Archivos de la etiqueta: Derecho Informático de España

10Dic/18

Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial

Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial (Modificada por Disposición Final Cuarta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales).

JUAN CARLOS I, REY DE ESPAÑA

A todos los que la presente vieren y entendieren,

Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente Ley Orgánica:

EXPOSICIÓN DE MOTIVOS

I

El artículo 1.º de la Constitución afirma que España se constituye en un Estado social y democrático de Derecho que propugna como valores superiores de su ordenamiento jurídico la libertad, la justicia, la igualdad y el pluralismo político.

El Estado de Derecho, al implicar, fundamentalmente, separación de los poderes del Estado, imperio de la Ley como expresión de la soberanía popular, sujeción de todos los poderes públicos, a la Constitución y al resto del ordenamiento jurídico y garantía procesal efectiva de los derechos fundamentales y de las libertades públicas, requiere la existencia de unos órganos que, institucionalmente caracterizados por su independencia, tengan un emplazamiento constitucional que les permita ejecutar y aplicar imparcialmente las normas que expresan la voluntad popular, someter a todos los poderes públicos al cumplimiento de la ley, controlar la legalidad de la actuación administrativa y ofrecer a todas las personas tutela efectiva en el ejercicio de sus derechos e intereses legítimos.

El conjunto de órganos que desarrollan esa función constituye el Poder Judicial del que se ocupa el título VI de nuestra Constitución, configurándolo como uno de los tres poderes del Estado y encomendándole, con exclusividad, el ejercicio de la potestad jurisdiccional en todo tipo de procesos, juzgando y haciendo ejecutar lo juzgado, según las normas de competencia y procedimiento que las leyes establezcan.

El artículo 122 de la Constitución española dispone de que la Ley Orgánica del Poder Judicial determinará la constitución, funcionamiento y gobierno de los Juzgados y Tribunales, el estatuto jurídico de los Jueces y Magistrados de carrera, que formarán un cuerpo único, y del personal al servicio de la Administración de Justicia, así como el estatuto y el régimen de incompatibilidades de los miembros del Consejo General del Poder Judicial y sus funciones, en particular en materia de nombramientos, ascensos, inspección y régimen disciplinario.

Las exigencias del desarrollo constitucional demandaron la aprobación de una Ley Orgánica que regulara la elección, composición y funcionamiento del Consejo General del Poder Judicial, aun antes de que se procediese a la organización integral del Poder Judicial. Tal Ley Orgánica tiene, en no pocos aspectos, un carácter provisional que se reconoce explícitamente en sus disposiciones transitorias, las cuales remiten a la futura Ley Orgánica del Poder Judicial.

La presente Ley Orgánica satisface, por tanto, un doble objetivo: pone fin a la situación de provisionalidad hasta ahora existente en la organización y funcionamiento del Poder Judicial y cumple el mandato constitucional.

II

En la actualidad, el Poder Judicial está regulado por la Ley Provisional sobre organización del Poder Judicial de 18 de septiembre de 1870, por la Ley Adicional a la Orgánica del Poder Judicial de 14 de octubre de 1882, por la Ley de Bases para la reforma de la Justicia Municipal de 19 de Julio de 1944 y por numerosas disposiciones legales y reglamentarias que, con posterioridad, se dictaron de forma dispersa en relación con la misma materia.

Estas normas no se ajustan a las demandas de la sociedad española de hoy. Desde el régimen liberal de separación de poderes, entonces recién conquistado, que promulgó aquellas Leyes, se ha transitado, un siglo después, a un Estado Social y Democrático de Derecho, que es la organización política de una Nación que desea establecer una sociedad democrática avanzada y en la que los poderes públicos están obligados a promover las condiciones para que la libertad y la igualdad del individuo y de los grupos sean reales y efectivas, a remover los obstáculos que impidan o dificulten su plenitud y a facilitar la participación de todos los ciudadanos en la vida política, económica y social. El cumplimiento de estos objetivos constitucionales precisa de un Poder Judicial adaptado a una sociedad predominantemente industrial y urbana y diseñado en atención a los cambios producidos en la distribución territorial de su población, en la división social del trabajo y en las concepciones éticas de los ciudadanos.

A todo ello hay que añadir la notable transformación que se ha producido, por obra de la Constitución, en la distribución territorial del poder. La existencia de Comunidades Autónomas que tienen asignadas por la Constitución y los Estatutos competencias en relación con la Administración de Justicia obliga a modificar la legislación vigente a ese respecto. Tanto la Constitución como los Estatutos de Autonomía prevén la existencia de los Tribunales Superiores de Justicia que, según nuestra Carta Magna, culminarán la organización judicial en el ámbito territorial de la Comunidad Autónoma.

La ineludible e inaplazable necesidad de acomodar la organización del Poder Judicial a estas previsiones constitucionales y estatutarias es, pues, un imperativo más que justifica la aprobación de la presente Ley Orgánica.

Por último, hay que señalar que ésta es solamente una de las normas que, en unión de otras muchas, tiene que actualizar el cuerpo legislativo –tanto sustantivo como procesal– español y adecuarlo a la realidad jurídica, económica y social. Será preciso para ello una ardua labor de reforma de la legislación española, parte de la cual ha sido ya acometida, al objeto de lograr un todo armónico caracterizado por su uniformidad.

III

Las grandes líneas de la Ley están expresadas en su título preliminar. Se recogen en él los principios que se consagran en la Constitución. El primero de ellos es la independencia, que constituye la característica esencial del Poder Judicial en cuanto tal. Sus exigencias se desenvuelven a través de mandatos concretos que delimitan con el rigor preciso su exacto contenido. Así, se precisa que la independencia en el ejercicio de la función jurisdiccional se extiende frente a todos, incluso frente a los propios órganos jurisdiccionales, lo que implica la imposibilidad de que ni los propios Jueces o Tribunales corrijan, a no ser con ocasión del recurso que legalmente proceda, la actuación de sus inferiores, quedando igualmente excluida la posibilidad de circulares o instrucciones con carácter general y relativas a la aplicación o interpretación de la ley.

De la forma en que la Ley Orgánica regula la independencia del Poder Judicial se puede afirmar que posee una característica: su plenitud. Plenitud que se deriva de la obligación que se impone a los poderes públicos y a los particulares de respetar la independencia del Poder Judicial y de la absoluta sustracción del estatuto jurídico de Jueces y Magistrados a toda posible interferencia que parta de los otros poderes del Estado, de tal suerte que a la clásica garantía –constitucionalmente reconocida– de inamovilidad se añade una regulación, en virtud de la cual se excluye toda competencia del poder ejecutivo sobre la aplicación del estatuto orgánico de aquéllos. En lo sucesivo, pues, la carrera profesional de Jueces y Magistrados estará plena y regladamente gobernada por la norma o dependerá, con exclusividad absoluta, de las decisiones que en el ámbito discrecional estatutariamente delimitado adopte el Consejo General del Poder Judicial.

La importancia que la plenitud de la independencia judicial tendrá en nuestro ordenamiento debe ser valorada completándola con el carácter de totalidad con que la Ley dota a la potestad jurisdiccional. Los Tribunales, en efecto, controlan sin excepciones la potestad reglamentaria y la actividad administrativa, con lo que ninguna actuación del poder ejecutivo quedará sustraída a la fiscalización de un poder independiente y sometido exclusivamente al imperio de la Ley. Habrá que convenir que el Estado de Derecho proclamado en la Constitución alcanza, como organización regida por la ley que expresa la voluntad popular y como sistema en el que el Gobierno de los hombres es sustituido por el imperio de la ley, la máxima potencialidad posible.

Corolarios de la independencia judicial son otros preceptos del título preliminar que concretan sus distintas perspectivas. Así, la unidad de la jurisdicción, que, en consecuencia con el mandato constitucional, es absoluta, con la única salvedad de la competencia de la jurisdicción militar, que queda limitada al ámbito estrictamente castrense regulado por la ley y a los supuestos de estado de sitio; la facultad que se reconoce a los Jueces y Tribunales de requerir la colaboración de particulares y poderes públicos; y, en fin, la regulación del procedimiento y de las garantías en él previstas, para los supuestos de expropiación de los derechos reconocidos frente a la Administración Pública en una sentencia firme.

IV

Una de las características de la Constitución española es la superación del carácter meramente programático que antaño se asignó a las normas constitucionales, la asunción de una eficacia jurídica directa e inmediata y, como resumen, la posición de indiscutible supremacía de que goza en el ordenamiento jurídico. Todo ello hace de nuestra Constitución una norma directamente aplicable, con preferencia a cualquier otra.

Todos estos caracteres derivan del propio tenor del texto constitucional. En primer lugar, del artículo 9.1 que prescribe que «los ciudadanos y los poderes públicos están sujetos a la Constitución y al resto del ordenamiento». Otras disposiciones constitucionales, como la que deroga cuantas normas se opongan al texto constitucional o la que regula los procedimientos de declaración de inconstitucionalidad, completan el efecto del citado párrafo 1 del Artículo 9.º y cierran el sistema que hace de la Carta Magna la norma suprema de nuestro ordenamiento con todos los efectos jurídicos a ello inherentes.

El Título preliminar de la presente Ley Orgánica singulariza en el Poder Judicial la vinculación genérica del Artículo 9.1 de la Constitución, disponiendo que las Leyes y Reglamentos habrán de aplicarse según los preceptos y principios constitucionales y conforme a la interpretación de los mismos que realice el Tribunal Constitucional. Se ratifica así la importancia de los valores propugnados por la Constitución como superiores, y de todos los demás principios generales del Derecho que de ellos derivan, como fuente del Derecho, lo que dota plenamente al ordenamiento de las características de plenitud y coherencia que le son exigibles y garantiza la eficacia de los preceptos constitucionales y la uniformidad en la interpretación de los mismos.

Además, se dispone que sólo procederá el planteamiento de la cuestión de inconstitucionalidad cuando no sea posible acomodar, por la vía interpretativa, la norma controvertida al mandato constitucional. Se refuerza, con ello, la vinculación del juzgador para con la norma fundamental, y se introduce en esa sujeción un elemento dinámico de protección activa, que trasciende del mero respeto pasivo por la Ley suprema.

El valor de la Constitución como norma suprema del ordenamiento se manifiesta, también, en otros preceptos complementarios. Así, se configura la infracción de precepto constitucional como motivo suficiente del recurso de casación y se menciona expresamente la directa aplicabilidad de los derechos fundamentales, haciéndose explícita protección del contenido esencial que salvaguarda la Constitución.

V

El Estado se organiza territorialmente, a efectos judiciales, en municipios, partidos, provincias y Comunidades Autónomas, sobre los que ejercen potestad jurisdiccional Juzgados de Paz, Juzgados de Primera Instancia e Instrucción, de lo Contencioso-Administrativo, de lo Social, de Vigilancia Penitenciaria y de Menores, Audiencias Provinciales y Tribunales Superiores de Justicia. Sobre todo el territorio nacional ejercen potestad jurisdiccional la Audiencia Nacional y el Tribunal Supremo.

La Ley contiene en este punto innovaciones importantes. Así, se democratiza el procedimiento de designación de los Jueces de Paz; se suprimen los Juzgados de Distrito, que se transforman en Juzgados de Primera Instancia o de Instrucción; se crean Juzgados unipersonales de lo Contencioso-Administrativo, así como de lo Social, sustitutivos estos últimos de las Magistraturas de Trabajo; se atribuyen competencias en materia civil a las Audiencias Provinciales y, en fin, se modifica la esfera de la Audiencia Nacional, creando en la misma una Sala de lo Social, y manteniendo las Salas de lo Penal y de lo Contencioso-Administrativo.

