenor del capítulo V del Reglamento (UE) 2024/1358 en caso de correspondencias que se produzcan al transmitir dichos datos;

las autoridades competentes para recopilar los datos a tenor del capítulo VI del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac en caso de correspondencias que se produzcan al transmitir dichos datos;

las autoridades competentes para recopilar los datos a tenor del capítulo VIII del Reglamento (UE) 2024/1358 cuando transmitan datos a Eurodac en caso de correspondencias que se produzcan al transmitir dichos datos.».

12)

En el artículo 39, el apartado 2 se sustituye por el texto siguiente:

«2. eu-LISA establecerá, implementará y alojará en sus sitios técnicos el RCIE que contenga los datos y las estadísticas a que se hace referencia en el artículo 12 del Reglamento (UE) 2024/1358, el artículo 74 del Reglamento (UE) 2018/1862 y el artículo 32 del Reglamento (UE) 2019/816, separados de forma lógica por el sistema de información de la UE. El acceso al RCIE se concederá por medio de un acceso seguro, con un control de acceso y unos perfiles de usuario específicos, únicamente a efectos de la presentación de informes y estadísticas, a las autoridades a las que se refieren el artículo 12 del Reglamento 2024/1358, el artículo 74 del Reglamento (UE) 2018/1862 y el artículo 32 del Reglamento (UE) 2019/816.».

13)

En el artículo 47, apartado 3, se añade el párrafo siguiente:

«Las personas cuyos datos estén registrados en Eurodac serán informadas sobre el tratamiento de los datos personales transmitidos a efectos del presente Reglamento, de conformidad con el apartado 1, cuando se transmita un nuevo conjunto de datos a Eurodac según lo dispuesto en los artículos 15, 18, 20, 22, 23, 24 y 26 del Reglamento (UE) 2024/1358.».

14)

El artículo 50 se sustituye por el texto siguiente:

«Artículo 50

Comunicación de datos personales a terceros países, organizaciones internacionales y particulares

Sin perjuicio del artículo 31 del Reglamento (CE) nº 767/2008, los artículos 25 y 26 del Reglamento (UE) 2016/794, el artículo 41 del Reglamento (UE) 2017/2226, el artículo 65 del Reglamento (UE) 2018/1240, los artículos 49 y 50 del Reglamento (UE) 2024/1358 y de la consulta de bases de datos de Interpol a través del PEB de conformidad con el artículo 9, apartado 5, del presente Reglamento que sean conformes con el capítulo V del Reglamento (UE) 2018/1725 y el capítulo V del Reglamento (UE) 2016/679, los datos personales almacenados en los componentes de interoperabilidad o tratados por ellos o a los que se acceda a través de esos componentes no se transmitirán ni se pondrán a disposición de terceros países, organizaciones internacionales ni entidades privadas.».

CAPÍTULO XIV. Disposiciones finales

Artículo 55. Costes

1. El presupuesto general de la Unión sufragará los costes de creación y de funcionamiento de Eurodac y de la Infraestructura de Comunicación.

2. Los costes contraídos por los Puntos de Acceso Nacionales y el Punto de Acceso de Europol, así como los costes para la conexión a Eurodac correrán a cargo de cada Estado miembro y de Europol, respectivamente.

3. Cada Estado miembro y Europol crearán y mantendrán a sus expensas la infraestructura técnica necesaria para aplicar el presente Reglamento y serán responsables de sufragar los costes derivados de las solicitudes de comparación con los datos de Eurodac a efectos de aplicación de la ley.

Artículo 56. Procedimiento de comité

1. La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) nº 182/2011.

2. En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) nº 182/2011.

3. Cuando el comité no emita ningún dictamen, la Comisión no adoptará el proyecto de acto de ejecución y se aplicará el artículo 5, apartado 4, párrafo tercero, del Reglamento (UE) nº 182/2011.

Artículo 57. Informes, seguimiento y evaluación

1. La Agencia eu-LISA presentará al Parlamento Europeo, al Consejo, a la Comisión y al Supervisor Europeo de Protección de Datos un informe anual sobre las actividades de Eurodac, incluidos su funcionamiento técnico y su seguridad. El informe anual incluirá información sobre la gestión y el funcionamiento de Eurodac, contrastados con indicadores cuantitativos definidos previamente para los objetivos relacionados con los resultados, rentabilidad y la calidad del servicio.

2. La Agencia eu-LISA garantizará el establecimiento de procedimientos para el control del funcionamiento de Eurodac en relación con los objetivos mencionados en el apartado 1.

3. A efectos del mantenimiento técnico y la elaboración de informes y estadísticas, eu-LISA tendrá acceso a la información necesaria relacionada con las operaciones de tratamiento que se realizan en Eurodac.

4. A más tardar el 12 de junio de 2027, eu-LISA realizará un estudio para dilucidar si es viable técnicamente añadir a Eurodac un programa informático de reconocimiento facial a efectos de comparación de imágenes faciales, también de menores. El estudio evaluará la fiabilidad y precisión de los resultados obtenidos a partir de programas informáticos de reconocimiento facial a efectos de Eurodac y formulará las recomendaciones necesarias antes de la introducción de la tecnología de reconocimiento facial en Eurodac.

5. A más tardar el 12 de junio de 2029 y, posteriormente, cada cuatro años, la Comisión realizará una evaluación global de Eurodac en la que comparará los resultados alcanzados con los objetivos y estudiará sus efectos sobre los derechos fundamentales, en particular el derecho de protección de datos y el derecho a la intimidad, entre otros si el acceso a efectos de aplicación de la ley ha dado lugar a la discriminación indirecta de personas incluidas en el ámbito de aplicación del presente Reglamento, y en la que examinará la vigencia de los fundamentos del sistema, incluido el empleo de programas informáticos de reconocimiento facial, y las posibles consecuencias para futuras operaciones, y formulará las recomendaciones necesarias. Dicha evaluación incluirá asimismo una evaluación de las sinergias entre el presente Reglamento y el Reglamento (UE) 2018/1862. La Comisión remitirá los informes de evaluación al Parlamento Europeo y al Consejo.

6. Los Estados miembros facilitarán a eu-LISA y a la Comisión la información necesaria para elaborar el informe anual a que se refiere el apartado 1.

7. La Agencia eu-LISA, los Estados miembros y Europol facilitarán a la Comisión la información necesaria para elaborar los informes de evaluación a que se refiere el apartado 5. Esta información no pondrá en peligro los métodos de trabajo ni incluir datos que revelen fuentes, miembros del personal o investigaciones de las autoridades designadas.

8. Respetando las disposiciones de la legislación nacional en materia de publicación de información sensible, cada Estado miembro y Europol prepararán informes bienales sobre la eficacia de la comparación de datos biométricos con los datos de Eurodac a efectos de aplicación de la ley, que comprenderán información y estadísticas sobre:

la finalidad exacta de la comparación, incluido el tipo del delito de terrorismo u otro delito grave;

los motivos de sospechas razonables alegados;

los motivos fundados alegados de conformidad con el artículo 33, apartado 1, letra a), del presente Reglamento, para no llevar a cabo la comparación con otros Estados miembros al amparo de la Decisión 2008/615/JAI;

el número de solicitudes de comparación;

el número y tipo de casos en que la identificación fue positiva, y

la necesidad y el recurso al caso excepcional de urgencia, incluyendo aquellos casos en los que la urgencia no fue aceptada, tras la verificación efectuada a posteriori por la autoridad verificadora.

Los informes de los Estados miembros y de Europol a que se refiere el párrafo primero se remitirán a la Comisión a más tardar el 30 de junio del año siguiente.

9. Sobre la base de los informes de los Estados miembros y de Europol a que se refiere el apartado 8 del presente artículo, junto con la evaluación general establecida en el apartado 5, la Comisión elaborará un informe bienal sobre el acceso a Eurodac a efectos de aplicación de la ley y se lo remitirá al Parlamento Europeo, al Consejo y al Supervisor Europeo de Protección de Datos.

Artículo 58. Evaluación

1. A más tardar el 12 de junio de 2028, la Comisión evaluará el funcionamiento y la eficiencia operativa de cualquier sistema informático utilizado para intercambiar los datos de los beneficiarios de protección temporal a efectos de la cooperación administrativa a que se refiere el artículo 27 de la Directiva 2001/55/CE.

2. La Comisión también evaluará la repercusión prevista de la aplicación del artículo 26 del presente Reglamento en caso de activación de la Directiva 2001/55/CE, teniendo en cuenta lo siguiente:

la naturaleza de los datos que se deben tratar;

la repercusión prevista de proporcionar acceso a los datos enumerados en el artículo 26, apartado 2, a las autoridades designadas a que se refieren el artículo 5, apartado 1, y el artículo 9, apartado 1, y

las salvaguardias establecidas en el presente Reglamento.

3. En función del resultado de las evaluaciones a que se refieren los apartados 1 y 2 del presente artículo, la Comisión realizará una propuesta legislativa por la que se modifique o derogue el artículo 26, en su caso.

Artículo 59. Sanciones

Los Estados miembros adoptarán todas las medidas necesarias para garantizar que cualquier tratamiento de los datos registrados en Eurodac que sea contrario a la finalidad de Eurodac en los términos establecidos en el artículo 1 sea objeto de sanciones, incluidas las administrativas o penales, o ambas, de conformidad con el Derecho nacional, que serán efectivas, proporcionadas y disuasorias.

Artículo 60. Ámbito territorial

Las disposiciones del presente Reglamento no serán de aplicación en cualquier territorio en el que no sea de aplicación el Reglamento (UE) 2024/1351, con excepción de las disposiciones relativas a los datos recopilados para contribuir a la aplicación del Reglamento (UE) 2024/1350 en virtud de las condiciones establecidas en el presente Reglamento.

Artículo 61. Notificación de las autoridades designadas y las autoridades verificadoras

1. A más tardar el 12 de septiembre de 2024, cada Estado miembro notificará a la Comisión sus autoridades designadas y las unidades operativas mencionadas en el artículo 5, apartado 3, y su autoridad verificadora y notificará inmediatamente cualquier modificación de las mismas.

2. A más tardar el 12 de septiembre de 2024, Europol notificará a la Comisión su autoridad designada y su autoridad verificadora y notificará inmediatamente cualquier modificación de las mismas.

3. La Comisión publicará la información mencionada en los apartados 1 y 2 en el Diario Oficial de la Unión Europea con carácter anual y a través de una publicación electrónica que esté disponible en línea y se actualice sin demora.

Artículo 62. Derogación

Queda derogado el Reglamento (UE) nº 603/2013 del Parlamento Europeo y del Consejo (38) con efectos a partir del 12 de junio de 2026.

Las referencias al Reglamento derogado se entenderán hechas al presente Reglamento con arreglo a la tabla de correspondencias que figura en el anexo II.

Artículo 63. Entrada en vigor y aplicabilidad

1. El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2. El presente Reglamento será aplicable a partir del 12 de junio de 2026.

No obstante, el artículo 26 se aplicará a partir del 12 de junio de 2029.

3. El presente Reglamento no será aplicable a las personas que gozan de protección temporal, ni de cualquier otra protección nacional equivalente, en virtud de la Decisión de Ejecución (UE) 2022/382, de futuras modificaciones de dicha Decisión y de cualquier prórroga de dicha protección temporal.

4. Los Estados miembros y eu-LISA acordarán a más tardar el 12 de diciembre de 2024 el documento de control de las interfaces.

5. Se aplicarán comparaciones de imágenes faciales utilizando programas de reconocimiento facial, según lo establecido en los artículos 15 y 16 del presente Reglamento, a partir de la fecha en que se haya introducido en Eurodac la tecnología de reconocimiento facial. En el plazo de un año a partir de la conclusión del estudio sobre la introducción del programa informático de reconocimiento facial a que se refiere el artículo 57, apartado 4, se introducirá un programa de reconocimiento facial en Eurodac. Hasta esa fecha, las imágenes faciales se conservarán en Eurodac como parte de los conjuntos de datos del interesado y se transmitirán a un Estado miembro a raíz de la comparación de las impresiones dactilares en los casos en que se obtenga una respuesta positiva.

6. Los Estados miembros notificarán a la Comisión y a eu-LISA en cuanto hayan completado las medidas técnicas para transmitir datos a Eurodac, a más tardar antes del 12 de junio de 2026.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en los Estados miembros de conformidad con los Tratados.

Hecho en Bruselas, el 14 de mayo de 2024.

Por el Parlamento Europeo, La Presidenta, R. METSOLA

Por el Consejo, La Presidenta, H. LAHBIB

ANEXO I. Cuadro de correspondencias a que se refiere el artículo 8

Datos proporcionados en virtud del artículo Datos correspondientes en

17, apartado 2, del Reglamento (UE) 2018/1240 Eurodac de conformidad

del Parlamento Europeo y del Consejo con los artículos 17, 19, 21,

registrados y conservados por el Sistema 22, 23, 24 y 26 del presente

Central del SEIAV Reglamento con los que deberán

cotejarse los datos del SEIAV

apellido(s) apellido o apellidos

apellido(s) de nacimiento nombre o nombres de nacimiento

nombre(s) nombre o nombres

otros nombres (alias, nombres artísticos,

nombres habituales) nombres usados con anterioridad y alias

fecha de nacimiento fecha de nacimiento

lugar de nacimiento lugar de nacimiento

sexo sexo

nacionalidad actual nacionalidad o nacionalidades

otras nacionalidades (en su caso) nacionalidad o nacionalidades

tipo de documento de viaje tipo de documento de viaje

número del documento de viaje número del documento de viaje

país de expedición del documento de viaje código de tres letras del país expedidor

ANEXO II. Tabla de correspondencias

Reglamento UE) nº 603/2013 El presente Reglamento

Artículo 1, apartado 1 Artículo 1, apartado 1, letras a) y c)

— Artículo 1, apartado 1, letras b) y d)

Artículo 1, apartado 2 Artículo 1, apartado 1, letra e)

— Artículo 1, apartado 1, letras f) a j)

Artículo 1, apartado 3 Artículo 1, apartado 2

Artículo 2, apartado 1, parte introductoria Artículo 2, apartado 1, parte introductoria

Artículo 2, apartado 1, letras a) y b) Artículo 2, apartado 1, letras a) y e)

— Artículo 2, apartado 1, letras b), c) y d)

— Artículo 2, apartado 1, letras f) y g)

Artículo 2, apartado 1, letra c) Artículo 2, apartado 1, letra h)

— Artículo 2, apartado 1, letra i)

Artículo 2, apartado 1, letra d) Artículo 2, apartado 1, letra j)

Artículo 2, apartado 1, letra e) Artículo 2, apartado 1, letra k)

— Artículo 2, apartado 1, letra l)

Artículo 2, apartado 1, letra f) —

Artículo 2, apartado 1, letra g) —

Artículo 2, apartado 1, letra h) Artículo 2, apartado 1, letra m)

Artículo 2, apartado 1, letra i) Artículo 2, apartado 1, letra n)

Artículo 2, apartado 1, letra j) Artículo 2, apartado 1, letra o)

Artículo 2, apartado 1, letra k) Artículo 2, apartado 1, letra p)

Artículo 2, apartado 1, letra l) Artículo 2, apartado 1, letra q)

— Artículo 2, apartado 1, letras r) a z)

Artículo 2, apartados 2, 3 y 4 Artículo 2, apartados 2, 3 y 4

Artículo 3, apartado 1, parte introductoria

y letras a) y b) Artículo 3, apartado 1, parte introductoria y letras a) y b)

— Artículo 3, apartado 1, letras c) y d)

— Artículo 3, apartado 2

— Artículo 3, apartado 3

Artículo 3, apartado 2 Artículo 3, apartado 4

Artículo 3, apartado 3 Artículo 3, apartado 5

— Artículo 3, apartado 6

Artículo 3, apartado 4 Artículo 3, apartado 7

Artículo 3, apartado 5 Artículo 13, apartado 6

Artículo 4, apartado 1 Artículo 4, apartado 1

Artículo 4, apartado 2 Artículo 4, apartado 3

Artículo 4, apartado 3 Artículo 4, apartado 4

— Artículo 4, apartado 2

Artículo 4, apartado 4 Artículo 4, apartado 5

Artículo 5 Artículo 5

Artículo 6 Artículo 6

Artículo 7 Artículo 7

— Artículo 8

— Artículo 9

— Artículo 10

— Artículo 11

Artículo 8, apartado 1 parte introductoria Artículo 12, apartado 1, parte introductoria

— Artículo 12, apartado 1, letras a) a h)

Artículo 8, apartado 1, letra a) Artículo 12, apartado 1, letra i)

— Artículo 12, apartado 1, letra j)

Artículo 8, apartado 1, letra b) Artículo 12, apartado 1, letra k), inciso i)

— Artículo 12, apartado 1, letra l)

Artículo 8, apartado 1, letra c) Artículo 12, apartado 1, letra m), inciso i)

Artículo 8, apartado 1, letra d) Artículo 12, apartado 1, letra n), inciso i)

— Artículo 12, apartado 1, letras o) y p)

Artículo 8, apartado 1, letra e) Artículo 12, apartado 1, letra q)

Artículo 8, apartado 1, letra f) Artículo 12, apartado 1, letra r)

Artículo 8, apartado 1, letra g) Artículo 12, apartado 1, letra s)

Artículo 8, apartado 1, letra h) Artículo 12, apartado 1, letra t)

Artículo 8, apartado 1, letra i) —

— Artículo 12, apartado 1, letra u)

— Artículo 12, apartado 1, letras v) y w)

Artículo 8, apartado 2 Artículo 12, apartado 2

— Artículo 12, apartados 3 a 6

— Artículo 13

— Artículo 14

Artículo 9, apartado 1 Artículo 15, apartado 1

Artículo 9, apartado 2 Artículo 15, apartado 2

Artículo 9, apartado 3 —

Artículo 9, apartado 4 —

Artículo 9, apartado 5 —

— Artículo 15, apartado 3

— Artículo 16, apartado 1

Artículo 10, parte introductoria y letras a) a d)Artículo 16, apartado 2, parte introductoria y letras a y d)

Artículo 10, letra e) Artículo 16, apartado 3

— Artículo 16, apartados 2 y 4

Artículo 11, parte introductoria Artículo 17, apartado 1, parte introductoria, y

artículo 17, apartado 2, parte introductoria

Artículo 11, letra a) Artículo 17, apartado 1, letra a)

Artículo 11, letra b) Artículo 17, apartado 1, letra g)

Artículo 11, letra c) Artículo 17, apartado 1, letra h)

Artículo 11, letra d) Artículo 17, apartado 1, letra k)

Artículo 11, letra e) Artículo 17, apartado 1, letra l)

Artículo 11, letra f) Artículo 17, apartado 1, letra m)

Artículo 11, letra g) Artículo 17, apartado 1, letra n)

— Artículo 17, apartado 1, letras b) a f), i) y j)

Artículo 11, letra h) Artículo 17, apartado 2, letras c) y d)

Artículo 11, letra i) Artículo 17, apartado 2, letra e)

Artículo 11, letra j) Artículo 17, apartado 2, letra f)

Artículo 11, letra k) Artículo 17, apartado 2, letra a)

— Artículo 17, apartado 2, letras b) y g) a l)

— Artículo 17, apartados 3 y 4

Artículo 12 —

Artículo 13 —

— Artículo 18

— Artículo 19

— Artículo 20

— Artículo 21

Artículo 14, apartado 1 Artículo 22, apartado 1

Artículo 14, apartado 2, parte introductoria Artículo 22, apartado 2, parte introductoria

Artículo 14, apartado 2, letra a) Artículo 22, apartado 2, letra a)

Artículo 14, apartado 2, letra b) Artículo 22, apartado 2, letra g)

Artículo 14, apartado 2, letra c) Artículo 22, apartado 2, letra h)

Artículo 14, apartado 2, letra d) Artículo 22, apartado 2, letra k)

Artículo 14, apartado 2, letra e) Artículo 22, apartado 2, letra l)

Artículo 14, apartado 2, letra f) Artículo 22, apartado 2, letra m)

Artículo 14, apartado 2, letra g) Artículo 22, apartado 2, letra n)

— Artículo 22, apartado 2, letras b) a f), i) y j)

— Artículo 22, apartado 3

Artículo 14, apartado 3 Artículo 22, apartado 4

Artículo 14, apartado 4 Artículo 22, apartado 5

Artículo 14, apartado 5 Artículo 22, apartado 6

— Artículo 22, apartados 7 a 10

Artículo 15 —

Artículo 16 —

Artículo 17 —

— Artículo 23

— Artículo 24

— Artículo 25

— Artículo 26

— Artículo 27

— Artículo 28

— Artículo 29

— Artículo 30

Artículo 18, apartado 1 Artículo 31, apartado 1

Artículo 18, apartado 2 Artículo 31, apartado 2

Artículo 18, apartado 3 Artículo 31, apartado 3

— Artículo 31, apartados 4, 5 y 6

Artículo 19, apartado 1 Artículo 32, apartado 1

Artículo 19, apartado 2 Artículo 32, apartado 2

— Artículo 32, apartado 3

Artículo 19, apartado 3 Artículo 32, apartado 4

Artículo 19, apartado 4 Artículo 32, apartado 5

Artículo 20, apartado 1, parte introductoria Artículo 33, apartado 1, párrafo primero,

Parte introductoria y letra a) y párrafo

segundo

Artículo 20, apartado 1, letras a), b) y c) Artículo 33, apartado 1, párrafo primero,

letras a), b) y c)

— Artículo 33, apartado 2

Artículo 20, apartado 2 Artículo 33, apartado 3

Artículo 21, apartado 1, parte introductoria Artículo 34, apartado 1, parte introductoria y

letra a)

Artículo 21, apartado 1, letras a), b) y c) Artículo 34, apartado 1, letras b), c) y d)

— Artículo 34, apartado 2

Artículo 21, apartado 2 Artículo 34, apartado 3

Artículo 21, apartado 3 Artículo 34, apartado 4

Artículo 22, apartado 1 Artículo 35, apartado 1

Artículo 22, apartado 2 Artículo 35, apartado 2

Artículo 23, apartado 1, parte introductoria Artículo 36, apartado 1, parte introductoria

Artículo 23, apartado 1, letras a) y b) Artículo 36, apartado 1, letra a)

Artículo 23, apartado 1, letras c), d) y e) Artículo 36, apartado 1, letras b), c) y d)

Artículo 23, apartado 2 Artículo 36, apartado 2

Artículo 23, apartado 3 Artículo 36, apartado 3

Artículo 23, apartado 4, letras a), b) y c) Artículo 36, apartado 4, letras a), b) y c)

Artículo 24 Artículo 37

Artículo 25, apartados 1 a 5 Artículo 38, apartados 1 a 4 y apartado 6

— Artículo 38, apartado 5

Artículo 26 Artículo 39

Artículo 27, apartados 1 a 5 Artículo 40, apartados 1, 2, 3, 5 y 6

— Artículo 40, apartado 4

Artículo 28, apartados 1, 2 y 3 Artículo 41, apartados 1, 4 y 5

— Artículo 41, apartados 2 y 3

Artículo 29, apartado 1, parte introductoria

y letras a) a e) Artículo 42, apartado 1, letras a), b), d), e) y

— Artículo 42, apartado 1, letras c), f) y h)

Artículo 29, apartado 2 Artículo 42, apartado 2

Artículo 29, apartado 3 Artículo 42, apartado 3

Artículo 29, apartados 4 a 15 —

— Artículo 43, apartado 1

— Artículo 43, apartado 2

— Artículo 43, apartado 3

— Artículo 43, apartado 4

— Artículo 43, apartado 5

— Artículo 43, apartado 6

— Artículo 43, apartado 7

— Artículo 43, apartado 8

Artículo 30 Artículo 44

Artículo 31 Artículo 45

Artículo 32 Artículo 46

Artículo 33, apartado 1 —

Artículo 33, apartado 2 Artículo 47, apartado 1

Artículo 33, apartado 3 Artículo 47, apartado 2

Artículo 33, apartado 4 Artículo 47, apartado 3

Artículo 33, apartado 5 Artículo 47, apartado 4

Artículo 34, apartado 1 Artículo 48, apartado 1

Artículo 34, apartado 2, parte

introductoria y letras a) a k) Artículo 48, apartado 2, parte introductoria y

letras a) a d), f) a k) y n)

— Artículo 48, apartado 2, letras e), l) y m)

Artículo 34, apartado 3 Artículo 48, apartado 3

Artículo 34, apartado 4 Artículo 48, apartado 4

— Artículo 48, apartado 5

Artículo 35, apartado 1 Artículo 49, apartado 1

Artículo 35, apartado 2 Artículo 49, apartado 2

— Artículo 49, apartado 3

— Artículo 49, apartado 4

Artículo 35, apartado 3 Artículo 49, apartado 5

— Artículo 50

Artículo 36, apartado 1 Artículo 51, apartado 1

Artículo 36, apartado 2, parte introductoria

y letras a) a h) Artículo 51, apartado 2, parte introductoria y

letras a) a h)

— Artículo 51, apartado 2, letra i)

Artículo 36, apartado 3 Artículo 51, apartado 3

Artículo 37 Artículo 52

Artículo 38 —

— Artículo 53

— Artículo 54

Artículo 39 Artículo 55

— Artículo 56

Artículo 40, apartado 1 Artículo 57, apartado 1

Artículo 40, apartado 2 Artículo 57, apartado 2

Artículo 40, apartado 3 Artículo 57, apartado 3

— Artículo 57, apartado 4

Artículo 40, apartado 4 Artículo 57, apartado 5

Artículo 40, apartado 5 Artículo 57, apartado 6

Artículo 40, apartado 6 Artículo 57, apartado 7

Artículo 40, apartado 7 Artículo 57, apartado 8

Artículo 40, apartado 8 Artículo 57, apartado 9

— Artículo 58

Artículo 41 Artículo 59

Artículo 42 Artículo 60

Artículo 43 Artículo 61

Artículo 44 —

Artículo 45 Artículo 62

Artículo 46 Artículo 63

Anexo I —

Anexo II —

Anexo III —

— Anexo I

— Anexo II

ELI:http://data.europa.eu/eli/reg./2024/1358/oj

ISSN 1977-0685 (electrónica edition)

(*1) Reglamento (UE) 2024/1358 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, sobre la creación del sistema “Eurodac” para la comparación de datos biométricos a efectos de la aplicación efectiva del Reglamento (UE) 2024/1351 y (UE) 2024/1350 del Parlamento Europeo y del Consejo y de la Directiva 2001/55/CE del Consejo y de la identificación de nacionales de terceros países o apátridas en situación irregular, y sobre las solicitudes de comparación con los datos de Eurodac presentadas por los servicios de seguridad de los Estados miembros y Europol a efectos de aplicación de la ley, por el que se modifican los Reglamentos (UE) 2018/1240 y (UE) 2019/818 del Parlamento Europeo y del Consejo y se deroga el Reglamento (UE) nº 603/2013 del Parlamento Europeo y del Consejo (DO L, 2024/1358, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1358/oj).»

(*2) Reglamento (UE) 2024/1358 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024,sobre la creación del sistema “Eurodac” para la comparación de datos biométricos a efectos de la aplicación efectiva de los Reglamentos (UE) 2024/1351 y (UE) 2024/1350 del Parlamento Europeo y del Consejo y de la Directiva 2001/55/CE del Consejo y de la identificación de nacionales de terceros países o apátridas en situación irregular, y sobre las solicitudes de comparación con los datos de Eurodac presentadas por los servicios de seguridad de los Estados miembros y Europol a efectos de aplicación de la ley, por el que se modifican los Reglamentos (UE) 2018/1240 y (UE) 2019/818 del Parlamento Europeo y del Consejo y se deroga el Reglamento (UE) nº 603/2013 del Parlamento Europeo y del Consejo (DO L, 2024/1358, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1358/oj).”

(*3) Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo, de 30 de noviembre de 2017, por el que se establece un Sistema de Entradas y Salidas (SES) para registrar los datos de entrada y salida y de denegación de entrada relativos a nacionales de terceros países que crucen las fronteras exteriores de los Estados miembros, se determinan las condiciones de acceso al SES con fines policiales y se modifican el Convenio de aplicación del Acuerdo de Schengen y los Reglamentos (CE) nº 767/2008 y (UE) nº 1077/2011 (DO L 327 de 9.12.2017, p. 20).”

(*4) Reglamento (UE) 2018/1240 del Parlamento Europeo y del Consejo, de 12 de septiembre de 2018, por el que se establece un Sistema Europeo de Información y Autorización de Viajes (SEIAV) y por el que se modifican los Reglamentos (UE) nº 1077/2011, (UE) nº 515/2014, (UE) 2016/399, (UE) 2016/1624 y (UE) 2017/2226 (DO L 236 de 19.9.2018, p. 1).».”

(1) DO C 34 de 2.2.2017, p. 144, y DO C 155 de 30.4.2021, p. 64.

(2) DO C 185 de 9.6.2017, p. 91, y DO C 175 de 7.5.2021, p. 32.

