Preguntas frecuentes

¿Qué es un proveedor de servicios digitales?
Persona jurídica que presta un servicio de la sociedad de la información entendido en el sentido recogido en la letra a) del anexo de la Ley 34/2002, de 11 de julio, de servicios de sociedad de la información y comercio electrónico.
¿Qué proveedores de servicios digitales entran en el ámbito de aplicación del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información?

Únicamente los proveedores de servicios que cumplan las siguientes condiciones:

  • Presten alguno de los siguientes servicios digitales definidos en el Real Decreto-ley: mercados en línea, motores de búsqueda en línea y servicios de computación en la nube.
  • No sean microempresas o pequeñas empresas.
  • Tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo.
¿Qué es una microempresa y una pequeña empresa?

Se define “pequeña empresa” como una empresa que ocupa a menos de 50 personas y cuyo volumen de negocios anual o cuyo balance general anual no supera los 10 millones de euros.

Se define “microempresa” como una empresa que ocupa a menos de 10 personas y cuyo volumen de negocios anual o cuyo balance general anual no supera los 2 millones de euros.

La clasificación como microempresa o pequeña empresa se realiza de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.

¿Cómo afecta el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información a los proveedores de servicios digitales que operan en varios países de la Unión Europea?

Los proveedores de servicios digitales quedan sometidos a la jurisdicción en materia de seguridad de las redes y sistemas de información del país donde tengan su establecimiento principal en la Unión Europea o, si no están establecidos en la Unión Europea, del país donde hayan designado a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo.

Las autoridades del resto de los países donde operen estos proveedores de servicios digitales se coordinarán con la autoridad competente del país de establecimiento principal, o donde hayan designado su representante, para garantizar el cumplimiento de las obligaciones.

¿Cuáles son las obligaciones de los proveedores de servicios digitales que entran en el ámbito de aplicación del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información?

Las obligaciones son:

  • comunicar su actividad
  • adoptar medidas de seguridad técnicas y de organización, adecuadas y proporcionadas
  • notificar los incidentes que tengan efectos perturbadores significativos en sus servicios.

Los requisitos para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información, así como los parámetros para determinar si un incidente tiene un impacto significativo son los establecidos en el

Reglamento de Ejecución (UE) 2018/151 de 30 de enero de 2018 [PDF] [386.68 kB].

¿Qué servicios se consideran mercados en línea?

Son servicios que permiten a consumidores y a empresarios celebrar contratos, de compraventa o de prestación de servicios en línea, con empresarios, siendo el propio servicio en línea el lugar donde se celebran finalmente tales contratos.

Los mercados en línea proporcionan a las empresas la infraestructura básica para comerciar en línea.

El concepto se aplica tanto a los proveedores que proporcionan un sitio en línea en el que múltiples empresarios e individuos pueden vender sus productos y contratar servicios, como a los proveedores que proporcionan sitios en línea configurados de forma específica para que un empresario determinado venda sus productos u ofrezca la contratación de sus servicios.

Se refiere a servicios ofrecidos a terceros (consumidores y empresarios) para que éstos celebren contratos entre sí, quedando por tanto sujetos al ámbito de aplicación del Real Decreto-ley las entidades que operen plataformas electrónicas que permitan la contratación entre terceros, pero no los usuarios de dichas plataformas, ni quienes las establezcan u operen con el único propósito de comercializar sus propios productos o servicios por vía electrónica.

Por ejemplo, un proveedor de subastas en línea que permita a otros establecer puntos de venta en su plataforma para que los consumidores y empresas puedan acceder en línea a sus productos y servicios puede considerarse un mercado en línea.

Igualmente, las tiendas de aplicaciones en línea que distribuyen aplicaciones y programas de software se consideran comprendidas en la definición de mercado en línea, porque permiten a los desarrolladores de aplicaciones vender o distribuir sus servicios a los consumidores o a otras empresas.

En cambio, no están considerados mercados en línea los intermediarios para acceder a servicios prestados por terceros, ni los servicios que únicamente realizan comparación de precios y redirigen al usuario al sitio web del comerciante, donde se celebra finalmente el contrato para el servicio o producto.

Se definen los consumidores y empresarios respectivamente en los artículos 3 y 4 del texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado mediante el Real Decreto Legislativo 1/2007, de 16 de noviembre.

La Comunicación de la Comisión Europea al Parlamento Europeo y al Consejo COM(2017) 476 final, de 4.10.2017, en el apartado 4.4.1 del Anexo I, contiene explicaciones complementarias sobre los mercados.

 

¿Es de aplicación el Real Decreto-ley 12/2018 a una empresa (que no sea ni microempresa ni pequeña empresa) que venda sus productos o servicios a través de su propia página web, como proveedora de servicios digitales?

Si es una página web establecida por el propio empresario y que no provee adicionalmente un servicio que permita a terceros vender sus productos o servicios, no sería considerado un servicio de mercado en línea.

Esto no implica que la empresa no pueda entrar en el ámbito de aplicación de dicho Real Decreto-ley si provee otro servicio digital que esté incluido en su ámbito de aplicación, o se le identifica como “Operador de Servicios Esenciales”.

