INFORME sobre la lucha contra la ciberdelincuencia
25.7.2017 - (2017/2068(INI))
Comisión de Libertades Civiles, Justicia y Asuntos de Interior
Ponente: Elissavet Vozemberg-Vrionidi
PROPUESTA DE RESOLUCIÓN DEL PARLAMENTO EUROPEO
sobre la lucha contra la ciberdelincuencia
El Parlamento Europeo,
– Vistos los artículos 2, 3 y 6 del Tratado de la Unión Europea (TUE),
– Vistos los artículos 16, 67, 70, 72, 73, 75, 82, 83, 84, 85, 87 y 88 del Tratado de Funcionamiento de la Unión Europea (TFUE),
– Vistos los artículos 1, 7, 8, 11, 16, 17, 21, 24, 41, 47, 48, 49, 50 y 52 de la Carta de los Derechos Fundamentales de la Unión Europea («la Carta»),
– Vista la Convención internacional sobre los Derechos del Niño, de 20 de noviembre de 1989,
– Visto el Protocolo Facultativo de la Convención sobre los Derechos del Niño relativo a la venta de niños, la prostitución infantil y la utilización de los niños en la pornografía, de 25 de mayo de 2000,
– Vistos la Declaración y la Agenda para la Acción de Estocolmo, aprobada en el Primer Congreso Mundial contra el Comercio y la Explotación Sexual Infantil, el compromiso global de Yokohama, aprobado en el Segundo Congreso Mundial contra el Comercio y la Explotación Sexual Infantil, y el compromiso y el Plan de acción de Budapest, aprobados en la Conferencia preparatoria para el Segundo Congreso Mundial contra el Comercio y la Explotación Sexual Infantil,
– Visto el Convenio del Consejo de Europa, de 25 de octubre de 2007, sobre la protección de la infancia contra la explotación y el abuso sexual,
– Vista su Resolución, de 20 noviembre 2012, sobre la protección de los niños en el mundo digital[1],
– Vista su Resolución, de 11 de marzo de 2015, sobre la lucha contra los abusos sexuales de menores en línea[2],
– Vista la Decisión marco del Consejo 2001/413/JAI, de 28 de mayo de 2001, sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo[3],
– Visto el Convenio de Budapest sobre la Ciberdelincuencia[4], de 23 de noviembre de 2001, y su Protocolo adicional,
– Visto el Reglamento (CE) n.º 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se crea la Agencia Europea de Seguridad de las Redes y de la Información[5],
– Vista la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección[6],
– Vista la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas[7],
– Vista la Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI del Consejo[8],
– Vista la Comunicación conjunta de la Comisión y la vicepresidenta de la Comisión / alta representante de la Unión para de la Unión para Asuntos Exteriores y Política de Seguridad (VP/AR) al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, de 7 de febrero de 2013, titulada «Estrategia de ciberseguridad de la Unión Europea: un ciberespacio abierto, protegido y seguro» (JOIN(2013)0001),
– Vista la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo[9],
– Vista la Directiva 2014/41/CE del Parlamento Europeo y del Consejo, de 3 de abril de 2014, relativa a la orden europea de investigación en materia penal (la Directiva OEI)[10],
– Vista la sentencia del Tribunal de Justicia de la Unión Europea, de 8 de abril de 2014, que invalidó la Directiva de conservación de datos,
– Vista su Resolución, de 12 de septiembre de 2013, sobre una Estrategia de ciberseguridad de la Unión Europea: «Un ciberespacio abierto, protegido y seguro»[11],
– Vista la Comunicación de la Comisión, de 6 de mayo de 2015, titulada «Una Estrategia para el Mercado Único Digital de Europa» (COM(2015)0192),
– Vista la Comunicación de la Comisión, de 28 de abril de 2015, titulada «Agenda Europea de Seguridad» (COM(2015)0185) y los sucesivos informes de seguimiento y situación relativos a una Unión de la Seguridad genuina y efectiva,
– Visto el informe de la conferencia sobre jurisdicción en el ciberespacio, celebrada los días 7 y 8 de marzo de 2016 en Ámsterdam,
– Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)[12],
– Vista la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos, y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo[13],
– Visto el Reglamento (CE) n.º 2016/794 del Parlamento Europeo y del Consejo, de miércoles, 11 de mayo de 2016, por el que se crea la Agencia de la Unión Europea para la Cooperación Policial (Europol)[14],