(3) Posición del Parlamento Europeo de 10 de abril de 2024 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 14 de mayo de 2024.

(4) Reglamento (UE) 2024/1351 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, sobre la gestión del asilo y la migración, por el que se modifican los Reglamentos (UE) 2021/1147 y (UE) 2021/1060 y se deroga el Reglamento (UE) nº 604/2013 (DO L, 2024/1351, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1351/oj).

(5) Reglamento (UE) 2024/1350 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, por el que se establece el Marco de Reasentamiento y Admisión Humanitaria de la Unión y se modifica el Reglamento (UE) 2021/1147 (DO L, 2024/1350, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1350/oj).

(6) Reglamento (UE) 2024/1346 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, por el que se establece un procedimiento común en materia de protección internacional en la Unión y se deroga la Directiva 2013/32/UE (DO L, 2024/1348, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1348/oj).

(7) Reglamento (UE) 2024/1347 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, sobre normas relativas a los requisitos para el reconocimiento de nacionales de terceros países o apátridas como beneficiarios de protección internacional, a un estatuto uniforme para los refugiados o para las personas que pueden acogerse a protección subsidiaria y al contenido de la protección concedida, y por el que se modifica la Directiva 2003/109/CE del Consejo y se deroga la Directiva 2011/95/UE del Parlamento Europeo y del Consejo (DO L, 2024/1347, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1347/oj).

(8) Directiva (UE) 2024/1346 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, por la que se establecen normas para la acogida de los solicitantes de protección internacional (DO L, 2024/1346, 22.5.2024, ELI: http://data.europa.eu/eli/dir/2024/1346/oj).

(9) Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo y por la que se sustituye la Decisión Marco 2002/475/JAI del Consejo y se modifica la Decisión 2005/671/JAI del Consejo (DO L 88 de 31.3.2017, p. 6).

(10) Decisión Marco 2002/584/JAI del Consejo, de 13 de junio de 2002, relativa a la orden de detención europea y a los procedimientos de entrega entre Estados miembros (DO L 190 de 18.7.2002, p. 1).

(11) Directiva 2001/55/CE del Consejo, de 20 de julio de 2001, relativa a las normas mínimas para la concesión de protección temporal en caso de afluencia masiva de personas desplazadas y a medidas de fomento de un esfuerzo equitativo entre los Estados miembros para acoger a dichas personas y asumir las consecuencias de su acogida (DO L 212 de 7.8.2001, p. 12).

(12) Decisión de Ejecución (UE) 2022/382 del Consejo, de 4 de marzo de 2022, por la que se constata la existencia de una afluencia masiva de personas desplazadas procedentes de Ucrania en el sentido del artículo 5 de la Directiva 2001/55/CE y con el efecto de que se inicie la protección temporal (DO L 71 de 4.3.2022, p. 1).

(13) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(14) Reglamento (UE) 2018/1726 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a la Agencia de la Unión Europea para la Gestión Operativa de Sistemas Informáticos de Gran Magnitud en el Espacio de Libertad, Seguridad y Justicia (eu-LISA), y por el que se modifican el Reglamento (CE) nº 1987/2006 y la Decisión 2007/533/JAI del Consejo y se deroga el Reglamento (UE) nº 1077/2011 (DO L 295 de 21.11.2018, p. 99).

(15) Reglamento (UE) 2019/817 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad de los sistemas de información de la UE en el ámbito de las fronteras y los visados y por el que se modifican los Reglamentos (CE) nº 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 y (UE) 2018/1861 del Parlamento Europeo y del Consejo, y las Decisiones 2004/512/CE y 2008/633/JAI del Consejo (DO L 135 de 22.5.2019, p. 27).

(16) Reglamento (UE) 2019/818 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativo al establecimiento de un marco para la interoperabilidad entre los sistemas de información de la UE en el ámbito de la cooperación policial y judicial, el asilo y la migración y por el que se modifican los Reglamentos (UE) 2018/1726, (UE) 2018/1862 y (UE) 2019/816 (DO L 135 de 22.5.2019, p. 85).

(17) Reglamento (UE) 2018/1240 del Parlamento Europeo y del Consejo, de 12 de septiembre de 2018, por el que se establece un Sistema Europeo de Información y Autorización de Viajes (SEIAV) y por el que se modifican los Reglamentos (UE) nº 1077/2011, (UE) nº 515/2014, (UE) 2016/399, (UE) 2016/1624 y (UE) 2017/2226 (DO L 236 de 19.9.2018, p. 1).

(18) Reglamento (CE) nº 767/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre el Sistema de Información de Visados (VIS) y el intercambio de datos sobre visados de corta duración entre los Estados miembros (Reglamento VIS) (DO L 218 de 13.8.2008, p. 60).

(19) Reglamento (UE) 2017/2226 del Parlamento Europeo y del Consejo, de 30 de noviembre de 2017, por el que se establece un Sistema de Entradas y Salidas (SES) para registrar los datos de entrada y salida y de denegación de entrada relativos a nacionales de terceros países que crucen las fronteras exteriores de los Estados miembros, se determinan las condiciones de acceso al SES con fines policiales y se modifican el Convenio de aplicación del Acuerdo de Schengen y los Reglamentos (CE) nº 767/2008 y (UE) nº 1077/2011 (DO L 327 de 9.12.2017, p. 20).

(20) Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

(21) Directiva 2008/115/CE del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, relativa a normas y procedimientos comunes en los Estados miembros para el retorno de los nacionales de terceros países en situación irregular (DO L 348 de 24.12.2008, p. 98).

(22) Reglamento (UE) 2019/1896 del Parlamento Europeo y del Consejo, de 13 de noviembre de 2019, sobre la Guardia Europea de Fronteras y Costas y por el que se derogan los Reglamentos (UE) nº 1052/2013 y (UE) 2016/1624 (DO L 295 de 14.11.2019, p. 1).

(23) Reglamento (UE) 2021/2303 del Parlamento Europeo y del Consejo, de 15 de diciembre de 2021, relativo a la Agencia de Asilo de la Unión Europea y por el que se deroga el Reglamento (UE) nº 439/2010 (DO L 468 de 30.12.2021, p. 1).

(24) Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol) y por el que se sustituyen y derogan las Decisiones 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI y 2009/968/JAI del Consejo (DO L 135 de 24.5.2016, p. 53).

(25) Sentencia del Tribunal de Justicia, de 8 de abril de 2014, Digital Rights Ireland Ltd/Minister for Comunications, Marine and Natural Resources y otros y Kärntner Landesregierung y otros, asuntos acumulados C-293/12 y C-594/12, ECLI:EU:C:2014:238; sentencia del Tribunal de Justicia, de 21 de diciembre de 2016, Tele2 Sverige AB / Post-och telestyrelsen y Secretary of State for the Home Department y Tom Watson, asuntos acumulados C-203/15 y C-698/15, ECLI:EU:C:2016:970.

(26) Convenio relativo a la determinación del Estado responsable del examen de las solicitudes de asilo presentadas en los Estados miembros de las Comunidades Europeas — Convenio de Dublín (DO C 254 de 19.8.1997, p. 1).

(27) Convenio de aplicación del Acuerdo de Schengen, de 14 de junio de 1985, entre los Gobiernos de los Estados de la Unión Económica Benelux, de la República Federal de Alemania y de la República Francesa relativo a la supresión gradual de los controles en las fronteras comunes (DO L 239 de 22.9.2000, p. 19).

(28) Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal, por el que se modifica y deroga la Decisión 2007/533/JAI del Consejo, y se derogan el Reglamento (CE) nº 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE de la Comisión (DO L 312 de 7.12.2018, p. 56).

(29) Decisión 2008/615/JAI del Consejo, de 23 de junio de 2008, sobre la profundización de la cooperación transfronteriza, en particular en materia de lucha contra el terrorismo y la delincuencia transfronteriza (DO L 210 de 6.8.2008, p. 1).

(30) Decisión 2008/633/JAI del Consejo, de 23 de junio de 2008, sobre el acceso para consultar el Sistema de Información de Visados (VIS) por las autoridades designadas de los Estados miembros y por Europol, con fines de prevención, detección e investigación de delitos de terrorismo y otros delitos graves (DO L 218 de 13.8.2008, p. 129).

(31) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

(32) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(33) Directiva 2004/38/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al derecho de los ciudadanos de la Unión y de los miembros de sus familias a circular y residir libremente en el territorio de los Estados miembros, por la que se modifica el Reglamento (CEE) nº 1612/68 y se derogan las Directivas 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE y 93/96/CEE (DO L 158 de 30.4.2004, p. 77).

(34) Reglamento (UE) 2016/399 del Parlamento Europeo y del Consejo, de 9 de marzo de 2016, por el que se establece un Código de normas de la Unión para el cruce de personas por las fronteras (Código de fronteras Schengen) (DO L 77 de 23.3.2016, p. 1).

(35) Reglamento (CEE, Euratom, CECA) nº 259/68 del Consejo, de 29 de febrero de 1968, por el que se establece el Estatuto de los funcionarios de las Comunidades Europeas y el régimen aplicable a los otros agentes de estas Comunidades y por el que se establecen medidas específicas aplicables temporalmente a los funcionarios de la Comisión ( DO L 56 de 4.3.1968, p. 1).

(36) Reglamento (CE) nº 810/2009 del Parlamento Europeo y del Consejo, de 13 de julio de 2009, por el que se establece un Código comunitario sobre visados (Código de Visados) (DO L 243 de 15.9.2009, p. 1).

(37) Reglamento (UE) 2024/1356 del Parlamento Europeo y del Consejo, de 14 de mayo de 2024, por el que se introduce el triaje de nacionales de terceros países en las fronteras exteriores y se modifican los Reglamentos (CE) nº 767/2008, (UE) 2017/2226, (UE) 2018/1240 y (UE) 2019/817 (DO L, 2024/1356, 22.5.2024, ELI: http://data.europa.eu/eli/reg/2024/1356/oj).

(38) Reglamento (UE) n o 603/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativo a la creación del sistema «Eurodac» para la comparación de las impresiones dactilares para la aplicación efectiva del Reglamento (UE) n o 604/2013, por el que se establecen los criterios y mecanismos de determinación del Estado miembro responsable del examen de una solicitud de protección internacional presentada en uno de los Estados miembros por un nacional de un tercer país o un apátrida, y a las solicitudes de comparación con los datos de Eurodac presentadas por los servicios de seguridad de los Estados miembros y Europol a efectos de aplicación de la ley, y por el que se modifica el Reglamento (UE) n o 1077/2011, por el que se crea una Agencia europea para la gestión operativa de sistemas informáticos de gran magnitud en el espacio de libertad, seguridad y justicia (DO L 180 de 29.6.2013, p. 1).

01Ago/24

Lei nº 27/2021, de 17 de maio

1 agosto, 2024Ley, PortugalJosé Cuervo

Lei nº 27/2021, de 17 de maio, que aprovou a Carta Portuguesa de Direitos Humanos na Era Digital

Lei n.º 27/2021 de 17 de maio

Carta Portuguesa de Direitos Humanos na Era Digital

A Assembleia da República decreta, nos termos da alínea c) do artigo 161.º da Constituição, o seguinte:

Artigo 1.º Objeto

A presente lei aprova a Carta Portuguesa de Direitos Humanos na Era Digital.

Artigo 2.º Direitos em ambiente digital

1 – A República Portuguesa participa no processo mundial de transformação da Internet num instrumento de conquista de liberdade, igualdade e justiça social e num espaço de promoção, proteção e livre exercício dos direitos humanos, com vista a uma inclusão social em ambiente digital.

2 – As normas que na ordem jurídica portuguesa consagram e tutelam direitos, liberdades e garantias são plenamente aplicáveis no ciberespaço.

Artigo 3.º Direito de acesso ao ambiente digital

1 – Todos, independentemente da ascendência, género, raça, língua, território de origem, religião, convicções políticas ou ideológicas, instrução, situação económica, condição social ou orientação sexual, têm o direito de livre acesso à Internet.

2 – Com vista a assegurar um ambiente digital que fomente e defenda os direitos humanos, compete ao Estado promover:

a) O uso autónomo e responsável da Internet e o livre acesso às tecnologias de informação e comunicação;

b) A definição e execução de programas de promoção da igualdade de género e das competências digitais nas diversas faixas etárias;

c) A eliminação de barreiras no acesso à Internet por pessoas portadoras de necessidades especiais a nível físico, sensorial ou cognitivo, designadamente através da definição e execução de programas com esse fim;

d) A redução e eliminação das assimetrias regionais e locais em matéria de conectividade, assegurando a sua existência nos territórios de baixa densidade e garantindo em todo o território nacional conectividade de qualidade, em banda larga e a preço acessível;

e) A existência de pontos de acesso gratuitos em espaços públicos, como bibliotecas, juntas de freguesia, centros comunitários, jardins públicos, hospitais, centros de saúde, escolas e outros serviços públicos;

f) A criação de uma tarifa social de acesso a serviços de Internet aplicável a clientes finais economicamente vulneráveis;

g) A execução de programas que garantam o acesso a instrumentos e meios tecnológicos e digitais por parte da população, para potenciar as competências digitais e o acesso a plataformas eletrónicas, em particular dos cidadãos mais vulneráveis;

h) A adoção de medidas e ações que assegurem uma melhor acessibilidade e uma utilização mais avisada, que contrarie os comportamentos aditivos e proteja os consumidores digitalmente vulneráveis;

i) A continuidade do domínio de Internet de Portugal «.PT», bem como das condições que o tornam acessível tecnológica e financeiramente a todas as pessoas singulares e coletivas para registo de domínios em condições de transparência e igualdade;

j) A definição e execução de medidas de combate à disponibilização ilícita e à divulgação de conteúdos ilegais em rede e de defesa dos direitos de propriedade intelectual e das vítimas de crimes praticados no ciberespaço.

Artigo 4.º Liberdade de expressão e criação em ambiente digital

1 – Todos têm o direito de exprimir e divulgar o seu pensamento, bem como de criar, procurar, obter e partilhar ou difundir informações e opiniões em ambiente digital, de forma livre, sem qualquer tipo ou forma de censura, sem prejuízo do disposto na lei relativamente a condutas ilícitas.

2 – A República Portuguesa participa nos esforços internacionais para que o ciberespaço permaneça aberto à livre circulação das ideias e da informação e assegure a mais ampla liberdade de expressão, assim como a liberdade de imprensa.

3 – Todos têm o direito de beneficiar de medidas públicas de promoção da utilização responsável do ciberespaço e de proteção contra todas as formas de discriminação e crime, nomeadamente contra a apologia do terrorismo, o incitamento ao ódio e à violência contra pessoa ou grupo de pessoas por causa da sua raça, cor, origem étnica ou nacional, ascendência, religião, sexo, orientação sexual, identidade de género ou deficiência física ou psíquica, o assédio ou exploração sexual de crianças, a mutilação genital feminina e a perseguição.

4 – A criação de obras literárias, científicas ou artísticas originais, bem como as equiparadas a originais e as prestações dos artistas intérpretes ou executantes, dos produtores de fonogramas e de videogramas e dos organismos de radiodifusão gozam de especial proteção contra a violação do disposto no Código do Direito de Autor e dos Direitos Conexos, aprovado pelo Decreto-Lei n.º 63/85, de 14 de março, em ambiente digital.

Artigo 5.º Garantia do acesso e uso

É proibida a interrupção intencional de acesso à Internet, seja parcial ou total, ou a limitação da disseminação de informação ou de outros conteúdos, salvo nos casos previstos na lei.

Artigo 6.º Direito à proteção contra a desinformação

1 – O Estado assegura o cumprimento em Portugal do Plano Europeu de Ação contra a Desinformação, por forma a proteger a sociedade contra pessoas singulares ou coletivas, de jure ou de facto, que produzam, reproduzam ou difundam narrativa considerada desinformação, nos termos do número seguinte.

2 – Considera-se desinformação toda a narrativa comprovadamente falsa ou enganadora criada, apresentada e divulgada para obter vantagens económicas ou para enganar deliberadamente o público, e que seja suscetível de causar um prejuízo público, nomeadamente ameaça aos processos políticos democráticos, aos processos de elaboração de políticas públicas e a bens públicos.

3 – Para efeitos do número anterior, considera-se, designadamente, informação comprovadamente falsa ou enganadora a utilização de textos ou vídeos manipulados ou fabricados, bem como as práticas para inundar as caixas de correio eletrónico e o uso de redes de seguidores fictícios.

4 – Não estão abrangidos pelo disposto no presente artigo os meros erros na comunicação de informações, bem como as sátiras ou paródias.

5 – Todos têm o direito de apresentar e ver apreciadas pela Entidade Reguladora para a Comunicação Social queixas contra as entidades que pratiquem os atos previstos no presente artigo, sendo aplicáveis os meios de ação referidos no artigo 21.º e o disposto na Lei n.º 53/2005, de 8 de novembro, relativamente aos procedimentos de queixa e deliberação e ao regime sancionatório.

6 – O Estado apoia a criação de estruturas de verificação de factos por órgãos de comunicação social devidamente registados e incentiva a atribuição de selos de qualidade por entidades fidedignas dotadas do estatuto de utilidade pública.

Artigo 7.º Direitos de reunião, manifestação, associação e participação em ambiente digital

1 – A todos é assegurado o direito de reunião, manifestação, associação e participação de modo pacífico em ambiente digital e através dele, designadamente para fins políticos, sociais e culturais, bem como de usar meios de comunicação digitais para a organização e divulgação de ações cívicas ou a sua realização no ciberespaço.

2 – Os órgãos de soberania e de poder regional e local asseguram a possibilidade de exercício dos direitos de participação legalmente previstos através de plataformas digitais ou outros meios digitais.

Artigo 8.º Direito à privacidade em ambiente digital

1 – Todos têm direito a comunicar eletronicamente usando a criptografia e outras formas de proteção da identidade ou que evitem a recolha de dados pessoais, designadamente para exercer liberdades civis e políticas sem censura ou discriminação.

2 – O direito à proteção de dados pessoais, incluindo o controlo sobre a sua recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição, é assegurado nos termos legais.

Artigo 9.º Uso da inteligência artificial e de robôs

1 – A utilização da inteligência artificial deve ser orientada pelo respeito dos direitos fundamentais, garantindo um justo equilíbrio entre os princípios da explicabilidade, da segurança, da transparência e da responsabilidade, que atenda às circunstâncias de cada caso concreto e estabeleça processos destinados a evitar quaisquer preconceitos e formas de discriminação.

2 – As decisões com impacto significativo na esfera dos destinatários que sejam tomadas mediante o uso de algoritmos devem ser comunicadas aos interessados, sendo suscetíveis de recurso e auditáveis, nos termos previstos na lei.

3 – São aplicáveis à criação e ao uso de robôs os princípios da beneficência, da não-maleficência, do respeito pela autonomia humana e pela justiça, bem como os princípios e valores consagrados no artigo 2.º do Tratado da União Europeia, designadamente a não discriminação e a tolerância.

Artigo 10.º Direito à neutralidade da Internet

Todos têm direito a que os conteúdos transmitidos e recebidos em ambiente digital não sejam sujeitos a discriminação, restrição ou interferência em relação ao remetente, ao destinatário, ao tipo ou conteúdo da informação, ao dispositivo ou aplicações utilizados, ou, em geral, a escolhas legítimas das pessoas.

Artigo 11.º Direito ao desenvolvimento de competências digitais

1 – Todos têm direito à educação para a aquisição e o desenvolvimento de competências digitais.

2 – O Estado promove e executa programas que incentivem e facilitem o acesso, por parte das várias faixas etárias da população, a meios e instrumentos digitais e tecnológicos, por forma a assegurar, designadamente, a educação através da Internet e a utilização crescente de serviços públicos digitais.

3 – O serviço público de comunicação social audiovisual contribui para a educação digital dos utilizadores das várias faixas etárias e promove a divulgação da presente lei e demais legislação aplicável.

Artigo 12.º Direito à identidade e outros direitos pessoais

1 – Todos têm direito à identidade pessoal, ao bom nome e à reputação, à imagem e à palavra, bem como à sua integridade moral em ambiente digital.

2 – Incumbe ao Estado:

a) Combater a usurpação de identidade e incentivar a criação de plataformas que permitam o uso pelo cidadão de meios seguros de autenticação eletrónica;

b) Promover mecanismos que visem o aumento da segurança e da confiança nas transações comerciais, em especial na ótica da defesa do consumidor.

3 – Fora dos casos previstos na lei, é proibida qualquer forma de utilização de código bidimensional ou de dimensão superior para tratar e difundir informação sobre o estado de saúde ou qualquer outro aspeto relacionado com a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como dados genéticos, dados biométricos ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

Artigo 13.º Direito ao esquecimento

1 – Todos têm o direito de obter do Estado apoio no exercício do direito ao apagamento de dados pessoais que lhes digam respeito, nos termos e nas condições estabelecidas na legislação europeia e nacional aplicáveis.

2 – O direito ao esquecimento pode ser exercido a título póstumo por qualquer herdeiro do titular do direito, salvo quando este tenha feito determinação em sentido contrário.

Artigo 14.º Direitos em plataformas digitais

1 – Na utilização de plataformas digitais, todos têm o direito de:

a) Receber informação clara e simples sobre as condições de prestação de serviços quando utilizem plataformas que viabilizam fluxos de informação e comunicação;

b) Exercer nessas plataformas os direitos garantidos pela presente Carta e na demais legislação aplicável;

c) Ver garantida a proteção do seu perfil, incluindo a sua recuperação se necessário, bem como de obter cópia dos dados pessoais que lhes digam respeito nos termos previstos na lei;

d) Apresentar reclamações e recorrer a meios alternativos de resolução de conflitos nos termos previstos na lei.

2 – O Estado promove a utilização pelas plataformas digitais de sinaléticas gráficas que transmitam de forma clara e simples a política de privacidade que asseguram aos seus utilizadores.

Artigo 15.º Direito à cibersegurança

1 – Todos têm direito à segurança no ciberespaço, incumbindo ao Estado definir políticas públicas que garantam a proteção dos cidadãos e das redes e sistemas de informação, e que criem mecanismos que aumentem a segurança no uso da Internet, em especial por parte de crianças e jovens.

2 – O Centro Nacional de Cibersegurança promove, em articulação com as demais entidades públicas competentes e parceiros privados, a formação dos cidadãos e empresas para adquirirem capacitação prática e beneficiarem de serviços online de prevenção e neutralização de ameaças à segurança no ciberespaço, sendo para esse efeito dotado de autonomia administrativa e financeira.

Artigo 16.º Direito à liberdade de criação e à proteção dos conteúdos

1 – Todos têm direito à livre criação intelectual, artística, científica e técnica, bem como a beneficiarem, no ambiente digital, da proteção legalmente conferida às obras, prestações, produções e outros conteúdos protegidos por direitos de propriedade intelectual.

2 – As medidas proporcionais, adequadas e eficazes com vista a impedir o acesso ou a remover conteúdos disponibilizados em manifesta violação do direito de autor e direitos conexos são objeto de lei especial.

Artigo 17.º Direito à proteção contra a geolocalização abusiva

1 – Todos têm direito à proteção contra a recolha e o tratamento ilegais de informação sobre a sua localização quando efetuem uma chamada obtida a partir de qualquer equipamento.

2 – A utilização dos dados da posição geográfica do equipamento de um utilizador só pode ser feita com o seu consentimento ou autorização legal.

Artigo 18.º Direito ao testamento digital

1 – Todas as pessoas podem manifestar antecipadamente a sua vontade no que concerne à disposição dos seus conteúdos e dados pessoais, designadamente os constantes dos seus perfis e contas pessoais em plataformas digitais, nos termos das condições contratuais de prestação do serviço e da legislação aplicável, inclusive quanto à capacidade testamentária.

2 – A supressão póstuma de perfis pessoais em redes sociais ou similares por herdeiros não pode ter lugar se o titular do direito tiver deixado indicação em contrário junto dos responsáveis do serviço.

Artigo 19.º Direitos digitais face à Administração Pública

Perante a Administração Pública, a todos é reconhecido o direito:

a) A beneficiar da transição para procedimentos administrativos digitais;

b) A obter informação digital relativamente a procedimentos e atos administrativos e a comunicar com os decisores;

c) À assistência pessoal no caso de procedimentos exclusivamente digitais;

d) A que dados prestados a um serviço sejam partilhados com outro, nos casos legalmente previstos;

e) A beneficiar de regimes de «dados abertos» que facultem o acesso a dados constantes das aplicações informáticas de serviços públicos e permitam a sua reutilização, nos termos previstos na lei;

f) De livre utilização de uma plataforma digital europeia única para a prestação de acesso a informações, nos termos do Regulamento (UE) 2018/1724 do Parlamento Europeu e do Conselho, de 2 de outubro de 2018.

Artigo 20.º Direito das crianças

1 – As crianças têm direito a proteção especial e aos cuidados necessários ao seu bem-estar e segurança no ciberespaço.

2 – As crianças podem exprimir livremente a sua opinião e têm a liberdade de receber e transmitir informações ou ideias, em função da sua idade e maturidade.

Artigo 21.º Ação popular digital e outras garantias

1 – Para defesa do disposto na presente lei, a todos são reconhecidos os direitos previstos na legislação referente à ação popular, devidamente adaptada à realidade do ambiente digital.

2 – O Estado apoia o exercício pelos cidadãos dos direitos de reclamação, de recurso e de acesso a formas alternativas de resolução de litígios emergentes de relações jurídicas estabelecidas no ciberespaço.

3 – As pessoas coletivas sem fins lucrativos que se dediquem à promoção e defesa do disposto na presente Carta têm o direito a obter o estatuto de utilidade pública, nos termos da legislação aplicável às entidades de caráter cultural.

4 – Os direitos assegurados em processo administrativo em suporte eletrónico, nos termos do disposto no n.º 3 do artigo 64.º do Código do Procedimento Administrativo, são objeto de legislação própria, a aprovar no prazo de 180 dias após a entrada em vigor da presente lei.

Artigo 22.º Direito transitório

Até à entrada em vigor da lei prevista no n.º 2 do artigo 16.º são aplicáveis as normas vigentes que regulam o impedimento do acesso ou remoção de conteúdos disponibilizados em violação do direito de autor e direitos conexos.

Artigo 23.º Entrada em vigor

A presente lei entra em vigor 60 dias após a sua publicação.

Aprovada em 8 de abril de 2021.

O Presidente da Assembleia da República, Eduardo Ferro Rodrigues.

Promulgada em 8 de maio de 2021.

Publique-se.

O Presidente da República, Marcelo Rebelo de Sousa.

Referendada em 11 de maio de 2021.

O Primeiro-Ministro, António Luís Santos da Costa.

01Ago/24

Resolución 710/2024 Argentina

1 agosto, 2024UncategorizedJosé Cuervo

MINISTERIO DE SEGURIDAD

Resolución 710/2024

RESOL-2024-710-APN-MSG

Ciudad de Buenos Aires, 26/07/2024

VISTO el Expediente nº EX-2024-72915289- -APN-UGA#MSG, la Ley de Ministerios (texto ordenado por Decreto nº 438 del 12 de marzo de 1992) y sus modificatorias, el Decreto nº 50 del 19 de diciembre de 2019 y sus modificatorios, la Decisión Administrativa nº 340 del 16 de mayo de 2024, la Resolución del MINISTERIO DE SEGURIDAD nº 428 del 27 de mayo de 2024, y

CONSIDERANDO:

Que la Ley de Ministerios (t.o. 1992) establece la competencia del MINISTERIO DE SEGURIDAD en todo lo concerniente a la seguridad interior, a la preservación de la libertad, la vida y el patrimonio de los habitantes, sus derechos y garantías en un marco de plena vigencia de las instituciones del sistema democrático.

Que el avance de la tecnología, en particular de la Inteligencia Artificial, representa uno de los cambios socio-tecnológicos más relevantes para la población en general.

Que países como Estados Unidos de América, China, Reino Unido, Israel, Francia, Singapur, India, entre otros, son pioneros en la utilización de la Inteligencia Artificial en sus áreas de gobierno y Fuerzas de Seguridad.

Que los mencionados países utilizan la Inteligencia Artificial en Análisis de Video y Reconocimiento Facial, Predicción de Crímenes, Ciberseguridad, Análisis de Datos, Drones y Robótica, Comunicación y Coordinación, Asistentes Virtuales y Automatización, Análisis de Redes Sociales y Detección de Fraude y Anomalías.

Que su utilización puede mejorar significativamente la eficacia y eficiencia de las distintas áreas del MINISTERIO DE SEGURIAD y las Fuerzas Policiales y de Seguridad Federales, ayudándoles a responder más rápido y con mayor precisión a las amenazas y situaciones de emergencia.

Que estos países están a la vanguardia en la integración de tecnologías de inteligencia artificial para fortalecer la seguridad y protección de sus ciudadanos, mejorando su eficiencia y efectividad.

