Lugar: Department for Business, Energy and Industrial Strategy
Evento: EU Exit: Business Readiness Forum Digital & Data
Asistentes: Natasha Wood, Asier Cobanera
Durante el evento se trataron de los siguientes temas:
- Bloqueo geográfico
- Directiva sobre el comercio electrónico
- Itinerancia de datos (Roaming)
- Dominios .eu
- La Directiva NIS (Seguridad de las Redes y de la Información)
Bloqueo geográfico
En primer lugar, se habló sobre la forma en la que el bloqueo geográfico funciona actualmente bajo la normativa vigente. Se trataron tres puntos principales: (1) los operadores no tienen permitido bloquear el acceso a páginas web en base a la ubicación del usuario; (2) está prohibida la discriminación en la compra de ciertos bienes y servicios online en base a la nacionalidad y localización; (3) está igualmente prohibida la discriminación contra un método de pago basado únicamente en el lugar de emisión en la UE. Sin embargo, tras el Brexit, la legislación de Reino Unido (RU) en materia de bloqueo geográfico quedaría derogada. Los operadores tendrán que ser capaces de diferenciar entre usuarios en RU y en la UE, ofreciendo distintas condiciones a un cliente de RU que a uno español, por ejemplo. Si los operadores de RU tienen desean continuar con sus actividades en la UE, deben seguir cumpliendo con la normativa europea que prohíbe la discriminación entre usuarios de diferentes Estados miembros.
Directiva sobre comercio electrónico
Respecto a la Directiva sobre comercio electrónico, en caso de Brexit sin acuerdo, RU continuará alineándose con las directrices establecidas en dicha directiva, incluyendo lo relativo a la responsabilidad de los intermediarios y la monitorización general, para disminuir la potencial disrupción. Como excepción, el “principio de país de origen”, sí será suprimido de la normativa de RU. Por tanto, se recomienda a los proveedores de servicios online que comprueben los potenciales incumplimientos derivados de la no aplicación de este principio, así como que tengan en cuenta su impacto en las actuales incidencias en materia de cumplimiento. El “principio de país de origen” es un acuerdo recíproco por el cual un “servicio de la sociedad de la información” (ISS) situado en el EEE (Espacio Económico Europeo) solo está sujeto a ciertas leyes (las que se engloban dentro del “campo coordinado” de la Directiva), en el Estado del EEE en el que esté establecido.
Actualmente, la Directiva sobre el comercio electrónico regula ciertos aspectos de los ISS en el EEE. Estos servicios incluyen vendedores online, plataformas de vídeo, herramientas de búsqueda, redes sociales y proveedores de servicios de internet, entre otros. No aplica sin embargo a las interacciones sin fines comerciales, o a los elementos offline relacionados con transacciones online, como los impuestos derivados de adquisiciones online. Tampoco se encarga de los requisitos legales de las mercancías, ni de aquellos asuntos regulados por el Reglamento General de Protección de Datos (RGPD). Sí establece las siguientes normas sobre servicios de seguridad de la información: (1) limitaciones a la responsabilidad de los proveedores de servicios de intermediación en relación a la información que transmiten o almacenan; (2) prohibiciones a la imposición de obligaciones de “monitorización general”; (3) prohibiciones a la imposición de requisitos de “autorización previa” (por ejemplo, requisitos de licencia antes del inicio); (4) regulaciones sobre cierta información que debe ser publicada en los portales y otras comunicaciones electrónicas (como el spam).
Para los proveedores de servicios de la sociedad de la información es importante comprobar la existencia de potenciales incumplimientos normativos derivados de la pérdida de aplicación del mencionado principio. Esto dependerá de la naturaleza del servicio online prestado y de los mercados del EEE en los que se opere. Es recomendable considerar el diseño de procesos que aseguren el cumplimiento con los requisitos legales sobre actividades online en cada uno de los estados del EEE, así como asegurar dicho cumplimiento de manera continuada en caso de no acuerdo. Igualmente se recomienda considerar la determinación del “lugar de establecimiento”.
Itinerancia de datos (Roaming)
El funcionamiento de la itinerancia de datos en la actualidad permite disponer de ellos en la UE sin coste adicional. Los operadores móviles deben fijar un límite por uso de datos móviles de 50 €, y los clientes deben activamente decidir gastar más. Los operadores deben enviar una alerta al usuario cuando el dispositivo alcanza el 80% y el 100% del límite de datos establecido. Tras el Brexit, no se garantiza que exista una continuidad en estas condiciones. Los operadores de la UE podrán incrementar sus cargos de roaming en los operadores de RU, pero el gobierno se asegurará de que los operadores de RU fijen el límite de cargos por itinerancia de datos en 45 £ al mes, a partir del cual los usuarios deben decidir consumir más. Los operadores deberán continuar protegiendo a los usuarios con alertas sobre el uso inadvertido de datos.