– Vista la Decisión de la Comisión, de 5 de julio de 2016, sobre la firma de un acuerdo contractual relativo a una asociación público-privada para investigación e innovación industrial sobre ciberseguridad entre la Unión Europea, representada por la Comisión, y la organización de partes interesadas (C(2016)4400),
– Vista la Comunicación conjunta al Parlamento Europeo y al Consejo, de 6 de abril de 2016, titulada «La lucha contra las amenazas híbridas - Una respuesta de la Unión Europea» (JOIN(2016)0018),
– Vista la Comunicación de la Comisión titulada «Estrategia europea en favor de una Internet más adecuada para los niños» (COM(2012)0196) y el informe de la Comisión de 6 de junio de 2016 titulado «Evaluación final del programa plurianual de la UE sobre la protección de los niños en el uso de Internet y otras tecnologías de la comunicación (una Internet más segura)» (COM(2016)0364),
– Vista la declaración conjunta de Europol y la ENISA, de 20 de mayo de 2016, sobre una investigación penal legal que respete la protección de datos del siglo XXI,
– Vistas las conclusiones del Consejo de 9 de junio de 2016 sobre la Red judicial europea sobre ciberdelincuencia,
– Vista la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión[15],
– Visto el Documento de opinión de la ENISA, de diciembre de 2016, titulado «Opinion Paper on Encryption - Strong Encryption Safeguards our Digital Identity (Cifrado: unas sólidas salvaguardias de cifrado protegen nuestra identidad digital)»,
– Visto el informe final del Grupo T-CY sobre pruebas en la nube (Cloud Evidence Group) del Consejo de Europa titulado «Criminal justice access to electronic evidence in the cloud: Recommendations for consideration by the T-CY» (Acceso de la justicia penal a pruebas electrónicas en la nube: recomendaciones para su examen por el T-CY), de 16 de septiembre de 2016,
– Vista la labor de la Fuerza Conjunta de Acción contra la Ciberdelincuencia (J-CAT),
– Vistas las evaluaciones de Europol de la amenaza de la delincuencia grave y organizada (SOCTA UE), de marzo de 2013, y de la amenaza de la delincuencia organizada facilitada por internet (iOCTA), de 28 de septiembre de 2016,
– Vista la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en el asunto C203/15 (sentencia Tele2), de 21 de diciembre de 2016[16],
– Vista la Directiva (UE) 2017/541/UE del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo y por la que se sustituye la Decisión marco 2002/475/JAI del Consejo y se modifica la Decisión 2005/671/JAI del Consejo[17],
– Visto el artículo 52 de su Reglamento interno,
– Visto el informe de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior y la opinión de la Comisión de Mercado Interior y Protección del Consumidor (A8‑0272/2017),
A. Considerando que la ciberdelincuencia está provocando daños sociales y económicos cada vez más graves, que afectan a los derechos fundamentales de las personas, plantean amenazas contra el Estado de Derecho en el ciberespacio y ponen en peligro la estabilidad de las sociedades democráticas;
B. Considerando que la ciberdelincuencia es un problema cada vez más importante en los Estados miembros;
C. Considerando que la evaluación iOCTA de 2016 pone de manifiesto que la ciberdelincuencia está aumentando en intensidad, complejidad y magnitud, que se está extendiendo a otros ámbitos delictivos—como la trata de seres humanos—, que los ciberdelitos denunciados superan en número a los delitos convencionales en algunos países de la Unión, que el uso de los instrumentos de cifrado y anonimización con motivos delictivos va en aumento, y que los ataques con programas de secuestro de archivos para pedir rescate superan en número a las amenazas que plantean los programas malintencionados como los troyanos;
D. Considerando que en 2016 los ataques a los servidores la Comisión aumentaron un 20 % respecto de 2015;
E. Considerando que la vulnerabilidad de los ordenadores a los ataques tiene su origen en la manera sin igual en que ha evolucionado la tecnología de la información en los últimos años, en la velocidad del crecimiento del negocio en línea y en la ausencia de una actuación pública;