Que por ello resulta indispensable aplicar la Inteligencia Artificial en la prevención, detección, investigación y persecución del delito y sus conexiones.

Que conforme la Decisión Administrativa nº 340/24, le corresponde a la Dirección de Ciberdelito y Asuntos Cibernéticos: 4. Asistir a la UNIDAD GABINETE DE ASESORES en la implementación y operatividad del CENTRO DE INVESTIGACIONES DEL CIBERDELITO DE ALTA TECNOLOGÍA (CICAT) creado por la Resolución MSG nº 139/22.

Que mediante la Resolución del MINISTERIO DE SEGURIDAD nº 428/24 se aprobaron las pautas, principios, criterios, recomendaciones y directivas para las labores preventivas de los delitos que se desarrollan en ambientes cibernéticos.

Que la conformación de Unidades de Trabajo está basada en criterios de racionalidad y eficiencia, dando lugar a estructuras dinámicas y adaptables a los cambios.

Que conforme lo expuesto deviene oportuna y necesaria la creación de una UNIDAD DE INTELIGENCIA ARTIFICIAL APLICADA A LA SEGURIDAD (UIAAS) en la órbita de la Dirección de Ciberdelito y Asuntos Cibernéticos dependiente de la UNIDAD GABINETE DE ASESORES de este Ministerio.

Que la presente medida no implica erogación presupuestaria alguna.

Que el servicio de asesoramiento jurídico de este Ministerio ha tomado la intervención de su competencia.

Que la suscripta es competente para el dictado de la presente medida en virtud de las facultades conferidas en el artículo 4º, inciso b), apartados 6 y 9, y 22 bis de la Ley de Ministerios (T.O. 1992).

Por ello,

LA MINISTRA DE SEGURIDAD

RESUELVE

ARTÍCULO 1°.-

Créase la UNIDAD DE INTELIGENCIA ARTIFICIAL APLICADA A LA SEGURIDAD (UIAAS), que funcionará en la Dirección de Ciberdelito y Asuntos Cibernéticos dependiente de la UNIDAD GABINETE DE ASESORES.

ARTÍCULO 2°.-

La UNIDAD DE INTELIGENCIA ARTIFICIAL APLICADA A LA SEGURIDAD (UIAAS) estará encabezada por el Director de Ciberdelito y Asuntos Cibernéticos e integrada por las áreas de las Fuerzas Policiales y de Seguridad Federales competentes en la materia, cuyos representantes serán designados por la autoridad máxima de cada una de esas fuerzas.

ARTÍCULO 3°.-

La UNIDAD DE INTELIGENCIA ARTIFICIAL APLICADA A LA SEGURIDAD (UIAAS) tiene como misión la prevención, detección, investigación y persecución del delito y sus conexiones mediante la utilización de la inteligencia artificial.

ARTÍCULO 4°.-

Son funciones de la UNIDAD DE INTELIGENCIA ARTIFICIAL APLICADA A LA SEGURIDAD (UIAAS), en orden a la misión señalada en el artículo anterior:

a. Patrullar las redes sociales abiertas, aplicaciones y sitios de Internet, así como la llamada “Internet profunda” o “Dark-Web”, en orden a la investigación de delitos e identificación de sus autores, así como la detección de situaciones de riesgo grave para la seguridad, en el marco de la Constitución Nacional y legislación vigente.

b. Identificar y comparar imágenes en soporte físico o virtual.

c. Analizar imágenes de cámaras de seguridad en tiempo real a fin de detectar actividades sospechosas o identificar personas buscadas utilizando reconocimiento fácil.

d. Utilizar algoritmos de aprendizaje automático a fin de analizar datos históricos de crímenes y de ese modo predecir futuros delitos y ayudar a prevenirlos.

e. Identificar patrones inusuales en las redes informáticas y detectar amenazas cibernéticas antes de que se produzcan ataques. Esto incluye la identificación de malware, phishing y otras formas de ciberataque.

f. Procesar grandes volúmenes de datos de diversas fuentes para extraer información útil y crear perfiles de sospechosos o identificar vínculos entre diferentes casos.

g. Patrullar mediante drones áreas extensas, proporcionar vigilancia aérea y responder a emergencias.

h. Realización de tareas peligrosas, como la desactivación de explosivos, mediante robots.

i. Mejorar la comunicación y coordinación entre diferentes Fuerzas Policiales y de Seguridad Federales y asegurar así que la información crítica se comparta de manera rápida y eficiente.

j. Analizar actividades en redes sociales para detectar amenazas potenciales, identificar movimientos de grupos delictivos o prever disturbios.

k. Detectar transacciones financieras sospechosas o comportamientos anómalos que podrían indicar actividades ilegales.

ARTÍCULO 5°.-

La UNIDAD DE INTELIGENCIA ARTIFICIAL APLICADA A LA SEGURIDAD (UIAAS) adecuará sus misiones y funciones a las pautas, principios, criterios, recomendaciones y directivas para las labores preventivas de los delitos que se desarrollan en ambientes cibernéticos aprobadas por RESOL-2024-428-APN-MSG.

ARTÍCULO 6°.-

Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.

Patricia Bullrich

01Ago/24

Legislación Informática de Argentina, año 2024

1 agosto, 2024Argentina, Argentina 2024, LegislaciónDerecho Informático Argentino, Legislación Informática ArgentinaJosé Cuervo

Expediente 0805-D-2024. Proyecto de ley de responsabilidad algorítmica y promoción de la robótica, algoritmos verdes e inteligencia artificial, 18 de marzo de 2024

Resolución nº 76 del 27 de marzo de 2024 de la Agencia de Acceso a la Información (Publicada el 5 de abril de 2024)

Resolución nº 77 del 3 de abril de 2024 de la Agencia de Acceso a la Información (Publicada el 5 de abril de 2024)

Resolución nº 80 del 3 de abril de 2024 de la Agencia de Acceso a la Información (Publicada el 5 de abril de 2024)

Decreto 780/2024, 30 de agosto de 2024, Derecho de Acceso a la información pública. Reglamento de la Ley nº 27.275. Modificación del Decreto nº 206/2017

Expediente 6318-D-2024. Proyecto de Ley de 23 de octubre de 2024. Código Penal de la Nación. Modificaciones sobre delito de hostigamiento digital.

Expediente 6319-D-2024. Proyecto de Ley de 23 de octubre de 2024. Código Penal de la Nación. Modificaciones sobre delito de suplantación de identidad digital.

31Jul/24

Ley nº 21.678 de 18 de junio de 2024

31 julio, 2024Chile, LeyCiberseguridad, Derecho Informático de Chile, Legislación Informática de Chile, Ley 21.678 Chile, Ley de 18 de junio de 2024 Chile, Ley General de Telecomunicaciones, Ley nº 21.663 Ley Marco de Ciberseguridad, Proceo Rol nº 15.415-24-CPR, Sentencia 5 junio 2024José Cuervo

Ley nº 21.678 de 18 de junio de 2024, que establece el Acceso a Internet como Servicio Público de Telecomunicaciones (Publicado 3 de julio de 2024)

LEY NÚM. 21.678, ESTABLECE EL ACCESO A INTERNET COMO SERVICIO PÚBLICO DE TELECOMUNICACIONES DE CHILE

Teniendo presente que el H. Congreso Nacional ha dado su aprobación al siguiente

Proyecto de ley:

“Artículo único.- Introdúcense las siguientes modificaciones en la ley nº 18.168, General de Telecomunicaciones:

1) Agrégase, en el literal b) del artículo 3º, la siguiente oración final: “Dentro de estos servicios se incluye el acceso a Internet.”.

2) Incorpórase el siguiente párrafo segundo en la letra c) del artículo 3°:

“No obstante lo dispuesto en el párrafo anterior, en el caso de que el permisionario de este tipo de servicios sea una comunidad de telecomunicaciones, constituida en conformidad al reglamento a que hace referencia el inciso final del artículo 24 B de la presente ley, se permitirá que las mismas presten sus servicios directamente a sus usuarios finales, sólo para el caso de la provisión de acceso a Internet.”.

3) Agréganse, en el artículo 4°, los siguientes incisos cuarto, quinto y sexto:

“Los servicios públicos de telecomunicaciones serán regidos por principios que aseguren la adaptabilidad y sustentabilidad del sector, destacando:

1.- Neutralidad tecnológica. Consistente en la libertad de los concesionarios de servicios de telecomunicaciones para elegir cualquier tipo de tecnología que sea apta para la prestación del servicio, sujeta a las disposiciones legales y reglamentarias pertinentes.

2.- Universalidad. Se impulsará el acceso universal a los servicios de telecomunicaciones, con especial énfasis en la conectividad a Internet, para asegurar la inclusión digital de toda la población, sin importar su ubicación geográfica.

3.- Continuidad. Los servicios deberán ofrecerse de forma regular e ininterrumpida, cuya infracción acarrea las sanciones legales previstas para ello.

4.- Convergencia tecnológica. Se entenderá como la integración funcional de múltiples servicios sobre una misma plataforma tecnológica, espectro asignado y redes de telecomunicaciones que permitan un uso más eficiente de la infraestructura existente.

5.- Uso compartido de infraestructura física. Referente a que el despliegue de las redes de telecomunicaciones se haga de forma eficiente, aprovechando adecuadamente el uso de infraestructura ya habilitada y resiliente, fomentando así su uso compartido, independiente de su propiedad o destinación original.

Lo anterior, no obstará a la promoción del despliegue de nuevas redes e infraestructura de telecomunicaciones.

6.- Transparencia, igualdad y eficiencia en la asignación de recursos. Los procedimientos y criterios de asignación de recursos, incluido el espectro radioeléctrico, serán transparentes y accesibles al público, buscando la eficiencia en su asignación y uso y evitando discriminaciones arbitrarias.

La aplicación y desarrollo de los principios antes mencionados se establecerá en un instrumento denominado Plan Nacional Digital, a cargo del Ministerio de Transportes y Telecomunicaciones, el que deberá contener, a lo menos, el desarrollo de los siguientes aspectos:

a) Política de uso del espectro radioeléctrico, velando por su uso eficiente.

b) Política nacional de inversiones, fomentando, en alianzas público-privadas, la cobertura de los servicios a nivel nacional.

c) Política de conectividad, velando por promover la conectividad digital progresiva, en condiciones de calidad, a todos los habitantes del territorio nacional.

d) Política de ciberseguridad en el ámbito de las telecomunicaciones.

e) Política de accesibilidad universal, estableciendo mecanismos de promoción o subsidios, a fin de proveer progresivamente a todos los habitantes del territorio los servicios de telecomunicaciones.

f) Política de calidad de servicios, fijando estándares de calidad para la prestación de los servicios para todo el territorio nacional.

g) Política de promoción e investigación, fomentando en el sector la investigación, innovación y la formación de capital humano especializado.

Los principios establecidos en este artículo serán aplicados de manera que fomenten la innovación y el desarrollo equitativo de las telecomunicaciones en todo el territorio nacional.”.

4) Reemplázase el artículo 14, por el siguiente:

“Artículo 14.- Son elementos de la esencia de una concesión y, por consiguiente, inmodificables:

a) En los servicios de telecomunicaciones de libre recepción o de radiodifusión: el tipo de servicio, la zona de servicio, el período de la concesión, el plazo para iniciar la construcción de las obras y para su terminación, el plazo para el inicio de las transmisiones, la potencia y la frecuencia, y

b) En los servicios públicos o intermedios de telecomunicaciones: el tipo de servicio conforme a lo definido en el artículo 3° de la presente ley y el período de la concesión.

En todo decreto supremo que otorgue una concesión deberá dejarse constancia expresa de los elementos de la esencia y además de los siguientes elementos:

1.- En los servicios de telecomunicaciones de libre recepción o de radiodifusión, su titular, la ubicación de los estudios, la ubicación de la planta transmisora, la ubicación y características técnicas del sistema radiante y el radioenlace estudio-planta, y

2.- En los servicios públicos e intermedios de telecomunicaciones: su titular, las prestaciones específicas conforme a la normativa técnica y al tipo de servicio de que se trate y que se pretenda prestar, la zona de servicio, las características técnicas de las instalaciones que se especifiquen en los planes técnicos fundamentales correspondientes al tipo de servicio, el plazo para iniciar la construcción de las obras y para su terminación, el plazo para el inicio del servicio, la ubicación de las radio-estaciones, excluidas las móviles y portátiles, su potencia, la frecuencia y las características técnicas de los sistemas radiantes.

Los elementos indicados en los números 1 y 2 precedentes, serán modificables por decreto supremo a solicitud de parte interesada.

En las concesiones de servicios públicos e intermedios de telecomunicaciones, las solicitudes que digan relación con las zonas de servicios, potencia, frecuencia y características técnicas de los sistemas radiantes se regirán por las normas establecidas en los artículos 15 y 16 de esta ley, con excepción de: i) la adición de prestaciones específicas según el tipo de servicio que se pretenda prestar y ii) aquellas modificaciones que, sin importar una alteración de la zona de servicio, de las frecuencias, del ancho de banda o de las potencias máximas ya autorizadas, se instalen sobre infraestructuras ya autorizadas. En los casos individualizados en los ordinales i) y ii), la autorización se otorgará mediante resolución de la Subsecretaría o el organismo que la reemplace. Todo lo anterior, en base a los principios establecidos en el artículo 4° de esta ley.

En las concesiones de servicio público de telecomunicaciones para la provisión de acceso a Internet que empleen bandas de uso compartido, así como en las concesiones que no conlleven asignación de espectro radioeléctrico, las solicitudes de otorgamiento o modificación correspondientes se regirán por las normas establecidas en los artículos 15 y 16, con excepción del trámite concerniente a la emisión del extracto y su publicación. Esto último, salvo que la solicitud suponga la instalación o cambio de ubicación de una torre soporte de antenas de aquellas que requieran permiso según la Ley General de Urbanismo y Construcciones. Las publicaciones previstas en las citadas disposiciones se harán en el sitio web de la Subsecretaría, conforme a lo dispuesto en el artículo 13 A.

El Ministerio, en casos graves y urgentes y por resolución fundada, podrá acceder provisoriamente a las modificaciones solicitadas, sin perjuicio de lo que se pueda resolver en definitiva. Rechazada la solicitud, deberá dejarse sin efecto todo lo hecho en virtud de la autorización provisoria, sin derecho a indemnización o pago alguno.

Las demás peticiones que signifiquen modificación a otros elementos de la concesión, distintos a los señalados precedentemente, deberán ser informados a la Subsecretaría, en forma previa a su ejecución. No obstante, requerirán aprobación aquéllas respecto de las cuales así lo disponga la normativa técnica, en cuyo caso la autorización se otorgará por simple resolución.

No se admitirá a trámite la solicitud de otorgamiento o modificación de concesión que considere la ubicación de sistemas radiantes dentro de una zona declarada como saturada, de conformidad con el artículo 7°, o que de instalarse implicaría la declaración de una zona como tal, mientras que respecto de aquellas que se pretenda instalar en áreas de protección a que se refiere la ley nº 19.300 podrá admitirse tal solicitud, en este último caso, previo a la instalación se requerirá de aprobación del sistema de evaluación de impacto ambiental.

Las solicitudes a que se refiere el presente artículo que digan relación con la instalación, operación y explotación de un sistema radiante deberán ser acompañadas de un diagrama de radiación de las antenas correspondientes.

La autorización de adición de prestaciones específicas para las concesiones vigentes no podrá afectar la calidad del tipo de servicio de la solicitante ni de la o las prestaciones específicas originalmente autorizadas, debiendo condicionarse dicha autorización al cumplimiento de los siguientes requisitos, según sea el caso:

a) La exigencia de contraprestaciones, en el sentido de implementar un proyecto técnico de similares características técnicas, cobertura y calidad de servicio al exigido en el último concurso público en que se haya adjudicado espectro en la misma macro banda de frecuencias. Para estos efectos, la Subsecretaría, mediante resolución, tomará en consideración la proporcionalidad del plazo de duración que le reste a la concesión respecto de la cual se le adicionan dichas prestaciones específicas.

b) En caso que el último concurso público de espectro radioeléctrico cuya macro banda solicita adición de servicios se haya resuelto mediante licitación en los términos del artículo 13 C de esta ley, se exigirá, a beneficio fiscal, el pago de un precio equivalente al promedio recaudado por MHz o su equivalente en contraprestaciones debidamente definidas por la Subsecretaría. Para el cálculo del valor, la Subsecretaría, mediante resolución, deberá considerar la proporcionalidad del plazo de duración que le reste a la concesión respecto de la cual se le adicionan dichas contraprestaciones específicas.

c) Contar con un informe favorable de la autoridad competente en resguardo de la libre competencia en los mercados, solicitado por la Subsecretaría correspondiente. Dicho informe deberá indicar que las exigencias señaladas en las letras a) y b) precedentes no implican otorgar ventajas competitivas en favor de los interesados que solicitan la incorporación de tales prestaciones específicas.”.

5) En el inciso tercero del artículo 15:

a) Reemplázase la frase: “en un diario o periódico de la capital de la provincia o de la región en que se ubicarán las instalaciones”, por la siguiente: “en la página web de la Subsecretaría”.

b) Sustitúyese la frase “las publicaciones indicadas” por “la publicación indicada“.

6) En el literal b) del artículo 16 bis:

a) Intercálase en el párrafo primero, entre la palabra “personalmente” y la frase “o por carta certificada”, la siguiente expresión: “, por medios electrónicos”.

b) Intercálase en el párrafo tercero, entre el vocablo “personalmente” y la frase “o por cédula”, la expresión siguiente: “, por medios electrónicos”.

c) Agrégase el siguiente párrafo final:

“La notificación realizada por medios electrónicos se entenderá practicada a partir del momento del envío. La Subsecretaría deberá publicitar en su sitio web la cuenta de correo electrónico u otras cuentas o dominios específicos de medios tecnológicos de los que se valdrán para practicar las notificaciones electrónicas, además de individualizarlos en las resoluciones que se pronuncien sobre las propuestas que se le formulen.”.

7) En el artículo 18:

a) Reemplázanse los incisos primero y segundo, por los siguientes:

“Artículo 18.- Los titulares de servicios de telecomunicaciones tendrán derecho a tender o cruzar líneas aéreas o subterráneas y, asimismo, a desplegar sistemas radiantes para la prestación de servicios públicos o intermedios de telecomunicaciones sobre la infraestructura autorizada al efecto, de acuerdo con la normativa aplicable, en calles, plazas, parques, caminos y otros bienes nacionales de uso público, sólo para los fines específicos del servicio respectivo. El mismo derecho asistirá a los titulares de servicios intermedios de telecomunicaciones y a los de servicios públicos de telecomunicaciones, respecto de bienes fiscales, de aquellas infraestructuras que estén asociadas o sirvan a la explotación de una concesión de servicio público, o de una concesión de obra pública, pudiendo en estos casos incluir el emplazamiento de infraestructura de soporte si fuese necesario.

El derecho a que se hace referencia en el inciso primero se ejercerá de modo tal que no se perjudique el uso principal de dichos bienes, ajustándose, además, al cumplimiento de las normas legales, reglamentarias, técnicas y ordenanzas que sean aplicables, y respetando los demás derechos otorgados por el Estado sobre tales bienes. El acceso a dichos bienes e infraestructuras deberá facilitarse en condiciones de igualdad, transparencia y no discriminación.”.

b) Intercálanse los siguientes incisos tercero, cuarto, quinto, sexto, séptimo, octavo y noveno, pasando el actual inciso tercero a ser inciso décimo, y así sucesivamente:

“En caso de que el derecho en cuestión recaiga sobre la infraestructura asociada o que sirva a la explotación de una concesión de servicio público, de una concesión de obra pública, o sobre bienes fiscales, se entenderá constituida una servidumbre legal, la que en este último caso será formalizada por el Ministerio de Bienes Nacionales o el organismo público titular del bien, debiendo el primero consultar las condiciones específicas para su constitución con el órgano del Estado que tenga el bien actualmente destinado. El Ministerio u órgano correspondiente deberá pronunciarse en el plazo máximo de ciento veinte días contado desde la recepción de la solicitud respectiva, de no hacerlo, se aplicará lo dispuesto en el artículo 64 de la ley nº 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado. El acto administrativo que certifique dicha omisión servirá de título para inscribir el gravamen en cuestión. Efectuadas estas últimas actuaciones, el concesionario de servicios intermedios o públicos de telecomunicaciones se entenderá autorizado para el despliegue de la infraestructura.

Los términos, condiciones y compensaciones periódicas de la servidumbre legal serán convenidos por las partes con arreglo a las normas generales del derecho común; o determinadas en el acto administrativo que otorga la servidumbre por parte del órgano público respectivo. De suscitarse controversias al respecto, se seguirá el procedimiento jurisdiccional señalado en el artículo 19 de la presente ley.

Respecto de los bienes nacionales de uso público y bienes fiscales antes señalados, el ejercicio del derecho en cuestión, o la constitución del mismo, deberá cumplir con la tramitación de los actos administrativos pertinentes.

La autoridad competente o el titular de la infraestructura sólo podrá denegar fundadamente la autorización si la constitución de la servidumbre o el ejercicio del derecho señalado en el inciso primero afecta el uso principal del bien, o por contravenir ello la normativa legal, reglamentaria, local o técnica aplicable.

Quien tenga la administración de los bienes señalados en el inciso primero, en caso de existir por parte de los titulares de servicios de telecomunicaciones incumplimiento de las obligaciones dispuestas en el inciso segundo, o cuando por su inobservancia se hayan afectado gravemente los bienes sobre los cuales recae dicha servidumbre o el servicio prestado a través de ellos, podrá poner término a la servidumbre legal, pudiendo el afectado iniciar las acciones correspondientes, según el procedimiento jurisdiccional señalado en el artículo 19 de la presente ley. Lo anterior es sin perjuicio de las indemnizaciones que procedan por los daños ocasionados y la obligación de restaurar el bien afectado a su estado anterior.

En caso de constituirse las servidumbres de que trata el presente artículo sobre instalaciones cuya valoración forme parte de procesos de tarificación regulados, como los contenidos en la Ley General de Servicios Eléctricos, en la Ley de Servicios de Gas, o en otras leyes sectoriales semejantes, los órganos encargados de dichos procesos deberán velar en todo momento por evitar que se generen dobles pagos por parte de los clientes finales de dichas instalaciones utilizadas para el otorgamiento de los distintos servicios regulados.

Con todo, los interesados podrán pactar la constitución de servidumbres convencionales de acuerdo a las reglas comunes.”.

c) Elimínase el actual inciso quinto.

8) Sustitúyese el artículo 19, por el siguiente:

“Artículo 19.- Tratándose de servicios públicos o intermedios de telecomunicaciones y siempre que los interesados no lleguen a un acuerdo directo en la forma prevista en el inciso final del artículo precedente, se entenderá constituida de pleno derecho una servidumbre legal para el efecto indicado en dicho artículo siempre que el Subsecretario de Telecomunicaciones por resolución fundada, declare imprescindible el servicio, estableciendo la zona geográfica pertinente a dicha declaración y las condiciones aplicables para su ejecución. Cualquiera de los interesados podrá solicitar la declaración de imprescindibilidad del servicio.

El Subsecretario de Telecomunicaciones, al ejercer la facultad de declarar la imprescindibilidad de un servicio, tomará en cuenta factores, tales como la prestación de servicios en localidades, rutas o zonas aisladas; áreas de baja densidad poblacional o de vulnerabilidad socioeconómica; zonas beneficiadas por proyectos financiados por el Fondo de Desarrollo de las Telecomunicaciones; áreas de servicio obligatorio; o zonas atendidas por un único operador.

En situaciones donde se declare un servicio como imprescindible, la indemnización correspondiente será determinada por los tribunales de justicia mediante procedimiento sumario, sin perjuicio de que las partes puedan acordar someter la cuestión a arbitraje.

Podrá ejercerse el derecho a que se refiere el artículo anterior, aun antes de haberse dictado sentencia en juicio, siempre que el servicio público o intermedio interesado pague o asegure el pago de la cantidad que el tribunal fije provisionalmente oyendo a las partes y a un perito.”.

9) Reemplázase el artículo 24 bis, por el siguiente:

“Artículo 24 bis.- El concesionario de servicio público que presta el servicio telefónico a través del sistema de multiportador deberá ofrecer y proporcionar a todo concesionario de servicios intermedios que preste el servicio de larga distancia, igual clase de accesos o conexiones a su red respecto de la calidad, extensión, plazo, valor o cualquier otra característica de los servicios que les preste con motivo o en razón del acceso o uso.

Las tarifas que podrá cobrar el concesionario de servicio público telefónico a los de servicios intermedios que presten el servicio de larga distancia a través del sistema de multiportador deberán ser aprobadas o fijadas por los Ministerios de Transportes y Telecomunicaciones y de Economía, Fomento y Turismo, siempre que concurra la calificación del Tribunal de Defensa de la Libre Competencia prevista en el inciso segundo del artículo 29.

Las disposiciones de este artículo serán reglamentadas mediante decreto supremo, que deberá llevar la firma de los Ministros de Transportes y Telecomunicaciones y de Economía, Fomento y Turismo.”.

10) Incorpórase el siguiente artículo 24 ter:

“Artículo 24 ter.- Con el fin de resguardar la calidad de los servicios proporcionados a los usuarios, las empresas concesionarias están obligadas a reportar semestralmente al Ministerio de Transportes y Telecomunicaciones una lista clasificada de reclamos formulados por éstos. Dicho informe especificará el tipo de incidente, la región y comuna correspondiente, y el sector donde se produjo el incidente.”.

11) Sustitúyese el artículo 24° B, por el siguiente:

“Artículo 24 B.- Las empresas concesionarias de servicio público de telecomunicaciones estarán obligadas a dar servicio a los interesados que lo soliciten dentro de su zona de servicio establecida en los decretos de concesiones y sus modificaciones, y a los que, estando fuera de ella y/o de la de otro concesionario, costeen las extensiones o refuerzos necesarios para llegar hasta ella.

En el caso de las concesionarias del servicio público que provean acceso a Internet fijo, la unidad mínima geográfica de su zona de servicio será en áreas urbanas a nivel de zona censal y en áreas rurales a nivel de entidad, según lo definido por el Instituto Nacional de Estadísticas. La Subsecretaría podrá, fundadamente, eximir de esta obligación a los operadores que cuenten con menos del 2% de participación del mercado de acceso fijo nacional. Los operadores que hayan sido eximidos de cumplir con la unidad mínima geográfica de la manera antes indicada, cuando superen el 2% de participación de mercado deberán cumplir en adelante con la unidad mínima geográfica establecida precedentemente respecto de las futuras solicitudes de modificaciones de concesión.

En el caso de los servicios móviles, la obligatoriedad señalada en el inciso primero recae sobre la zona geográfica que cumpla las condiciones consideradas en el cálculo de zona de servicio que señale el concesionario en su proyecto técnico.

Los interesados podrán ejecutar las obras de extensión o refuerzos por sí mismos, a través de concesionarios de infraestructura u otros terceros, o bien encargar su ejecución a la concesionaria que le proporcionará el servicio. Las obras deberán ser aprobadas por la Subsecretaría de Telecomunicaciones.

Las señaladas obras darán derecho a usar los bienes señalados en el artículo 18, de la forma prevista en dicha disposición. Las extensiones o refuerzos serán de propiedad del interesado. Lo anterior, sin perjuicio de lo que acuerden las partes en esta materia.

Para atender solicitudes de interesados ubicados fuera de su zona de servicio y de la zona de servicio de otros concesionarios, las empresas concesionarias de servicios públicos de telecomunicaciones podrán convenir el suministro del servicio público de telecomunicaciones con comunidades de usuarios u otros permisionarios o concesionarios, con el objeto de facilitar el acceso al servicio a un mayor número de personas.

En el caso de los servicios limitados de telecomunicaciones a los que se refiere el párrafo segundo de la letra c) del artículo 3º, una norma técnica establecerá su funcionamiento y las interconexiones con las redes preexistentes.”.

12) Reemplázase el artículo 24° C, por el siguiente:

“Artículo 24 C. Tratándose de concesionarios de servicios públicos de telecomunicaciones, las prestaciones deberán otorgarse, dentro de su zona de servicio, en el plazo de seis meses contado desde la fecha de la solicitud que el interesado presente al concesionario. En los casos en que no exista infraestructura, este plazo será de doce meses contado desde la fecha de solicitud del interesado. En este último caso, el concesionario tendrá un plazo de noventa días contado desde la fecha de requerimiento de servicio por parte del interesado para solicitar a la Subsecretaría la autorización para ampliación de su red, los cuales serán no renovables.

Con todo, el proveedor deberá desplegar todos los medios necesarios para la provisión del servicio requerido, especialmente cuando se trate de territorios en donde existan municipalidades, establecimientos de salud o de educación que requieran de servicios de telecomunicaciones para su adecuado funcionamiento, con especial énfasis en los establecimientos que se encuentren emplazados en zonas rurales y urbanas de bajos ingresos.