Sin embargo, las modificaciones más relevantes son las derivadas de la configuración territorial del Estado en Comunidades Autónomas que realiza la Constitución y que, lógicamente, se proyecta sobre la organización territorial del Poder Judicial.

La Ley Orgánica cumple en este punto las exigencias constitucionales y estatutarias. Por ello, y como decisiones más relevantes, se crean los Tribunales Superiores de Justicia, que culminarán la organización judicial en la Comunidad Autónoma, lo que implica la desaparición de las Audiencias Territoriales hasta ahora existentes como órganos jurisdiccionales supraprovinciales de ámbito no nacional.

A ello hay que añadir la regulación de la participación reconocida a las Comunidades Autónomas en la delimitación de las demarcaciones territoriales, así como las competencias que se les asignan en referencia a la gestión de los medios materiales.

Con esta nueva organización judicial, necesitada del desarrollo que llevará a cabo la futura Ley de planta y demarcación judicial –que el Gobierno se compromete a remitir a las Cortes Generales en el plazo de un año–, se pretende poner a disposición del pueblo español una red de órganos judiciales que, junto a la mayor inmediación posible, garantice sobre todo la realización efectiva de los derechos fundamentales reconocidos en el artículo 24 de la Constitución Española, entre ellos, destacadamente, el derecho a un juicio público sin dilaciones indebidas y con todas las garantías.

VI

Para garantizar la independencia del Poder Judicial, la Constitución crea el Consejo General del Poder Judicial, al que encomienda el gobierno del mismo, y remite a la Ley Orgánica el desarrollo de las normas contenidas en su artículo 122.2 y 3.

En cumplimiento de tales mandatos, la presente Ley Orgánica reconoce al Consejo General todas las atribuciones necesarias para la aplicación del estatuto orgánico de los Jueces y Magistrados, en particular en materia de nombramientos, ascensos, inspección y régimen disciplinario. La Ley concibe las facultades de inspección de Juzgados y Tribunales, no como una mera actividad represiva, sino, más bien, como una potestad que incorpora elementos de perfeccionamiento de la organización que se inspecciona.

Para la elección de los doce miembros del Consejo General del Poder Judicial que, de acuerdo con el artículo 122.2 de la Constitución Española, deben ser elegidos «entre Jueces y Magistrados de todas las categorías judiciales», la Ley, informada por un principio democrático, partiendo de la base de que se trata del órgano de gobierno de un Poder del Estado, recordando que los poderes del Estado emanan del pueblo y en atención al carácter de representantes del pueblo soberano que ostentan las Cortes Generales, atribuye a éstas la selección de dichos miembros de procedencia judicial del Consejo General. La exigencia de una muy cualificada mayoría de tres quintos –a la que la Constitución requiere para la elección de los otros miembros– garantiza, a la par que la absoluta coherencia con el carácter general del sistema democrático, la convergencia de fuerzas diversas y evita la conformación de un Consejo General que responda a una mayoría parlamentaria concreta y coyuntural. La Ley regula también el estatuto de los miembros del Consejo y la composición y atribuciones de los órganos en que se articula. Igualmente, se refuerza la mayoría necesaria para la propuesta de nombramiento del Presidente del Tribunal Supremo y del Consejo General del Poder Judicial y otros cargos institucionales. Por último, se atribuye a la Sala de lo Contencioso-Administrativo del Tribunal Supremo la competencia para conocer de los recursos que se interpongan contra los actos y disposiciones emanados del pleno o de la comisión disciplinaria del Consejo General del Poder Judicial no susceptibles de alzada.

Resta añadir que la entrada en vigor de esta Ley Orgánica significará la derogación de la Ley del mismo carácter 1/1980, de 10 de enero, cuya provisionalidad ya ha sido puesta de manifiesto.

La Ley Orgánica modifica el sistema de designación de las Salas de Gobierno, introduciendo parcialmente los métodos electivos. Ello está aconsejado por las funciones gubernativas y no jurisdiccionales que vienen llamadas a cumplir, así como por las nuevas competencias que esta misma Ley Orgánica les atribuye. En estas condiciones, habida cuenta de que la actividad de las Salas de Gobierno afecta fundamentalmente a Jueces y Magistrados y no incide directamente sobre los particulares, se adopta un sistema parcial de elección abierto y mayoritario, en el que desempeña un papel notable el conocimiento personal de electores y elegidos.

La materialización de los principios de pluralismo y participación de que se quiere impregnar el gobierno del Poder Judicial impone una profunda modificación de la actual regulación del derecho de asociación profesional que el artículo 127.1 de la Constitución reconoce a Jueces, Magistrados y Fiscales. El régimen transitorio de libertad asociativa hasta ahora existente contiene restricciones injustificadas a las que se pone fin. De ahí que esta Ley Orgánica reconozca el derecho de libre asociación profesional con la única limitación de no poder llevar a cabo actuaciones políticas ni tener vinculaciones con partidos políticos o sindicatos. Las asociaciones profesionales quedarán válidamente constituidas desde que se inscriban en el registro que será llevado al efecto por el Consejo General del Poder Judicial.

VII

La realización práctica del derecho, constitucionalmente reconocido, a la tutela judicial efectiva, requiere como presupuesto indispensable que todos los órganos jurisdiccionales estén provistos de sus correspondientes titulares, Jueces o Magistrados. Muy graves perjuicios se producen en la seguridad jurídica, en el derecho a un juicio sin dilaciones, cuando los Juzgados y Tribunales se encuentran vacantes durante prolongados lapsos de tiempo, con la correspondiente acumulación de asuntos pendientes y retraso en la Administración de Justicia. Ello ha obligado a recurrir a fórmulas de sustituciones o prórrogas de jurisdicción especialmente inconvenientes en aquellos territorios en los que tiene lugar un progresivo y creciente incremento del trabajo. Resulta por todo ello indemorable afrontar y resolver tal problema.

Los hechos demuestran que los clásicos mecanismos de selección de personal judicial no permiten que la sociedad española se dote de Jueces y Magistrados en número suficiente. Es obligado, pues, recurrir a mecanismos complementarios. A tal fin, la Ley Orgánica prevé un sistema de acceso a la carrera judicial de juristas de reconocido prestigio. Ello permitirá, en primer lugar, hacer frente a las necesidades y cubrir las vacantes que de otra forma no podrían serlo; en segundo término, incorporar a función tan relevante como la judicial a quienes, en otros campos jurídicos, han demostrado estar en condiciones de ofrecer capacidad y competencia acreditadas; por último, lograr entre la carrera judicial y el resto del universo jurídico la ósmosis que, a buen seguro, se dará cuando se integren en la judicatura quienes, por haber ejercido el Derecho en otros sectores, aportarán perspectivas diferentes e incorporarán distintas sensibilidades a un ejercicio que se caracteriza por la riqueza conceptual y la diversidad de enfoques. Los requisitos exigidos, y el hecho de que operarán aquí las mismas garantías de selección objetiva y rigurosa que rigen el clásico camino de la oposición libre, aseguran simultáneamente la imparcialidad del elector y la capacidad del elegido. No se hace con ello, en definitiva, otra cosa que incorporar a nuestro sistema de selección mecanismos experimentados con éxito de antiguo no solo en varios países, sino, incluso, entre nosotros mismos, y precisamente en el Tribunal Supremo.

Sin embargo, el sistema básico de ingreso en la carrera judicial sigue siendo el de oposición libre entre licenciados en Derecho, completada por la aprobación de un curso en el centro de estudios judiciales y con las prácticas en un órgano jurisdiccional.

El acceso a la categoría de Magistrado se verifica en las proporciones siguientes: de cada cuatro vacantes, dos se proveerán con los Jueces que ocupen el primer lugar en el escalafón dentro de la categoría; la tercera, por medio de pruebas selectivas y de especialización en los órdenes contencioso-administrativo y social entre los Jueces, y la cuarta, por concurso entre juristas de reconocida competencia y con más de diez años de ejercicio.

Por lo que se refiere al régimen de provisión de destinos, se sigue manteniendo como criterio básico, en lo que respecta a Juzgados, Audiencias y Tribunales Superiores de Justicia, el de la antigüedad. Ello no obsta, sin embargo, para que se introduzca también, como sistema de promoción en la carrera judicial, la especialización que es, por un lado, necesaria a la vista de la magnitud y complejidad de la legislación de nuestros días y, por otra parte, conveniente en cuanto introduce elementos de estímulo en orden a la permanente formación de Jueces y Magistrados.

Por lo demás, la regulación de la carrera judicial se realiza bajo el criterio básico de su homologación con las normas comunes que rigen el resto de los funcionarios públicos, manteniendo tan solo aquellas peculiaridades que se derivan de su específica función.

VIII

Los cuatro primeros Libros de la Ley regulan cuanto se refiere a la organización, gobierno y régimen de los órganos que integran el Poder Judicial y de su órgano de gobierno. Los Libros V y VI establecen el marco básico regulador de aquellos otros órganos, cuerpos de funcionarios y profesionales que, sin integrar el Poder Judicial, colaboran de diversas formas con él, haciendo posible la efectividad de su tutela en los términos establecidos por la Constitución.

La Ley se refiere así, en primer lugar, al Ministerio Fiscal, que tiene por misión promover la acción de la justicia en defensa de la legalidad, de los derechos de los ciudadanos y el interés público, y la de velar por la independencia de los Tribunales y la satisfacción del interés social conforme a lo previsto por el artículo 124 de la Constitución.

Consagra también la Ley de la función de los Abogados y Procuradores, a los que se reserva la dirección y defensa de la representación de las partes, pues a ellos corresponde garantizar la asistencia jurídica al ciudadano en el proceso, de forma obligatoria cuando así lo exija y, en todo caso, como derecho a la defensa y asistencia letrada expresamente reconocido por la Constitución.

La Policía Judicial, como institución que coopera y auxilia a la Administración de Justicia, se ve potenciada por el establecimiento de unidades funcionalmente dependientes de las autoridades judiciales y del Ministerio Fiscal.

Regula también la Ley el personal que sirve a la Administración de Justicia, comprendiendo en él a los Secretarios, así como a los Médicos Forenses, Oficiales, Auxiliares y Agentes, cuerpos todos ellos de funcionarios que en sus respectivas competencias auxilian y colaboran con los Jueces y Tribunales.

Las funciones de los Secretarios merecen especial regulación en el Título IV del Libro III, pues a ellos corresponde la fe pública judicial al mismo tiempo que la ordenación e impulso del procedimiento, viéndose reforzadas sus funciones de dirección procesal.

Junto a las previsiones básicas sobre la estructura y funciones de los cuerpos de Oficiales, Auxiliares y Agentes, así como de los Médicos Forenses, la Ley establece la previsión de que otros técnicos puedan servir a la Administración de Justicia, constituyendo al efecto cuerpos y escalas, o bajo contrato laboral. Con ello se trata de garantizar y potenciar la estructura del personal al servicio de los órganos judiciales y su cada vez más necesaria especialización.

IX

El ciudadano es el destinatario de la Administración de Justicia. La Constitución exige y esta Ley Orgánica consagra los principios de oralidad y publicidad, para lo que se acentúa la necesaria inmediación que ha de desarrollarse en las leyes procesales y, junto a ello, se regula por primera vez la responsabilidad patrimonial del Estado que pueda derivarse del error judicial o del funcionamiento anormal de la Administración de Justicia, sin perjuicio de la responsabilidad individual de Jueces y Magistrados de carácter civil, penal y disciplinaria, complementándose de esta forma un Poder Judicial plenamente responsable.