F. Considerando que existe un mercado negro en constante expansión de extorsión informatizada, bienes digitales robados, «hackeo» y alquiler de redes de robots informáticos;
G. Considerando que los ciberataques se siguen centrando en los programas maliciosos, como los troyanos bancarios, si bien aumenta el número y el impacto de los ataques a sistemas de control industrial o redes con el fin de destruir estructuras económicas y desestabilizar sociedades —como en el caso reciente del ataque de pirateo informático «WannaCry»—, lo que supone una amenaza cada vez mayor para la seguridad, la defensa y otros sectores importantes; que la mayoría de las solicitudes internacionales de datos a efectos de aplicación de la ley están relacionadas con casos de fraude y delitos financieros, seguidos por los delitos violentos y graves;
H. Considerando que la cada vez mayor interconexión de personas, lugares y objetos —si bien aporta múltiples beneficios— aumenta el riesgo de ciberdelincuencia; que los aparatos conectados a la internet de las cosas —como las redes inteligentes, los frigoríficos conectados, los vehículos y los instrumentos o aparatos médicos— a menudo no están tan bien protegidos como los dispositivos tradicionales conectados a internet, y que, por tanto, constituyen un objetivo ideal para los ciberdelincuentes, en especial dado que el régimen para las actualizaciones de seguridad de los dispositivos conectados a menudo está fragmentado o resulta inexistente; que los aparatos del internet de las cosas objeto de pirateo informático que controlan o pueden controlar actuadores físicos pueden suponer una amenaza concreta para la vida de los seres humanos;
I. Considerando que un marco jurídico eficaz para la protección de datos es crucial para la confianza en el mundo en línea, y que permitirá a los consumidores y las empresas aprovechar plenamente las ventajas del mercado único digital, así como combatir la ciberdelincuencia;
J. Considerando que las empresas no pueden hacer frente por sí solas al desafío que supone conseguir que el mundo conectado sea más seguro, y que los gobiernos deben contribuir a la ciberseguridad mediante la reglamentación y la oferta de incentivos que impulsen un comportamiento más seguro por parte de los usuarios;
K. Considerando que los límites entre la ciberdelincuencia, el ciberespionaje, la guerra cibernética y el ciberterrorismo cada vez son más borrosos; considerando que los ciberdelitos pueden afectar a individuos y entidades públicas o privadas y adoptan multitud de formas, como violaciones de la privacidad, abuso sexual de menores en línea, incitación pública a la violencia y al odio, sabotaje, espionaje, delitos financieros y fraude —como el fraude en los pagos—, robo y robo de identidad, así como interferencia ilegal en sistemas de información;
L. Considerando que el Informe de Riesgos Globales 2017 del Foro Económico Mundial cita los incidentes masivos de fraude y robo de datos como uno de los cinco riesgos principales en términos de probabilidad a escala mundial;
M. Considerando que un número considerable de ciberdelitos quedan sin investigar e impunes; considerando el escaso porcentaje de casos que se denuncian, la tardanza en materia de detección —que permite que los ciberdelincuentes desarrollen múltiples vías de entrada y salida o puertas traseras—, el difícil acceso a las pruebas electrónicas, los problemas relativos a la obtención y la admisibilidad de estas ante los tribunales, así como los complejos procedimientos y los problemas judiciales relacionados con el carácter transfronterizo de los ciberdelitos;
N. Considerando que el Consejo, en sus conclusiones de junio de 2016, destacó que, debido a la naturaleza transfronteriza de la ciberdelincuencia y a las amenazas comunes de ciberseguridad, es fundamental mejorar la cooperación y el intercambio de información entre las autoridades policiales y judiciales y los expertos en el ámbito de la ciberdelincuencia para llevar a cabo investigaciones eficaces en el ciberespacio y obtener pruebas electrónicas;