Durante la vigencia de los estados de excepción, estados de catástrofe y emergencias sanitarias que sean declaradas por el Ministerio de Salud y por el Servicio Nacional de Prevención y Respuesta ante Desastres, en los que se requiera garantizar el acceso a Internet de los habitantes del territorio nacional como parte de la atención y mitigación de la emergencia y de sus efectos, las autoridades competentes, esto es, la Subsecretaría de Telecomunicaciones, las municipalidades, el Ministerio de Vivienda y Urbanismo, el Ministerio de Obras Públicas, u otro ministerio, adoptarán medidas excepcionales y provisorias para garantizar de manera inmediata que los operadores de infraestructura y los proveedores del servicio público de telecomunicaciones puedan iniciar el despliegue y la provisión del servicio a la comunidad.”.

13) Agrégase, en el inciso final del artículo 24 H, la siguiente oración final: “Lo anterior, sin perjuicio de lo dispuesto en el párrafo segundo de la letra c) del artículo 3° de la presente ley.”.

14) En el artículo 25:

a) Suprímese, en el inciso primero, la frase “que presten servicio telefónico de larga distancia,”.

b) Suprímense, en el inciso segundo, las siguientes frases: “para cursar comunicaciones de larga distancia,”, “de cada zona primaria” y “, según las disposiciones del artículo 24 bis y su reglamento”.

c) Suprímense, en el inciso tercero, las expresiones “de larga distancia” e “inciso décimo del”.

d) Elimínase, en el inciso cuarto, la frase “, en una misma zona primaria”.

15) Incorpórase, a continuación del artículo 26 bis, el siguiente artículo 26 ter:

“Artículo 26 ter.- Los concesionarios de servicios públicos de telecomunicaciones estarán obligados a proporcionar a la Subsecretaría de Telecomunicaciones acceso seguro a través de una interfaz web con perfiles de usuario específicos para lectura y exportación de datos, permitiendo el monitoreo en tiempo real de la información de los centros de control de red. Esta interfaz propenderá a garantizar la ciberseguridad tanto de los datos de los concesionarios como de la Subsecretaría. Adicionalmente, los concesionarios entregarán datos relevantes sobre la calidad del servicio y la gestión de incidentes, incluyendo alertas y resolución de fallas que sean críticos para el ejercicio de las facultades de la Subsecretaría. Un reglamento especificará los protocolos de seguridad y los requisitos técnicos necesarios para implementar estas medidas.”.

16) Incorpórase, en el inciso primero del artículo 28 A, a continuación de la palabra “cobertura”, la frase “y el acceso a usuarios finales”.

17) Agrégase, en el artículo 28 C, el siguiente inciso final:

“A su vez, para incluir iniciativas de inversión para el desarrollo de infraestructura de telecomunicaciones en el programa anual de proyectos subsidiables, la Subsecretaría deberá acompañar un informe de evaluación de rentabilidad social favorable elaborado por la Subsecretaría de Evaluación Social del Ministerio de Desarrollo Social y Familia, acorde a lo señalado en el literal g) del artículo 3° de la ley nº 20.530. Lo anterior, respecto de iniciativas que provean infraestructura física o su mantenimiento y que persigan la obtención de una concesión de servicio intermedio de telecomunicaciones, de televisión o de radiodifusión. La metodología para esta evaluación se establecerá en el reglamento señalado en el artículo 28 I.”.

18) Agrégase el siguiente artículo 28 D bis:

“Artículo 28 D bis.- Sin perjuicio de lo dispuesto en el artículo anterior, anualmente, el Presidente de la República, durante la discusión del proyecto de ley de Presupuestos del Sector Público, y a través de la presentación de la respectiva glosa presupuestaria, podrá habilitar a que, con cargo a los recursos del Fondo de Desarrollo de las Telecomunicaciones, se disponga de un subsidio para el pago de las cuentas de servicios de Internet de un determinado porcentaje de los usuarios más vulnerables del país, de acuerdo a lo consignado en el Registro Social de Hogares u otro instrumento idóneo que al efecto establezca.”.

19) Agrégase, en el numeral 1) del artículo 28 E, la siguiente oración final: “Estos criterios deberán considerar elementos objetivos que permitan focalizar y establecer un orden de prelación de los proyectos en la población con menor acceso a servicios de telecomunicaciones, de conformidad con lo establecido en el artículo 28 A.”.

20) Reemplázase, en el artículo 28 I, la frase: “por los Ministros de Economía, Fomento y Turismo y de Hacienda”, por la siguiente: “por los Ministros de Economía, Fomento y Turismo, de Hacienda y de Desarrollo Social y Familia”.

21) Reemplázase el artículo 31 bis, por el siguiente:

“Artículo 31 bis.- La Subsecretaría de Telecomunicaciones tendrá la facultad de solicitar a los concesionarios y permisionarios de servicios de telecomunicaciones los informes técnicos y comerciales que requiera para el desempeño de sus competencias reguladoras establecidas en el decreto ley nº 1.762, de 1977, y en la legislación vigente. Dicha información deberá ser proporcionada de manera oportuna y veraz y será protegida bajo las normas de la ley nº 20.285, sobre acceso a la información pública. La negativa o retardo en la entrega de la información o antecedentes solicitados o la entrega de información falseada, serán sancionadas según lo dispuesto en el Título VII de la presente ley.”.

22) Sustitúyense, en el párrafo primero del numeral 2 del inciso primero del artículo 36, los guarismos “100” por “500” y “1.000” por “5.000”.

23) Reemplázase, en el inciso primero del artículo 36 A, la frase “y fijar domicilio dentro del radio urbano de la comuna de Santiago”, por la siguiente: “y señalar una casilla de correo electrónico para efectos de las notificaciones por medios electrónicos, además de fijar domicilio dentro del territorio nacional”.

24) En el artículo 36 B:

a) Reemplázase, en la letra b), la expresión “de presidio menor en cualquiera de sus grados” por “de presidio menor en su grado máximo”.

b) Agrégase la siguiente letra g):

“g) El que maliciosamente destruya, dañe o inutilice la infraestructura de telecomunicaciones, e interrumpa su servicio, sufrirá la pena de presidio menor en sus grados medio a máximo.”.

Artículos Transitorios

Artículo primero.- A contar de la publicación de la presente ley, el derecho a que se refiere el inciso primero del artículo 18 de la ley nº 18.168, General de Telecomunicaciones, no podrá ser ejercido para el despliegue de líneas aéreas sobre plazas públicas.

Artículo segundo.- Los servicios de acceso de comunicaciones a la red local prestados a las concesionarias de servicios intermedios de larga distancia y las facilidades asociadas al sistema multiportador, cuya tarificación procedía hasta esta fecha por el sólo ministerio de la ley, deberán seguir siendo provistos por las concesionarias de servicio público que prestan servicios de telefonía a los concesionarios de larga distancia interconectados, por todo el período que reste de vigencia de las concesiones correspondientes. Se mantendrán vigentes la última estructura, niveles tarifarios e indexación aplicable, establecidos por los Ministerios de Transportes y Telecomunicaciones y de Economía, Fomento y Turismo, en los respectivos decretos tarifarios.

Artículo tercero.- El reglamento al que se refiere el artículo 26 ter deberá dictarse por el Ministerio de Transportes y Telecomunicaciones en el plazo de doce meses contado desde la publicación en el Diario Oficial de los reglamentos establecidos en la ley nº 21.663, Ley Marco de Ciberseguridad.

Artículo cuarto.- La obligación establecida en el inciso final del artículo 28 C, incorporado por el número 17) del artículo único de esta ley, comenzará a regir transcurridos veinticuatro meses desde la publicación en el Diario Oficial de la presente ley.”.

Habiéndose cumplido con lo establecido en el nº 1 del Artículo 93 de la Constitución Política de la República y por cuanto he tenido a bien aprobarlo y sancionarlo; por tanto promúlguese y llévese a efecto como Ley de la República.

Santiago, 18 de junio de 2024.- GABRIEL BORIC FONT, Presidente de la República.- Juan Carlos Muñoz Abogabir, Ministro de Transportes y Telecomunicaciones.- Nicolás Grau Veloso, Ministro de Economía, Fomento y Turismo.- Javiera Toro Cáceres, Ministra de Desarrollo Social y Familia.- Marcela Sandoval Osorio, Ministra de Bienes Nacionales.

Lo que transcribo para su conocimiento.- Saluda atentamente a usted, Claudio Araya San Martín, Subsecretario de Telecomunicaciones.

Tribunal Constitucional

Proyecto de ley para reconocer el acceso a internet como un servicio público de telecomunicaciones, correspondiente al Boletín nº 11.632-15

La Secretaria del Tribunal Constitucional, quien suscribe, certifica que el Honorable Senado de la República envió el proyecto enunciado en el rubro, aprobado por el Congreso Nacional, a fin de que este Tribunal ejerza el control de constitucionalidad respecto de las disposiciones contenidas en el artículo único, número 7), letra b), que reemplaza el artículo 18, incisos cuarto y séptimo, de la Ley nº 18.168, General de Telecomunicaciones; en el artículo único, número 8), que sustituye el artículo 19, incisos primero, tercero y cuarto, de la Ley nº 18.168, General de Telecomunicaciones; y en el artículo único, número 12), que reemplaza el artículo 24 C, inciso tercero, de la Ley nº 18.168, General de Telecomunicaciones, del proyecto de ley remitido, por sentencia de 5 de junio de 2024, en el proceso Rol nº 15.415-24-CPR.

Se resuelve:

1) Que las disposiciones contenidas en el artículo único, número 12), que reemplaza el artículo 24 C, inciso tercero, de la Ley nº 18.168, General de Telecomunicaciones, del proyecto de ley remitido por el Congreso Nacional, son propias de Ley Orgánica Constitucional y se encuentran ajustadas a la Constitución Política de la República.

2) Que este Tribunal Constitucional no emite pronunciamiento, en examen preventivo de constitucionalidad, respecto de las disposiciones contenidas en el artículo único, número 7), letra B), que reemplaza el artículo 18, incisos cuarto y séptimo, de la Ley nº 18.168, General de Telecomunicaciones; y en el artículo único, número 8), que sustituye el artículo 19, incisos primero, tercero y cuarto, de la Ley nº 18.168, General de Telecomunicaciones, del proyecto de ley remitido a control, por no versar sobre materias propias de Ley Orgánica Constitucional.

Santiago, 6 de junio de 2024.- María Angélica Barriga Meza, Secretaria Abogado.

31Jul/24

Tribunal Constitucional de Chile. Sentencia Rol nº 15.415-24-CPR, de 5 de junio de 2024.

31 julio, 2024Sentencia, Tribunal Constitucional de ChileControl de Constitucionalidad, Proyecto de Ley para reconocer el acceso a Internet, Sentencia 5 de junio de 2024, Sentencia Rol nº 15.415-24-CPR, Tribunal Constitucional de ChileJosé Cuervo

Sentencia Rol nº 15.415-24-CPR, de 5 de junio de 2024. Control de Constitucionalidad del Proyecto de Ley para reconocer el acceso a Internet como un servicio público de Telecomunicaciones, correspondientes al Boletín nº 11.632-15

REPÚBLICA DE CHILE

TRIBUNAL CONSTITUCIONAL

Sentencia Rol N° 15.415-24-CPR, 05 de junio de 2024

CONTROL DE CONSTITUCIONALIDAD DEL PROYECTO DE LEY PARA RECONOCER EL ACCESO A INTERNET COMO UN SERVICIO PÚBLICO DE TELECOMUNICACIONES, CORRESPONDIENTE AL BOLETÍN N° 11.632-15

VISTO Y CONSIDERANDO:

I. PROYECTO DE LEY REMITIDO

PRIMERO: Que, por oficio nº 182/SEC/24, de 29 de abril de 2024, ingresado a este Tribunal el día 30 del mismo mes y año, el H. Senado remite el proyecto de ley, aprobado por el Congreso Nacional, para reconocer el acceso a internet como un servicio público de telecomunicaciones, correspondiente al Boletín nº 11.632-15, con el objeto de que este Tribunal Constitucional, en conformidad a lo dispuesto en el artículo 93, inciso primero, nº 1º, de la Constitución Política de la República, ejerza el control de constitucionalidad respecto de las disposiciones contenidas en el artículo único, número 7), letra b), que reemplaza el artículo 18, incisos cuarto y séptimo, de la Ley nº 18.168, General de Telecomunicaciones; en el artículo único, número 8), que sustituye el artículo 19, incisos primero, tercero y cuarto, de la Ley nº 18.168, General de Telecomunicaciones; y en el artículo único, número 12), que reemplaza el artículo 24 C, inciso tercero, de la Ley nº 18.168, General de Telecomunicaciones, del proyecto de ley remitido;

SEGUNDO: Que el nº 1º del inciso primero del artículo 93 de la Carta Fundamental establece que es atribución de este Tribunal Constitucional: “Ejercer el control de constitucionalidad de las leyes que interpreten algún precepto de la Constitución, de las leyes orgánicas constitucionales y de las normas de un tratado que versen sobre materias propias de estas últimas, antes de su promulgación;”.

TERCERO: Que, de acuerdo al precepto invocado en el considerando anterior, en estos autos corresponde a esta Magistratura pronunciarse sobre las normas del proyecto de ley remitido que estén comprendidas dentro de las materias que el Constituyente ha reservado a una ley orgánica constitucional.

II. DISPOSICIONES DEL PROYECTO DE LEY SOMETIDAS A CONTROL PREVENTIVO DE CONSTITUCIONALIDAD

CUARTO: Que las disposiciones del proyecto de ley sometidas a control preventivo de constitucionalidad señalan:

PROYECTO DE LEY:

“Artículo único.- Introdúcense las siguientes modificaciones en la ley nº 18.168, General de Telecomunicaciones:

(…)

7) En el artículo 18:

b) Intercálanse los siguientes incisos tercero, cuarto, quinto, sexto, séptimo, octavo y noveno, pasando el actual inciso tercero a ser inciso décimo, y así sucesivamente:

(…)

8) Sustitúyese el artículo 19, por el siguiente: en el artículo único, número 8), que sustituye el artículo 19, incisos primero, tercero y cuarto;

Cualquiera de los interesados podrá solicitar la declaración de imprescindibilidad del servicio.

(…)

12) Reemplázase el artículo 24° C, por el siguiente:

“Artículo 24 C.

(…)

III. NORMAS DE LA CONSTITUCIÓN POLÍTICA QUE ESTABLECEN EL ÁMBITO DE LAS LEYES ORGÁNICAS CONSTITUCIONALES RELACIONADAS CON EL PROYECTO

QUINTO: Que el artículo 44, inciso primero, de la Constitución Política de la República prescribe:

“Una ley orgánica constitucional regulará los estados de excepción, así como su declaración y la aplicación de las medidas legales y administrativas que procediera adoptar bajo aquéllos. Dicha ley contemplará lo estrictamente necesario para el pronto restablecimiento de la normalidad constitucional y no podrá afectar las competencias y el funcionamiento de los órganos constitucionales ni los derechos e inmunidades de sus respectivos titulares.”;

SEXTO: Que el artículo 118, inciso quinto, de la Constitución dispone:

“Una ley orgánica constitucional determinará las funciones y atribuciones de las municipalidades. Dicha ley señalará, además, las materias de competencia municipal que el alcalde, con acuerdo del concejo o a requerimiento de los 2/3 de los concejales en ejercicio, o de la proporción de ciudadanos que establezca la ley, someterá a consulta no vinculante o a plebiscito, así como las oportunidades, forma de la convocatoria y efectos.”;

IV. DISPOSICIONES DEL PROYECTO DE LEY QUE REVISTEN NATURALEZA DE LEY ORGÁNICA CONSTITUCIONAL.

SÉPTIMO: Que las disposiciones contenidas en el artículo único, número 12), que reemplaza el artículo 24 C, inciso tercero, de la Ley nº 18.168, General de Telecomunicaciones, del proyecto de ley remitido, son propias de las leyes orgánicas constitucionales sobre Estados de Excepción, a que se refiere el artículo 44, inciso primero, de la Constitución Política; y sobre Municipalidades, a que alude el artículo 118, inciso quinto, de la misma;

OCTAVO: Que, en efecto, las disposiciones contenidas en el artículo único, número 12), que reemplaza el artículo 24 C, inciso tercero, de la Ley General de Telecomunicaciones, son propias de la ley orgánica constitucional sobre Estados de Excepción a que hace mención el inciso primero del artículo 44 constitucional, toda vez que el precepto contenido en el inciso tercero del artículo 24 C que se viene incorporando, autoriza que durante la vigencia de los estados de excepción, estados de catástrofe y emergencias sanitarias que sean declaradas por el Ministerio de Salud y por el Servicio Nacional de Prevención y Respuesta ante Desastres, en los que se requiera garantizar el acceso a Internet de los habitantes del territorio nacional como parte de la atención y mitigación de la emergencia y de sus efectos, las autoridades competentes, esto es, la Subsecretaría de Telecomunicaciones, las municipalidades, el Ministerio de Vivienda y Urbanismo, el Ministerio de Obras Públicas, u otro ministerio, adoptarán medidas excepcionales y provisorias para garantizar de manera inmediata que los operadores de infraestructura y los proveedores del servicio público de telecomunicaciones puedan iniciar el despliegue y la provisión del servicio a la comunidad.

Así, la normativa bajo análisis forma parte de la Ley Orgánica Constitucional que regula los Estados de Excepción, así como su declaración y la aplicación de las medidas legales y administrativas que procediera adoptar bajo aquéllos, conforme a lo consignado en el inciso primero del artículo 44 de la Constitución Política de la República.

En similar sentido se ha pronunciado uniformemente esta Magistratura Constitucional, conociendo de materias sobre regulación legislativa a nivel orgánico constitucional de los estados de excepción constitucional, en las STC roles nºs 13.215-22 CPR, 11.001-21 CPR, 10.762-21 CPR, 7.183-19 CPR, 89-89 CPR y 29-85 CPR);

NOVENO: Que, asimismo, las disposiciones contenidas en el artículo único, número 12), que reemplaza el artículo 24 C, inciso tercero, de la Ley nº 18.168, son propias de la ley orgánica constitucional sobre Municipalidades a que hace mención el artículo 118, inciso quinto, de la Carta Fundamental, en la parte en que precisamente se alude a las medidas excepcionales y provisorias que pueden adoptar las Municipalidades durante la vigencia de los estados de excepción, estados de catástrofe y emergencias sanitarias, en los que se requiera garantizar el acceso a Internet de los habitantes del territorio nacional como parte de la atención y mitigación de la emergencia y de sus efectos, lo que incide en la Ley Orgánica Constitucional sobre funciones y atribuciones de las municipalidades referida en el artículo 118 constitucional.

Respecto del ámbito de la naturaleza orgánica constitucional de esta índole de normativa este Tribunal, en sentencia Rol nº 13.215, sostuvo que en la STC Rol nº 11.001,c. 23°, para estimar la naturaleza orgánica constitucional de esta normativa se siguió el criterio que se desarrolló en la STC Rol N° 29, c. 2°, respecto de normas contenidas en la que luego se convirtiera en Ley nº 18.415, de 14 de junio de 1985, Orgánica Constitucional de los Estados de Excepción, para destacar de ella que “las atribuciones de la autoridad durante la vigencia de los estados de excepción sólo pueden estar regladas en leyes de tal carácter”, razonamiento asentado luego en la STC Rol nº 89, c. 6°, al analizar la modificación a dicha ley orgánica constitucional por la Ley nº 18.906, de 24 de enero de 1990, y, recientemente, en la STC Rol nº 10.762, c. 8°, que examinó la Ley nº 21.348, de 17 de junio de 2021, que faculta al Presidente de la República a reservar el uso prioritario del agua al consumo humano, el saneamiento y el uso doméstico de subsistencia, durante la vigencia de un estado de excepción constitucional de catástrofe por calamidad pública” (c. 12°). De la jurisprudencia anotada surge, por lo tanto, que el ejercicio y facultades que se entregan a las autoridades en el marco de los estados de excepción constitucional incide en las materias reservadas por la Constitución al legislador orgánico constitucional.

En la misma línea ha fallado esta Magistratura Constitucional, entre otras, en las STC roles nºs 13.182-22 CPR, 13.071-22 CPR, 13.007-22 CPR, 12.874-22 CPR, 12.570-22 CPR, 12.555-21 CPR, 11.195-21 CPR y 9.939-20 CPR;

V. NORMAS ORGÁNICAS CONSTITUCIONALES QUE EL TRIBUNAL DECLARARÁ CONFORMES A LA CONSTITUCIÓN.

DÉCIMO: Que las disposiciones contenidas en el artículo único, número 12), que reemplaza el artículo 24 C, inciso tercero, de la Ley nº 18.168, General de Telecomunicaciones, del proyecto de ley sometido a control preventivo de constitucionalidad, serán declaradas como ajustadas a la Constitución Política de la República;

VI. PRECEPTOS DEL PROYECTO DE LEY QUE NO REVISTEN NATURALEZA DE LEY ORGÁNICA CONSTITUCIONAL.

DECIMOPRIMERO: Que las disposiciones contenidas en el artículo único, número 7), letra b), que reemplaza el artículo 18, incisos cuarto y séptimo, de la Ley nº 18.168, General de Telecomunicaciones; y en el artículo único, número 8), que sustituye el artículo 19, incisos primero, tercero y cuarto, de la Ley nº 18.168, General de Telecomunicaciones, del proyecto de ley remitido a control, no son propias de la ley orgánica constitucional sobre organización y atribuciones de los tribunales a que se refiere el artículo 77 de la Constitución Política, en su inciso primero.

En efecto, la primera disposición en estudio reemplaza los incisos cuarto y séptimo del artículo 18 de la Ley General de Telecomunicaciones, artículo que, en lo referente a competencias y atribuciones de los tribunales de justicia, en nada altera ni modifica el contenido ya vigente en dicho artículo 18. Se trata de meras adecuaciones procedimentales y de un reenvío, en caso de controversias, al artículo 19 que preceptúa el procedimiento jurisdiccional al efecto, ya fijado y regulado en la ley que se viene modificando.

Enseguida, la segunda disposición bajo análisis, en tanto reemplaza los incisos primero, tercero y cuarto del artículo 19 de la Ley General de Telecomunicaciones, tampoco altera el contenido ya vigente en dicho artículo 19 en lo referente a atribuciones de los tribunales de justicia para conocer, conforme al procedimiento sumario, de las indemnizaciones a que den lugar las servidumbres con motivo de servicios públicos de telecomunicaciones.

Ambas normas modifican asuntos procedimentales para adecuar la Ley General de Telecomunicaciones en lo referente a los procedimientos que se ventilen ante los Tribunales de Justicia, con motivo de la iniciativa de ley que se viene controlando preventivamente y que agrega ahora dentro de los servicios públicos de telecomunicaciones el acceso a Internet.

Como lo ha sentenciado en reiteradas oportunidades esta Magistratura, la reglamentación de aspectos procedimentales es una cuestión que escapa al ámbito normativo de la “organización” y “atribuciones” al que alude el artículo 77, inciso primero, de la Constitución Política de la República (entre otras, STC roles nºs 15.015-23 CPR, 14.455-23 CPR, 14.002-23 CPR, 13.681-22 CPR, 12.874-22 CPR).

En consecuencia, en esto el proyecto remitido en nada innova, ni modifica aspectos orgánicos de la competencia jurisdiccional existente, por lo que se encuentra fuera del ámbito del artículo 77 de la Constitución Política, y reviste carácter de ley simple o común;

DECIMOSEGUNDO: Que, atendido lo expuesto en el motivo precedente, y no siendo las disposiciones contenidas en el artículo único, número 7), letra b), que reemplaza el artículo 18, incisos cuarto y séptimo, de la Ley nº 18.168, General de Telecomunicaciones; y en el artículo único, número 8), que sustituye el artículo 19, incisos primero, tercero y cuarto, de la Ley nº 18.168, General de Telecomunicaciones, de la iniciativa de ley bajo análisis, propias de las leyes orgánicas constitucionales aludidas en esta sentencia, ni de otras leyes orgánicas constitucionales dispuestas por la Carta Fundamental, esta Magistratura no emitirá pronunciamiento a su respecto, en examen preventivo de constitucionalidad;

VII. CUMPLIMIENTO DE LOS QUÓRUM DE APROBACIÓN Y NO CONCURRENCIA DE CUESTIÓN DE CONSTITUCIONALIDAD.

DECIMOTERCERO: Que consta en autos que la norma del proyecto de ley bajo análisis que será declarada orgánico constitucional fue aprobada en ambas Cámaras del Congreso Nacional con las mayorías requeridas por el inciso segundo del artículo 66 de la Carta Fundamental, y que no se suscitó cuestión de constitucionalidad a su respecto durante la tramitación del proyecto.

Y TENIENDO PRESENTE lo dispuesto por los artículos citados y pertinentes de la Constitución Política de la República, y de la Ley nº 17.997, Orgánica Constitucional del Tribunal Constitucional,

SE RESUELVE:

1) QUE LAS DISPOSICIONES CONTENIDAS EN EL ARTÍCULO ÚNICO, NÚMERO 12), QUE REEMPLAZA EL ARTÍCULO 24 C, INCISO TERCERO, DE LA LEY nº 18.168, GENERAL DE TELECOMUNICACIONES, DEL PROYECTO DE LEY REMITIDO POR EL CONGRESO NACIONAL, SON PROPIAS DE LEY ORGÁNICA CONSTITUCIONAL Y SE ENCUENTRAN AJUSTADAS A LA CONSTITUCIÓN POLÍTICA DE LA REPÚBLICA.

2) QUE ESTE TRIBUNAL CONSTITUCIONAL NO EMITE PRONUNCIAMIENTO, EN EXAMEN PREVENTIVO DE CONSTITUCIONALIDAD, RESPECTO DE LAS DISPOSICIONES CONTENIDAS EN EL ARTÍCULO ÚNICO, NÚMERO 7), LETRA B), QUE REEMPLAZA EL ARTÍCULO 18, INCISOS CUARTO Y SÉPTIMO, DE LA LEY nº 18.168, GENERAL DE TELECOMUNICACIONES; Y EN EL ARTÍCULO ÚNICO, NÚMERO 8), QUE SUSTITUYE EL ARTÍCULO 19, INCISOS PRIMERO, TERCERO Y CUARTO, DE LA LEY nº 18.168, GENERAL DE TELECOMUNICACIONES, DEL PROYECTO DE LEY REMITIDO A CONTROL, POR NO VERSAR SOBRE MATERIAS PROPIAS DE LEY ORGÁNICA CONSTITUCIONAL.

PREVENCIÓN

La Presidenta del Tribunal, Ministra señora NANCY YÁÑEZ FUENZALIDA, y las Ministras señoras MARÍA PÍA SILVA GALLINATO, DANIELA MARZI MUÑOZ y CATALINA LAGOS TSCHORNE previenen que estuvieron por declarar las disposiciones contenidas en el artículo único, número 12), que reemplaza el artículo 24 C, inciso tercero, de la Ley nº 18.168, del proyecto remitido, como propias de ley orgánica constitucional únicamente conforme al artículo 44, inciso primero, de la Constitución, por incidir en la ley orgánica constitucional sobre los Estados de Excepción; sin compartir, en consecuencia, lo consignado en los considerandos séptimo, frase final, y noveno de la sentencia que precede, por cuanto como la ley orgánica constitucional de municipalidades sólo comprende sus atribuciones esenciales, como se ha sostenido por esta Magistratura en numerosas sentencias (STC Rol nº 54, c. 6°; 342, c. 5°; 397, c. 6°, 2624, c. 6°, entre otras), al no revestir tal carácter esencial la materia que regula el citado artículo único, número 12) del proyecto, dicha regla es propia de ley común.

DISIDENCIA Y PREVENCIÓN

I. PRECEPTOS ORGÁNICOS CONSTITUCIONALES EN VIRTUD DEL ARTÍCULO 77 INCISOS PRIMERO Y SEGUNDO DE LA CONSTITUCIÓN

En virtud del artículo 77, incisos primero y segundo, de la Constitución, los Ministros señores JOSÉ IGNACIO VÁSQUEZ MÁRQUEZ, MIGUEL ÁNGEL FERNÁNDEZ GONZÁLEZ, HÉCTOR MERY ROMERO y la Ministra señora MARCELA PEREDO ROJAS consideraron que el artículo único número 7), letra b) que reemplaza el artículo 18 de la Ley nº 18.168, General de Telecomunicaciones, en su frase del inciso cuarto “De suscitarse controversias al respecto, se seguirá el procedimiento jurisdiccional señalado en el artículo 19 de la presente ley”, e inciso séptimo; y el artículo único, número 8), que sustituye el artículo 19, en sus nuevos incisos primero, tercero y cuarto, de la Ley nº 18.168, tienen carácter de ley orgánica constitucional

1°. Que esta Magistratura, en virtud del principio de supremacía constitucional, debe velar por que las materias que se han encargado al legislador orgánico conforme al artículo 66 de la Carta Fundamental, sean aprobadas, modificadas o derogadas según el quórum de mayoría absoluta de los parlamentarios en ejercicio en cumplimiento de la forma prescrita por la Constitución.