X

Las disposiciones adicionales, transitorias y final de la Ley regulan los problemas de su aplicación sincrónica, haciendo posible la adecuación de la organización judicial vigente a la que esta Ley establece y previendo expresamente las leyes de desarrollo que han de implantar en su totalidad la nueva organización del Poder Judicial.

LIBRO I.- DE LA EXTENSIÓN Y LÍMITES DE LA JURISDICCIÓN Y DE LA PLANTA Y ORGANIZACIÓN DE LOS JUZGADOS Y TRIBUNALES

TÍTULO I.- De la extensión y límites de la jurisdicción

TÍTULO II.- De la planta y organización territorial

TÍTULO III.- De los conflictos de jurisdicción y de los conflictos y cuestiones de competencia

TÍTULO IV.- De la composición y atribuciones de los órganos jurisdiccionales

CAPÍTULO I.- Del Tribunal Supremo

Artículo 58.

La Sala de lo Contencioso-administrativo del Tribunal Supremo conocerá:

Primero. En única instancia, de los recursos contencioso-administrativos contra actos y disposiciones del Consejo de Ministros, de las Comisiones Delegadas del Gobierno y del Consejo General del Poder Judicial y contra los actos y disposiciones de los órganos competentes del Congreso de los Diputados y del Senado, del Tribunal Constitucional, del Tribunal de Cuentas y del Defensor del Pueblo en los términos y materias que la Ley establezca y de aquellos otros recursos que excepcionalmente le atribuya la Ley.

Segundo. De los recursos de casación y revisión en los términos que establezca la Ley.

Tercero. De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, cuando tal solicitud sea formulada por el Consejo General del Poder Judicial. (Se añade este apartado en virtud de Disposición final cuarta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)

CAPÍTULO II.- De la Audiencia Nacional

Artículo 66.

La Sala de lo Contencioso-Administrativo de la Audiencia Nacional conocerá:

a) En única instancia, de los recursos contencioso-administrativos contra disposiciones y actos de los Ministros y Secretarios de Estado que la ley no atribuya a los Juzgados Centrales de lo Contencioso-Administrativo.

b) En única instancia, de los recursos contencioso-administrativos contra los actos dictados por la Comisión de Vigilancia de Actividades de Financiación del Terrorismo. Conocerá, asimismo, de la posible prórroga de los plazos que le plantee dicha Comisión de Vigilancia respecto de las medidas previstas en los artículos 1 y 2 de la Ley 12/2003, de prevención y bloqueo de la financiación del terrorismo.

c) De los recursos devolutivos que la ley establezca contra las resoluciones de los Juzgados Centrales de lo Contencioso-Administrativo.

d) De los recursos no atribuidos a los Tribunales Superiores de Justicia en relación a los convenios entre las Administraciones públicas y a las resoluciones del Tribunal Económico-Administrativo Central.

e) De las cuestiones de competencia que se puedan plantear entre los Juzgados Centrales de lo Contencioso-Administrativo y de aquellos otros recursos que excepcionalmente le atribuya la ley.

f) De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, cuando tal solicitud sea formulada por la Agencia Española de Protección de Datos. (Se añade este apartado en virtud de Disposición final cuarta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)

Artículo 66.

La Sala de lo Contencioso-Administrativo de la Audiencia Nacional conocerá:

a) En única instancia, de los recursos contencioso-administrativos contra disposiciones y actos de los Ministros y Secretarios de Estado que la ley no atribuya a los Juzgados Centrales de lo Contencioso-Administrativo.

b) En única instancia, de los recursos contencioso-administrativos contra los actos dictados por la Comisión de Vigilancia de Actividades de Financiación del Terrorismo. Conocerá, asimismo, de la posible prórroga de los plazos que le plantee dicha Comisión de Vigilancia respecto de las medidas previstas en los artículos 1 y 2 de la Ley 12/2003, de prevención y bloqueo de la financiación del terrorismo.

c) De los recursos devolutivos que la ley establezca contra las resoluciones de los Juzgados Centrales de lo Contencioso-Administrativo.

d) De los recursos no atribuidos a los Tribunales Superiores de Justicia en relación a los convenios entre las Administraciones públicas y a las resoluciones del Tribunal Económico-Administrativo Central.

e) De las cuestiones de competencia que se puedan plantear entre los Juzgados Centrales de lo Contencioso-Administrativo y de aquellos otros recursos que excepcionalmente le atribuya la ley.

f) De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, cuando tal solicitud sea formulada por la Agencia Española de Protección de Datos. (Se añade este apartado en virtud de Disposición final cuarta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)

CAPÍTULO III.- De los Tribunales Superiores de Justicia

Artículo 74.

1. Las Salas de lo Contencioso-administrativo de los Tribunales Superiores de Justicia conocerán, en única instancia, de los recursos que se deduzcan en relación con:

a) Los actos de las Entidades locales y de las Administraciones de las Comunidades Autónomas, cuyo conocimiento no esté atribuido a los Juzgados de lo Contencioso-administrativo.

b) Las disposiciones generales emanadas de las Comunidades Autónomas y de las Entidades locales.

c) Los actos y disposiciones de los órganos de gobierno de las Asambleas legislativas de las Comunidades Autónomas y de las instituciones autonómicas análogas al Tribunal de Cuentas y al Defensor del Pueblo, en materia de personal, administración y gestión patrimonial.

d) Los actos y resoluciones dictados por los Tribunales Económico-Administrativos Regionales y Locales que pongan fin a la vía económico administrativa.

e) Las resoluciones dictadas en alzada por el Tribunal Económico-Administrativo Central en materia de tributos cedidos.

f) Los actos y disposiciones de las Juntas Electorales Provinciales y de Comunidades Autónomas, así como los recursos contencioso-electorales contra acuerdos de las Juntas Electorales sobre proclamación de electos y elección y proclamación de Presidentes de Corporaciones locales en los términos de la legislación electoral.

g) Los convenios entre Administraciones públicas cuyas competencias se ejerzan en el ámbito territorial de la correspondiente Comunidad Autónoma.

h) La prohibición o la propuesta de modificación de reuniones previstas en la Ley Orgánica reguladora del Derecho de Reunión.

i) Los actos y resoluciones dictados por órganos de la Administración General del Estado cuya competencia se extienda a todo el territorio nacional y cuyo nivel orgánico sea inferior a Ministro o Secretario de Estado, en materias de personal, propiedades especiales y expropiación forzosa.

j) Cualesquiera otras actuaciones administrativas no atribuidas expresamente a la competencia de otros órganos de este orden jurisdiccional.

k) De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, cuando tal solicitud sea formulada por la autoridad de protección de datos de la Comunidad Autónoma respectiva. (Se añade una letra k) al apartado 1, en virtud de Disposición final cuarta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)

2. Conocerán, en segunda instancia, de las apelaciones promovidas contra sentencias y autos dictados por los Juzgados de lo Contencioso-administrativo y de los correspondientes recursos de queja.

3. También les corresponde, con arreglo a lo establecido en esta Ley, el conocimiento de los recursos de revisión contra las sentencias firmes de los Juzgados de lo Contencioso-administrativo.

4. Conocerán de las cuestiones de competencia entre los Juzgados de lo Contencioso-administrativo con sede en la Comunidad Autónoma.

5. Conocerán del recurso de casación para la unificación de doctrina en los casos previstos en la Ley reguladora de la Jurisdicción Contencioso-administrativa.

6. Conocerán del recurso de casación en interés de la Ley en los casos previstos en la Ley reguladora de la Jurisdicción Contencioso-administrativa.

7. Corresponde a las Salas de lo Contencioso-administrativo de los Tribunales Superiores de Justicia autorizar, mediante auto, el requerimiento de información por parte de autoridades autonómicas de protección de datos a los operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información, cuando ello sea necesario de acuerdo con la legislación específica. (Se añade un nuevo apartado 7 en virtud de Disposición final cuarta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)

LIBRO III. DEL RÉGIMEN DE LOS JUZGADOS Y TRIBUNALES

TÍTULO III.- DE LAS ACTUACIONES JUDICIALES

CAPÍTULO PRIMERO.- DE LA ORALIDAD, PUBLICIDAD Y LENGUA OFICIAL

Artículo 230

1. Los Juzgados y Tribunales y las Fiscalías están obligados a utilizar cualesquiera medios técnicos, electrónicos, informáticos y telemáticos, puestos a su disposición para el desarrollo de su actividad y ejercicio de sus funciones, con las limitaciones que a la utilización de tales medios establecen el Capítulo I bis de este Título, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y las demás leyes que resulten de aplicación.

Las instrucciones generales o singulares de uso de las nuevas tecnologías que el Consejo General del Poder Judicial o la Fiscalía General del Estado dirijan a los Jueces y Magistrados o a los Fiscales, respectivamente, determinando su utilización, serán de obligado cumplimiento.

2. Los documentos emitidos por los medios anteriores, cualquiera que sea su soporte, gozarán de la validez y eficacia de un documento original siempre que quede garantizada su autenticidad, integridad y el cumplimiento de los requisitos exigidos por las leyes procesales.

3. Las actuaciones orales y vistas grabadas y documentadas en soporte digital no podrán transcribirse.

4. Los procesos que se tramiten con soporte informático garantizarán la identificación y el ejercicio de la función jurisdiccional por el órgano que la ejerce, así como la confidencialidad, privacidad y seguridad de los datos de carácter personal que contengan en los términos que establezca la ley.

5. Las personas que demanden la tutela judicial de sus derechos e intereses podrán relacionarse con la Administración de Justicia a través de los medios técnicos a que se refiere el apartado 1 cuando sean compatibles con los que dispongan los Juzgados y Tribunales y se respeten las garantías y requisitos previstos en el procedimiento que se trate.

6. Los programas y aplicaciones informáticos que se utilicen en la Administración de Justicia deberán ser previamente informados por el Consejo General del Poder Judicial.

Los sistemas informáticos que se utilicen en la Administración de Justicia deberán ser compatibles entre sí para facilitar su comunicación e integración, en los términos que determine el Comité Técnico Estatal de la Administración de Justicia Electrónica.

16Sep/18

Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información

I

La evolución de las tecnologías de la información y de la comunicación, especialmente con el desarrollo de Internet, ha hecho que las redes y sistemas de información desempeñen actualmente un papel crucial en nuestra sociedad, siendo su fiabilidad y seguridad aspectos esenciales para el desarrollo normal de las actividades económicas y sociales.

Por ello, los incidentes que, al afectar a las redes y sistemas de información, alteran dichas actividades, representan una grave amenaza, pues tanto si son fortuitos como si provienen de acciones deliberadas pueden generar pérdidas financieras, menoscabar la confianza de la población y, en definitiva, causar graves daños a la economía y a la sociedad, con la posibilidad de afectar a la propia seguridad nacional en la peor de las hipótesis.

El carácter transversal e interconectado de las tecnologías de la información y de la comunicación, que también caracteriza a sus amenazas y riesgos, limita la eficacia de las medidas que se emplean para contrarrestarlos cuando se toman de modo aislado. Este carácter transversal también hace que se corra el riesgo de perder efectividad si los requisitos en materia de seguridad de la información se definen de forma independiente para cada uno de los ámbitos sectoriales afectados.

Por tanto, es oportuno establecer mecanismos que, con una perspectiva integral, permitan mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, facilitando la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea.

II

Con este propósito se dicta este real decreto-ley, que transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. El real decreto-ley se apoya igualmente en las normas, en los instrumentos de respuesta a incidentes y en los órganos de coordinación estatal existentes en esta materia, lo que, junto a las razones señaladas en el apartado I, justifica que su contenido trascienda el de la propia Directiva.