O. Considerando que la anulación de la Directiva de conservación de datos por parte del TJUE en su sentencia de 8 de abril de 2014, así como la prohibición de conservación generalizada, indiferenciada e indiscriminada de datos, tal y como confirmó el fallo del TJUE en su sentencia Tele2 de 21 de diciembre de 2016, imponen estrictas limitaciones al tratamiento masivo de datos de telecomunicaciones, así como al acceso a tales datos por parte de las autoridades competentes;
P. Considerando que la sentencia Maximillian Schrems del TJUE destaca que la vigilancia masiva vulnera los derechos fundamentales;
Q. Considerando que la lucha contra la ciberdelincuencia —al igual que la lucha contra cualquier otro tipo de delito— debe respetar las garantías procesales y sustantivas y los derechos fundamentales, en particular los relativos a la protección de datos y a la libertad de expresión;
R. Considerando que los niños y las niñas utilizan internet cada vez más temprano y son particularmente vulnerables al embaucamiento y otras formas de explotación sexual en línea (ciberacoso, abuso sexual, coacción y extorsión sexual), a la usurpación de datos personales, así como a peligrosas campañas destinadas a promover distintos tipos de autolesiones, como el caso de «ballena azul», por lo que requieren una protección especial; que los ciberdelincuentes pueden detectar y embaucar víctimas más rápidamente gracias a las salas de chat, el correo electrónico, los juegos en línea y las redes sociales, y que las redes ocultas entre iguales (P2P) siguen siendo las plataformas fundamentales que utilizan los agresores sexuales de menores para obtener, comunicar, almacenar y compartir material vinculado con la explotación sexual de menores, así como para rastrear nuevas víctimas pasando desapercibidos;
S. Considerando que la creciente tendencia a la coacción y extorsión sexuales no ha sido objeto de suficientes estudios ni denuncias, principalmente debido a la naturaleza del delito, que provoca en las víctimas un sentimiento de culpa y vergüenza;
T. Considerando las actuales denuncias acerca de la creciente amenaza que representa el abuso de menores a distancia retransmitido en directo; que el abuso de menores a distancia retransmitido en directo está obviamente vinculado a la distribución comercial de material de explotación sexual de menores;
U. Considerando que un reciente estudio elaborado por la Agencia Nacional de Investigaciones Criminales del Reino Unido constató que los jóvenes que participan en actividades de pirateo informático están menos motivados por el dinero y a menudo atacan redes informáticas para impresionar a sus amistades o desafiar al sistema político;
V. Considerando que hay una mayor concienciación acerca de los riesgos que entraña la ciberdelincuencia, y que, sin embargo, las medidas de precaución que toman los particulares, las instituciones públicas y las empresas siguen siendo inadecuadas en términos generales debido, en particular, a la falta de conocimientos y de recursos;
W. Considerando que la lucha contra la ciberdelincuencia y las actividades ilegales en línea no debe oscurecer los aspectos positivos de un ciberespacio libre y abierto, que ofrece nuevas posibilidades para compartir conocimientos y promover la inclusión política y social en todo el mundo;
Consideraciones generales
1. Destaca que el acusado aumento de los casos de secuestro de archivos para pedir rescate, de las redes de robots informáticos y de interferencia no autorizada en sistemas informáticos repercute en la seguridad de las personas, en la disponibilidad y la integridad de sus datos personales, así como en la protección de la privacidad, las libertades fundamentales y la integridad de las infraestructuras críticas, incluidas, entre otras, el suministro de energía y electricidad y las estructuras financieras, como los mercados bursátiles; recuerda, en este contexto, que la Agenda Europea de Seguridad de 28 de abril de 2015 incluye entre sus prioridades la lucha contra la ciberdelincuencia;
2. Insiste en la necesidad de racionalizar las definiciones comunes de ciberdelincuencia, guerra cibernética, ciberseguridad, acoso cibernético y ciberataque, a fin de garantizar una definición jurídica común que compartan las instituciones y los Estados miembros de la Unión;