Además, en virtud del artículo 93 nº1 de la Constitución, esta Judicatura debe velar por declarar normas que tratan materias orgánicas constitucionales a todos los preceptos parte de un proyecto de ley sometido a control de constitucionalidad que efectivamente versen sobre las temáticas que la Carta Fundamental ha reservado para ser reguladas a través de normas orgánicas constitucionales.

Así, para determinar si un precepto parte de un proyecto de ley tiene naturaleza orgánica constitucional, los jueces de esta Magistratura deben contrastar los preceptos sometidos a examen con las disposiciones de la Carta Fundamenta que confían la regulación legislativa de una temática a una ley orgánica constitucional;

2°. Que, en esta línea, y para poder llevar a cabo este contraste, el artículo 77 incisos primero y segundo de la Constitución, señala que “[U]na ley orgánica constitucional determinará la organización y atribuciones de los tribunales que fueren necesarios para la pronta y cumplida administración de justicia en todo el territorio de la República. La misma ley señalará las calidades que respectivamente deban tener los jueces y el número de años que deban haber ejercido la profesión de abogado las personas que fueren nombradas ministros de Corte o jueces letrados.

La ley orgánica constitucional relativa a la organización y atribuciones de los tribunales, sólo podrá ser modificada oyendo previamente a la Corte Suprema de conformidad a lo establecido en la ley orgánica constitucional respectiva”;

3°. Que, por su parte, el artículo único número 7), letra b), en sus nuevos incisos cuarto y séptimo del proyecto de ley en estudio señala que

“[E]n el artículo 18:

[…]

b) Intercálanse los siguientes incisos tercero, cuarto, quinto, sexto, séptimo, octavo y noveno, pasando el actual inciso tercero a ser inciso décimo, y así sucesivamente:

[…]

Por otro lado, el artículo único, número 8), que sustituye el artículo 19 de la Ley N°18.168, en sus nuevos incisos primero, tercero y cuarto señala que

“8) Sustitúyese el artículo 19, por el siguiente:

Artículo 19.- Tratándose de servicios públicos o intermedios de telecomunicaciones y siempre que los interesados no lleguen a un acuerdo directo en la forma prevista en el inciso final del artículo precedente, se entenderá constituida de pleno derecho una servidumbre legal para el efecto indicado en dicho artículo siempre que el Subsecretario de Telecomunicaciones por resolución fundada, declare imprescindible el servicio, estableciendo la zona geográfica pertinente a dicha declaración y las condiciones aplicables para su ejecución.

Cualquiera de los interesados podrá solicitar la declaración de imprescindibilidad del servicio.

[…]

4°. Que, por lo tanto, de la sola lectura de la disposición constitucional transcrita y de los preceptos propuestos, se desprende claramente la naturaleza orgánica de la frase “De suscitarse controversias al respecto, se seguirá el procedimiento jurisdiccional señalado en el artículo 19 de la presente ley”, que el proyecto de ley propone como parte del nuevo inciso cuarto del artículo 18 de la Ley nº18.168, General de Telecomunicaciones; y del nuevo inciso séptimo que el proyecto en examen busca incorporar al artículo 18 de la Ley nº18.168, General de Telecomunicaciones; ambos parte del artículo único número 7), letra b) del Boletín en estudio.

De igual manera, del mero contraste del artículo 77 de la Constitución con el artículo único, número 8), se desprende ineludiblemente la naturaleza orgánica constitucional de los nuevos incisos primero, tercero y cuarto del artículo 19 de la Ley nº18.168 que el proyecto de ley propone;

5°. Que lo anterior es claro puesto que la preceptiva analizada del proyecto somete nuevos asuntos y controversias al conocimiento de los tribunales de justicia, con motivo del establecimiento de Internet como servicio público de telecomunicaciones, como entre otros, las compensaciones por las servidumbres, las indemnizaciones cuando se declare un servicio público de Internet como imprescindible, quedando esos asuntos controvertidos sujetos al procedimiento jurisdiccional dispuesto en el artículo 19 de la misma Ley General de Telecomunicaciones.

Por tanto, estas disposiciones del proyecto sí tienen carácter orgánico constitucional acorde al artículo 77 constitucional, al conferir atribuciones y competencia a los tribunales de justicia.

II. PRECEPTOS ORGÁNICOS CONSTITUCIONALES EN VIRTUD DE LOS ARTÍCULOS 44 INCISO PRIMERO Y 118 INCISO QUINTO DE LA CONSTITUCIÓN POLÍTICA DE LA REPÚBLICA

En virtud de los artículos 44 inciso primero y 118 inciso quinto de la Constitución, los Ministros señores JOSÉ IGNACIO VÁSQUEZ MÁRQUEZ, MIGUEL ÁNGEL FERNÁNDEZ GONZÁLEZ, HÉCTOR MERY ROMERO y la Ministra señora MARCELA PEREDO ROJAS previenen que concurren al pronunciamiento de constitucionalidad de la disposición contenida en el artículo único, número 12), que reemplaza el artículo 24 C, inciso tercero, de la Ley nº 18.168, del proyecto remitido, como propias de ley orgánica constitucional y ajustadas a la Constitución Política de la República, únicamente en el entendido de que las medidas excepcionales y provisorias de autoridad que se adopten para garantizar de manera inmediata que los operadores de infraestructura y los proveedores del servicio público de telecomunicaciones puedan iniciar el despliegue y la provisión del servicio a la comunidad, durante los estados de excepción, no pueden implicar suspensión o restricción de derechos fundamentales, siendo aquello competencia exclusiva y excluyente del Presidente de la República, acorde a lo establecido en el artículo 24, inciso segundo, y en los artículos 39 y siguientes de la Constitución Política.

1°. Que, esta Magistratura en virtud del principio de supremacía constitucional, respecto a la forma prescrita por la Constitución, debe velar porque las materias que se han encargado al legislador orgánico conforme al artículo 66 de la Carta Fundamental, sean aprobadas, modificadas o derogadas según el quórum de mayoría absoluta de los parlamentarios en ejercicio; y respecto del fondo, debe procurar que las normas que regulan materias confiadas al legislador guarden respeto a la flexibilidad normativa de las disposiciones constitucionales que versan sobre temáticas conexas;

2°. Que consta en la tramitación del proyecto de ley sometido a consulta, que ambas Cámaras del Congreso dieron cumplimiento al quórum de aprobación en particular y en general de las normas orgánicas constitucionales de acuerdo al artículo 66 de la Constitución;

3°. Que, para determinar si un precepto parte de un proyecto de ley es acorde a la Constitución o no en un sentido material o de fondo, el juez constitucional puede recurrir a distintas herramientas que le permitan formarse una convicción sobre la constitucionalidad del texto sometido a control. Entre ellas, se encuentra la técnica de la subsunción, en virtud de la cual el juez confronta el precepto en examen con las disposiciones de la Carta Fundamental atingentes a la materia en análisis, para determinar si el primero puede ser subsumido en las segundas, o si escapa de los límites que el constituyente ha fijado al legislador;

4°. Que, en esta línea, es importante mencionar que el artículo único, número 12), que reemplaza el artículo 24 C, inciso tercero, de la Ley nº 18.168, del proyecto remitido, señala que “[D]urante la vigencia de los estados de excepción, estados de catástrofe y emergencias sanitarias que sean declaradas por el Ministerio de Salud y por el Servicio Nacional de Prevención y Respuesta ante Desastres, en los que se requiera garantizar el acceso a Internet de los habitantes del territorio nacional como parte de la atención y mitigación de la emergencia y de sus efectos, las autoridades competentes, esto es, la Subsecretaría de Telecomunicaciones, las municipalidades, el Ministerio de Vivienda y Urbanismo, el Ministerio de Obras Públicas, u otro ministerio, adoptarán medidas excepcionales y provisorias para garantizar de manera inmediata que los operadores de infraestructura y los proveedores del servicio público de telecomunicaciones puedan iniciar el despliegue y la provisión del servicio a la comunidad”;

5°. Que, de la mera lectura del precepto sometido a control, se desprende que el precepto en estudio únicamente sería constitucional, desde el punto de vista de fondo o material, en el entendido de que las medidas excepcionales y provisorias de autoridad que se adopten para garantizar de manera inmediata que los operadores de infraestructura y los proveedores del servicio público de telecomunicaciones puedan iniciar el despliegue y la provisión del servicio a la comunidad, durante los estados de excepción, no pueden implicar suspensión o restricción de derechos fundamentales, siendo aquello competencia exclusiva y excluyente del Presidente de la República, acorde a lo establecido en el artículo 24, inciso segundo, y en los artículos 39 y siguientes de la Constitución Política.

Comuníquese al H. Senado, regístrese y archívese.

Rol nº 15.415-24 CPR.

30Jul/24

Radicación Proyecto de Ley nº 047 de 2024 por la cual se fomenta la industria electrónica y de semiconductores en Colombia, 26 de julio de 2024

30 julio, 2024Colombia, Proyecto de Leyindustria electrónica, SemiconductoresJosé Cuervo

Radicación Proyecto de Ley nº 047 de 2024, por la cual se fomenta la industria electrónica y de semiconductores en Colombia, 26 de julio de 2024

Bogotá, D.C., 26 de julio de 2024

Señores

MESA DIRECTIVA

Senado de la República

Ciudad

Asunto: Radicación Proyecto de Ley por la cual se fomenta la industria electrónica y de semiconductores en Colombia.

Respetados señores,

Por medio de la presente nos permitimos radicar el Proyecto de Ley “Por la cual se fomenta la industria electrónica y de semiconductores en Colombia”.

De manera atenta solicitamos respetuosamente iniciar el trámite correspondiente, en cumplimiento de las disposiciones previstas en la Constitución y la Ley, conforme el siguiente articulado y la respectiva exposición de motivos.

Cordialmente,

DAVID LUNA SÁNCHEZ, Senador de la República

DANIEL CARVALHO MEJÍA, Representante a la Cámara por Antioquia

ANA MARÍA CASTAÑEDA GÓMEZ, Senadora de la República

GUIDO ECHEVERRI PIEDRAHITA, Senador de la República

JULIO ALBERTO ELIAS VIDAL, Senador de la República

ESTEBAN QUINTERO CARDONA, Senador de la República

INGRID MARLEN SOGAMOSO, Representante a la Cámara

ALFONSO ALEJANDRO GARCIA RÍOS, Representante a la Cámara por Risaralda

HERNANDO GONZÁLEZ, Representante a la Cámara

JULIÁN DAVID LÓPEZ TENORIO, Representante a la Cámara

Proyecto de Ley nº 047 DE 2024, “Por la cual se fomenta la industria electrónica y de semiconductores en Colombia”

EL CONGRESO DE COLOMBIA

DECRETA

ARTÍCULO 1. Objeto.

La presente ley tiene por objeto crear condiciones que favorezcan el fortalecimiento del ecosistema de la industria electrónica y de semiconductores, a través de reconocer esta industria como un eslabón estratégico para la soberanía tecnológica y el crecimiento económico del país; fomentar la creación y consolidación de empresas especializadas en electrónica y semiconductores; propender por el entrenamiento y la formación de capital humano nacional; apoyar el desarrollo de procesos de investigación, transformación, comercialización e innovación y crear mecanismos para atraer la inversión nacional y extranjera en el sector, con el fin de apoyar la inserción de Colombia en la cadena de valor global de la industria electrónica.

ARTÍCULO 2. Definiciones.

Para los efectos de la presente Ley, se adoptan las siguientes definiciones:

a. Equipo, aparato o dispositivo electrónico: son dispositivos conformados por múltiples componentes que utilizan señales eléctricas para realizar una función específica, especialmente relacionadas con el almacenamiento, transmisión y procesamiento de información.

b. Semiconductores: Conocidos también como un circuito integrado o “chip”, son dispositivos electrónicos en el que se integran múltiples componentes electrónicos, como transistores, resistencias y condensadores, en un solo sustrato, generalmente de silicio. Los semiconductores son fundamentales en la electrónica moderna, ya que pueden desempeñar diversas funciones, desde procesamiento de datos hasta el control de dispositivos. Existen dos tipos principales: circuitos integrados analógicos, que se utilizan para el procesamiento de señales analógicas, que incluyen sensores, amplificadores y circuitos de radiofrecuencia, y los circuitos integrados digitales que centran en el procesamiento de información digital, como son los microprocesadores, memorias RAM y ROM, y otros componentes esenciales en sistemas digitales. Se usa el término semiconductor como referencia a estos dispositivos haciendo alusión a los materiales usados en su construcción, como el silicio, que tienen una conductividad eléctrica intermedia entre un conductor, como el cobre, y un aislante, como el vidrio.

c. Industria Electrónica: es el sector que se dedica al diseño, fabricación y comercialización de productos electrónicos. Esto abarca desde componentes fundamentales como semiconductores y circuitos impresos, hasta dispositivos electrónicos de consumo, equipos de procesamiento de información, equipos de comunicaciones, sistemas automotrices, tecnologías médicas, equipos de seguridad, equipos para automatización industrial, entre otros.

d. Empresa de electrónica: es una organización dedicada al diseño, fabricación, comercialización y/o distribución de productos electrónicos y componentes relacionados. Estas empresas pueden abarcar una amplia variedad de sectores y productos dentro del campo de la electrónica. Algunos ejemplos de empresas de electrónica incluyen fabricantes de dispositivos electrónicos de consumo, como teléfonos móviles, televisores y computadoras; fabricantes de equipos de comunicación, como routers y dispositivos de redes; empresas especializadas en componentes electrónicos, como semiconductores y sensores; así como empresas dedicadas al diseño y desarrollo de sistemas y equipos electrónicos personalizados para aplicaciones específicas, en sectores biomédico, instrumentación, automatización industrial, agricultura de precisión, IoT (internet de las cosas), iluminación, autrónica (electrónica automotriz), repotenciación de equipos de aviación, drones, potencia, sistemas de conversión y distribución de energía, seguridad y defensa e. Cadena de valor de la industria electrónica: La cadena de valor es el proceso completo que abarca desde la producción de materias primas, la transformación de esas materias en productos, hasta la entrega final a los consumidores. Esta cadena incluye los procesos relacionados con la fabricación de circuitos integrados, como creación de obleas de silicio, diseño, impresión, pruebas y empaquetamiento, y relacionados con aparatos electrónicos, como el diseño del aparato, integración de componentes, diseño externo del equipo, comercialización y disposición de residuos electrónicos.

f. Diseño electrónico: El diseño electrónico es el proceso de recepción de los requerimientos del cliente, planificación, identificación normativa y creación de sistemas, productos, equipos, en el que intervienen el diseño de circuitos, esquemáticos, PCB layout. Implica la selección y conexión de componentes electrónicos para lograr un funcionamiento específico, considerando aspectos como la eficiencia, la funcionalidad y la seguridad.

g. Casas de Diseño: Las casas de diseño, también conocidas como empresas de diseño de semiconductores, son organizaciones especializadas en crear diseños electrónicos complejos, como circuitos integrados (chips). Estas empresas proporcionan servicios de diseño a otras compañías que pueden no tener la capacidad interna para diseñar componentes electrónicos avanzados. Las casas de diseño trabajan en estrecha colaboración con los clientes para desarrollar soluciones personalizadas que cumplan con sus necesidades y requerimientos.

ARTÍCULO 3. Reconocimiento de la industria electrónica como una prioridad para el país.

El Ministerio de Comercio, Industria y Turismo, junto al Ministerio de Tecnologías de la Información y las Comunicaciones, deberán realizar y mantener una caracterización de la industria electrónica del país, incluyendo un censo de empresas del sector, la actualización de las actividades económicas asociadas, fuerza laboral, potencial exportador, entre otros aspectos relevantes para la identificación del sector. Además, expedirán la reglamentación necesaria para que la industria electrónica sea incluida como un área estratégica y transversal de la industria nacional en la Política Nacional de Reindustrialización, permitiendo su priorización en la generación de incentivos y la financiación de proyectos que atiendan la demanda interna de modernización, actualización e innovación tecnológica de los diferentes sectores de la economía nacional.

Parágrafo Primero: El Ministerio de Comercio, Industria y Turismo, con el aval del Ministerio de Tecnologías de la Información y las Comunicaciones, expedirá certificación, la cual deberá anexarse en la matrícula mercantil a aquellas empresas electrónicas.

Asimismo, se unificará una red de base de datos para las empresas electrónicas que define el artículo 2 de la presente ley, que deberá publicarse en la plataforma virtual del Ministerio de Comercio, Industria y Turismo, así como en la del Ministerio de Tecnologías de la Información y las Comunicaciones.

ARTÍCULO 4. Fomento al emprendimiento y desarrollo empresarial.

El Ministerio de Comercio, Industria y Turismo, el Ministerio de Tecnologías de la Información y las Comunicaciones, y las Alcaldías mediante las secretarías designadas para este asunto, crearán programas o líneas de acción en programas ya existentes, que tengan como propósito fomentar el emprendimiento de base tecnológica en el área de la industria electrónica y de semiconductores. Los programas o líneas de acción deberán incluir procesos de ideación, el acompañamiento para la creación de nuevas empresas, diseño de planes de aceleración y consolidación para empresas existentes y el desarrollo de habilidades exportadoras.

Parágrafo Primero: Los Concejos Municipales o Distritales podrán ofrecer condiciones más favorables en relación con el Impuesto de Industria y Comercio a las empresas que obtengan la certificación de la que trata el parágrafo del artículo 3 de la presente Ley. Esto incluye reducciones tarifarias, exenciones tributarias, acuerdos y/o condonaciones de pago frente a intereses por mora, reducción transitoria de sanciones o tasas de interés, deducción del IVA en la adquisición y/o construcción de activos productivos, y exclusiones en actividades vinculadas con la Cadena de Valor de la Industria Electrónica.

ARTÍCULO 5. Programa de apoyo al desarrollo de productos.

El Ministerio de Ciencia, Tecnología e Innovación y el Ministerio de Tecnologías de la Información y las Comunicaciones crearán convocatorias de financiación para diseño, prototipado, pruebas, certificaciones y alistamiento para el mercado de productos y servicios nuevos o existentes, dirigido a alianzas entre empresas colombianas, empresas de la industria electrónica en Colombia, y actores reconocidos del Sistema Nacional de Ciencia, Tecnología e Innovación (SNCTI), priorizando proyectos con potencial de exportación o de encadenamiento productivo y la inclusión de participantes de los programas de formación y fomento del emprendimiento de la industria electrónica.

Parágrafo Primero: Las empresas de la Industria Electrónica en Colombia que participen en programas de financiación para diseño, prototipado, pruebas, certificaciones y alistamiento para el mercado de productos y servicios podrán descontar del impuesto sobre la renta del año en que se realice el pago, o en los períodos fiscales subsiguientes, el IVA pagado por la formación de activos fijos reales productivos, conforme a lo estipulado en el artículo 258-1 del Estatuto Tributario.

Parágrafo Segundo: Con el objetivo de contar con productos electrónicos que cumplan con la normativa internacional para ser comercializados y exportados, el Ministerio de Comercio, Industria y Turismo y el Ministerio de Ciencia, Tecnología e Innovación deberán impulsar la creación de infraestructura de laboratorios de pruebas y certificación de productos electrónicos. Así mismo, apoyar a actores del SNCTI en la adquisición de equipos especializados y la formación en normas internacionales para ensayos de precertificación de productos.

ARTÍCULO 6. Propiedad Industrial.

El Ministerio de Comercio, Industria y Turismo, en coordinación con la Superintendencia de Industria y Comercio, reglamentará un procedimiento acelerado para la protección de la propiedad industrial, incluyendo patentes y diseños industriales, desarrollada en el ámbito del Diseño Electrónico. Este procedimiento está destinado a facilitar y agilizar la protección legal de las innovaciones y desarrollos significativos en este sector, asegurando así una respuesta rápida y eficiente a las necesidades de protección de los derechos de propiedad industrial de las empresas y emprendedores involucrados en la Industria Electrónica. La Superintendencia de Industria y Comercio será la entidad encargada de ejecutar y supervisar la aplicación de este procedimiento acelerado, en conformidad con las directrices y parámetros que establezca el Ministerio.

ARTÍCULO 7. Procedimiento Aduanero Acelerado.

El Ministerio de Hacienda y Crédito Público, en coordinación con la Dirección de Impuestos y Aduanas Nacionales (DIAN), reglamentará un procedimiento aduanero acelerado específicamente para proyectos certificados por el Ministerio de Comercio, Industria y Turismo que estén relacionados con la cadena de valor de la Industria Electrónica. Este procedimiento tiene como finalidad facilitar y agilizar la importación y exportación de bienes y componentes esenciales para estos proyectos, contribuyendo así a su desarrollo eficiente y a su inserción en mercados globales. La DIAN será la encargada de implementar este procedimiento, asegurando que los trámites aduaneros sean rápidos y eficientes, al tiempo que se mantienen los estándares de control y seguridad requeridos.

ARTÍCULO 8. Fomento al entrenamiento en habilidades prácticas para la industria electrónica.

El Ministerio de Tecnologías de la Información y las Comunicaciones creará un programa de entrenamiento avanzado para la industria electrónica y de semiconductores, dirigido a estudiantes de últimos semestres, tecnólogos y profesionales en carreras de ciencia, tecnología, ingeniería y matemáticas (STEM, por sus siglas en inglés).

Parágrafo Primero. El programa debe contar con la asesoría de un comité técnico de alto nivel, que incluya representantes de reconocidas universidades nacionales e internacionales, el SENA, empresas de la industria electrónica y de semiconductores, gremios, y asociaciones empresariales y profesionales de ingeniería.

Parágrafo Segundo. Los participantes serán seleccionados a través de una convocatoria abierta, con criterios claros de evaluación y con enfoque de género, promoviendo la participación de al menos un 30% de mujeres.

Parágrafo Tercero. El programa de entrenamiento debe garantizar el acceso y la capacitación en herramientas software de automatización de diseño electrónico (EDA, por sus siglas en inglés), estableciendo las alianzas correspondientes con los proveedores líderes internacionales.

Parágrafo Cuarto. El programa deberá incluir estrategias de vinculación a la industria para los beneficiarios de las becas de formación, buscando insertar en el sector productivo al menos un 50% de los becarios.

Parágrafo Quinto. El programa de entrenamiento deberá incorporar también una oferta de formación en Ciencia, Tecnología, Ingeniería y Matemáticas (STEM, por sus siglas en inglés), para los niveles de educación básica y media, enfocados en el desarrollo de habilidades de diseño e implementación de soluciones tecnológicas basadas en electrónica aplicada y programación de computadores.

ARTÍCULO 9. Apoyo para la formación avanzada en el área electrónica.

El Ministerio de Ciencia, Tecnología e Innovación y las Gobernaciones y Alcaldías, mediante las secretarías designadas para este asunto, crearán programas o incluirán en programas existentes, becas condonables para la realización de programas de pregrado en ingeniería electrónica con acreditación nacional de alta calidad, y programas de postgrado, a nivel de maestría y doctorado, en reconocidas universidades nacionales e internacionales enfocados en la industria electrónica y de semiconductores.

Parágrafo Primero. El programa deberá incluir estrategias de vinculación a la industria para los beneficiarios de las becas de formación, buscando insertar en el sector productivo al menos un 50% de los becarios.

ARTÍCULO 10. Promoción internacional de la industria electrónica nacional.

El Ministerio de Comercio, Industria y Turismo, a través de Procolombia o la entidad que la reemplace, en conjunto con el Ministerio de Relaciones Exteriores y el Ministerio de Tecnologías de la Información y las Comunicaciones liderarán la creación de programas de promoción de la industria electrónica nacional, que fomenten la contratación de servicios por parte de clientes internacionales, a través de ruedas de negocios semestrales, misiones comerciales anuales, convenios de cooperación, organización de eventos académicos, de difusión y comerciales anuales, entre otros mecanismos pertinentes, y fomente la atracción de inversión extranjera directa, fondos de cooperación y capital de riesgo para apoyar industria electrónica nacional.

ARTÍCULO 11. Incentivos a la inversión internacional en la industria electrónica y de semiconductores.

El Ministerio de Comercio, Industria y Turismo, en colaboración con el Ministerio de Relaciones Exteriores, el Ministerio de Hacienda y Crédito Público y el Ministerio de Tecnologías de la Información y las Comunicaciones, están facultados para celebrar contratos de estabilidad tributaria relacionados con nuevos proyectos de inversión internacional desarrollados en el territorio nacional. Estos contratos aseguran que los beneficios tributarios y otras condiciones vigentes en las normativas tributarias nacionales al momento de firmar el contrato se mantendrán inalterables durante su vigencia.

Parágrafo Primero: Los contratos de estabilidad tributaria deberán satisfacer los siguientes requisitos:

a) El inversor deberá completar el proceso de calificación con el Ministerio de Comercio, Industria y Turismo, siguiendo la normativa que establezca el Gobierno nacional.

b) Tras recibir la notificación del acto administrativo del Ministerio de Comercio, Industria y Turismo, que reconoce la relevancia del nuevo proyecto en la Industria Electrónica en Colombia, el inversor solicitará el contrato a la Dirección de Impuestos y Aduanas Nacionales (DIAN), adjuntando los documentos que el Gobierno reglamente.

c) Los contratos establecerán que la DIAN ejercerá facultades de auditoría tributaria, así como de seguimiento y verificación del cumplimiento del proyecto de inversión.

d) Se debe especificar en los contratos el monto de la prima referida en el parágrafo segundo, el método de pago y otras características pertinentes.

Parágrafo Segundo: El inversor que firme un contrato de estabilidad tributaria abonará al Ministerio de Hacienda y Crédito Público una prima del 0.75% sobre el valor de la inversión anual durante el periodo estipulado por la normativa del Gobierno nacional, que será de al menos cinco años.

Parágrafo Tercero: Los contratos de estabilidad tributaria entrarán en vigor desde la fecha de firma y se mantendrán activos durante el periodo de beneficio determinado en la calificación realizada por el Ministerio de Comercio, Industria y Turismo.

Parágrafo Cuarto: La no realización oportuna de la inversión, el retiro parcial o total de esta, el impago de la prima, incurrir en causales de corrupción especificadas en el parágrafo quinto o el incumplimiento de obligaciones tributarias sustanciales o formales, resultará en la terminación anticipada del contrato.

Parágrafo Quinto: No podrán suscribir ni ser beneficiarios de los contratos de estabilidad tributaria quienes hayan sido condenados mediante sentencia ejecutoriada o sancionados mediante acto administrativo en firme, en el territorio nacional o en el extranjero, en cualquier época, por conductas de corrupción que sean consideradas punibles por la legislación nacional.

Parágrafo Sexto: Las disposiciones cuya estabilidad sea garantizada mediante estos contratos y que sean declaradas inexequibles no estarán cubiertas por la estabilidad tributaria durante la vigencia del contrato.

ARTÍCULO 12. Evaluación de resultados.

Cada dos años, iniciados a partir de la promulgación de la presente Ley, el Ministerio de las Tecnologías de la Información y las Comunicaciones, en conjunto con el Ministerio de Comercio, Industria y Turismo, deberán realizar una revisión de los alcances de su implementación. El informe deberá ser remitido y sustentado en las Comisiones Sextas conjuntas. En el informe se deberán establecer además las metas en los próximos dos años.

ARTÍCULO 13. Vigencia.

La presente Ley rige a partir de su promulgación y deroga aquellas que le sean contrarias.

Cordialmente,

DAVID LUNA SÁNCHEZ, Senador de la República

DANIEL CARVALHO MEJÍA, Representante a la Cámara por Antioquia

ANA MARÍA CASTAÑEDA GÓMEZ, Senadora de la República

GUIDO ECHEVERRI PIEDRAHITA, Senador de la República

JULIO ALBERTO ELIAS VIDAL, Senador de la República

ESTEBAN QUINTERO CARDONA, Senador de la República

INGRID MARLEN SOGAMOSO ALFONSO, Representante a la Cámara

ALEJANDRO GARCÍA RÍOS, Representante a la Cámara por Risaralda

HERNANDO GONZÁLEZ, Representante a la Cámara Valle del Cauca

JULIÁN DAVID LÓPEZ TENORIO, Representante a la Cámara

SENADO DE LA REPÚBLICA

Secretaría General (Art. 139 y ss Ley 5ª de 1.992)

El día 26 del mes Julio del año 2024 se radicó en este despacho el proyecto de ley nº 047. Acto Legislativo nº …….. con todos y cada uno de los requisitos constitucionales y legales por Hs. David Luna Sánchez, Ana María Castañeda Gómez, Guido Echeverri Piedrahita, Julio Alberto Elías Vidal, Esteban Quintero Cardona, Soledad Tamayo Tamayo, Hr Daniel Carvalho Mejía y otras firmas

28Jul/24

Numero 31, primer semestre 2024

28 julio, 2024RevistaJosé Cuervo

ISSN 1989-5852

Título clave: Revista informática jurídica

Título abreviado: Rev. inform. jurid.