El real decreto-ley se aplicará a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad. Su ámbito de aplicación se extiende a sectores que no están expresamente incluidos en la Directiva, para darle a este real decreto-ley un enfoque global, aunque se preserva su legislación específica. Adicionalmente, en el caso de las actividades de explotación de las redes y de prestación de servicios de comunicaciones electrónicas y los recursos asociados, así como de los servicios electrónicos de confianza, expresamente excluidos de dicha Directiva, el real decreto-ley se aplicará únicamente en lo que respecta a los operadores críticos.

El real decreto-ley se aplicará, así mismo, a los proveedores de determinados servicios digitales. La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, los somete a un régimen de armonización máxima, equivalente a un reglamento, pues se considera que su regulación a escala nacional no sería efectiva por tener un carácter intrínsecamente transnacional. La función de las autoridades nacionales se limita, por tanto, a supervisar su aplicación por los proveedores establecidos en su país, y coordinarse con las autoridades correspondientes de otros países de la Unión Europea.

Siguiendo la citada Directiva, el real decreto-ley identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios, que son, en definitiva, los destinatarios de este real decreto-ley.

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen, aunque su gestión esté externalizada. Las obligaciones de seguridad que asuman deberán ser proporcionadas al nivel de riesgo que afronten y estar basadas en una evaluación previa de los mismos. Las normas de desarrollo de este real decreto-ley podrán concretar las obligaciones de seguridad exigibles a los operadores de servicios esenciales, incluyendo en su caso las inspecciones a realizar o la participación en actividades y ejercicios de gestión de crisis.

El real decreto-ley requiere así mismo que los operadores de servicios esenciales y los proveedores de servicios digitales notifiquen los incidentes que sufran en las redes y servicios de información que emplean para la prestación de los servicios esenciales y digitales, y tengan efectos perturbadores significativos en los mismos, al tiempo que prevé la notificación de los sucesos o incidencias que puedan afectar a los servicios esenciales, pero que aún no hayan tenido un efecto adverso real sobre aquellos, y perfila los procedimientos de notificación.

La notificación de incidentes forma parte de la cultura de gestión de riesgos que la Directiva y el real decreto-ley fomentan. Por ello, el real decreto-ley protege a la entidad notificante y al personal que informe sobre incidentes ocurridos; se reserva la información confidencial de su divulgación al público o a otras autoridades distintas de la notificada y se permite la notificación de incidentes cuando no sea obligada su comunicación.

El real decreto-ley recalca la necesidad de tener en cuenta los estándares europeos e internacionales, así como las recomendaciones que emanen del grupo de cooperación y de la red de CSIRT (Computer Security Incident Response Team) establecidos en el ámbito comunitario por la Directiva, con vistas a aplicar las mejores prácticas aprendidas en estos foros y contribuir al impulso del mercado interior y a la participación de nuestras empresas en él.

Con el fin de aumentar su eficacia y, al tiempo, reducir las cargas administrativas y económicas que estas obligaciones suponen para las entidades afectadas, este real decreto-ley trata de garantizar su coherencia con las que se derivan de la aplicación de otras normativas en materia de seguridad de la información, tanto de carácter horizontal como sectorial, y la coordinación en su aplicación con las autoridades responsables en cada caso.

Respecto a las normas horizontales, destacan los vínculos establecidos con las Leyes 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y 36/2015, de 28 de septiembre, de Seguridad Nacional, y con el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, como normativa especial en materia de seguridad de los sistemas de información del sector público.

Así, se aproxima el ámbito de aplicación de este real decreto-ley al de la Ley 8/2011, de 28 de abril, añadiendo a los sectores previstos por la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, los sectores estratégicos adicionales contemplados en esa ley; se apoya en ella para definir el concepto de «servicio esencial», y se atribuye a sus órganos colegiados la determinación de los servicios esenciales y de los operadores de servicios esenciales sujetos al presente real decreto-ley. Teniendo en cuenta la Ley 36/2015, de 28 de septiembre, se atribuye al Consejo de Seguridad Nacional la función de actuar como punto de contacto con otros países de la Unión Europea y un papel coordinador de la política de ciberseguridad a través de la Estrategia de Ciberseguridad Nacional.

III

La Estrategia de Ciberseguridad Nacional con la que España cuenta desde el año 2013, sienta las prioridades, objetivos y medidas adecuadas para alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información. Dicha Estrategia seguirá desarrollando el marco institucional de la ciberseguridad que este real decreto-ley esboza, compuesto por las autoridades públicas competentes y los CSIRT de referencia, por una parte, y la cooperación público-privada, por otra.

Las autoridades competentes ejercerán las funciones de vigilancia derivadas de este real decreto-ley y aplicarán el régimen sancionador cuando proceda. Así mismo, promoverán el desarrollo de las obligaciones que el real decreto-ley impone, en consulta con el sector y con las autoridades que ejerzan competencias por razón de la materia cuando se refieran a sectores específicos, para evitar la existencia de obligaciones duplicadas, innecesarias o excesivamente onerosas.

Los CSIRT son los equipos de respuesta a incidentes que analizan riesgos y supervisan incidentes a escala nacional, difunden alertas sobre ellos y aportan soluciones para mitigar sus efectos. El término CSIRT es el usado comúnmente en Europa en lugar del término protegido CERT (Computer Emergency Response Team), registrado en EE.UU.

El real decreto-ley delimita el ámbito funcional de actuación de los CSIRT de referencia previstos en ella. Dichos CSIRT son la puerta de entrada de las notificaciones de incidentes, lo que permitirá organizar rápidamente la respuesta a ellos, pero el destinatario de las notificaciones es la autoridad competente respectiva, que tendrá en cuenta esta información para la supervisión de los operadores. En todo caso, el operador es responsable de resolver los incidentes y reponer las redes y sistemas de información afectados a su funcionamiento ordinario.

Se prevé la utilización de una plataforma común para la notificación de incidentes, de tal manera que los operadores no deban efectuar varias notificaciones en función de la autoridad a la que deban dirigirse. Esta plataforma podrá ser empleada también para la notificación de vulneraciones de la seguridad de datos personales según el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

IV

Este real decreto-ley consta de siete títulos que contienen, en primer lugar, las definiciones de los términos que se usan a lo largo del texto, la salvaguarda de funciones estatales esenciales, como la seguridad nacional y otras disposiciones generales. A continuación, en el título II se determina la forma y criterios de identificación de los servicios esenciales y de los operadores que los presten a los que se aplicará el real decreto-ley. El orden en que se procederá a su identificación por primera vez se establece en la disposición adicional primera del real decreto-ley. El título III recoge el marco estratégico e institucional de la seguridad de las redes y sistemas de información que se ha descrito anteriormente. Se dedica un precepto específico a la cooperación entre autoridades públicas, como pilar de un ejercicio adecuado de las diferentes competencias concurrentes sobre la materia.

El título IV se ocupa de las obligaciones de seguridad de los operadores, y en él se prevé la aplicación preferente de normas sectoriales que impongan obligaciones equivalentes a las previstas en este real decreto-ley, sin perjuicio de la coordinación ejercida por el Consejo de Seguridad Nacional y del deber de cooperación con las autoridades competentes en virtud de este real decreto-ley.

En el título V, el más extenso, se regula la notificación de incidentes y se presta atención a los incidentes con impacto transfronterizo y a la información y coordinación con otros Estados de la Unión Europea para su gestión. En el título VI, se disponen las potestades de inspección y control de las autoridades competentes y la cooperación con las autoridades nacionales de otros Estados miembros, y en el título VII se tipifican las infracciones y sanciones de este real decreto-ley. En este aspecto, el real decreto-ley se decanta por impulsar la subsanación de la infracción antes que su castigo, el cual, si es necesario dispensarlo, será efectivo, proporcionado y disuasorio, en línea con lo ordenado por la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.

El real decreto-ley se cierra con una parte final que incluye las disposiciones adicionales y finales necesarias para completar la regulación.

Esta disposición ha sido sometida al procedimiento de información de normas reglamentarias técnicas y de reglamentos relativos a los servicios de la sociedad de la información, previsto en la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información, así como el Real Decreto 1337/1999, de 31 de julio, por el que se regula la remisión de información en materia de normas y reglamentaciones técnicas y reglamentos relativos a los servicios de la sociedad de la información. Así mismo, se adecúa a los principios de buena regulación establecidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, conforme a los cuales deben actuar las Administraciones Públicas en el ejercicio de la iniciativa legislativa, como son los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia.

Este real decreto-ley se dicta en virtud de las competencias exclusivas atribuidas al Estado en materia de régimen general de telecomunicaciones y seguridad pública por el artículo 149.1.21.ª y 29.ª de la Constitución.

El real decreto-ley constituye un instrumento constitucionalmente lícito, siempre que el fin que justifica la legislación de urgencia, sea, tal como reiteradamente ha exigido nuestro Tribunal Constitucional (Sentencias 6/1983, de 4 de febrero, F. 5; 11/2002, de 17 de enero, F. 4, 137/2003, de 3 de julio, F. 3 y 189/2005, de 7 julio, F.3), subvenir a un situación concreta, dentro de los objetivos gubernamentales, que por razones difíciles de prever requiere una acción normativa inmediata en un plazo más breve que el requerido por la vía normal o por el procedimiento de urgencia para la tramitación parlamentaria de las Leyes.

Por otro lado, la utilización del instrumento jurídico del real decreto-ley, en el presente caso, además queda justificada por la doctrina del Tribunal Constitucional, que, en su Sentencia 1/2012, de 13 de enero, ha avalado la concurrencia del presupuesto habilitante de la extraordinaria y urgente necesidad del artículo 86.1 de la Constitución, cuando concurra el retraso en la transposición de directivas.

En efecto, el plazo de transposición de la mencionada Directiva (UE) 2016/1148, del Parlamento Europeo y del Consejo, de 6 de julio de 2016, se encuentra ya vencido a 9 de mayo de 2018. La finalización del plazo de transposición de esta Directiva ha motivado la iniciación por parte de la Comisión Europea de un procedimiento formal de infracción n.º 2018/168.

En consecuencia, se entiende que en el conjunto y en cada una de las medidas que se adoptan mediante el real decreto-ley proyectado, concurren, por su naturaleza y finalidad, las circunstancias de extraordinaria y urgente necesidad que exige el artículo 86 de la Constitución como presupuestos habilitantes para la aprobación de un real decreto-ley.

En su virtud, haciendo uso de la autorización contenida en el artículo 86 de la Constitución Española, a propuesta de la Vicepresidenta del Gobierno y Ministra de la Presidencia, Relaciones con las Cortes e Igualdad, del Ministro del Interior y de la Ministra de Economía y Empresa y previa deliberación del Consejo de Ministros, en su reunión del día 7 de septiembre de 2018,

 

DISPONGO:

 

TÍTULO I. Disposiciones generales

 

Artículo 1. Objeto.

1. El presente real decreto-ley tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.

2. Así mismo, establece un marco institucional para la aplicación de este real decreto-ley y la coordinación entre autoridades competentes y con los órganos de cooperación relevantes en el ámbito comunitario.

 

Artículo 2. Ámbito de aplicación.

1. Este real decreto-ley se aplicará a la prestación de:

a) Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

b) Los servicios digitales, considerados conforme se determina en el artículo 3 e), que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.

2. Estarán sometidos a este real decreto-ley:

a) Los operadores de servicios esenciales establecidos en España. Se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que éstos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades.