3. Subraya que la lucha contra la ciberdelincuencia debe consistir, ante todo, en proteger y reforzar las infraestructuras críticas y otros dispositivos conectados a la red, y no solo en ejecutar medidas represivas;
4. Reitera la importancia de las medidas jurídicas tomadas a nivel europeo con objeto de armonizar la definición de los delitos relacionados con ataques contra sistemas de información, así como con la explotación sexual de menores en línea, y obligar a los Estados miembros a establecer un sistema para el registro, la producción y la puesta a disposición de datos estadísticos sobre estos delitos a fin de combatirlos con mayor eficacia;
5. Insta enérgicamente a los Estados miembros que aún no lo hayan hecho a que transpongan y apliquen de manera rápida y adecuada la Directiva 2011/93/UE relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil; pide a la Comisión que controle estrictamente y garantice su aplicación plena y efectiva, y que informe de sus resultados de manera oportuna al Parlamento y a la comisión competente, y que, en paralelo, se sustituya la Decisión marco del Consejo 2004/68/JAI; destaca que debe dotarse a Eurojust y Europol de recursos suficientes para mejorar la identificación de las víctimas, luchar contra las redes organizadas de delincuentes sexuales y acelerar la detección, el análisis y la remisión de material sobre abuso infantil tanto en línea como fuera de línea;
6. Deplora que la mitad de las empresas de Europa hayan sufrido, al menos, un incidente de ciberseguridad y que los ciberataques contra empresas a menudo no se detecten o denuncien; recuerda que varios estudios estiman que los ciberataques tienen un coste significativo para la economía mundial; considera que la obligación de comunicar las violaciones de la seguridad y de compartir información sobre los riesgos introducida por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (el Reglamento general de protección de datos)[18] y por la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva sobre seguridad de las redes y de la información (SRI))[19] contribuirá a atajar este problema al brindar apoyo a las empresas, en particular a las pymes;
7. Destaca que el carácter constantemente variable del panorama de ciberataques plantea a todas las partes interesadas graves problemas jurídicos y tecnológicos; considera que las nuevas tecnologías no deben considerarse una amenaza, y reconoce que los avances tecnológicos en materia de cifrado mejorarán la seguridad global de nuestros sistemas de información, por ejemplo, al permitir a los usuarios finales proteger mejor sus datos y comunicaciones; señala, sin embargo, que aún existen graves deficiencias en la seguridad de las comunicaciones y que técnicas como el «encaminamiento cebolla» (onion routing) y las redes ocultas pueden ser utilizadas por usuarios malintencionados, en especial por terroristas y autores de delitos sexuales contra menores, piratas informáticos patrocinados por terceros Estados no amistosos u organizaciones políticas o religiosas extremistas con fines delictivos, en concreto para ocultar sus actividades o identidades ilícitas, lo que dificulta sobremanera las investigaciones;
8. Expresa su gran preocupación por el reciente ataque mundial con programas de secuestro de archivos para pedir rescate, que parece afectar a decenas de miles de ordenadores de casi cien países y a numerosas organizaciones, incluido el Servicio Nacional de Salud (NHS) británico, la víctima de mayor relevancia de este ataque con código malicioso; reconoce, en este contexto, la importante labor de la iniciativa «No More Ransom» («no más pago de rescates»), que ofrece más de cuarenta herramientas de descifrado gratuitas que permiten a las víctimas de estos ataques en todo el mundo descodificar sus equipos afectados;
9. Subraya que las redes ocultas y el «encaminamiento cebolla» también ofrecen un espacio libre para que periodistas, activistas políticos y defensores de los derechos humanos de determinados países puedan evitar la detección por parte de autoridades estatales represoras;