Introducción

En este trigésimo primer número de la Revista, aparece 1 artículo de D. Democrito Reinaldo Filho, Desembargador do TTPE, O Modelo Brasileiro dos órgãos da Inteligência Artificial. Aspectos do Substitutivo do Sen. Eduardo Gomes ao PL 2338/23

Quisiera agradecer a todos los que han facilitado la publicación de los artículos en la Revista Electrónica Informática-Juridica.com, que lleva ya más de 15 años y medio. y aquellas personas que han consultado la web de informática-juridica.com, que lleva mas de 29 años.

Gracias a todos y a final de año comunicaré si sigo o abandono con gran pesar esta pasión que tantos años he tenido y que me ha facilitado el conocer a grandes y buenas personas.

Un cordial saludo

José Cuervo Álvarez

28Jul/24

Legislación Informática de Brasil 2023

28 julio, 2024Legislación Informática de Brasil 2023José Cuervo

Projeto de Lei nº 2238/2023, Dispoe sobre o uso da Inteligencia Artificial

03May/24

O modelo Brasileiro dos orgãos de fiscalização da Inteligência Artificial. Aspectos do Substitutivo do Sen. Eduardo Gomes ao PL 2338/23

3 mayo, 2024Inteligência Artificial, Trabajosautoridade competente, autoridades central, autoridades regulatorias, inteligência artificial, modelo de regulaçao setorial, modelo descentralizado, Modelo híbrido, órgao regulador central, SIAJosé Cuervo

O-MODELO-BRASILEIRO-DOS-ORGAOS-DE-FISCALIZACAO-DA-INTELIGENCIA-ARTIFICIAL Descarga

08Abr/24

Ley nº 21.663, Marco sobre Ciberseguridad e infraestructura Crítica de la información, de 26 de marzo de 2024

8 abril, 2024Chile, LeyActivo informático, Agencia Nacional de Ciberseguridad, Auditorias de seguridad, Autenticación, Ciberataque, Ciberseguridad, confidencialidad, CSIRT, Equipo de respuesta a incidentes de seguridad informática, Incidente de seguridad, Integridad, Red y sistema informático, Resilencia, Riesgo, VulnerabilidadJosé Cuervo

Ley nº 21.663, Marco sobre Ciberseguridad e infraestructura Crítica de la información, de 26 de marzo de 2024. (Diario Oficial de la República de Chile. Lunes 8 de abril de 2024)

Ministerio del Interior y Seguridad Pública.

Ley nº 21.663

Ley Marco de Ciberseguridad

Teniendo presente que el H. Congreso Nacional ha dado su aprobación al siguiente Proyecto de ley:

“TÍTULO I. Disposiciones generales

“Artículo 1°. Objeto.

La presente ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones determinadas en el artículo 4°, y los mecanismos de control, supervisión y de responsabilidad ante infracciones.

Para efectos de esta ley, la Administración del Estado estará constituida por los Ministerios, las delegaciones presidenciales regionales y provinciales, los Gobiernos Regionales, las Municipalidades, las Fuerzas Armadas, de Orden y Seguridad Pública, las empresas públicas creadas por ley, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa.

Las disposiciones de esta ley serán aplicables a las empresas del Estado y sociedades en que éste tenga participación accionaria superior al 50% o mayoría en el directorio.

Artículo 2°. Definiciones.

Para efectos de esta ley se entenderá por:

1. Activo informático: toda información almacenada en una red y sistema informático que tenga valor para una persona u organización.

2. Agencia: la Agencia Nacional de Ciberseguridad, que se conocerá en forma abreviada como ANCI.

3. Auditorías de seguridad: procesos de control destinados a revisar el cumplimiento de las políticas y procedimientos que se derivan del Sistema de Gestión de la Seguridad de la Información.

4. Autenticación: propiedad de la información que da cuenta de su origen legítimo.

5. Ciberataque: intento de destruir, exponer, alterar, deshabilitar, o exfiltrar u obtener acceso o hacer uso no autorizado de un activo informático.

6. Ciberseguridad: preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad.

7. Confidencialidad: propiedad que consiste en que la información no es accedida o entregada a individuos, entidades o procesos no autorizados.

8. Disponibilidad: propiedad que consiste en que la información está disponible y es utilizable cuando es requerida por un individuo, entidad o proceso autorizado.

9. Equipo de Respuesta a Incidentes de Seguridad Informática o CSIRT: centros multidisciplinarios que tienen por objeto prevenir, detectar, gestionar y responder a incidentes de ciberseguridad o ciberataques, en forma rápida y efectiva, y que actúan conforme a procedimientos y políticas predefinidas, ayudando a mitigar sus efectos.

10. Incidente de ciberseguridad: todo evento que perjudique o comprometa la confidencialidad o integridad de la información, la disponibilidad o resiliencia de las redes y sistemas informáticos, o la autenticación de los procesos ejecutados o implementados en las redes y sistemas informáticos.

11. Integridad: propiedad que consiste en que la información no ha sido modificada o destruida sin autorización.

12. Red y sistema informático: conjunto de dispositivos, cables, enlaces, enrutadores u otros equipos de comunicaciones o sistemas que almacenen, procesen o transmitan datos digitales.

13. Resiliencia: capacidad de las redes y sistemas informáticos para seguir operando luego de un incidente de ciberseguridad, aunque sea en un estado degradado, debilitado o segmentado, y la capacidad de las redes y sistemas informáticos para recuperar sus funciones después de un incidente de ciberseguridad.

14. Riesgo: posibilidad de ocurrencia de un incidente de ciberseguridad; la magnitud de un riesgo es cuantificada en términos de la probabilidad de ocurrencia del incidente y del impacto de las consecuencias del mismo.

15. Vulnerabilidad: debilidad de un activo o control que puede ser explotado por una o más amenazas informáticas.

Artículo 3°. Principios rectores.

Para alcanzar los objetivos de esta ley se deberán observar los siguientes principios:

1. Principio de control de daños: frente a un ciberataque o a un incidente de ciberseguridad siempre se deberá actuar coordinada y diligentemente, adoptando las medidas necesarias para evitar la escalada del ciberataque o del incidente de ciberseguridad y su posible propagación a otros sistemas informáticos.

2. Principio de cooperación con la autoridad: para resolver los incidentes de ciberseguridad se deberá prestar la cooperación debida con la autoridad competente y, si es necesario, cooperar entre diversos sectores, teniendo en cuenta la interconexión y la interdependencia de los sistemas y servicios.

3. Principio de coordinación: de conformidad a lo dispuesto por el inciso segundo del artículo 5º del decreto con fuerza de ley Nº1-19.653 que fija texto refundido, coordinado y sistematizado de la ley Nº 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, la Agencia y las autoridades sectoriales deberán cumplir sus cometidos coordinadamente y propender a la unidad de acción, evitando la duplicación o interferencia de funciones.

4. Principio de seguridad en el ciberespacio: es deber del Estado resguardar la seguridad en el ciberespacio. El Estado velará porque todas las personas puedan participar de un ciberespacio seguro otorgando especial protección a las redes y sistemas informáticos que contengan información de aquellos grupos de personas que suelen ser en mayor medida objeto de ciberataques.

5. Principio de respuesta responsable: la aplicación de medidas para responder a incidentes de ciberseguridad o ciberataques en ningún caso podrá significar la realización de, o el apoyo a, operaciones ofensivas.

6. Principio de seguridad informática: toda persona tiene derecho a adoptar las medidas técnicas de seguridad informática que considere necesarias, incluyendo el cifrado.

7. Principio de racionalidad: las medidas para la gestión de incidentes de ciberseguridad, las obligaciones de ciberseguridad y el ejercicio de las facultades de la Agencia deberán ser necesarias y proporcionales al grado de exposición a los riesgos, así como al impacto social y económico que tendría.

8. Principio de seguridad y privacidad por defecto y desde el diseño: Los sistemas informáticos, aplicaciones y tecnologías de la información deben diseñarse, implementarse y gestionarse teniendo en cuenta la seguridad y la privacidad de los datos personales que procesan.

TÍTULO II. Obligaciones de ciberseguridad

Párrafo 1°. Servicios esenciales y operadores de importancia vital

Artículo 4°. Ámbito de aplicación.

La presente ley se aplicará a las instituciones que presten servicios calificados como esenciales según lo establecido en los incisos segundo y tercero de este artículo y a aquellas que sean calificadas como operadores de importancia vital, de conformidad con lo dispuesto en los artículos 5 y 6 de esta ley.

Son servicios esenciales aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; los prestados bajo concesión de servicio público; y los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales, servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos; y la producción y/o investigación de productos farmacéuticos.

La Agencia podrá calificar otros servicios como esenciales mediante resolución fundada del o la Directora Nacional cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad, de la Administración del Estado, a la defensa nacional, o a la seguridad y el orden público.

Dicha calificación deberá someterse al proceso de consulta pública y se regirá por las disposiciones de la ley Nº19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado.

La Agencia identificará, mediante resolución exenta dictada conforme el procedimiento dispuesto en este artículo, las infraestructuras, procesos o funciones específicas que serán calificadas como esenciales, y que quedarán sujetas a las obligaciones establecidas en el artículo 8° de esta ley.

Artículo 5. Operadores de Importancia Vital.

La Agencia establecerá mediante resolución dictada por el o la Directora Nacional, según se establece en el artículo siguiente, a los prestadores de servicios esenciales que sean calificados como operadores de importancia vital.

La Agencia podrá calificar como operadores de importancia vital a quienes reúnan los siguientes requisitos:

1.- que la provisión de dicho servicio dependa de las redes y sistemas informáticos; y,

2.- que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público; en la provisión continua y regular de servicios esenciales; en el efectivo cumplimiento de las funciones del Estado; o, en general, de los servicios que éste debe proveer o garantizar.

Además, la Agencia podrá calificar como operadores de importancia vital a instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales, reúnan los requisitos indicados en el inciso anterior y cuya calificación sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos para el país; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.

En cualquier caso, siempre se deberá tener en consideración el tamaño de la institución privada, especialmente las características y necesidades de las micro, pequeñas y medianas empresas, tal como se definen en la ley N° 20.416.

Artículo 6. Procedimiento de calificación de los operadores de importancia vital. Al menos cada tres años, la Agencia deberá revisar y actualizar la calificación de operadores de importancia vital mediante una resolución dictada por la Directora o el Director Nacional.

Para los efectos del inciso anterior, la Agencia requerirá informe fundado a los organismos públicos con competencia sectorial para que se pronuncien sobre aquellas instituciones públicas y privadas que deban calificarse como operadores de importancia vital. Dichos informes deberán evacuarse en la forma prescrita en el artículo 37 bis de la ley Nº19.880.

Recibidos los informes indicados precedentemente la Agencia dispondrá de un plazo de treinta días corridos para evacuar un informe que contendrá la nómina preliminar de las instituciones calificadas como operadores de importancia vital. Esta nómina preliminar deberá ser sometida a consulta pública por un plazo de treinta días corridos sólo respecto de las instituciones privadas, en la forma que determine el reglamento de la presente ley. Respecto de las instituciones públicas, se deberá requerir informe del Ministerio de Hacienda, en los términos del inciso precedente.

Terminado el proceso de consulta pública y recibido el informe del Ministerio de Hacienda, la Agencia dispondrá de treinta días corridos para elaborar el informe que contendrá la nómina final de instituciones que deban ser calificadas como operadores de importancia vital, individualizándolas en la forma que señale el reglamento.

Cumplidas las etapas anteriores, la Agencia, mediante resolución fundada de su Director o Directora, determinará los operadores de importancia vital.

En contra de la resolución que se dicte podrán deducirse aquellos recursos a que se refiere la ley N° 19.880, sin perjuicio de la facultad de ejercer el recurso establecido en el artículo 46 de la presente ley.

Un reglamento expedido por el Ministerio encargado de la seguridad pública contemplará los demás aspectos del procedimiento que sean necesarios para su correcta ejecución.

Párrafo 2°. Obligaciones de ciberseguridad

Artículo 7°. Deberes generales.

Las instituciones obligadas por la presente ley deberán aplicar de manera permanente las medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas podrán ser de naturaleza tecnológica, organizacional, física o informativa, según sea el caso.

El cumplimiento de estas obligaciones exige la debida implementación de los protocolos y estándares establecidos por la Agencia, así como de los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva. El objeto de estos protocolos y estándares será la prevención y gestión de los riesgos asociados a la ciberseguridad, así como la contención y mitigación del impacto que los incidentes pueden tener sobre la continuidad operacional del servicio prestado o la confidencialidad y la integridad de la información o de las redes o sistemas informáticos de conformidad con lo prescrito en la presente ley.

Para efectos de emitir las medidas de seguridad a que se refiere el inciso primero, la Agencia deberá observar lo prescrito en el artículo 25, según corresponda. Dichos protocolos y estándares deberán someterse a consulta pública, en la misma forma y plazo señalados en el inciso tercero del artículo 6. La medida deberá publicarse junto con el informe en que se justifique el rechazo o modificación de las observaciones que correspondan.

La Agencia deberá establecer medidas de seguridad diferenciadas según el tipo de organización de que se trate, teniendo especialmente en consideración las características y posibilidades de las pequeñas y medianas empresas definidas por la ley N° 20.416, que fija normas especiales para las empresas de menor tamaño.

Artículo 8º. Deberes específicos de los operadores de importancia vital.

Todos los operadores de importancia vital deberán:

a) Implementar un sistema de gestión de seguridad de la información continuo con el fin de determinar aquellos riesgos que puedan afectar la seguridad de las redes, sistemas informáticos y datos, y la continuidad operacional del servicio.

Este sistema deberá permitir evaluar tanto la probabilidad como el potencial impacto de un incidente de ciberseguridad.

b) Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de seguridad de la información, de conformidad a lo que señale el reglamento.

c) Elaborar e implementar planes de continuidad operacional y ciberseguridad, los cuales deberán certificarse en conformidad al artículo 28 de la presente ley, y deberán someterse a revisiones periódicas por parte de los sujetos obligados, con una frecuencia mínima de dos años.

Con todo, la Agencia podrá instruir a uno o más operadores de importancia vital, fundadamente y por motivos sobrevinientes graves, la certificación de sus planes de continuidad operacional o ciberseguridad en un plazo menor al indicado en el párrafo precedente; sin embargo, la Agencia sólo podrá ejercer esta facultad, respecto de cada operador de importancia vital, siempre que la certificación tenga al menos un año de vigencia.

d) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Nacional, en la forma que determine el reglamento.

e) Adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario.

f) Contar con las certificaciones que señale el artículo 28 de la presente ley.

g) Informar a los potenciales afectados, en la medida que puedan identificarse y cunado así lo requiera la Agencia, sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente su información o redes y sistemas informáticos, especialmente cuando involucren datos personales y no exista otra disposición legal que requiera su notificación; o cuando sea necesario para prevenir la ocurrencia de nuevos incidentes o para gestionar uno que ya hubiera ocurrido.

h) Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, que incluyan campañas de ciberhigiene.

i) Designar un delegado de ciberseguridad quien actuará como contraparte de la Agencia e informará a la autoridad o jefatura o jefe superior del órgano o servicio de la Administración del Estado o a los directores, gerentes, administradores o ejecutivos principales, según lo definan las instituciones privadas.

Artículo 9°. Deber de reportar.

Todas las instituciones públicas y privadas señaladas en el artículo 4° de la presente ley, tendrán la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos en los términos del artículo 27, tan pronto les sea posible y conforme el siguiente esquema:

a) Dentro del plazo máximo de 3 horas contadas desde que se tiene conocimiento de la ocurrencia del ciberataque o incidente de ciberseguridad que tiene impactos significativos, se deberá enviar una alerta temprana sobre la ocurrencia del evento,

b) Dentro del plazo máximo de 72 horas, una actualización de la información contemplada en la letra a), que incluya una evaluación inicial del incidente, su gravedad e impacto, así como indicadores de compromiso, si estuvieran disponibles.

Sin embargo, en caso que la institución afectada fuera un operador de importancia vital y este viera afectada la prestación de sus servicios esenciales a causa del incidente, la actualización de la información deberá entregarse al CSIRT Nacional en un plazo máximo de 24 horas contadas desde que haya tenido conocimiento del incidente;

c) Dentro del plazo máximo de quince días corridos contados desde el envío de la alerta temprana contemplada en la letra a), un informe final en el que se recojan al menos los siguientes elementos:

i) una descripción detallada del incidente, incluyendo su gravedad e impacto;

ii) el tipo de amenaza o causa principal que probablemente haya causado el incidente;

iii) las medidas de mitigación aplicadas y en curso;

iv) si procede, las repercusiones transfronterizas del incidente;

e) En el caso de que el incidente siga en curso con posterioridad a la presentación del informe contemplado en el literal c), éste se reemplazará por un informe de situación en ese momento, debiendo el informe final ser presentado en el plazo de 15 días corridos contados desde que se haya gestionado el incidente.

Sin perjuicio de lo anterior, tanto el CSIRT Nacional como la autoridad sectorial competente podrán requerir las actualizaciones pertinentes sobre la situación.

Los operadores de importancia vital deberán, además, informar al CSIRT Nacional su plan de acción, tan pronto lo hubieren adoptado. El plazo para la adopción de un plan de acción en ningún caso podrá ser superior a siete días corridos contados desde que se tuvo conocimiento de la ocurrencia del incidente.

En el caso de los organismos del Estado, para el cumplimiento del deber establecido en este artículo, los jefes de servicio deberán exigir a los proveedores de servicios de tecnologías de la información, que compartan la información sobre vulnerabilidades e incidentes que puedan afectar a las redes y sistemas informáticos de los organismos del Estado, y siempre que tenga por objeto prevenir, detectar o responder a incidentes, recuperarse de ellos o reducir su repercusión; o reforzar el nivel de ciberseguridad, garantizando a su vez que se respete la posible naturaleza delicada de la información compartida. Con el objeto de cumplir con lo anterior, los contratos de prestación de servicios no podrán contener ninguna cláusula que pudiera restringir o dificultar de cualquier modo la comunicación de información sobre amenazas por parte del prestador de servicios, siempre y cuando con ello no se comprometa la seguridad y protección de datos, incluida la confidencialidad y protección de la propiedad intelectual.

La Agencia dictará las instrucciones que sean necesarias para la debida realización y recepción de los reportes a que se refiere el presente artículo.

En caso de existir la obligación de notificar a más de una autoridad, la Agencia en conjunto con las autoridades involucradas y conforme lo dispuesto en el artículo 24 de la presente ley, procurará poner a disposición de los obligados un sistema de ventanilla única que permita la notificación simultánea a todas ellas.

Un reglamento expedido por el Ministerio encargado de la Seguridad Pública regulará el contenido de las diversas clases de reportes señalados en este artículo.

TÍTULO III. De la Agencia Nacional de Ciberseguridad

Párrafo 1°. Objeto, naturaleza y atribuciones

Artículo 10. Agencia Nacional de Ciberseguridad.

Créase la Agencia Nacional de Ciberseguridad como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.

En el ejercicio de sus funciones, la Agencia deberá siempre velar por la coherencia normativa, buscando que sus acciones se inserten de manera armónica en el ordenamiento regulatorio y sancionatorio nacional.

La Agencia se relacionará con el Presidente de la República por intermedio del Ministerio encargado de la seguridad pública.

La Agencia tendrá domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras macrozonas o regiones del país.

Artículo 11. Atribuciones.

Para dar cumplimiento a su objeto, la Agencia tendrá las siguientes atribuciones:

a) Asesorar al Presidente de la República en la elaboración y aprobación de la Política Nacional de Ciberseguridad, y de los planes y programas de acción específicos para su implementación, ejecución y evaluación.

b) Dictar los protocolos y estándares que señala el artículo 7; las instrucciones generales y particulares, de carácter obligatorio, para las instituciones, tanto públicas como privadas obligadas por la presente ley; y las demás disposiciones necesarias para la aplicación y el cumplimiento de esta ley y sus reglamentos.

c) Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de ciberseguridad; los protocolos y estándares técnicos, y las instrucciones generales y particulares que dicte al efecto.

d) Coordinar y supervisar al CSIRT Nacional y a los demás pertenecientes a la Administración del Estado; y requerir de estos la información que sea necesaria para el cumplimiento de sus fines.

e) Establecer una coordinación con el CSIRT de la Defensa Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades, así como respecto a las materias que serán objeto de intercambio de información.

f) Crear y administrar un Registro Nacional de Incidentes de Ciberseguridad.

g) Calificar, mediante resolución fundada y en la forma prevista en los artículos 4, 5 y 6 de esta ley, a los servicios esenciales y a los operadores de importancia vital.

h) Requerir a las entidades obligadas por la presente ley que hayan visto afectados sus servicios por un incidente de ciberseguridad o ciberataque, que entreguen a los potenciales afectados información veraz, suficiente y oportuna sobre su ocurrencia, conforme lo dispuesto en el literal g) del artículo 8º de la presente ley.

i) Diseñar e implementar planes y acciones de formación ciudadana, capacitación, fortalecimiento, difusión y promoción de la cultura en ciberseguridad.

j) Requerir a los organismos de la Administración del Estado y a las instituciones privadas señaladas en el artículo 4º de la presente ley acceso a la información estrictamente necesaria para prevenir la ocurrencia de incidentes de ciberseguridad o para gestionar uno que ya hubiera ocurrido. Para lo anterior, podrá requerir la entrega del registro de actividades de las redes y sistemas informáticos que permitan comprender detalles de los incidentes de ciberseguridad que puedan haber ocurrido.

Para el ejercicio de esta atribución, la instrucción siempre tendrá carácter particular, debiendo especificarse la información solicitada y fundarse debidamente. Cuando la información referida en el inciso anterior pudiera incluir datos personales estos deberán ser anonimizados, siempre que ello sea posible sin entorpecer la gestión de incidentes. En cualquier caso, los datos personales sólo podrán ser tratados dando estricto cumplimiento a lo dispuesto en la ley 19.628, y en particular, al principio de finalidad, sin perjuicio de lo que define la presente ley y sus reglamentos.

Con todo, para efectos de lo dispuesto en esta ley, no se considerará que la dirección IP sea un dato personal.

k) Requerir, mediante instrucción de su Director o Directora, en casos de incidentes de impacto significativo cuya gestión lo haga imprescindible, el acceso a redes y sistemas informáticos. Este requerimiento deberá notificarse sin demora al requerido a través de la dirección de correo electrónico que haya sido proporcionada a la Agencia, de conformidad con lo establecido en el reglamento. Una vez notificado, el requerido deberá proporcionar todas las facilidades de acceso que sean necesarias.

En caso de que el requerido sea una institución privada de las señaladas en el artículo 4º, podrá oponerse. Formulada la oposición la Agencia solo podrá acceder previa autorización judicial conforme lo dispuesto en los párrafos siguientes y no procederá el reclamo establecido en el artículo 46.

Corresponderá a un ministro de la Corte de Apelaciones de Santiago conocer del requerimiento. Anualmente, el Presidente de la Corte de Apelaciones de Santiago deberá designar, por sorteo, a dos de sus miembros para cumplir esta labor. Si ninguno de los ministros estuviere en funciones, corresponderá otorgar la autorización al Presidente de la Corte o a quien lo subrogue. La autorización deberá solicitarse por escrito y fundarse en hechos específicos que justifiquen la necesidad del requerimiento. Para tales efectos todos los días y horas se entenderán hábiles.

La resolución que autorice o deniegue el acceso a las redes y sistemas, deberá dictarse previa audiencia en el más breve plazo en la que se escuchará a las partes.

En contra de la resolución que dicte el Ministro de Corte procederá el recurso de apelación ante la Corte de Apelaciones de Santiago. Dicha Corte podrá resolver la apelación en cuenta sin más trámite. Los autos se agregarán de manera extraordinaria y con preferencia a la tabla del día siguiente; pero si este fuere inhábil, deberá el tribunal funcionar extraordinariamente para el solo conocimiento del recurso. Si producto de la interposición de recusaciones o implicancias no hubiere tribunal, los autos serán conocidos el día siguiente, según las reglas precedentes.

En caso de que se requiriera la restricción del acceso o uso de redes o sistemas informáticos se estará a lo dispuesto en este literal. No obstante, la Agencia deberá actuar conjuntamente con la autoridad sectorial correspondiente.

El procedimiento dispuesto en los incisos precedentes también será aplicable los requerimientos de acceso a redes y sistemas informáticos a que se refiere en el inciso tercero del literal ñ) del presente artículo.

l) Cooperar con organismos públicos e instituciones privadas, en materias propias de su competencia, sin perjuicio de las atribuciones de otros organismos del Estado.

La Agencia servirá de punto de contacto con las autoridades nacionales de ciberseguridad extranjeras o sus homólogos y con los organismos internacionales con competencia en materia de ciberseguridad.

Cuando se trate de la cooperación con Estados y organizaciones internacionales, dicha actividad deberá realizarse en coordinación con el Ministerio de Relaciones Exteriores, en conformidad con lo previsto en el inciso primero del artículo 2º de la ley N° 21.080.

m) Prestar, cuando sus recursos humanos, técnicos y financieros así lo permitan, asesoría técnica a los organismos del Estado e instituciones privadas afectados por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o afectado el funcionamiento de su operación, cautelando siempre los deberes de reserva de información que esta ley le impone, así como los consagrados por la ley N°19.628.

n) Colaborar con los organismos integrantes del Sistema de Inteligencia del Estado en la identificación de amenazas y la gestión de incidentes o ciberataques que puedan representar un riesgo para la seguridad nacional.

ñ) Fiscalizar el cumplimiento de las disposiciones de esta ley, sus reglamentos, protocolos, estándares técnicos y las instrucciones generales y particulares que emita la Agencia en ejercicio de las atribuciones conferidas en la ley.

Para el cumplimiento de su función fiscalizadora, la Agencia podrá realizar inspecciones; instruir de manera particular auditorías por sí o mediante terceros autorizados y análisis de seguridad basados en criterios de evaluación de riesgos objetivos, los cuales deberán ser no discriminatorios, equitativos y transparentes. La entidad fiscalizada deberá cooperar en todo momento con los funcionarios de la Agencia o con los terceros autorizados por ella, según corresponda.

Asimismo, la Agencia podrá requerir el acceso a sistemas informáticos, datos, documentos y demás información que fuere necesaria para el desempeño de sus funciones de supervisión y fiscalización; instruir de manera particular a los sujetos obligados que realicen pruebas que demuestren la implementación de los planes de continuidad operacional y ciberseguridad, referidos en la letra c) del artículo 8°.

Adicionalmente, podrá citar a declarar, respecto de hechos cuyo conocimiento estime necesario para el cumplimiento de sus funciones, a los socios, directores, administradores, representantes, empleados, y cualquier persona que, a cualquier título, preste o haya prestado servicios para las personas o entidades fiscalizadas, así como a toda persona que hubiere ejecutado o celebrado con ellas actos o convenciones de cualquier naturaleza. No obstante, no estarán obligadas a concurrir a declarar las personas indicadas en el artículo 361 del Código de Procedimiento Civil, a las cuales la Agencia, para los fines expresados en el párrafo precedente, deberá pedir declaración por escrito.

Para el ejercicio de esta atribución podrá establecer la forma, plazos y procedimientos para que las entidades fiscalizadas cumplan la obligación de presentar los antecedentes e informaciones referidos en los párrafos precedentes.

o) Instruir el inicio de procedimientos sancionatorios y sancionar las infracciones e incumplimientos en que incurran las instituciones obligadas por la presente ley respecto de sus disposiciones, reglamentos e instrucciones generales y particulares que emita la Agencia. Para tales efectos, y de manera fundada, podrá citar a declarar, en los términos señalados en el literal n) de este artículo, entre otros, a los representantes legales, administradores, asesores y dependientes de la institución de que se trate, así como a toda persona que haya tenido participación o conocimiento respecto de algún hecho que sea relevante para resolver el procedimiento sancionatorio. La declaración podrá tomarse presencialmente o por otros medios que aseguren su integridad y fidelidad.

p) Fomentar la investigación, innovación, capacitación y entrenamiento frente a amenazas, vulnerabilidades e incidentes de ciberseguridad y, en conjunto con los Ministerios de Economía, Fomento y Turismo, y de Ciencia, Tecnología, Conocimiento e Innovación, diseñar planes y acciones que fomenten el desarrollo o fortalecimiento de la industria de ciberseguridad local.

q) Realizar el seguimiento y evaluación de las medidas, planes y acciones elaborados en el ejercicio de sus funciones.

r) Informar al CSIRT de la Defensa Nacional y a los CSIRT de los organismos de la Administración del Estado los reportes o alarmas de incidentes de ciberseguridad y de vulnerabilidades existentes, conocidas o detectadas en su sector que considere relevantes, pudiendo sugerir determinados planes de acción.

s) Determinar, conforme al informe técnico que el CSIRT Nacional elabore para estos efectos, las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.

t) Certificar el cumplimiento de los estándares de ciberseguridad correspondientes por parte de los organismos de la Administración del Estado.

u) Otorgar y revocar las acreditaciones correspondientes a los centros de certificación, en los casos y bajo las condiciones que establezca esta ley y el reglamento respectivo.

v) Establecer los estándares que deberán cumplir las instituciones que provean bienes o servicios al Estado, y las normas de seguridad para el desarrollo de los sistemas y programas informáticos que sean utilizados por los organismos del Estado.

w) Establecer estándares de ciberseguridad y deberes de información al público sobre riesgos de seguridad de dispositivos digitales disponibles a consumidores finales.

x) Administrar la Red de Conectividad Segura del Estado.

y) Coordinar anualmente durante el mes de octubre, un ejercicio nacional de comprobación de capacidades de ciberseguridad, en cumplimiento de la ley N° 21.113, que declara el mes de octubre como el mes nacional de la ciberseguridad.

z) Realizar todas aquellas otras funciones que las leyes le encomienden especialmente.