Dominios .eu
Respecto a los dominios .eu, actualmente su uso para los dominios del nivel superior (DNS) está regulado por la UE, y son administrados por EURid. Son aptas para registrarse bajo este dominio: (1) organizaciones establecidas en el EEE; (2) personas físicas residentes en el EEE; (3) empresas que tengan su domicilio social, dirección central o su principal lugar de negocios en el EEE.
Las entidades que actualmente cuentan con un dominio .eu y están establecidas en el RU podrían perderlo en caso de Brexit sin acuerdo. El 23 de marzo y el 30 de marzo de 2019 recibirán una notificación electrónica procedente de EURid, en la que se les informará que su denominación no es compatible con el marco regulatorio del dominio .eu, y se les permitirá mantener el dominio hasta el 30 de mayo de 2019, otorgándose un plazo de dos meses desde la fecha de salida de RU de la UE inicialmente fijada. Durante este periodo, las entidades registradas deberán probar que cumplen con los requisitos de aptitud establecidos. En caso de no conseguirlo, los dominios serán retirados el 30 de mayo, pero quedarán inaccesibles para cualquier otra entidad durante un periodo de 10 meses (hasta el 30 de marzo de 2020), de modo que podrán recuperarse si se demuestra en ese periodo que se cumple con los requisitos de aptitud. No obstante, durante ese tiempo se podría perder el acceso a la página web y/o al correo electrónico. Si para esa fecha no se ha demostrado, los dominios serán definitivamente revocados y pasarán a estar disponibles para otras entidades.
Además, si actualmente se posee un dominio .eu, es recomendable considerar la posibilidad de transferir el registro a otro dominio de nivel superior en el registro local. Como ejemplos de dominios de nivel superior, pueden citarse .co.uk, .com, .net o .org. También es recomendable plantearse la posibilidad de obtener asesoramiento de la autoridad local de registro de dominios sobre si los términos del contrato contemplan cualquier recurso en caso de una negativa o revocación de un registro .eu, así como la búsqueda de asesoramiento legal. En cualquier caso, se espera que se adopte nueva normativa en relación al dominio .eu en los meses de marzo y abril de 2019, que podría extender los criterios de elegibilidad para permitir a los ciudadanos del EEE registrar un dominio .eu con independencia de su lugar de residencia, seis meses después de que la normativa entre en vigor. En dicho caso, los ciudadanos del EEE residentes en RU podrían ser aptos.
La Directiva NIS (Seguridad de las Redes y de la Información)
La Directiva sobre Seguridad de las Redes y de la Información proporciona medidas legales para impulsar el nivel de conexión y seguridad de los sistemas de información en la UE. Los proveedores de servicios digitales deben: (1) registrarse en el ICO (Information Comissioner’s Office por sus siglas en inglés); (2) disponer de medidas de seguridad adecuadas y proporcionadas para hacer frente a los riesgos que afecten a las redes de información en las que se apoyan sus negocios; (3) notificar de las incidencias al ICO cuando dichas incidencias tengan un impacto significativo sobre la prestación de sus servicios. Un proveedor de servicios digitales no establecido en la UE, pero que ofrece sus servicios en la UE, debe designar un representante en uno de los Estados miembros de la UE en los que ofrezca sus servicios. Se entiende por proveedor de servicios digitales aquel que preste los servicios de: (1) mercados online; (2) motores de búsqueda online; (3) servicios de cloud computing. En las regulaciones nacionales son los proveedores de servicios digitales que tienen su sede en el RU o en el extranjero, pero cuentan con un representante designado en RU, conocido como “proveedores de servicios digitales relevantes” (RDSP).
Respecto a la Directiva en caso de Brexit sin acuerdo, los RDSP establecidos en RU que ofrezcan sus servicios a un o más de un país miembro de la UE debe designar un representante en uno de los Estados miembro en los que ofrezca sus servicios. Solamente existe la obligación de nombrar a un único representante en la UE, incluso aunque el servicio se ofrezca en más de un Estado miembro. Puede obtenerse más información sobre cómo designar representantes en un Estado miembro de la UE, se recomienda contactar con la autoridad competente en materia de proveedores de servicios digitales en cada Estado miembro.