10. Observa que el recurso por parte de redes delictivas y terroristas a instrumentos y servicios de ciberdelincuencia sigue siendo escaso; destaca, no obstante, que esta situación probablemente cambie, en vista de los nexos crecientes entre el terrorismo y la delincuencia organizada y la amplia disponibilidad de armas de fuego y precursores de explosivos en las redes ocultas;
11. Condena rotundamente toda interferencia del sistema acometida o dirigida por un país extranjero o por sus agentes con el fin de perturbar el proceso democrático en otro país;
12. Subraya que las peticiones transfronterizas de intervención de nombres de dominio, retirada de contenidos y acceso a los datos del usuario plantea grandes desafíos que exigen medidas urgentes, habida cuenta de lo mucho que está en juego; destaca, en este contexto, que los marcos internacionales en materia de derechos humanos, que se aplican en línea y también fuera de línea, representan un importante hito a escala mundial;
13. Pide los Estados miembros que velen por que las víctimas de ciberataques personales puedan disfrutar plenamente de todos los derechos consagrados en la Directiva 2012/29/UE, y que redoblen sus esfuerzos en relación con la identificación de víctimas y los servicios centrados en las víctimas, también mediante el apoyo continuado al grupo de trabajo sobre identificación de víctimas de Europol; pide asimismo a los Estados miembros que, en cooperación con Europol, creen con carácter de urgencia plataformas conexas a fin de garantizar que todos los usuarios de internet sepan cómo pedir ayuda en caso de ser objeto de actividades ilegales en línea; pide a la Comisión que elabore un estudio relativo a las implicaciones de la ciberdelincuencia transfronteriza sobre la base de la Directiva 2012/29/UE;
14. Subraya que la evaluación iOCTA de 2014 de Europol alude a la necesidad de contar con instrumentos jurídicos más eficientes y eficaces, teniendo en cuenta las actuales limitaciones del proceso del tratado de asistencia judicial mutua (MLAT, por sus siglas en inglés), y defiende una mayor armonización de la legislación en la Unión, cuando proceda;
15. Destaca que la ciberdelincuencia socava gravemente el funcionamiento del mercado único digital, en la medida en que mina la confianza en los prestadores de servicios digitales, compromete las transacciones transfronterizas y perjudica gravemente los intereses de los consumidores de servicios digitales;
16. Hace hincapié en que las estrategias y medidas en materia de ciberseguridad solo serán adecuadas y eficaces si se basan en los derechos y libertades fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión y en los valores fundamentales de la Unión;
17. Insiste en la acuciante y legítima necesidad de proteger las comunicaciones entre particulares y entre particulares y entidades públicas y privadas, con el fin de evitar la ciberdelincuencia; destaca que un cifrado sólido puede contribuir a satisfacer esta necesidad; hace hincapié, asimismo, en que limitar el uso o debilitar la fortaleza de las herramientas criptográficas creará vulnerabilidades que podrán explotarse con fines delictivos, y reducirá la confianza en los servicios electrónicos, lo que, a su vez, dañará por igual a la sociedad civil y a la industria;
18. Pide un plan de acción para la protección de los derechos de la infancia en el ciberespacio, tanto en línea como fuera de línea, y recuerda que las fuerzas de seguridad deben prestar especial atención a los delitos contra menores en el marco de la lucha contra la ciberdelincuencia; resalta a este respecto la necesidad de reforzar la cooperación judicial y policial entre los Estados miembros y con Europol y su Centro Europeo de Ciberdelincuencia (EC3) para prevenir y combatir la ciberdelincuencia, en particular, la explotación sexual de menores en línea;
19. Insta a la Comisión y a los Estados miembros a poner en marcha todas las medidas jurídicas necesarias para luchar contra el fenómeno de la violencia en línea contra las mujeres y el ciberacoso; pide a la Unión y a los Estados miembros, en particular, que aúnen fuerzas para crear un marco de delitos penales que obligue a las empresas de internet a eliminar el contenido ofensivo, degradante y humillante, o a poner fin a su divulgación; pide asimismo que se prevea apoyo psicológico para mujeres víctimas de violencia en internet y para niñas objeto de ciberacoso;