Párrafo 2°. Dirección, organización y patrimonio

Artículo 12. Dirección de la Agencia.

La dirección y administración superior de la Agencia estará a cargo de un Director o Directora Nacional, quien será el jefe superior del Servicio, tendrá la representación legal, judicial y extrajudicial del mismo y será designado conforme a las normas del Sistema de Alta Dirección Pública establecidas en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica.

Artículo 13 Subdirección.

Existirá un Subdirector o Subdirectora Nacional de la Agencia, quien dependerá del Director o Directora Nacional y lo subrogará, en caso de ausencia o impedimento, y además ejercerá las funciones de los literales ñ) y o) del artículo 11. Para ello, contará con la atribución de instruir la apertura de procedimientos administrativos sancionadores, designar a los funcionarios a cargo, determinar las sanciones e imponerlas.

El Subdirector o Subdirectora Nacional de la Agencia, estará afecto al Sistema de Alta Dirección Pública, establecido en la ley N° 19.882, como cargo de segundo nivel jerárquico.

Artículo 14. Atribuciones del Director o Directora Nacional.

Corresponderá especialmente al Director o Directora Nacional:

a) Planificar, organizar, dirigir, coordinar y controlar el funcionamiento de la Agencia;

b) Establecer oficinas regionales cuando el buen funcionamiento del Servicio así lo exija;

c) Dictar las resoluciones y demás actos administrativos necesarios para el buen funcionamiento de la Agencia;

d) Dictar, mediante resolución, la normativa que de acuerdo a esta ley corresponda dictar a la Agencia;

e) Ejecutar los actos y celebrar los convenios necesarios para el cumplimiento de los fines de la Agencia. En el ejercicio de esta facultad, podrá libremente administrar, adquirir y enajenar bienes de cualquier naturaleza;

f) Delegar atribuciones o facultades específicas en los funcionarios y funcionarias que indique, y

g) Ejercer la representación judicial y extrajudicial de la Agencia, sin perjuicio de las atribuciones que pudieran corresponder al Consejo de Defensa del Estado.

Artículo 15. Del patrimonio de la Agencia.

El patrimonio de la Agencia estará constituido por:

a) Los recursos que anualmente le asigne la Ley de Presupuestos del Sector Público;

b) Los recursos otorgados por leyes generales o especiales;

c) Los bienes muebles e inmuebles, corporales e incorporales, que se le transfieran o que adquiera a cualquier título;

d) Los frutos, rentas e intereses de sus bienes y servicios;

e) Las donaciones que se le hagan, así como las herencias o legados que acepte, lo que deberá hacer con beneficio de inventario. Dichas donaciones y asignaciones hereditarias estarán exentas de toda clase de impuestos y de todo gravamen o pago que les afecten. Las donaciones no requerirán del trámite de insinuación;

f) Los aportes de la cooperación internacional que reciba a cualquier título, en coordinación con el Ministerio de Relaciones Exteriores, y

g) Los demás aportes que perciba en conformidad a la ley.

Artículo 16. Nombramiento de autoridades.

La Agencia estará afecta al Sistema de Alta Dirección Pública establecido en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica, hasta el segundo nivel jerárquico.

Artículo 17. Del personal de la Agencia.

El personal de la Agencia se regirá por las normas del Código del Trabajo.

1, promulgado el año 2000 y publicado el año 2001, del Ministerio Secretaría General de la Presidencia, debiendo dejarse constancia en los contratos respectivos de una cláusula que así lo disponga.

Al personal de la Agencia también le serán aplicables los artículos 61, 62, 63, 64, 90 y 90 A según corresponda, del decreto con fuerza de ley N° 29, promulgado el año 2004 y publicado el año 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.

Asimismo, el personal estará sujeto a responsabilidad administrativa, sin perjuicio de la responsabilidad civil o penal que pudiere afectarle por los actos realizados en el ejercicio de sus funciones. La responsabilidad disciplinaria del personal de la Agencia por los actos realizados en el ejercicio de sus funciones podrá hacerse efectiva por la autoridad respectiva, de acuerdo al procedimiento establecido en el Título V “De la Responsabilidad Administrativa” del decreto con fuerza de ley N° 29, promulgado el año 2004 y publicado el año 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.

En el caso de cese de funciones de los trabajadores que hubieren ingresado a la Agencia en virtud de las disposiciones del Título VI de la ley N° 19.882, sólo tendrán derecho a la indemnización contemplada en el artículo quincuagésimo octavo de dicha ley. Estos trabajadores no tendrán derecho a las indemnizaciones establecidas en el Código del Trabajo.

El Director o Directora de la Agencia, sin perjuicio de lo que establezca el contrato, tendrá la facultad para aplicar las normas relativas a las destinaciones, comisiones de servicio y cometidos funcionarios de los artículos 73 a 78 del decreto con fuerza de ley N° 29, promulgado el año 2004 y publicado el año 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo. Para estos efectos, los viáticos se pagarán conforme al decreto con fuerza de ley N° 262, promulgado y publicado el año 1977, del Ministerio de Hacienda, y al decreto supremo N° 1, promulgado y publicado el año 1991, del Ministerio de Hacienda, o el texto que lo reemplace.

La Agencia no podrá celebrar contratos de trabajo estableciendo el pago de indemnizaciones por causas distintas a las indicadas en los artículos 161, 162 y 163 del Código del Trabajo, y en caso alguno se podrá alterar el monto que entregue la base de cálculo dispuesta en dichas normas. Para el caso de evaluación deficiente de su desempeño, se podrá aplicar la causal del artículo 160 N° 7 del mismo cuerpo legal.

Una resolución dictada por el Director o la Directora de la Agencia, visada por la Dirección de Presupuestos, establecerá en forma anual la estructura de la dotación de trabajadores de la Agencia, indicando el número máximo de trabajadores que podrá ocupar según el régimen de remuneraciones.

Un reglamento expedido por el Ministerio encargado de la seguridad pública determinará la estructura interna del Servicio, de conformidad con lo dispuesto en la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado fue fijado por el decreto con fuerza de ley N° 1, promulgado el año 2000 y publicado el año 2001, del Ministerio Secretaría General de la Presidencia, con sujeción a la planta y dotación máxima del personal.

La Agencia deberá cumplir con las normas establecidas en el decreto ley N° 1.263, promulgado y publicado el año 1975, de Administración Financiera del Estado.

Artículo 18. Prohibiciones e inhabilidades.

Prohíbese al personal de la Agencia prestar por sí o a través de otras personas naturales o jurídicas, servicios personales a personas o a entidades sometidas a la fiscalización de la Agencia, o a los directivos, jefes o empleados de ellas, sean éstas públicas o privadas.

El personal de la Agencia no podrá intervenir, en razón de sus funciones, en asuntos en que tenga interés él o ella, su cónyuge, su conveniente civil, sus parientes consanguíneos del primero a cuarto grado inclusives, o por afinidad de primero y segundo grado.

Asimismo, les está prohibido actuar por sí o a través de sociedades de que formen parte, como lobbistas o gestores de intereses de terceras personas ante cualquier institución sometida a la fiscalización de la Agencia.

En todo caso, quedarán exceptuados de estas prohibiciones e inhabilidades el ejercicio de derechos que atañan personalmente al funcionario o funcionaria, o que se refieran a la administración de su patrimonio. El desempeño de funciones en la Agencia será de dedicación exclusiva y será incompatible con todo otro empleo o servicio retribuido con fondos fiscales o municipales y con las funciones, remuneradas o no, de consejero, director o trabajador de instituciones fiscales, semifiscales, organismos autónomos nacionales o extranjeros, empresas del Estado y, en general, de todo servicio público creado por ley. No obstante, será compatible con cargos docentes en instituciones públicas o privadas reconocidas por el Estado hasta un máximo de doce horas semanales, para lo cual deberá prolongar su jornada a fin de compensar las horas durante las cuales no haya podido desempeñar su cargo.

Igualmente, quedará exceptuada la atención no remunerada prestada a sociedades de beneficencia, instituciones de carácter benéfico y, en general, a instituciones sin fines de lucro. Con todo, para que operen estas excepciones, será necesario obtener autorización previa y expresa del jefe superior del Servicio.

Al personal de la Agencia le serán aplicables los literales a), e), f), g), h), i), j), k), l) y m) del artículo 84 del decreto con fuerza de ley N° 29, promulgado el año 2004 y publicado el año 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.

Artículo 19. Notificación responsable de vulnerabilidades.

No serán aplicables las obligaciones previstas en el artículo 175 del Código Procesal Penal y en el artículo 61, literal k), del Estatuto Administrativo, a los trabajadores de la Agencia respecto de la información que reciban por parte de las personas que les notifiquen vulnerabilidades de ciberseguridad. La Agencia deberá mantener en secreto la notificación, sus antecedentes y la identidad de quien la realice, no pudiendo esta última ser revelada sin el consentimiento expreso de la persona que la realizó.

Párrafo 3°. Consejo Multisectorial sobre Ciberseguridad

Artículo 20. Consejo Multisectorial sobre Ciberseguridad.

Créase el Consejo Multisectorial sobre Ciberseguridad, en adelante el Consejo, de carácter consultivo y que tendrá por función asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.

El Consejo estará integrado por el Director o Directora Nacional de la Agencia, quien lo presidirá, y seis consejeros ad honorem designados por el Presidente de la República, escogidos entre personas de destacada labor en el ámbito de la ciberseguridad o de las políticas públicas vinculadas a la materia, provenientes dos del sector industrial o comercial, dos del ámbito académico y dos de las organizaciones de la sociedad civil, cuyo objeto o razón social se refiera a materias de esta ley, quienes permanecerán en su cargo durante seis años, renovándose en tríos cada tres años, pudiendo ser reelegidos en sus cargos por una sola vez.

Los integrantes del Consejo estarán obligados a presentar una declaración de intereses y patrimonio, en conformidad a lo dispuesto por la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses, y estarán afectos al principio de abstención contenido en el artículo 12 de la ley N° 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado.

Artículo 21. Funcionamiento del Consejo.

El Consejo sesionará, a lo menos, cuatro veces al año; sus recomendaciones serán de carácter público y deberán recoger la diversidad de opiniones existentes en él cuando no haya unanimidad respecto de las mismas. Excepcionalmente y mediante decisión fundada, el Director o Directora podrá decretar secreta o reservada una parte o toda una sesión del Consejo, de lo cual se deberá dejar constancia en el acta respectiva. En este caso, se aplicará lo dispuesto en el artículo 51.

El Consejo sesionará todas las veces que sea necesario para el cumplimiento de sus funciones. La Agencia prestará el apoyo técnico y administrativo indispensable para el adecuado funcionamiento del Consejo.

Un reglamento expedido por el Ministerio encargado de la seguridad pública determinará las demás normas necesarias para el correcto funcionamiento del Consejo.

Artículo 22. De las causales de cesación.

Serán causales de cesación en el cargo de consejero las siguientes:

a) Expiración del plazo por el que fue designado.

b) Renuncia voluntaria.

c) Incapacidad física o síquica para el desempeño del cargo.

d) Fallecimiento.

e) Haber sido condenado por delitos que merezcan pena aflictiva por sentencia firme o ejecutoriada.

f) Falta grave al cumplimiento de las obligaciones como consejero. Para estos efectos, se considerará falta grave:

i. Inasistencia injustificada a cuatro sesiones consecutivas.

ii. No guardar la debida reserva respecto de la información recibida en el ejercicio de su cargo que no haya sido divulgada oficialmente.

El consejero respecto del cual se verificare alguna de las causales de cesación referidas anteriormente deberá comunicar de inmediato dicha circunstancia al Consejo, cuando correspondiere. Respecto de la causal de la letra f), la concurrencia de dichas circunstancias facultará al Presidente de la República para decretar la remoción.

Tan pronto como el Consejo tome conocimiento de que una causal de cesación afecta a un consejero, el referido consejero cesará automáticamente en su cargo.

Si quedare vacante el cargo de consejero deberá procederse al nombramiento de uno nuevo, de conformidad con el procedimiento establecido en esta ley. El consejero nombrado en reemplazo durará en el cargo sólo por el tiempo que falte para completar el período del consejero reemplazado.

Párrafo 4°. Red de Conectividad Segura del Estado

Artículo 23. Red de Conectividad Segura del Estado.

Créase la Red de Conectividad Segura del Estado, en adelante RCSE, que proveerá servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado señalados en el artículo 1° de la presente ley.

La Agencia podrá suscribir los convenios de interconexión con instituciones públicas y privadas que considere necesarios para el mejor funcionamiento de la RCSE y de los servicios adicionales que preste.

Un reglamento expedido por el Ministerio encargado de la seguridad pública y visado por el Ministro de Hacienda regulará el funcionamiento de la RCSE y las obligaciones especiales de los organismos de la Administración del Estado.

Párrafo 5°. Equipo Nacional de Respuesta a Incidentes de Seguridad Informática

Artículo 24. Equipo Nacional de Respuesta a Incidentes de Seguridad Informática. Créase dentro de la Agencia Nacional de Ciberseguridad el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática, en adelante “CSIRT Nacional”, el que tendrá las siguientes funciones:

a) Responder ante ciberataques o incidentes de ciberseguridad, cuando éstos sean de efecto significativo.

b) Coordinar a los CSIRT que pertenezcan a organismos de

la Administración del Estado frente a ciberataques o incidentes de ciberseguridad de efecto significativo. La misma coordinación deberá establecer con el CSIRT de la Defensa Nacional. En el ejercicio de esta función, el CSIRT Nacional podrá realizar todas las acciones necesarias para asegurar una respuesta rápida, incluida la supervisión de las medidas adoptadas por éstos.

Cuando los ciberataques o incidentes puedan afectar el normal funcionamiento del sistema financiero, la respuesta del CSIRT Nacional deberá realizarse en coordinación con el Consejo de Estabilidad Financiera creado por la ley N° 20.789. Sin perjuicio de la obligación del CSIRT Nacional de comunicar al mencionado Consejo sobre el incidente, podrá tomar medidas sin esperar respuesta en casos de urgencia.

c) Servir de punto de enlace con Equipos de Respuesta a Incidentes de Seguridad Informática extranjeros o sus equivalentes para el intercambio de información de ciberseguridad, siempre dentro del marco de sus competencias.

d) Prestar colaboración o asesoría técnica a los CSIRT que pertenezcan a organismos de la Administración del Estado en la implementación de políticas y acciones relativas a ciberseguridad.

e) Supervisar incidentes a escala nacional.

f) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación.

g) Realizar entrenamiento, educación y capacitación en materia de ciberseguridad.

h) Requerir a las instituciones afectadas o a los CSIRT correspondientes, información anonimizada de incidentes de ciberseguridad y vulnerabilidades encontradas y los planes de acción respectivos para mitigarlos.

i) Difundir alertas tempranas, avisos e información sobre riesgos e incidentes para la comunidad.

j) Elaborar un informe con los criterios técnicos para la determinación de las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.

TÍTULO IV. Coordinación regulatoria y otras disposiciones

Artículo 25. Coordinación regulatoria.

Cuando la Agencia deba dictar protocolos, estándares técnicos o instrucciones de carácter general en el ejercicio de sus funciones, y estos tengan efectos en las áreas de competencia de otra entidad sectorial, deberá previamente remitir la información relevante a dicha entidad y solicitar un informe con el propósito de prevenir posibles conflictos normativos y garantizar la coordinación, cooperación y colaboración efectivas entre ambas autoridades.

La autoridad sectorial requerida deberá evacuar su informe dentro de un plazo de treinta días corridos a partir de la fecha en que recibió la solicitud indicada en el inciso anterior. La Agencia considerará el contenido de este informe en la motivación del acto administrativo de carácter general que emita. Transcurrido el plazo sin que se hubiere recibido el informe correspondiente, la Agencia procederá a emitir los protocolos, estándares técnicos o instrucciones generales requeridos.

Cuando una autoridad sectorial, en el ejercicio de sus atribuciones establecidas en sus leyes orgánicas, deba emitir actos administrativos de carácter general que tengan efectos en los ámbitos de competencia de la Agencia en conformidad a la presente ley, deberá remitir a la Agencia la información pertinente y solicitar un informe con el objeto de prevenir posibles conflictos normativos y garantizar la coordinación, cooperación y colaboración entre ambas entidades. Además, en el ejercicio de estas atribuciones, las autoridades sectoriales deben tener en cuenta, al menos, los protocolos, estándares técnicos e instrucciones generales previamente emitidos por la Agencia.

Lo establecido en los incisos anteriores no se aplicará en los casos en que el acto administrativo respectivo requiera una aplicación inmediata o en el plazo más breve posible atendida a su naturaleza y urgencia, siempre que se justifique dicha circunstancia y se deje constancia. No obstante, en estos casos, la Agencia deberá, en un plazo de tres días corridos, proporcionar a las autoridades sectoriales competentes, o viceversa según corresponda, todos los documentos tenidos a la vista y solicitar un informe con el fin de cumplir con los objetivos mencionados en los incisos primero y tercero.

Artículo 26. Normativa Sectorial.

Las autoridades sectoriales podrán emitir normativas generales, técnicas e instrucciones necesarias para fortalecer la ciberseguridad en las instituciones de su sector, en conformidad con la regulación respectiva y siguiendo lo dispuesto en el artículo anterior, cuando corresponda.

Las instituciones supervisadas deberán cumplir obligatoriamente con estas normas e instrucciones en la gestión de sus riesgos, de acuerdo con la autoridad sectorial que las haya emitido. La fiscalización y sanción relacionadas con estas disposiciones se regirán por las leyes respectivas de dicha autoridad sectorial.

Cuando las normas o instrucciones emitidas por una autoridad sectorial establezcan obligaciones para un sector a fin de prevenir incidentes de ciberseguridad, que tengan, al menos, efectos equivalentes a las obligaciones previstas en los protocolos, normas o instrucciones de la Agencia, prevalecerán las disposiciones de la autoridad sectorial. Esto no afectará los deberes de coordinación establecidos en el artículo 25 ni la aplicación de las normas de la presente ley. No obstante, si las normas o instrucciones de una autoridad sectorial no cubren a todas las entidades de un sector o solo se aplican a una parte de sus supervisados, los protocolos, normas o instrucciones de la Agencia seguirán siendo plenamente aplicables a las entidades no exceptuadas en los términos indicado en este inciso.

Para efectos de lo indicado en el inciso anterior, la Agencia y la autoridad sectorial correspondiente deberán previamente dictar una norma conjunta de carácter general. Dicha norma tendrá por objeto establecer criterios para la evaluación de la equivalencia de los efectos entre una normativa o instrucción.

Artículo 27. Incidentes de efecto significativo.

Se considerará que un incidente de ciberseguridad tiene efecto significativo si es capaz de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, así como en el caso de afectar sistemas informáticos que contengan datos personales. Para determinar la importancia de los efectos de un incidente, se tendrán especialmente en cuenta los siguientes criterios:

a) El número de personas afectadas.

b) La duración del incidente.

c) La extensión geográfica con respecto a la zona afectada por el incidente.

Los CSIRT que pertenezcan a los organismos de la Administración del Estado tendrán la obligación de tomar las providencias necesarias para apoyar en el restablecimiento del servicio afectado, bajo la coordinación del CSIRT Nacional.

Deberá omitirse en los reportes de incidentes de ciberseguridad todo dato o información personal, conforme a lo dispuesto en el artículo 2°, letra f), de la ley N° 19.628, sobre protección de la vida privada. Para efectos de lo dispuesto en este inciso, no se considerará que la dirección IP sea un dato o información personal.

El procedimiento específico para notificar un incidente de ciberseguridad, la forma, así como las condiciones de anonimato, la taxonomía del informe y la periodicidad, serán establecidos en el reglamento de la presente ley.

Artículo 28. Centros de Certificación.

Los operadores de importancia vital deberán obtener las certificaciones de ciberseguridad que señala esta ley y las que determine la Agencia mediante reglamento. Para estos efectos, solo los organismos que sean parte del registro de entidades certificadoras autorizadas a cargo de la Agencia, estarán habilitadas para emitir certificaciones válidas que esta ley exija.

Para formar parte de este registro bastará acreditar el cumplimiento de los requisitos que establezca el reglamento, pudiendo mantenerse en tanto cumplan los referidos requisitos.

La Agencia podrá homologar certificaciones técnicas internacionales o extranjeras sobre ciberseguridad mediante resolución fundada de su director o directora.

TÍTULO V. Del Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional

Artículo 29. Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional.

Créase el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional, en adelante CSIRT de la Defensa Nacional, dependiente del Ministerio de Defensa Nacional, como el organismo responsable de la coordinación, protección y seguridad de las redes y sistemas del mencionado Ministerio y de los servicios esenciales y operadores vitales para la defensa nacional, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la defensa y la seguridad nacional.

El CSIRT de la Defensa Nacional dependerá del Estado Mayor Conjunto, del Ministerio de Defensa Nacional.

Para los efectos presupuestarios, el CSIRT a que se refiere este artículo dependerá del Ministerio de Defensa Nacional; se regirá por el reglamento que este Ministerio dicte al efecto y, en lo que le sea aplicable, por la presente ley.

Artículo 30. De las funciones del CSIRT de la Defensa Nacional.

Las funciones principales del CSIRT de la Defensa Nacional serán las siguientes:

a) Conducir y asegurar la protección y defensa de los riesgos y amenazas presentes en el ciberespacio, que permitan preservar la confidencialidad, integridad y disponibilidad de las redes de información, los servicios esenciales y operadores vitales para la defensa nacional. Para ello, estará a cargo de la coordinación y será enlace entre los diferentes CSIRT Institucionales de la Defensa Nacional.

b) Asumir el rol de coordinador y enlace entre la Agencia y su CSIRT Nacional con los CSIRT Institucionales de la Defensa Nacional, asegurando la cooperación, colaboración e intercambio de información pertinente que fortalezca la ciberseguridad.

c) Establecer los protocolos y estándares mínimos de ciberseguridad, tanto para la prevención, detección, contención, protección, recuperación de los sistemas y respuesta dependientes de las Fuerzas Armadas y del Estado Mayor Conjunto, considerando los lineamientos establecidos por la Agencia.

d) Prestar colaboración o asesoría técnica en la implementación de las políticas de ciberseguridad nacionales a los CSIRT Institucionales de la Defensa Nacional.

Artículo 31. De los Equipos de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional.

En el sector de la defensa nacional se constituirán Equipos de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional, en adelante CSIRT Institucionales de la Defensa Nacional, los que tendrán por finalidad dar respuesta, en el marco de sus competencias, a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, servicios y equipos físicos y de tecnología de la información de las respectivas instituciones de la defensa nacional.

Se podrán constituir CSIRT Institucionales, conforme a los lineamientos entregados por el CSIRT de la Defensa Nacional.

Las funciones de los CSIRT Institucionales de la Defensa Nacional serán determinadas por la reglamentación que el Ministerio de Defensa Nacional dicte al efecto, de conformidad a la política de ciberdefensa y a los lineamientos generales que entregue la Agencia.

Artículo 32. Deber de reporte al CSIRT de la Defensa Nacional.

Todas las instituciones de la defensa nacional deberán reportar los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos al CSIRT de la Defensa Nacional. El CSIRT de la Defensa Nacional reportará a la Agencia todos los incidentes identificados cuando no se ponga en riesgo la seguridad y la defensa nacional, conforme a lo que determine el reglamento.

TÍTULO VI. De la reserva de información en el sector público en materia de ciberseguridad

Artículo 33. De la reserva de información.

Se considerarán secretos y de circulación restringida, para todos los efectos legales, los antecedentes, datos, informaciones y registros que obren en poder de la Agencia, de los CSIRT, sean Nacional, de Defensa o que pertenezcan a organismos de la Administración del Estado o de su personal, cualquiera que sea su cargo o la naturaleza de su vinculación jurídica con éstos. Asimismo, tendrán dicho carácter aquellos otros antecedentes respecto de los cuales el personal de tales organismos del Estado tome conocimiento en el desempeño de sus funciones o con ocasión de éstas.

Los estudios e informes que elabore la Agencia podrán eximirse de dicho carácter con la autorización de su Director o Directora Nacional, en las condiciones que éste indique.

Los funcionarios y funcionarias de la Agencia y del CSIRT Nacional, de Defensa o de los que pertenezcan a organismos de la Administración del Estado que hubieren tomado conocimiento de los antecedentes a que se refiere el inciso primero, estarán obligados a mantener el carácter secreto de su existencia y contenido aun después del término de sus funciones en los respectivos servicios.

De igual forma, será considerada secreta o reservada la información contenida en los sistemas de gestión de seguridad de la información y los registros previstos en el artículo 8°, entendiéndose para todo efecto que su divulgación, comunicación o conocimiento afectarán la seguridad de la Nación o el interés nacional.

Adicionalmente, serán considerada como información secreta o reservada, la siguiente:

i. Las matrices de riesgos de ciberseguridad;

ii. Los planes de continuidad operacional y planes ante desastres, y

iii. Los planes de acción y mitigación de riesgos de ciberseguridad.

Artículo 34. Extensión de la obligación de reserva.

La obligación de guardar secreto regirá, además, para aquellos que, sin ser funcionarios o funcionarias de la Agencia, tomaren conocimiento de las solicitudes para la ejecución de procedimientos especiales de obtención de información de los antecedentes que las justifiquen y de las resoluciones judiciales que se dicten al efecto.

Artículo 35. Deber de reserva de la Agencia.

La Agencia deberá mantener y cautelar la reserva de la información que llegue a conocer en el desempeño de sus funciones cuando ella tenga tal calidad en virtud de una norma legal o porque, habiendo sido requerida por ella, le sea entregada bajo tal calidad.

Asimismo, deberá procurar el respeto a los derechos fundamentales de las personas, particularmente el respeto y resguardo del derecho a la vida privada y el derecho a la protección de datos personales.

Sin perjuicio de lo anterior, no se incumple el deber de reserva en aquellos casos en que la Agencia o el CSIRT Nacional, en cumplimiento de sus funciones, deba difundir antecedentes que se encontraren sujetos a reserva, siempre que ello permita gestionar, prevenir o contener un incidente de ciberseguridad.

Artículo 36. Sanciones.

La infracción a las obligaciones dispuestas en el presente Título, serán sancionadas en la forma prevista en los artículos 246, 247 o 247 bis, todos del Código Penal, según corresponda. Lo anterior es sin perjuicio de la responsabilidad administrativa que procediere.

TÍTULO VII. De las infracciones y sanciones.

Artículo 37. Competencia de la autoridad sectorial.

La autoridad sectorial será competente para fiscalizar, conocer y sancionar las infracciones, así como ejecutar las sanciones a la normativa sobre ciberseguridad que hubiere dictado y cuyos efectos sean al menos equivalentes al de la normativa dictada por la Agencia, conforme lo dispuesto en el artículo 26. Para este efecto, las sanciones y procedimientos sancionatorios serán los que correspondan a la autoridad sectorial de conformidad a su normativa. Fuera de dichos casos, corresponderá a la Agencia fiscalizar, conocer y sancionar las infracciones así como ejecutar las sanciones a la presente ley, sin perjuicio de la facultad de los organismos de la Administración del Estado de poner en conocimiento del organismo competente las infracciones a la norma de que tomaren conocimiento.

Artículo 38. Infracciones.

Las infracciones a las obligaciones que esta ley prescribe a los sujetos obligados por ella se califican en leves, graves y gravísimas.