Así mismo, este real decreto-ley será de aplicación a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.

b) Los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

3. Este real decreto-ley no se aplicará a:

a) Los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.

b) Los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.

 

Artículo 3. Definiciones.

A los efectos de este real decreto-ley, se entenderá por:

a) Redes y sistemas de información, cualquiera de los elementos siguientes:

1.º Las redes de comunicaciones electrónicas, tal y como vienen definidas en el número 31 del anexo II de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones;

2.º Todo dispositivo o grupo de dispositivos interconectados o relacionados entre sí, en el que uno o varios de ellos realicen, mediante un programa, el tratamiento automático de datos digitales;

3.º Los datos digitales almacenados, tratados, recuperados o transmitidos mediante los elementos contemplados en los números 1.º y 2.º anteriores, incluidos los necesarios para el funcionamiento, utilización, protección y mantenimiento de dichos elementos.

b) Seguridad de las redes y sistemas de información: la capacidad de las redes y sistemas de información de resistir, con un nivel determinado de fiabilidad, toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios correspondientes ofrecidos por tales redes y sistemas de información o accesibles a través de ellos.

c) Servicio esencial: servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de redes y sistemas de información.

d) Operador de servicios esenciales: entidad pública o privada que se identifique considerando los factores establecidos en el artículo 6 de este real decreto-ley, que preste dichos servicios en alguno de los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril.

e) Servicio digital: servicio de la sociedad de la información entendido en el sentido recogido en la letra a) del anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

f) Proveedor de servicios digitales: persona jurídica que presta un servicio digital.

g) Riesgo: toda circunstancia o hecho razonablemente identificable que tenga un posible efecto adverso en la seguridad de las redes y sistemas de información. Se puede cuantificar como la probabilidad de materialización de una amenaza que produzca un impacto en términos de operatividad, de integridad física de personas o material o de imagen.

h) Incidente: suceso inesperado o no deseado con consecuencias en detrimento de la seguridad de las redes y sistemas de información.

i) Gestión de incidentes: procedimientos seguidos para detectar, analizar y limitar un incidente y responder ante éste.

j) Representante: persona física o jurídica establecida en la Unión Europea que ha sido designada expresamente para actuar por cuenta de un proveedor de servicios digitales no establecido en la Unión Europea, a la que, en sustitución del proveedor de servicios digitales, pueda dirigirse una autoridad competente nacional o un CSIRT, en relación con las obligaciones que, en virtud de este real decreto-ley, tiene el proveedor de servicios digitales.

k) Norma técnica: una norma en el sentido del artículo 2.1 del Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea.

l) Especificación: una especificación técnica en el sentido del artículo 2.4 del Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012.

m) Punto de intercambio de Internet («IXP», por sus siglas en inglés de «Internet eXchange Point»): una instalación de red que permite interconectar más de dos sistemas autónomos independientes, principalmente para facilitar el intercambio de tráfico de Internet. Un IXP permite interconectar sistemas autónomos sin requerir que el tráfico de Internet que pasa entre cualquier par de sistemas autónomos participantes pase por un tercer sistema autónomo, y sin modificar ni interferir de otra forma en dicho tráfico.

n) Sistema de nombres de dominio («DNS», por sus siglas en inglés de «Domain Name System»): sistema distribuido jerárquicamente que responde a consultas proporcionando información asociada a nombres de dominio, en particular, la relativa a los identificadores utilizados para localizar y direccionar equipos en Internet.

o) Proveedor de servicios de DNS: entidad que presta servicios de DNS en Internet.

p) Registro de nombres de dominio de primer nivel: entidad que administra y dirige el registro de nombres de dominio de Internet en un dominio específico de primer nivel.

q) Mercado en línea: servicio digital que permite a los consumidores y a los empresarios, tal y como se definen respectivamente en los artículos 3 y 4 del texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado mediante el Real Decreto Legislativo 1/2007, de 16 de noviembre, celebrar entre sí contratos de compraventa o de prestación de servicios en línea con empresarios, ya sea en un sitio web específico del servicio de mercado en línea, o en un sitio web de un empresario que utilice servicios informáticos proporcionados al efecto por el proveedor del servicio de mercado en línea.

r) Motor de búsqueda en línea: servicio digital que permite a los usuarios hacer búsquedas de, en principio, todos los sitios web o de sitios web en una lengua en concreto, mediante una consulta sobre un tema en forma de palabra clave, frase u otro tipo de entrada, y que, en respuesta, muestra enlaces en los que puede encontrarse información relacionada con el contenido solicitado.

s) Servicio de computación en nube: servicio digital que hace posible el acceso a un conjunto modulable y elástico de recursos de computación que se pueden compartir.

 

Artículo 4. Directrices y orientaciones comunitarias.

En la aplicación de este real decreto-ley y en la elaboración de los reglamentos y guías previstos en él se tendrán en cuenta los actos de ejecución de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, así como todas las recomendaciones y directrices emanadas del grupo de cooperación establecido por el artículo 11 de la citada Directiva, y la información sobre buenas prácticas recopiladas por dicho grupo y la red de CSIRT, regulado en el artículo 12 de aquélla.

 

Artículo 5. Salvaguarda de funciones estatales esenciales.

Lo dispuesto en este real decreto-ley se entenderá sin perjuicio de las acciones emprendidas para salvaguardar la seguridad nacional y las funciones estatales esenciales, incluyéndose las dirigidas a proteger la información clasificada o cuya revelación fuere contraria a los intereses esenciales del Estado, o las que tengan como propósito el mantenimiento del orden público, la detección, investigación y persecución de los delitos, y el enjuiciamiento de sus autores.

 

TÍTULO II. Servicios esenciales y servicios digitales

 

Artículo 6. Identificación de servicios esenciales y de operadores de servicios esenciales.

1. La identificación de los servicios esenciales y de los operadores que los presten se efectuará por los órganos y procedimientos previstos por la Ley 8/2011, de 28 de abril, y su normativa de desarrollo.

La relación de los servicios esenciales y de los operadores de dichos servicios se actualizará, para cada sector, con una frecuencia bienal, en conjunción con la revisión de los planes estratégicos sectoriales previstos en la Ley 8/2011, de 28 de abril.

Se identificará a un operador como operador de servicios esenciales si un incidente sufrido por el operador puede llegar a tener efectos perturbadores significativos en la prestación del servicio, para lo que se tendrán en cuenta, al menos, los siguientes factores:

a) En relación con la importancia del servicio prestado:

1.º La disponibilidad de alternativas para mantener un nivel suficiente de prestación del servicio esencial;

2.º La valoración del impacto de un incidente en la provisión del servicio, evaluando la extensión o zonas geográficas que podrían verse afectadas por el incidente; la dependencia de otros sectores estratégicos respecto del servicio esencial ofrecido por la entidad y la repercusión, en términos de grado y duración, del incidente en las actividades económicas y sociales o en la seguridad pública.

b) En relación con los clientes de la entidad evaluada:

1.º El número de usuarios que confían en los servicios prestados por ella;

2.º Su cuota de mercado.

Reglamentariamente podrán añadirse factores específicos del sector para determinar si un incidente podría tener efectos perturbadores significativos.

2. En el caso de tratarse de un operador crítico designado en cumplimiento de la Ley 8/2011, de 28 de abril, bastará con que se constate su dependencia de las redes y sistemas de información para la provisión del servicio esencial de que se trate.

3. En la identificación de los servicios esenciales y de los operadores de servicios esenciales se tendrán en consideración, en la mayor medida posible, las recomendaciones pertinentes que adopte el grupo de cooperación.

4. Cuando un operador de servicios esenciales ofrezca servicios en otros Estados miembros de la Unión Europea, se informará a los puntos de contacto único de dichos Estados sobre la intención de identificarlo como operador de servicios esenciales.

 

Artículo 7. Comunicación de actividad por los proveedores de servicios digitales.

Los proveedores de servicios digitales señalados en el artículo 2 deberán comunicar su actividad a la autoridad competente en el plazo de tres meses desde que la inicien, a los meros efectos de su conocimiento.

 

TÍTULO III. Marco estratégico e institucional

 

Artículo 8. Marco estratégico de seguridad de las redes y sistemas de información.

La Estrategia de Ciberseguridad Nacional, al amparo y alineada con la Estrategia de Seguridad Nacional, enmarca los objetivos y las medidas para alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información.

La Estrategia de Ciberseguridad Nacional abordará, entre otras cuestiones, las establecidas en el artículo 7 de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.

A tal efecto, el Consejo de Seguridad Nacional impulsará la revisión de la Estrategia de Ciberseguridad Nacional, de conformidad con lo dispuesto en el artículo 21.1 e) de la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.

 

Artículo 9. Autoridades competentes.

1. Son autoridades competentes en materia de seguridad de las redes y sistemas de información las siguientes:

a) Para los operadores de servicios esenciales:

1.º En el caso de que éstos sean, además, designados como operadores críticos conforme a la Ley 8/2011, de 28 de abril, y su normativa de desarrollo, con independencia del sector estratégico en que se realice tal designación: la Secretaría de Estado de Seguridad, del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC).

2.º En el caso de que no sean operadores críticos: la autoridad sectorial correspondiente por razón de la materia, según se determine reglamentariamente.

b) Para los proveedores de servicios digitales: la Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa.

c) Para los operadores de servicios esenciales y proveedores de servicios digitales que no siendo operadores críticos se encuentren comprendidos en el ámbito de aplicación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público: el Ministerio de Defensa, a través del Centro Criptológico Nacional.

2. El Consejo de Seguridad Nacional, a través de su comité especializado en materia de ciberseguridad, establecerá los mecanismos necesarios para la coordinación de las actuaciones de las autoridades competentes.

 

Artículo 10. Funciones de las autoridades competentes.

Las autoridades competentes ejercerán las siguientes funciones:

a) Supervisar el cumplimiento por parte de los operadores de servicios esenciales y de los proveedores de servicios digitales de las obligaciones que se determinen, conforme a lo establecido en el título VI.

b) Establecer canales de comunicación oportunos con los operadores de servicios esenciales y con los proveedores de servicios digitales que, en su caso, serán desarrollados reglamentariamente.

c) Coordinarse con los CSIRT de referencia a través de los protocolos de actuación que, en su caso, se desarrollarán reglamentariamente.

d) Recibir las notificaciones sobre incidentes que sean presentadas en el marco de este real decreto-ley, a través de los CSIRT de referencia, conforme a lo establecido en el título V.

e) Informar al punto de contacto único sobre las notificaciones de incidentes presentadas en el marco de este real decreto-ley, conforme a lo establecido en el artículo 27.

f) Informar, en su caso, al público sobre determinados incidentes, cuando la difusión de dicha información sea necesaria para evitar un incidente o gestionar uno que ya se haya producido, conforme a lo establecido en el artículo 26.

g) Cooperar, en el ámbito de aplicación de este real decreto-ley, con las autoridades competentes en materia de protección de datos de carácter personal, seguridad pública, seguridad ciudadana y seguridad nacional, así como con las autoridades sectoriales correspondientes, conforme a lo establecido en los artículos 14 y 29.

h) Establecer obligaciones específicas para garantizar la seguridad de las redes y sistemas de información y sobre notificación de incidentes, y dictar instrucciones técnicas y guías orientativas para detallar el contenido de dichas obligaciones, conforme a lo establecido en los artículos 16 y 19.

i) Ejercer la potestad sancionadora en los casos previstos en el presente real decreto-ley, conforme a lo establecido en el título VII.

j) Promover el uso de normas y especificaciones técnicas, de acuerdo con lo establecido en el artículo 17.

k) Cooperar con las autoridades competentes de otros Estados miembros de la Unión Europea en la identificación de operadores de servicios esenciales entre entidades que ofrezcan dichos servicios en varios Estados miembros.

l) Informar al punto de contacto único sobre incidentes que puedan afectar a otros Estados miembros, en los términos previstos en el artículo 25.