20. Destaca que los contenidos ilícitos en línea deben ser eliminados sin demora con las debidas garantías procesales; hace hincapié en el papel que desempeñan las tecnologías de la información y la comunicación, los prestadores de servicios en internet y los proveedores de alojamiento en internet a la hora de garantizar la eliminación rápida y eficiente de contenido ilegal en línea a petición de las fuerzas de seguridad competentes;
Prevención
21. Pide a la Comisión que, en el contexto de la revisión de la estrategia europea de ciberseguridad, siga identificando las vulnerabilidades de seguridad en materia de redes y de información de las infraestructuras críticas europeas, que incentive el desarrollo de sistemas resilientes y que evalúe la situación en lo relativo a la lucha contra la ciberdelincuencia en la Unión y en los Estados miembros, a fin de comprender mejor las tendencias y la evolución de los delitos en el ciberespacio;
22. Destaca que la ciberresiliencia es un factor clave para impedir la ciberdelincuencia, por lo que debería concedérsele la máxima prioridad; pide a los Estados miembros que adopten políticas y acciones proactivas para la defensa de las redes y las infraestructuras críticas, y demanda un enfoque europeo global de lucha contra la ciberdelincuencia que sea compatible con los derechos fundamentales, la protección de los datos, la ciberseguridad, la protección de los consumidores y el comercio electrónico;
23. Acoge con satisfacción, en este contexto, la inversión de fondos de la Unión en proyectos de investigación, como la asociación público-privada sobre ciberseguridad, orientada a fomentar la ciberresiliencia europea mediante la innovación y la creación de capacidades; reconoce, en particular, los esfuerzos realizados por la asociación público-privada sobre ciberseguridad a fin de desarrollar respuestas adecuadas para gestionar vulnerabilidades de día cero;
24. Hace hincapié, a este respecto, en la importancia del software libre de fuente abierta; pide que se destinen más fondos de la Unión específicamente a la investigación en materia de seguridad informática basada en software libre y de fuente abierta;
25. Observa con preocupación que faltan profesionales informáticos cualificados que trabajen en el ámbito de la ciberseguridad; insta a los Estados miembros a que inviertan en educación;
26. Considera que la regulación debe desempeñar un papel más importante a la hora de gestionar los riesgos de ciberseguridad, mediante normas más estrictas sobre productos y software, en el momento del diseño y en las posteriores actualizaciones, así como mediante normas mínimas sobre los nombres de usuario y las contraseñas por defecto;
27. Insta a los Estados miembros a que intensifiquen los intercambios de información a través de Eurojust, Europol y la ENISA, así como los intercambios de mejores prácticas a través de la Red europea de equipos de respuesta a incidentes de seguridad informática (CSIRT) y los equipos de respuesta a emergencias informáticas (CERT) en relación con los problemas a que se enfrentan en la lucha contra la ciberdelincuencia, así como sobre soluciones concretas jurídicas y técnicas para atajarlos y aumentar la ciberresiliencia; pide a la Comisión, a este respecto, que promueva una cooperación eficaz y facilite el intercambio de información, con miras a adelantarse a los riesgos potenciales y a gestionarlos, tal y como establece la Directiva SRI;
28. Expresa su preocupación por que Europol haya constatado que la mayoría de los ataques con éxito a particulares se deban a la falta de buenos hábitos digitales y de sensibilización de los usuarios, o a no haber prestado suficiente atención a las medidas de seguridad técnicas, como la seguridad desde el diseño; subraya que los usuarios son las primeras víctimas de las carencias de seguridad de equipos y programas;