Se considerarán infracciones leves las siguientes:

1. Entregar fuera de plazo la información que se le requiera cuando ella no fuere necesaria para la gestión de un incidente de ciberseguridad;

2. Incumplir las instrucciones generales o particulares impartidas por la Agencia en los casos que no esté sancionado como infracción grave o gravísima; y

3. Cualquier infracción a las obligaciones que esta ley establece y que no tenga señalada una sanción especial.

Se considerarán infracciones graves las siguientes:

1. No haber implementado los protocolos y estándares establecidos por la Agencia para prevenir, reportar y resolver incidentes de ciberseguridad;

2. No haber implementado los estándares particulares de ciberseguridad;

3. Entregar fuera de plazo la información que se le requiera cuando ella fuere necesaria para la gestión de un incidente de ciberseguridad;

4. Entregar a la Agencia de información manifiestamente falsa o errónea.

5. Incumplir la obligación de reportar establecida en el artículo 9;

6. Negarse injustificadamente a cumplir una instrucción de la Agencia o entorpecer deliberadamente el ejercicio de las atribuciones de la Agencia durante la gestión de un incidente de ciberseguridad, siempre que la atribución no cuente con una sanción especial; y

7. La reincidencia en una misma infracción leve dentro de un año.

Se considerarán infracciones gravísimas las siguientes:

1. Entregar a la Agencia información manifiestamente falsa o errónea, cuando ella sea necesaria para la gestión de un incidente de ciberseguridad;

2. Incumplir las instrucciones generales o particulares impartidas por la Agencia durante la gestión de un incidente de impacto significativo;

3. No entregar la información que se le requiera cuando ella fuere necesaria para la gestión de un incidente de impacto significativo; y

4. La reincidencia en una infracción grave dentro de un año.

Artículo 39. De las infracciones de los Operadores de Importancia Vital.

Sin perjuicio de lo prescrito en el artículo precedente, los Operadores de Importancia Vital podrán ser sancionados por infringir las disposiciones del artículo 8º, las que se califican en leves, graves y gravísimas.

Se considerarán infracciones leves las siguientes:

1. No mantener el registro de las acciones de seguridad que señala la letra b);

2. No comunicar al CSIRT Nacional la realización continua de operaciones de revisión, ejercicios y demás acciones que señala el literal d);

3. No contar con programas de capacitación, formación y educación continua para los trabajadores, según dispone el literal g);

4. No designar un delegado de ciberseguridad, según dispone la letra i);

5. No dar cumplimiento a la instrucción particular de la Agencia en orden a certificar los planes de continuidad operacional del párrafo segundo de la letra c); y

6. No contar con las certificaciones que exija la ley, de acuerdo al literal f).

Se considerarán infracciones graves las siguientes:

1. No haber implementado el sistema de gestión de seguridad de la información continuo al que se refiere el literal a);

2. No haber elaborado o implementado los planes de continuidad operacional y ciberseguridad a los que se refiere la letra c);

3. No informar a los potenciales afectados sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente su información o redes y sistemas informáticos, en los casos que señala la letra g);

4. No adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad o un ciberataque, según señala la letra e); y

5. La reincidencia en una misma infracción leve dentro del periodo de un año.

Se considerarán infracciones gravísimas las siguientes:

1. No adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad o un ciberataque, según señala la letra e), cuando este posea un impacto significativo; y

2. La reincidencia en una misma infracción grave dentro del periodo de un año.

Artículo 40. De las sanciones.

La infracción a los preceptos de esta ley conlleva la imposición de una multa a beneficio fiscal, de acuerdo a la siguiente escala:

1. Las infracciones leves serán sancionadas con multa de hasta 5.000 unidades tributarias mensuales; o con hasta 10.000 unidades tributarias mensuales si se tratare de un operador de importancia vital;

2. Las infracciones graves serán sancionadas con multa de hasta 10.000 unidades tributarias mensuales; o con hasta 20.000 unidades tributarias mensuales si se tratare de un operador de importancia vital; y

3. Las infracciones gravísimas serán sancionadas con multa de hasta 20.000 unidades tributarias mensuales; o con hasta 40.000 unidades tributarias mensuales si se tratare de un operador de importancia vital.

La multa será fijada teniendo en consideración el grado en que el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del incidente, el grado de exposición del infractor a los riesgos, la gravedad de los efectos de los ataques incluidas sus repercusiones sociales o económicas, la reiteración en la infracción dentro del plazo de 3 años contado desde el momento en que se produjo el incidente, el tamaño y la capacidad económica del infractor.

Cuando por unos mismos hechos y fundamentos jurídicos, el infractor pudiese ser sancionado con arreglo a esta ley y a otra u otras leyes, de las sanciones posibles, se le impondrá la de mayor gravedad.

En ningún caso se podrá aplicar al infractor, por los mismos hechos y fundamentos jurídicos, dos o más sanciones administrativas.

Las infracciones previstas en esta ley prescribirán a los tres años de cometidas, plazo que se interrumpirá con la notificación de la formulación de cargos por los hechos constitutivos de las mismas.

Artículo 41. Procedimiento simplificado.

Tratándose de la formulación de cargos por infracciones calificadas como leves en conformidad al artículo 38, la Agencia estará facultada para proponer de manera inmediata la sanción a aplicar, la cual quedará firme si el presunto infractor opta por allanarse a los cargos formulados en su contra. En caso contrario, si el presunto infractor decide rechazar la imputación y presentar descargos, se procederá conforme a lo indicado en el artículo 40 de la presente ley.

Artículo 42. Procedimiento administrativo sancionador.

El procedimiento administrativo se regirá por lo prescrito por la ley Nº19.880, que establece bases de los procedimientos administrativos que rigen los actos de los organismos de la Administración del Estado, sin perjuicio de las siguientes disposiciones:

a) Toda sanción deberá fundarse en un procedimiento que se iniciará con la formulación precisa y fundada de los cargos y contendrá la descripción de los hechos en los que se fundamentan y de cómo éstos constan en la investigación, la indicación de por qué se consideran una infracción a la normativa, especificando la o las normas que se estimen infringidas y el presunto responsable de la infracción. Además, se designará al funcionario a cargo de la instrucción del procedimiento. Se fijará un plazo para la formulación de descargos que no podrá ser inferior a quince ni superior a treinta días. Las notificaciones del procedimiento deberán realizarse a la dirección de correo electrónico que haya sido proporcionada a la Agencia, de conformidad al reglamento.

b) En los descargos deberán señalarse todas las circunstancias o antecedentes de hecho y de derecho que eximan o atenúen la presunta responsabilidad de la persona objeto de cargos, así como aquellas que nieguen la efectiva ocurrencia de los hechos, o que demuestren que éstos no constituyen infracción.

Todo ello, sin perjuicio de otras presentaciones o antecedentes posteriores que se hagan valer en el curso del procedimiento sancionatorio con el mismo objetivo. Asimismo, deberán solicitarse las diligencias probatorias que correspondieren.

c) Vencido el plazo para formular descargos, se abrirá un término probatorio por un plazo no inferior a diez ni superior a veinte días, según la naturaleza y complejidad del asunto. Dicho plazo podrá prorrogarse por una sola vez y hasta por un máximo de quince días. Se podrá rendir prueba mediante cualquier medio admisible en Derecho, los que se apreciarán de acuerdo a las reglas de la sana crítica.

d) Excepcionalmente, se realizarán las diligencias que, decretadas de oficio o a petición de parte, se estimen estrictamente necesarias para la resolución del asunto. Las diligencias podrán solicitarse dentro de los cinco días siguientes al vencimiento del término probatorio.

e) Una vez transcurrido el plazo mencionado en el literal previo, el procedimiento deberá concluir. El instructor del procedimiento emitirá un informe en el cual deberá incluir un análisis detallado de todas las defensas, alegatos y pruebas presentadas durante el procedimiento sancionatorio a partir del cual se determinará si se ha infringido la normativa vigente y si procede la imposición de la sanción respectiva o la absolución de los cargos. El informe deberá emitirse dentro del plazo de quince días.

f) Una vez recibido el informe del instructor del procedimiento, corresponderá al Subdirector de la Agencia resolver los procesos sancionatorios en el plazo de quince días, dictando al efecto resolución fundada en la cual absolverá al infractor o aplicará la sanción, en su caso. La resolución del Subdirector deberá incluir el mismo contenido que el informe señalado en el literal precedente.

Artículo 43. De los recursos.

En contra de la resolución del Subdirector mediante la cual se concluye el procedimiento administrativo procederán los recursos que establezca la ley Nº19.880. El recurso deberá resolverse dentro del plazo de quince días. La interposición del recurso suspenderá el plazo para reclamar de ilegalidad, siempre que se trate de materias por las cuales procede dicho recurso.

Artículo 44. Forma de pago de las multas.

Las multas deberán pagarse dentro de los diez días siguientes contados desde que el acto administrativo que las impone quede firme. Vencido ese plazo, la resolución que establezca la sanción tendrá mérito ejecutivo y se hará exigible por la Tesorería General de la República. Para su cobro se aplicará el inciso segundo del artículo 35 del decreto ley N° 1.263, de 1975, orgánico de Administración Financiera del Estado.

El pago de toda multa deberá ser acreditado ante la Agencia, dentro de los diez días siguientes a la fecha en que ésta debió ser pagada.

El retardo en el pago de estas multas devengará los intereses y reajustes establecidos en el artículo 53 del Código Tributario.

Artículo 45. Pronto pago.

El sancionado que no interponga recurso alguno podrá, dentro de los cinco días siguientes a que le sea notificada la resolución del Subdirector que le impone la sanción, pagar directamente en la Tesorería General de la República en cuyo caso, el monto de la misma será reducido en un veinticinco por ciento. Una vez ejercido este derecho, se entenderán renunciado todos los recursos.

Lo dicho en este artículo no será aplicable para el caso previsto en el artículo anterior.

Artículo 46. Procedimiento de reclamación judicial.

Las personas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal y les cause perjuicio, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último. El reclamo deberá interponerse dentro de los quince días hábiles siguientes a la notificación de la resolución impugnada, los que deberán computarse de acuerdo al artículo 25 de la ley N°19.880, según las siguientes reglas:

a) El reclamante señalará en su escrito, con precisión, la resolución objeto del reclamo, la o las normas legales que se suponen infringidas, la forma en que se ha producido la infracción y, cuando procediere, las razones por las cuales el acto le causa agravio.

b) La Corte podrá declarar inadmisible la reclamación si el escrito no cumple con las condiciones señaladas en la letra a) anterior. Asimismo, podrá decretar orden de no innovar cuando la ejecución del acto impugnado pueda ocasionar un daño irreparable al recurrente.

c) Recibida la reclamación, la Corte requerirá el informe de la Agencia, concediéndole un plazo de diez días hábiles al efecto.

d) Evacuado el traslado o teniéndosele por evacuado en rebeldía, la Corte podrá abrir un término de prueba, si así lo estima necesario, el que se regirá por las reglas de los incidentes que contempla el Código de Procedimiento Civil.

e) Vencido el término de prueba, se ordenará traer los autos en relación. La vista de esta causa gozará de preferencia para su inclusión en la tabla.

f) Si la Corte da lugar al reclamo, en su sentencia decidirá si existió agravio y ordenará, cuando sea procedente, la rectificación del acto impugnado y la dictación de la respectiva resolución, según corresponda.

g) Tratándose de reclamaciones en contra de una resolución que resuelve un procedimiento sancionatorio, la Corte podrá rechazar o acoger la resolución impugnada, establecer o desechar la comisión de la infracción, según corresponda, y mantener, dejar sin efecto o modificar la sanción impuesta al responsable o su absolución, según sea el caso.

h) Contra la resolución de la Corte de Apelaciones se podrá apelar ante la Corte Suprema, dentro del plazo de diez días hábiles, la que resolverá en cuenta.

i) En todo aquello no regulado por el presente artículo, regirán las normas establecidas en el Código Orgánico de Tribunales y en el Código de Procedimiento Civil, según corresponda.

Artículo 47. Responsabilidad administrativa del jefe superior del organismo de la administración del Estado.

El jefe superior del organismo de la administración del Estado deberá velar porque el organismo respectivo aplique las medidas idóneas y necesarias para prevenir, reportar y resolver incidentes de ciberseguridad con arreglo a lo establecido en esta ley.

Asimismo, los organismos de la Administración del Estado deberán adoptar las medidas tendientes a subsanar o prevenir las infracciones que indique la Agencia.

TÍTULO VIII. Del Comité Interministerial sobre Ciberseguridad

Artículo 48. Comité Interministerial sobre Ciberseguridad.

Créase el Comité Interministerial sobre Ciberseguridad, en adelante el Comité, que tendrá por objeto asesorar al Presidente de la República en materias de Ciberseguridad relevantes para el funcionamiento del país.

En el ejercicio de sus funciones, el Comité deberá:

a) Asesorar al Presidente de la República en el análisis y definición de la Política Nacional de Ciberseguridad, que contendrá las medidas, planes y programas de acción específicos que se aplicarán para su ejecución y cumplimiento.

b) Proponer al Presidente de la República cambios a la normativa constitucional, legal o reglamentaria vigente cuando ésta incida en materias de ciberseguridad.

c) Coordinar la implementación de la Política Nacional de Ciberseguridad.

d) Apoyar las funciones de la Agencia Nacional de Ciberseguridad en lo que resulte necesario.

e) Revisar y tener en consideración las recomendaciones del Consejo Multisectorial sobre Ciberseguridad.

Artículo 49. De los integrantes del Comité.

El Comité estará integrado por los siguientes miembros permanentes:

a) Por el Subsecretario del Interior o quien éste designe.

b) Por el Subsecretario de Defensa o quien éste designe.

c) Por el Subsecretario de Relaciones Exteriores o quien éste designe.

d) Por el Subsecretario General de la Presidencia o quien éste designe.

e) Por el Subsecretario de Telecomunicaciones o quien éste designe.

f) Por el Subsecretario de Hacienda o quien éste designe.

g) Por el Subsecretario de Ciencia, Tecnología, Conocimiento e Innovación o quien éste designe.

h) Por el Director o Directora Nacional de la Agencia Nacional de Inteligencia.

i) Por el Director o Directora Nacional de la Agencia Nacional de Ciberseguridad, quien lo presidirá.

Con todo, el Comité podrá invitar a participar de sus sesiones a funcionarios o funcionarias de la Administración del Estado u otras autoridades públicas, así como a representantes de entidades internacionales, públicas o privadas, académicas y de agrupaciones de la sociedad civil o del sector privado.

Artículo 50. De la Secretaría Ejecutiva.

El Comité contará con una Secretaría Ejecutiva radicada en la Agencia, la que prestará el apoyo técnico, administrativo y de contenidos para el desarrollo de las reuniones del Comité.

Al Director o Directora Nacional de la Agencia le corresponderá, entre otras funciones, convocar, dirigir y registrar las sesiones e implementar los acuerdos que se adopten.

Artículo 51. De la información reservada.

Constituido el Comité en sesión secreta, los funcionarios o funcionarias que estén en conocimiento de información reservada que sea atingente a los fines del Comité, podrán compartirla para su análisis y no se podrá levantar acta mientras se encuentre en tal condición.

La revelación de la información será sancionada de conformidad al delito de violación de secretos contemplado en los artículos 246, 247 y 247 bis del Código Penal.

Artículo 52. Del reglamento.

Un reglamento expedido por el Ministerio encargado de la seguridad pública fijará las normas de funcionamiento del Comité.

Título IX. Órganos autónomos constitucionales

Artículo 53. Regímenes especiales.

El Senado y la Cámara de Diputados, el Poder Judicial, la Contraloría General de la República, el Banco Central, el Ministerio Público, el Servicio Electoral y el Consejo Nacional de Televisión deberán adoptar las medidas de seguridad de sus redes y sistemas informáticos que sean pertinentes. Para estos efectos, la Corte Suprema, el respectivo jefe de servicio o los órganos colegiados que ejerzan dicha función, podrán dictar la normativa que sea conveniente a tales efectos, pudiendo considerar en su formulación las recomendaciones que efectúe la Agencia.

Las instituciones y órganos señalados en este artículo no estarán sujetos en modo alguno a la regulación, fiscalización o supervigilancia de la Agencia; sin perjuicio de que deberán convenir mecanismos de reporte de incidentes de ciberseguridad y de coordinación y cooperación para la respuesta a incidentes de ciberseguridad.

Asimismo, si el órgano autónomo constitucional revistiera el carácter de autoridad sectorial, deberá considerársele para los efectos de los artículos 6, 25 y 26.

TÍTULO X. De las modificaciones a otros cuerpos legales

Artículo 54. Incorpórase, en el artículo 25 de la ley N° 20.424, Estatuto Orgánico del Ministerio de Defensa Nacional, la siguiente letra k), nueva:

“k) Conducir al Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional en coordinación con la Subsecretaría de Defensa.”.

Artículo 55. Introdúcense las siguientes enmiendas en la ley N° 21.459, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest:

1. Incorpórase, en el artículo 2°, el siguiente inciso final, nuevo:

“No será objeto de sanción penal por haber incurrido en los hechos tipificados en el inciso primero, el que habiendo accedido a un sistema informático cuyo responsable tenga domicilio en Chile, lo hiciera cumpliendo con las siguientes condiciones:

1) Encontrarse inscrito en el registro que al efecto lleve la Agencia Nacional de Ciberseguridad;

2) Que el acceso se haya realizado habiendo informado previamente de ello a la Agencia;

3) Que el acceso y las vulnerabilidades de seguridad detectadas hayan sido reportadas al responsable del sistema informático y a la Agencia, tan pronto se hubiere realizado;

4) Que el acceso no haya sido realizado con el ánimo de apoderarse o de usar la información contenida en el sistema informático, ni con intención fraudulenta. Tampoco podrá haber actuado más allá de lo que era necesario para comprobar la existencia de una vulnerabilidad, ni utilizando métodos que pudieran conducir a denegación de servicio, a pruebas físicas, utilización de código malicioso, ingeniería social y alteración, eliminación, exfiltración o destrucción de datos;

5) No haber divulgado públicamente la información relativa a la potencial vulnerabilidad;

6) Que se trate de un acceso a un sistema informático de los organismos de la administración del Estado. En el resto de los casos, requerirá del consentimiento del responsable del sistema informático.

7) Haber dado cumplimiento a las demás condiciones sobre comunicación responsable de vulnerabilidades que al efecto hubiere dictado la Agencia.

2. Derógase el artículo 16.

DISPOSICIONES TRANSITORIAS

Artículo primero.

Entrada en vigencia y personal.

Facúltase al Presidente de la República para que en el plazo de un año de publicada en el Diario Oficial la presente ley, establezca mediante uno o más decretos con fuerza de ley expedidos a través del Ministerio del Interior y Seguridad Pública, los que también deberán ser suscritos por el Ministro de Hacienda, las normas necesarias para regular las siguientes materias:

1. Determinar la fecha para la iniciación de actividades de la Agencia, la cual podrá contemplar un período para su implementación y uno a contar del cual entrará en operaciones.

2. Determinar un periodo para la vigencia de las normas establecidas por la presente ley el cual no podrá ser inferior a seis meses desde su publicación.

3. Fijar el sistema de remuneraciones del personal de la Agencia y las normas necesarias para la fijación de las remuneraciones variables, en su aplicación transitoria.

4. Fijar la planta de personal de Directivos de la Agencia, pudiendo al efecto fijar el número de cargos, los requisitos para el desempeño de los mismos, sus denominaciones y los cargos que se encuentren afectos al Título VI de la ley N° 19.882. Además, determinará la fecha de entrada en vigencia de dicha planta.

5. El personal que a la fecha de inicio de actividades de la Agencia se encuentre prestando servicios a honorarios en la Subsecretaría del Interior y cuyo traspaso se determine de conformidad a los párrafos tercero y cuarto de este numeral, podrá optar por modificar su estatuto laboral al Código del Trabajo, siempre que cumpla con los requisitos respectivos y otorgue previamente su consentimiento.

En la medida que el personal señalado en el párrafo anterior cumpla con los requisitos respectivos y dé su consentimiento, las modificaciones de estatuto laboral señaladas en el mencionado párrafo precedente deberán incluirse en la dotación máxima de personal del primer presupuesto que se fije para la Agencia.

En el respectivo decreto con fuerza de ley, se determinará la forma y el número de personas a honorarios a traspasar sin solución de continuidad, desde la Subsecretaría del Interior a la Agencia, además, el plazo en que se llevará a cabo este proceso. Conjuntamente con el traspaso del personal, se traspasarán los recursos presupuestarios que se liberen por este hecho y, a su vez, un número equivalente al de los honorarios traspasados deberá ser reducido del número máximo de personas a ser contratadas a honorarios fijado en las glosas presupuestarias correspondientes de la Subsecretaría del Interior.

La individualización del personal traspasado conforme al párrafo anterior, se realizará a través de decretos expedidos bajo la fórmula “Por orden del Presidente de la República”, por intermedio del Ministerio del Interior y Seguridad Pública.

El personal a honorarios que pase a ser Código del Trabajo de acuerdo a lo señalado en este artículo, mantendrá una remuneración líquida mensualizada que le permita mantener su honorario líquido mensual.

6. Determinar la dotación máxima de personal de la Agencia.

7. Podrá disponer el traspaso, en lo que corresponda, de toda clase de bienes, desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.

Artículo segundo.

El Presidente de la República, sin sujetarse a lo dispuesto en el título VI de la ley Nº 19.882, podrá nombrar, a partir de la publicación de la presente ley, al primer Director o Directora de la Agencia Nacional de Ciberseguridad, quien asumirá de inmediato, por el plazo máximo de un año y en tanto se efectúa el proceso de selección pertinente que establece la señalada ley para los cargos del Sistema de Alta Dirección Pública. En el acto de nombramiento, el Presidente de la República fijará el grado de la escala única de sueldos y la asignación de alta dirección pública que le corresponderá al Director o Directora, siempre que no se encuentre vigente la respectiva planta de personal. La remuneración del primer Director o Directora se financiará con cargo al presupuesto de la Subsecretaría del Interior, incrementándose para ese sólo efecto en un cargo su dotación máxima de personal, siempre que no se encuentre vigente la respectiva planta de personal. El primer Director de la Agencia Nacional de Ciberseguridad no podrá participar del primer proceso de selección por Alta Dirección Pública para la provisión de su cargo.

Artículo tercero.

El Presidente de la República, por decreto supremo expedido por intermedio del Ministerio de Hacienda, conformará el primer presupuesto de la Agencia Nacional de Ciberseguridad y podrá modificar el presupuesto del Ministerio del Interior y Seguridad Pública. Para los efectos anteriores podrá crear, suprimir o modificar las partidas, capítulos, programas, ítems, asignaciones y glosas presupuestarias que sean pertinentes.

Artículo cuarto. Dentro del plazo de ciento ochenta días posteriores a la publicación de la ley, el Ministerio del Interior y Seguridad Pública deberá expedir los reglamentos señalados en esta ley.

Artículo quinto.

Renovación de los miembros del Consejo Multisectorial sobre Ciberseguridad. Para los efectos de la renovación parcial de los miembros del Consejo Multisectorial sobre Ciberseguridad a que se refiere el inciso segundo del artículo 20, sus miembros durarán en sus cargos el número de años que a continuación se indica, sin perjuicio de que podrán ser designados por un nuevo período:

a) Tres consejeros durarán en sus cargos un plazo de tres años.

b) Tres consejeros durarán en sus cargos un plazo de seis años.

Artículo sexto.

El mayor gasto fiscal que represente la aplicación de la presente ley durante su primer año presupuestario de vigencia se financiará con cargo al presupuesto el Ministerio del Interior y Seguridad Pública. No obstante lo anterior, el Ministerio de Hacienda con cargo a la partida presupuestaria Tesoro Público podrá suplementar dicho presupuesto en la parte del gasto que no pudiere financiar con esos recursos. Para los años siguientes, se financiará de acuerdo con lo determinen las respectivas Leyes de Presupuestos del Sector Público.”

Habiéndose cumplido con lo establecido en el Nº 1 del Artículo 93 de la Constitución Política de la República y por cuanto he tenido a bien aprobarlo y sancionarlo; por tanto, promúlguese y llévese a efecto como Ley de la República.

Santiago, 26 de marzo de 2024.-

GABRIEL BORIC FONT, Presidente de la República.-

Carolina Tohá Morales, Ministra del Interior y Seguridad Pública.-

Alberto van Klaveren Stork, Ministro de Relaciones Exteriores.-

Maya Fernández Allende, Ministra de Defensa Nacional.-

Mario Marcel Cullell, Ministro de Hacienda.-

Álvaro Elizalde Soto, Ministro Secretario General de la Presidencia.-

Nicolás Grau Veloso, Ministro de Economía, Fomento y Turismo.-

Luis Cordero Vega, Ministro de Justicia y Derechos Humanos.-

Juan Carlos Muñoz Abogabir, Ministro de Transportes y Telecomunicaciones.-

Diego Pardow Lorenzo, Ministro de Energía.-

Aisén Etcheverry Escudero, Ministra de Ciencia, Tecnología, Conocimiento e Innovación.

Lo que transcribo a Ud. para su conocimiento.-

Atentamente, Manuel Zacarías Monsalve Benavides, Subsecretario del Interior.

Tribunal Constitucional

Proyecto de ley que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, correspondiente al Boletín N° 14.847-06

La Secretaria del Tribunal Constitucional, quien suscribe, certifica que el Honorable Senado envió el proyecto de ley enunciado en el rubro, aprobado por el Congreso Nacional, a fin de que este Tribunal ejerciera el control preventivo de constitucionalidad respecto de sus artículos 1° inciso segundo; 10; 11 letras a), b), c), d), e), i), k) párrafos segundo y cuarto, n), ñ), o), w) e y); 12; 16; 17; 20 inciso tercero; 24, con excepción de su letra g); 29; 30; 46; 47; 48; 49; 50; 53; y 54, permanentes, y de los artículos segundo y quinto transitorio; y por sentencia de 19 de marzo de 2024, en los autos Rol N° 15.043-23-CPR.

Se declara:

I. Que las siguientes disposiciones del Proyecto de Ley, aprobado por el Congreso Nacional, que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, correspondiente al Boletín N° 14.847-06, son conformes con la Constitución Política de la República:

• Artículo 10;

• Artículo 11 letras b), c), ñ) y o);

• Artículo 11 letra k) párrafo segundo, en la frase “Corresponderá a un ministro de la Corte de Apelaciones de Santiago conocer del requerimiento” y párrafo cuarto, en la frase “En contra de la resolución que dicte el Ministro de Corte procederá el recurso de apelación ante la Corte de Apelaciones de Santiago”;

• Artículo 17 inciso primero;

• Artículo 20 inciso tercero, en la frase “Los integrantes del Consejo estarán obligados a presentar una declaración de intereses y patrimonio, en conformidad a lo dispuesto por la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses”;

• Artículo 46 inciso primero, en la frase “Procedimiento de reclamación judicial. Las personas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal y les cause perjuicio, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último” y en su letra h), en la frase “Contra la resolución de la Corte de Apelaciones se podrá recurrir ante la Corte Suprema”;

• Artículo 53 inciso primero, en la frase “Regímenes especiales. El Senado y la Cámara de Diputados, el Poder Judicial, la Contraloría General de la República, el Banco Central, el Ministerio Público, el Servicio Electoral y el Consejo Nacional de Televisión deberán adoptar las medidas de seguridad de sus redes y sistemas informáticos que sean pertinentes”; e inciso segundo, en la frase “sin perjuicio de que deberán convenir mecanismos de reporte de incidentes de ciberseguridad y de coordinación y cooperación para la respuesta a incidentes de ciberseguridad”;

• Artículo 54.

II. Que el Inciso Tercero del Artículo 53 es contrario a la Constitución Política de la República, por lo que debe eliminarse del texto del Proyecto de Ley sometido a Control Preventivo de Constitucionalidad.

III. Que no se emite Pronunciamiento, en Examen Preventivo de Constitucionalidad, de las restantes disposiciones del Proyecto de Ley por no versar sobre materias que inciden en Ley Orgánica Constitucional.

Santiago, 20 de marzo de 2024.-

María Angélica Barriga Meza, Secretaria Tribunal Constitucional.

08Abr/24

Proyecto de Ley de 12 de diciembre de 2023

8 abril, 2024Chile, Proyecto de LeyActivo informático, agencia, Agencia Nacional de Ciberseguridad, Auditorias de seguridad, Autenticación, Ciberataque, Ciberseguridad, confidencialidad, Coordinador Eléctrico Nacional, CSIRT, Derecho Informático, Disponibilidad, Equipo de Respueta a Incidentes de Seguridad Informárica, Incidentes de ciberseguridad, Infraestructura crítica de la información, Integridad, Legislación Chile, Legislación Informática, Ley nº 19.223, Ley nº 19.628, Ley nº 21.459, Red y sistema informático, Resilenc ia, Riesgo, VulnerabilidadJosé Cuervo

Proyecto de Ley de 12 de diciembre de 2023, que establece una Ley Marco sobre Ciberseguridad e Infraestructura crítica de la información.

PROYECTO DE LEY QUE ESTABLECE UNA LEY MARCO SOBRE CIBERSEGURIDAD E INFRAESTRUCTURA CRÍTICA DE LA INFORMACIÓN

TEXTO FINAL DESPACHADO POR EL CONGRESO NACIONAL EL 12 DE DICIEMBRE DE 2023