¿Es de aplicación el Real Decreto-ley 12/2018 a una empresa (que no sea ni microempresa ni pequeña empresa) que venda sus productos o servicios a través de una página web ajena, como proveedora de servicios digitales?

No por este hecho en concreto ya que se comporta como un usuario de dicha página web.

Esto no implica que la empresa no pueda entrar en el ámbito de aplicación de dicho Real Decreto-ley si provee otro servicio digital que esté incluido en su ámbito de aplicación, o se le identifica como “Operador de Servicios Esenciales”.

Sí estaría por el contrario considerado mercado en línea la entidad que proporciona a la empresa dicha página web para la venta de productos y contratación de servicios.

¿Qué servicios se consideran motores de búsqueda en línea?

Son servicios que permiten a los usuarios hacer búsquedas de, en principio, todos los sitios web o de sitios web en una lengua en concreto, mediante una consulta sobre un tema en forma de palabra clave, frase u otro tipo de entrada, y que, en respuesta, muestra enlaces en los que puede encontrarse información relacionada con el contenido solicitado.

Consecuentemente no se consideran motores de búsqueda, por ejemplo, las funciones de búsqueda que se limitan a buscar contenidos en un sitio web concreto, con independencia de que la función de búsqueda la proporcione un motor de búsqueda externo, ni tampoco los sitios web de comparación de precios.

La Comunicación de la Comisión Europea al Parlamento Europeo y al Consejo COM(2017) 476 final, de 4.10.2017, en el apartado 4.4.1 del Anexo I, contiene explicaciones complementarias sobre los motores de búsqueda.

¿Qué servicios se consideran servicios de computación en la nube?

Son servicios que hacen posible el acceso a un conjunto modulable y elástico de recursos de computación que se pueden compartir. Por tanto, quedan sujetos al ámbito de aplicación del Real Decreto-ley las entidades que ofrecen a terceros los servicios de computación en la nube, pero no los usuarios de dichos servicios.

La computación en la nube puede definirse como un tipo específico de servicio de computación que utiliza recursos compartidos para el tratamiento de datos a petición del usuario, pudiendo ser los recursos compartidos cualquier tipo de componentes de hardware o software (p. ej., redes, servidores u otras infraestructuras, sistemas de almacenamiento, aplicaciones y servicios) que se entregan previa petición a los usuarios para el tratamiento de datos.

El término «que se pueden compartir» se refiere a los recursos informáticos que se proporcionan a múltiples usuarios que utilizan la misma infraestructura física para el tratamiento de datos. Se considera que los recursos informáticos se pueden compartir cuando el conjunto de recursos utilizados por el proveedor puede ampliarse o reducirse en cualquier momento, en función de los requisitos del usuario. Así, cabría la posibilidad de añadir o retirar centros de datos o componentes individuales dentro de un centro de datos en caso de que la cantidad total de capacidad de computación o almacenamiento necesitara una actualización.

El término «conjunto elástico» se utiliza para describir los cambios en la carga de trabajo resultantes del abastecimiento y desabastecimiento de recursos de manera automática, de tal manera que en cada momento los recursos disponibles coincidan con la demanda en la mayor medida posible. Existen tres tipos principales de modelos de servicios de computación en la nube que puede ofrecer un proveedor:

Infraestructura como servicio (Infrastructure as a Service, IaaS)

Categoría de servicio en nube en la que el tipo de capacidades en nube que se proporcionan al cliente son los de una infraestructura. Incluye la entrega virtual de recursos informáticos en forma de hardware, servicios de redes y de almacenamiento. La IaaS ofrece servidores, sistemas de almacenamiento, redes y sistemas operativos. Proporciona infraestructura empresarial en la que una empresa puede almacenar sus datos y hacer funcionar las aplicaciones necesarias para sus actividades cotidianas.

Plataforma como servicio (Platform as a Service, PaaS)

Categoría de servicio en nube en la que el tipo de capacidades en nube que se proporcionan al cliente son los de una plataforma. Incluye plataformas informáticas en línea que permiten a las empresas hacer funcionar aplicaciones existentes o desarrollar y probar aplicaciones nuevas.

Software como servicio (Software as a service, SaaS)

Categoría de servicio en nube en la que el tipo de capacidades en nube que se proporcionan al cliente son los de una aplicación o software desplegado en internet. Este tipo de servicios en nube eliminan la necesidad de que el usuario final compre, instale y gestione software, y presenta la ventaja de que se puede acceder al software desde cualquier lugar que disponga de una conexión a internet.

Gráfico 5: Modelos de servicio y activos de la computación en la nube

ENISA ha elaborado extensas directrices sobre temas específicos en el ámbito de la computación en la nube y un documento de orientación sobre los fundamentos de la computación en la nube (Cloud Security Guide for SMEs (2015).

La Comunicación de la Comisión Europea al Parlamento Europeo y al Consejo COM (2017) 476 final, de 4.10.2017, en el apartado 4.4.1 del Anexo I, contiene explicaciones sobre los servicios de computación en la nube.