 

Artículo 11. Equipos de respuesta a incidentes de seguridad informática de referencia.

1. Son equipos de respuesta a incidentes de seguridad informática (CSIRT) de referencia en materia de seguridad de las redes y sistemas de información, los siguientes:

a) En lo concerniente a las relaciones con los operadores de servicios esenciales:

1.º El CCN-CERT, del Centro Criptológico Nacional, al que corresponde la comunidad de referencia constituida por las entidades del ámbito subjetivo de aplicación de la Ley 40/2015, de 1 de octubre.

2.º El INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España, al que corresponde la comunidad de referencia constituida por aquellas entidades no incluidas en el ámbito subjetivo de aplicación de la Ley 40/2015, de 1 de octubre.

El INCIBE-CERT será operado conjuntamente por el INCIBE y el CNPIC en todo lo que se refiera a la gestión de incidentes que afecten a los operadores críticos.

3.º El ESPDEF-CERT, del Ministerio de Defensa, que cooperará con el CCN-CERT y el INCIBE-CERT en aquellas situaciones que éstos requieran en apoyo de los operadores de servicios esenciales y, necesariamente, en aquellos operadores que tengan incidencia en la Defensa Nacional y que reglamentariamente se determinen.

b) En lo concerniente a las relaciones con los proveedores de servicios digitales que no estuvieren comprendidos en la comunidad de referencia del CCN-CERT: el INCIBE-CERT.

El INCIBE-CERT será, así mismo, equipo de respuesta a incidentes de referencia para los ciudadanos, entidades de derecho privado y otras entidades no incluidas anteriormente en este apartado 1.

2. Los CSIRT de referencia se coordinarán entre sí y con el resto de CSIRT nacionales e internacionales en la respuesta a los incidentes y gestión de riesgos de seguridad que les correspondan. En los supuestos de especial gravedad que reglamentariamente se determinen y que requieran un nivel de coordinación superior al necesario en situaciones ordinarias, el CCN-CERT ejercerá la coordinación nacional de la respuesta técnica de los CSIRT.

Cuando las actividades que desarrollen puedan afectar de alguna manera a un operador crítico, los CSIRT de referencia se coordinarán con el Ministerio del Interior, a través de la Oficina de Coordinación Cibernética del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), de la forma que reglamentariamente se determine.

 

Artículo 12. Requisitos y funciones de los CSIRT de referencia.

1. Los CSIRT deberán reunir las siguientes condiciones:

a) Garantizarán un elevado nivel de disponibilidad de sus servicios de comunicaciones evitando los fallos ocasionales y contarán con varios medios para que se les pueda contactar y puedan contactar a otros en todo momento. Además, los canales de comunicación estarán claramente especificados y serán bien conocidos de los grupos de usuarios y los socios colaboradores.

b) Sus instalaciones y las de los sistemas de información de apoyo estarán situados en lugares seguros.

c) Garantizarán la continuidad de las actividades. Para ello:

1.º Estarán dotados de un sistema adecuado para gestionar y canalizar las solicitudes con el fin de facilitar los traspasos.

2.º Contarán con personal suficiente para garantizar su disponibilidad en todo momento.

3.º Tendrán acceso a infraestructuras de comunicación cuya continuidad esté asegurada. A tal fin, dispondrán de sistemas redundantes y espacios de trabajo de reserva.

d) Deberán tener la capacidad de participar, cuando lo deseen, en redes de cooperación internacional.

2. Los CSIRT desempeñarán como mínimo, las siguientes funciones:

a) Supervisar incidentes a escala nacional.

b) Difundir alertas tempranas, alertas, avisos e información sobre riesgos e incidentes entre los interesados.

c) Responder a incidentes.

d) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación.

e) Participar en la red de CSIRT.

3. Los CSIRT establecerán relaciones de cooperación con el sector privado. A fin de facilitar la cooperación, los CSIRT fomentarán la adopción y utilización de prácticas comunes o normalizadas de:

a) Procedimientos de gestión de incidentes y riesgos.

b) Sistemas de clasificación de incidentes, riesgos e información.

 

Artículo 13. Punto de contacto único.

El Consejo de Seguridad Nacional ejercerá, a través del Departamento de Seguridad Nacional, una función de enlace para garantizar la cooperación transfronteriza de las autoridades competentes designadas conforme al artículo 9, con las autoridades competentes de otros Estados miembros de la Unión Europea, así como con el grupo de cooperación y la red de CSIRT.

 

Artículo 14. Cooperación con otras autoridades con competencias en seguridad de la información y con las autoridades sectoriales.

1. Las autoridades competentes, los CSIRT de referencia y el punto de contacto único consultarán, cuando proceda, con los órganos con competencias en materia de seguridad nacional, seguridad pública, seguridad ciudadana y protección de datos de carácter personal y colaborarán con ellas en el ejercicio de sus respectivas funciones.

2. Consultarán así mismo, cuando proceda, con los órganos con competencias por razón de la materia en cada uno de los sectores incluidos en el ámbito de aplicación de este real decreto-ley, y colaborarán con ellos en el ejercicio de sus funciones.

3. Cuando los incidentes notificados presenten caracteres de delito, las autoridades competentes y los CSIRT de referencia darán cuenta de ello, a través de la Oficina de Coordinación Cibernética del Ministerio del Interior, al Ministerio Fiscal a los efectos oportunos, trasladándole al tiempo cuanta información posean en relación con ello.

 

Artículo 15. Confidencialidad de la información sensible.

Sin perjuicio de lo dispuesto en el artículo 5, las autoridades competentes, los CSIRT de referencia y el punto de contacto único preservarán, como corresponda en Derecho, la seguridad y los intereses comerciales de los operadores de servicios esenciales y proveedores de servicios digitales, así como la confidencialidad de la información que recaben de éstos en el ejercicio de las funciones que les encomienda el presente real decreto-ley.

Cuando ello sea necesario, el intercambio de información sensible se limitará a aquella que sea pertinente y proporcionada para la finalidad de dicho intercambio.

 

TÍTULO IV. Obligaciones de seguridad

 

Artículo 16. Obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales.

1. Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a este real decreto-ley.

Sin perjuicio de su deber de notificar incidentes conforme al título V, deberán tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten.

2. El desarrollo reglamentario de este real decreto-ley preverá las medidas necesarias para el cumplimiento de lo preceptuado en el apartado anterior por parte de los operadores de servicios esenciales.

3. Los operadores de servicios esenciales designarán y comunicarán a la autoridad competente, en el plazo que reglamentariamente se establezca, la persona, unidad u órgano colegiado responsable de la seguridad de la información, como punto de contacto y de coordinación técnica con aquella.

Sus funciones específicas serán las previstas reglamentariamente.

4. Las autoridades competentes podrán establecer mediante Orden ministerial obligaciones específicas para garantizar la seguridad de las redes y sistemas de información empleados por los operadores de servicios esenciales. Así mismo, podrán dictar instrucciones técnicas y guías orientativas para detallar el contenido de dichas órdenes.

Al elaborar las disposiciones reglamentarias, instrucciones y guías, tendrán en cuenta las obligaciones sectoriales, las directrices relevantes que se adopten en el grupo de cooperación y los requisitos en materia de seguridad de la información, a las que estuviera sometido el operador en virtud de otras normas, como la Ley 8/2011, de 28 de abril, y el Esquema Nacional de Seguridad, aprobado por el Real Decreto 3/2010, de 8 de enero.

5. Las autoridades competentes deberán coordinarse entre sí y con los diferentes órganos sectoriales con competencias por razón de la materia, en lo relativo al contenido y a la aplicación de las órdenes, instrucciones técnicas y guías orientativas que dicten en sus respectivos ámbitos de competencia, con objeto de evitar duplicidades en las obligaciones exigibles y facilitar su cumplimiento a los operadores de servicios esenciales.

6. Los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta, como mínimo, los avances técnicos y los siguientes aspectos:

a) La seguridad de los sistemas e instalaciones;

b) La gestión de incidentes;

c) La gestión de la continuidad de las actividades;

d) La supervisión, auditorías y pruebas;

e) El cumplimiento de las normas internacionales.

Los proveedores de servicios digitales atenderán igualmente a los actos de ejecución por los que la Comisión europea detalle los aspectos citados.

 

Artículo 17. Normas técnicas.

Las autoridades competentes promoverán la utilización de regulaciones, normas o especificaciones técnicas en materia de seguridad de las redes y sistemas de información elaboradas en el marco del Reglamento (UE) 1025/2012 del Parlamento Europeo y del Consejo de 25 de octubre de 2012 sobre la normalización europea.

En ausencia de dichas normas o especificaciones, promoverán la aplicación de las normas o recomendaciones internacionales aprobadas por los organismos internacionales de normalización, y, en su caso, de las normas y especificaciones técnicas aceptadas a nivel europeo o internacional que sean pertinentes en esta materia.

 

Artículo 18. Sectores con normativa específica equivalente.

Cuando una normativa nacional o comunitaria establezca para un sector obligaciones de seguridad de las redes y sistemas de información o de notificación de incidentes que tengan efectos, al menos, equivalentes a los de las obligaciones previstas en este real decreto-ley, prevalecerán aquellos requisitos y los mecanismos de supervisión correspondientes.

Ello no afectará al deber de cooperación entre autoridades competentes, a la coordinación ejercida por el Consejo de Seguridad Nacional ni, en la medida en que no sea incompatible con la legislación sectorial, a la aplicación del título V sobre notificación de incidentes.

 

TÍTULO V. Notificación de incidentes

 

Artículo 19. Obligación de notificar.

1. Los operadores de servicios esenciales notificarán a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios.

Las notificaciones podrán referirse también, conforme se determine reglamentariamente, a los sucesos o incidencias que puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, pero que aún no hayan tenido un efecto adverso real sobre aquéllos.

2. Así mismo, los proveedores de servicios digitales notificarán a la autoridad competente, a través del CSIRT de referencia, los incidentes que tengan efectos perturbadores significativos en dichos servicios.

La obligación de la notificación del incidente únicamente se aplicará cuando el proveedor de servicios digitales tenga acceso a la información necesaria para valorar el impacto de un incidente.

3. Las notificaciones tanto de operadores de servicios esenciales como de proveedores de servicios digitales se referirán a los incidentes que afecten a las redes y sistemas de información empleados en la prestación de los servicios indicados, tanto si se trata de redes y servicios propios como si lo son de proveedores externos, incluso si éstos son proveedores de servicios digitales sometidos a este real decreto-ley.

4. Las autoridades competentes y los CSIRT de referencia utilizarán una plataforma común para facilitar y automatizar los procesos de notificación, comunicación e información sobre incidentes.

5. El desarrollo reglamentario de este real decreto-ley preverá las medidas necesarias para el cumplimiento de lo preceptuado en este artículo por parte de los operadores de servicios esenciales. Las autoridades competentes podrán establecer, mediante Orden ministerial, obligaciones específicas de notificación por los operadores de servicios esenciales. Así mismo, podrán dictar instrucciones técnicas y guías orientativas para detallar el contenido de dichas órdenes.

Al elaborar las disposiciones reglamentarias, instrucciones y guías, se tendrán en cuenta las obligaciones sectoriales, las directrices relevantes que se adopten en el grupo de cooperación y los requisitos en materia de notificación de incidentes a los que estuviera sometido el operador en virtud de otras normas, como la Ley 8/2011, de 28 de abril, y el Esquema Nacional de Seguridad, aprobado por el Real Decreto 3/2010, de 8 de enero.

