Cuando un juguete, un medicamento, o productos similares, quieren ser comercializados en el mercado europeo, deben superar una serie de estrictos controles de calidad, que garanticen la protección del derecho de seguridad de los consumidores en particular, y del mercado en general. Elementos como pintura tóxica, piezas pequeñas que pueden desprenderse, o ingredientes no testados, son aspectos que impiden la distribución de ese producto en el mercado debido a su potencial peligrosidad para los usuarios, especialmente los menores de edad. A estos efectos, la Unión Europea desarrolló un sistema de alerta e intercambio de información rápida sobre productos peligrosos, denominado Rapex, que se aplica cuando un Estado miembro detecta un producto que representa un peligro grave e inmediato para la salud y la seguridad de los consumidores dentro del espacio europeo.
A la vista del alcance del sistema Rapex, podemos preguntarnos por qué no incluye teas relacionados con la ciberseguridad de los productos comercializados. ¿Acaso no pone en peligro a los consumidores los dispositivos conectados que sean vulnerables de ciberataques? Quizás podamos concluir que, en un principio, no estemos ante productos que puedan poner en peligro la salud y la seguridad de las personas. Ahora bien, por todos es sabido que un ataque informático puede provocar daños físicos en los usuarios. De hecho, elementos como los marcapasos, o dispensadores similares utilizados en servicios sanitarios, coches conectados, teléfonos móviles, etc., ya han sido protagonistas de incidentes con repercusiones graves a nivel físico y, especialmente, económico, que no deberían quedar fuera de ámbito de protección de la normativa sobre productos defectuosos y del resto de la normativa general de protección de los consumidores, la cual hasta la fecha -como podemos imaginar- no ha venido contemplando específicamente aquellos aspectos relacionados con los incidentes provocados por unas deficientes medidas técnicas de ciberseguridad y los perjuicios que ello pudiera causar en los consumidores y usuarios de tales tecnologías.
Adicionalmente, también hemos sido testigos de cómo los objetos conectados han venido siendo utilizados por los ciberdelincuentes para acceder de forma inconsentida a los sistemas de las compañías, con fines criminales.
Entonces, ¿por qué hasta ahora Europa no había diseñado un sistema parecido para tratar de evitar la entrada en su mercado de productos conectados vulnerables?
La respuesta la encontramos en la negociación de una nueva normativa homogeneizada, a través de la cual se pueda exigir a los fabricantes y distribuidores de productos conectados (comúnmente conocido como Internet of Things o, por sus siglas en inglés IoT), el cumplimiento de una serie de obligaciones relacionadas con la seguridad digital de dichos dispositivos o elementos.
Efectivamente, con vistas a garantizar que los productos con componentes digitales (como las cámaras domésticas, los frigoríficos inteligentes, los televisores y los juguetes conectados, entre otros) sean seguros antes de entrar en el mercado, los representantes de los Estados miembros (Coreper) han alcanzado, este pasado 18 de julio de 2023, una posición común sobre la propuesta legislativa relativa a un conjunto uniforme de requisitos de ciberseguridad para los productos digitales, que será conocido como Reglamento de Ciberresiliencia.
Adicionalmente a la exigencia de que tales productos sean seguros de usar y resistan a las amenazas cibernéticas, también se va a exigir que ofrezcan suficiente información sobre sus propiedades de seguridad, del mismo modo que otros productos dan información a los usuarios acerca de otros aspectos relacionados con las condiciones de uso, garantías, actualizaciones, etc.
Gracias a ello, parece que se elevará el nivel de seguridad de los productos conectados y, en consecuencia, la confianza en la tecnología, lo que sin duda irá en beneficio del desarrollo y competitividad de la industria europea, que verá como competidores de fuera de nuestras fronteras deben adaptar sus prácticas comerciales a los mismos niveles y estándares de seguridad, para beneficiar -en último lugar- a los consumidores europeos, sean individuales o empresas.