6. La obligación de notificación de incidentes prevista en los apartados anteriores no obsta al cumplimiento de los deberes legales de denuncia de aquellos hechos que revistan caracteres de delito ante las autoridades competentes, de acuerdo con lo dispuesto en los artículos 259 y siguientes de la Ley de Enjuiciamiento Criminal y teniendo en cuenta lo previsto en el artículo 14.3 de este real decreto-ley.

 

Artículo 20. Protección del notificante.

1. Las notificaciones consideradas en este título no sujetarán a la entidad que las efectúe a una mayor responsabilidad.

2. Los empleados y el personal que, por cualquier tipo de relación laboral o mercantil, participen en la prestación de los servicios esenciales o digitales, que informen sobre incidentes no podrán sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo en los supuestos en que se acredite mala fe en su actuación.

Se entenderán nulas y sin efecto legal las decisiones del empleador tomadas en perjuicio o detrimento de los derechos laborales de los trabajadores que hayan actuado conforme a este apartado.

 

Artículo 21. Factores para determinar la importancia de los efectos de un incidente.

1. A los efectos de las notificaciones a las que se refiere el artículo 19.1, primer párrafo, la importancia de un incidente se determinará teniendo en cuenta, como mínimo, los siguientes factores:

a) El número de usuarios afectados por la perturbación del servicio esencial.

b) La duración del incidente.

c) La extensión o áreas geográficas afectadas por el incidente.

d) El grado de perturbación del funcionamiento del servicio.

e) El alcance del impacto en actividades económicas y sociales cruciales.

f) La importancia de los sistemas afectados o de la información afectada por el incidente para la prestación del servicio esencial.

g) El daño a la reputación.

2. En las notificaciones a las que se refiere el artículo 19.2, la importancia de un incidente se determinará conforme a lo que establezcan los actos de ejecución previstos en los apartados 8 y 9 del artículo 16 de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.

 

Artículo 22. Notificación inicial, notificaciones intermedias y notificación final.

1. Los operadores de servicios esenciales deberán realizar una primera notificación de los incidentes a los que se refiere el artículo 19.1 sin dilación indebida.

La notificación incluirá, entre otros datos, información que permita determinar cualquier efecto transfronterizo del incidente.

2. Los operadores de servicios esenciales efectuarán las notificaciones intermedias que sean precisas para actualizar la información incorporada a la notificación inicial e informar sobre la evolución del incidente, mientras éste no esté resuelto.

3. Los operadores de servicios esenciales enviarán una notificación final del incidente tras su resolución.

Un incidente se considerará resuelto cuando se hayan restablecido las redes y sistemas de información afectados y el servicio opere con normalidad.

 

Artículo 23. Flexibilidad en la observancia de los plazos para la notificación.

Los operadores de servicios esenciales y los proveedores de servicios digitales podrán omitir, en las comunicaciones que realicen sobre los incidentes que les afecten, la información de la que aún no dispongan relativa a su repercusión sobre servicios esenciales u otros servicios que dependan de ellos para su prestación, u otra información de la que no dispongan. Tan pronto como conozcan dicha información deberán remitirla a la autoridad competente.

Si, transcurrido un tiempo prudencial desde la notificación inicial del incidente, el operador de servicios esenciales o el proveedor de servicios digitales no hubiera podido reunir la información pertinente, enviará a la autoridad competente, sin demora, un informe justificativo de las actuaciones realizadas para reunir la información y de los motivos por los que no ha sido posible obtenerla.

 

Artículo 24. Incidentes que afecten a servicios digitales.

Los operadores de servicios esenciales y los proveedores de servicios digitales sometidos a este real decreto-ley, así como cualquier otra parte interesada, que tengan noticia de incidentes que afecten de modo significativo a servicios digitales ofrecidos en España por proveedores establecidos en otros Estados miembros de la Unión Europea, podrán notificarlo a la autoridad competente aportando la información pertinente, al objeto de facilitar la cooperación con el Estado miembro en el que estuviese establecido el citado proveedor.

Del mismo modo, si tienen noticia de que dichos proveedores han incumplido los requisitos de seguridad o de notificación de incidentes ocurridos en España que les son aplicables, podrán notificarlo a la autoridad competente aportando la información pertinente.

 

Artículo 25. Tramitación de incidentes con impacto transfronterizo.

1. Cuando las autoridades competentes o los CSIRT de referencia tengan noticia de incidentes que pueden afectar a otros Estados miembros de la Unión Europea, informarán a través del punto de contacto único a los Estados miembros afectados, precisando si el incidente puede tener efectos perturbadores significativos para los servicios esenciales prestados en dichos Estados.

2. Cuando a través de dicho punto de contacto se reciba información sobre incidentes notificados en otros países de la Unión Europea que puedan tener efectos perturbadores significativos para los servicios esenciales prestados en España, se remitirá la información relevante a la autoridad competente y al CSIRT de referencia, para que adopten las medidas pertinentes en el ejercicio de sus funciones respectivas.

3. Las actuaciones consideradas en los apartados anteriores se entienden sin perjuicio de los intercambios de información que las autoridades competentes o los CSIRT de referencia puedan realizar de modo directo con sus homólogos de otros Estados miembros de la Unión Europea en relación con aquellos incidentes que puedan resultar de interés mutuo.

 

Artículo 26. Información al público.

1. La autoridad competente podrá exigir a los operadores de servicios esenciales o a los proveedores de servicios digitales que informen al público o a terceros potencialmente interesados sobre los incidentes cuando su conocimiento sea necesario para evitar nuevos incidentes o gestionar uno que ya se haya producido, o cuando la divulgación de un incidente redunde en beneficio del interés público.

2. La autoridad competente también podrá decidir informar de modo directo al público o a terceros sobre el incidente.

En estos casos la autoridad competente consultará y se coordinará con el operador de servicios esenciales o el proveedor de servicios digitales antes de informar al público.

 

Artículo 27. Información anual al punto de contacto único y al grupo de cooperación.

1. Las autoridades competentes transmitirán al punto de contacto único un informe anual sobre el número y tipo de incidentes comunicados, sus efectos en los servicios prestados o en otros servicios y su carácter nacional o transfronterizo dentro de la Unión Europea.

Las autoridades competentes elaborarán el informe siguiendo las instrucciones que dicte el punto de contacto único teniendo en cuenta las indicaciones del grupo de cooperación respecto al formato y contenido de la información a transmitir.

2. El punto de contacto único remitirá al grupo de cooperación antes del 9 de agosto de cada año un informe anual resumido sobre las notificaciones recibidas, y lo remitirá ulteriormente a las autoridades competentes y a los CSIRT de referencia, para su conocimiento.

 

Artículo 28. Obligación de resolver los incidentes, de información y de colaboración mutua.

1. Los operadores de servicios esenciales y los proveedores de servicios digitales tienen la obligación de resolver los incidentes de seguridad que les afecten, y de solicitar ayuda especializada, incluida la del CSIRT de referencia, cuando no puedan resolver por sí mismos los incidentes.

En tales casos deberán atender a las indicaciones que reciban del CSIRT de referencia para resolver el incidente, mitigar sus efectos y reponer los sistemas afectados.

2. Los operadores de servicios esenciales y los proveedores de servicios digitales han de suministrar al CSIRT de referencia y a la autoridad competente toda la información que se les requiera para el desempeño de las funciones que les encomienda el presente real decreto-ley.

En particular, podrá requerirse información adicional a los operadores de servicios esenciales y a los proveedores de servicios digitales para analizar la naturaleza, causas y efectos de los incidentes notificados, y para elaborar estadísticas y reunir los datos necesarios para elaborar los informes anuales considerados en el artículo 27.

Cuando las circunstancias lo permitan, la autoridad competente o el CSIRT de referencia proporcionarán a los operadores de servicios esenciales o a los proveedores de servicios digitales afectados por incidentes la información derivada de su seguimiento que pueda serles relevante, en particular, para resolver el incidente.

 

Artículo 29. Cooperación en lo relativo a los incidentes que afecten a datos personales.

Las autoridades competentes y los CSIRT de referencia cooperarán estrechamente con la Agencia Española de Protección de Datos para hacer frente a los incidentes que den lugar a violaciones de datos personales.

Las autoridades competentes y los CSIRT de referencia comunicarán sin dilación a la Agencia Española de Protección de Datos los incidentes que puedan suponer una vulneración de datos personales y la mantendrán informada sobre la evolución de tales incidentes.

 

Artículo 30. Autorización para la cesión de datos personales.

Si la notificación de incidentes o su gestión, análisis o resolución requiriera comunicar datos personales, su tratamiento se restringirá a los que sean estrictamente adecuados, pertinentes y limitados a lo necesario en relación con la finalidad, de las indicadas, que se persiga en cada caso.

Su cesión para estos fines se entenderá autorizada en los siguientes casos:

a) De los operadores de servicios esenciales y los proveedores de servicios digitales a las autoridades competentes, a través de los CSIRT de referencia.

b) Entre los CSIRT de referencia y las autoridades competentes, y viceversa.

c) Entre los CSIRT de referencia, y entre éstos y los CSIRT designados en otros Estados miembros de la Unión Europea.

d) Entre los CSIRT de referencia y otros CSIRT nacionales o internacionales.

e) Entre el punto de contacto único y los puntos de contacto únicos de otros Estados miembros de la Unión Europea.

 

Artículo 31. Notificaciones voluntarias.

1. Los operadores de servicios esenciales y los proveedores de servicios digitales podrán notificar los incidentes para los que no se establezca una obligación de notificación.

Así mismo, las entidades que presten servicios esenciales y no hayan sido identificadas como operadores de servicios esenciales y que no sean proveedores de servicios digitales podrán notificar los incidentes que afecten a dichos servicios.

Estas notificaciones obligan a la entidad que las efectúe a resolver el incidente de acuerdo con lo establecido en el artículo 28.

2. Las notificaciones a las que se refiere el apartado anterior se regirán por lo dispuesto en este título, y se informará sobre ellas al punto de contacto único en el informe anual previsto en el artículo 27.1.

3. Las notificaciones obligatorias gozarán de prioridad sobre las voluntarias a los efectos de su gestión por los CSIRT y por las autoridades competentes.

 

TÍTULO VI. Supervisión

 

Artículo 32. Supervisión de los operadores de servicios esenciales.

1. Las autoridades competentes podrán requerir a los operadores de servicios esenciales para que les proporcionen toda la información necesaria para evaluar la seguridad de las redes y sistemas de información, incluida la documentación sobre políticas de seguridad.

Podrán requerirles información sobre la aplicación efectiva de su política de seguridad, así como auditar o exigir al operador que someta la seguridad de sus redes y sistemas de información a una auditoría por una entidad externa, solvente e independiente.

2. A la vista de la información recabada, la autoridad competente podrá requerir al operador que subsane las deficiencias detectadas e indicarle cómo debe hacerlo.

 

Artículo 33. Supervisión de los proveedores de servicios digitales.

1. La autoridad competente para la supervisión de los servicios digitales sólo inspeccionará el cumplimiento de las obligaciones derivadas de este real decreto-ley cuando tenga noticia de algún incumplimiento, incluyendo por petición razonada de otros órganos o denuncia.

En tal caso, la autoridad competente podrá requerir al proveedor de servicios digitales para que le proporcione toda la información necesaria para evaluar la seguridad de sus redes y sistemas de información, incluida la documentación sobre políticas de seguridad, y para que subsane las deficiencias detectadas.

2. Cuando la autoridad competente tenga noticia de incidentes que perturben de modo significativo a servicios digitales ofrecidos en otros Estados miembros por proveedores establecidos en España, adoptará las medidas de supervisión pertinentes.

A estos efectos, tendrá especialmente en cuenta la información facilitada por las autoridades competentes de otros Estados miembros.

 

Artículo 34. Cooperación transfronteriza.

1. La supervisión se llevará a cabo, cuando proceda, en cooperación con las autoridades competentes de los Estados miembros en los que se ubiquen las redes y sistemas de información empleados para la prestación del servicio, o en que esté establecido el operador de servicios esenciales, el proveedor de servicios digitales o su representante.

2. Las autoridades competentes colaborarán con las autoridades competentes de otros Estados miembros cuando éstas requieran su cooperación en la supervisión y adopción de medidas por operadores de servicios esenciales y proveedores de servicios digitales en relación con las redes y sistemas de información ubicados en España, así como respecto a los proveedores de servicios digitales establecidos en España o cuyo representante en la Unión Europea tenga su residencia o domicilio social en España.

 

TÍTULO VII. Régimen sancionador

 

Artículo 35. Responsables.

Serán responsables los operadores de servicios esenciales y los proveedores de servicios digitales comprendidos en el ámbito de aplicación de este real decreto-ley.

 

Artículo 36. Infracciones.

1. Las infracciones de los preceptos de este real decreto-ley se clasifican en muy graves, graves y leves.

2. Son infracciones muy graves:

a) La falta de adopción de medidas para subsanar las deficiencias detectadas, de acuerdo con lo dispuesto en los artículos 32.2 o 33.1, cuando éstas le hayan hecho vulnerable a un incidente con efectos perturbadores significativos en el servicio y el operador de servicios esenciales o el proveedor de servicios digitales no hubiera atendido los requerimientos dictados por la autoridad competente con anterioridad a la producción del incidente.

b) El incumplimiento reiterado de la obligación de notificar incidentes con efectos perturbadores significativos en el servicio. Se considerará que es reiterado a partir del segundo incumplimiento.

c) No tomar las medidas necesarias para resolver los incidentes con arreglo a lo dispuesto en el artículo 28.1 cuando éstos tengan un efecto perturbador significativo en la prestación servicios esenciales o de servicios digitales en España o en otros Estados miembros.

3. Son infracciones graves:

a) El incumplimiento de las disposiciones reglamentarias o de las instrucciones técnicas de seguridad dictadas por la autoridad competente referidas a las precauciones mínimas que los operadores de servicios esenciales han de adoptar para garantizar la seguridad de las redes y sistemas de información.

b) La falta de adopción de medidas para subsanar las deficiencias detectadas en respuesta a un requerimiento dictado de acuerdo con los artículos 32.2 o 33.1, cuando ese sea el tercer requerimiento desatendido que se dicta en los cinco últimos años.

c) El incumplimiento de la obligación de notificar incidentes con efectos perturbadores significativos en el servicio.

d) La demostración de una notoria falta de interés en la resolución de incidentes con efectos perturbadores significativos notificados cuando dé lugar a una mayor degradación del servicio.

e) Proporcionar información falsa o engañosa al público sobre los estándares que cumple o las certificaciones de seguridad que mantiene en vigor.

f) Poner obstáculos a la realización de auditorías por la autoridad competente.

4. Son infracciones leves:

a) El incumplimiento de las disposiciones reglamentarias o de las instrucciones técnicas de seguridad dictadas por la autoridad competente al amparo de este real decreto-ley, cuando no suponga una infracción grave.

b) La falta de adopción de medidas para corregir las deficiencias detectadas en respuesta a un requerimiento de subsanación dictado de acuerdo con los artículos 32.2 o 33.1.

c) No facilitar la información que sea requerida por las autoridades competentes sobre sus políticas de seguridad, o proporcionar información incompleta o tardía sin justificación.

d) No someterse a una auditoría de seguridad según lo ordenado por la autoridad competente.

e) No proporcionar al CSIRT de referencia o a la autoridad competente la información que soliciten en virtud del artículo 28.2.

f) La falta de notificación de los sucesos o incidencias para los que, aunque no hayan tenido un efecto adverso real sobre los servicios, exista obligación de notificación en virtud del párrafo segundo del artículo 19.2.

g) No completar la información que debe reunir la notificación de incidentes teniendo en cuenta lo dispuesto en el artículo 23, o no remitir el informe justificativo sobre la imposibilidad de reunir la información previsto en dicho artículo.

h) No seguir las indicaciones que reciba del CSIRT de referencia para resolver un incidente, de acuerdo con el artículo 28.

 

Artículo 37. Sanciones.

1. Por la comisión de las infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones:

a) Por la comisión de infracciones muy graves, multa de 500.001 hasta 1.000.000 euros.

b) Por la comisión de infracciones graves, multa de 100.001 hasta 500.000 euros.

c) Por la comisión de infracciones leves, amonestación o multa hasta 100.000 euros.

2. Las sanciones firmes en vía administrativa por infracciones muy graves y graves podrán ser publicadas, a costa del sancionado, en el «Boletín Oficial del Estado» y en el sitio de Internet de la autoridad competente, en atención a los hechos concurrentes y de conformidad con el artículo siguiente.

 

Artículo 38. Graduación de la cuantía de las sanciones.

El órgano sancionador establecerá la sanción teniendo en cuenta los siguientes criterios:

a) El grado de culpabilidad o la existencia de intencionalidad.

b) La continuidad o persistencia en la conducta infractora.

c) La naturaleza y cuantía de los perjuicios causados.

d) La reincidencia, por comisión en el último año de más de una infracción de la misma naturaleza, cuando así haya sido declarado por resolución firme en vía administrativa.

e) El número de usuarios afectados.

f) El volumen de facturación del responsable.

g) La utilización por el responsable de programas de recompensa por el descubrimiento de vulnerabilidades en sus redes y sistemas de información.

h) Las acciones realizadas por el responsable para paliar los efectos o consecuencias de la infracción.

 

Artículo 39. Proporcionalidad de sanciones.

1. El órgano sancionador podrá establecer la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:

a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el artículo 38.

b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.

c) Cuando el infractor haya reconocido espontáneamente su culpabilidad.

2. Los órganos con competencia sancionadora, atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, podrán no acordar el inicio del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que, en cada caso, resulten pertinentes, siempre que concurran los siguientes presupuestos:

a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en este real decreto-ley.

b) Que el órgano competente no hubiese sancionado o apercibido al infractor en los dos años previos como consecuencia de la comisión de infracciones previstas en este real decreto-ley.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado, procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.

3. No podrán ser objeto de apercibimiento las infracciones leves descritas en el artículo 36.4 c), d) y e) y la infracción grave prevista en el artículo 36.3 e).

 

Artículo 40. Infracciones de las Administraciones públicas.

1. Cuando las infracciones a que se refiere el artículo 36 fuesen cometidas por órganos o entidades de las Administraciones Públicas, el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al órgano o entidad infractora y a los afectados, si los hubiera.

Además de lo anterior, el órgano sancionador podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran.

2. Se deberán comunicar al órgano sancionador las resoluciones que recaigan en relación con las medidas y actuaciones a que se refiere el apartado anterior.

 

Artículo 41. Competencia sancionadora.

1. La imposición de sanciones corresponderá, en el caso de infracciones muy graves, al Ministro competente en virtud de lo dispuesto en el artículo 9, y en el caso de infracciones graves y leves al órgano de la autoridad competente que se determine mediante el reglamento de desarrollo de este real decreto-ley.

2. La potestad sancionadora se ejercerá con arreglo a los principios y al procedimiento previstos en las Leyes 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

3. El ejercicio de la potestad sancionadora se sujetará al procedimiento aplicable, con carácter general, a la actuación de las Administraciones públicas. No obstante, el plazo máximo de duración del procedimiento será de un año y el plazo de alegaciones no tendrá una duración inferior a un mes.

 

Artículo 42. Concurrencia de infracciones.

1. No procederá la imposición de sanciones según lo previsto en este real decreto-ley cuando los hechos constitutivos de infracción lo sean también de otra tipificada en la normativa sectorial a la que esté sujeto el prestador del servicio y exista identidad del bien jurídico protegido.

2. Cuando, como consecuencia de una actuación sancionadora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, se dará cuenta de los mismos a los órganos u organismos competentes para su supervisión y sanción.

 

Disposición adicional primera. Relación inicial de servicios esenciales y operadores de servicios esenciales.

La Comisión Nacional para la Protección de las Infraestructuras Críticas aprobará una primera lista de servicios esenciales dentro de los sectores incluidos en el ámbito de aplicación de este real decreto-ley e identificará a los operadores que los presten que deban sujetarse a este real decreto-ley en el siguiente orden:

a) Antes del 9 de noviembre de 2018: los servicios esenciales y los operadores correspondientes a los sectores estratégicos energía, transporte, salud, sistema financiero, agua, e infraestructuras digitales.

b) Antes del 9 de noviembre de 2019: los servicios esenciales y los operadores correspondientes al resto de los sectores estratégicos recogidos en el anexo de la Ley 8/2011, de 28 de abril.

 

Disposición adicional segunda. Comunicaciones electrónicas y servicios de confianza.

La aplicación de este real decreto-ley a los operadores de redes y servicios de comunicaciones electrónicas y de servicios electrónicos de confianza que sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril, no obstará a la aplicación de su normativa específica en materia de seguridad.

El Ministerio de Economía y Empresa, como órgano competente para la aplicación de dicha normativa, y el Ministerio del Interior actuarán de manera coordinada en el establecimiento de obligaciones que recaigan sobre los operadores críticos. Así mismo, mantendrán un intercambio fluido de información sobre incidentes que les afecten.

 

Disposición adicional tercera. Notificación de violaciones de seguridad de los datos personales a través de la plataforma común prevista en este real decreto-ley.

La plataforma común para la notificación de incidentes prevista en este real decreto-ley podrá ser empleada para la notificación de vulneraciones de la seguridad de datos personales según el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en los términos que acuerden la Agencia Española de Protección de Datos y los órganos que gestionen dicha plataforma.

 

Disposición adicional cuarta. Proveedores de servicios digitales ya existentes.

Los proveedores de servicios digitales que ya vinieran prestando servicios deberán comunicar su actividad a la Secretaría de Estado para el Avance Digital del Ministerio de Economía y Empresa, en el plazo de tres meses desde la entrada en vigor de este real decreto-ley.

 

Disposición final primera. Título competencial.

Este real decreto-ley se dicta en virtud de las competencias exclusivas atribuidas al Estado en materia de régimen general de telecomunicaciones y seguridad pública, por el artículo 149.1.21.ª y 29.ª de la Constitución.

 

Disposición final segunda. Incorporación del Derecho de la Unión Europea.

Este real decreto-ley incorpora al ordenamiento jurídico interno la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

 

Disposición final tercera. Habilitación para el desarrollo reglamentario.

Se habilita al Gobierno para desarrollar reglamentariamente lo previsto en este real decreto-ley sin perjuicio de la competencia de los Ministros para fijar las obligaciones específicas mediante Orden Ministerial en los supuestos previstos en el articulado de esta norma.

 

Disposición final cuarta. Entrada en vigor.

El presente real decreto-ley entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

 

Dado en Madrid, el 7 de septiembre de 2018.

 

FELIPE R.

El Presidente del Gobierno, PEDRO SÁNCHEZ PÉREZ-CASTEJÓN