29. Pide a la Comisión y a los Estados miembros que inicien una campaña de sensibilización, con la participación de todos los agentes y partes interesadas pertinentes, a fin de empoderar a los menores y ayudar a padres, cuidadores y educadores tanto a comprender y afrontar los riesgos en línea como a proteger la seguridad de los menores en línea; que apoyen a los Estados miembros en la creación de programas de prevención de los abusos sexuales en línea; que fomenten campañas de sensibilización sobre conductas responsables en las redes sociales; y que alienten a los principales motores de búsqueda y redes sociales a que sean proactivos a la hora de proteger la seguridad infantil en línea;
30. Pide a la Comisión y a los Estados miembros que emprendan campañas de sensibilización, información y prevención y que promuevan buenas prácticas, a fin de velar por que tanto el conjunto de la ciudadanía —en particular los menores y otros usuarios vulnerables— como los gobiernos centrales y locales, los operadores primordiales y los actores del sector privado, en especial las pymes, sean conscientes de los riesgos que supone la ciberdelincuencia y sepan cómo preservar su seguridad en línea y proteger sus dispositivos; solicita asimismo a la Comisión y a los Estados miembros que promuevan medidas prácticas de seguridad, como el cifrado y otras tecnologías de protección de la seguridad y la privacidad y los instrumentos de anonimización;
31. Destaca que las campañas de sensibilización deben ir acompañadas de campañas educativas sobre un «uso informado» de los instrumentos informáticos; anima a los Estados miembros a incluir la ciberseguridad, así como las consecuencias del uso de datos personales en línea, en los currículos escolares de informática; subraya, en este contexto, los esfuerzos realizados en el marco de la Estrategia europea en favor de una Internet más adecuada para los niños (estrategia BIK 2012);
32. Destaca que, en el marco de la lucha contra la ciberdelincuencia, es urgente dedicar más esfuerzos a la educación y la formación en materia de seguridad de las redes y de la información (SRI) mediante la introducción de formación dedicada a SRI, al desarrollo de software seguro y a la protección de datos personales para estudiantes de informática, así como de formación básica en SRI para el personal que trabaja en las administraciones públicas;
33. Considera que un seguro frente a los ciberataques podría convertirse en una de las herramientas que impulsara la actuación en materia de seguridad, tanto por parte de las empresas, que se harían responsables del diseño del software, como de los usuarios, incitados utilizar el software adecuadamente;
34. Destaca que las empresas deben identificar las vulnerabilidades y los riesgos mediante evaluaciones periódicas, proteger sus productos y servicios subsanando las vulnerabilidades inmediatamente mediante, por ejemplo, políticas de gestión de parches y actualizaciones de protección de datos, mitigar los efectos de los ataques basados en programas de secuestro de archivos para pedir un rescate mediante el establecimiento de sistemas sólidos de copias de seguridad, e informar sistemáticamente de los ciberataques;
35. Insta a los Estados miembros que instauren CERT ante los que las empresas y los consumidores puedan denunciar mensajes de correo electrónico y sitios web maliciosos, tal y como está previsto en la Directiva SRI, de manera que los Estados miembros reciban información periódica acerca de los incidentes de seguridad y las medidas para combatir y mitigar el riesgo al que están expuestos sus propios sistemas; anima a los Estados miembros a sopesar el establecimiento de una base de datos para registrar todos los tipos de ciberdelito y hacer un seguimiento de la evolución de los fenómenos pertinentes;
36. Insta a los Estados miembros a que inviertan en la mejora de la seguridad de sus infraestructuras críticas para que estén en condiciones de resistir a los ciberataques;
Aumentar la responsabilidad de los prestadores de servicios
37. Considera que la cooperación reforzada entre las autoridades competentes y los prestadores de servicios es un factor clave para agilizar y simplificar la asistencia jurídica mutua y los procedimientos de reconocimiento mutuo dentro del mandato previsto por el marco jurídico europeo; pide a los prestadores de servicios de comunicación electrónica establecidos fuera de la Unión que designen por escrito a sus representantes en la Unión;
38. Reitera que, por lo que respecta a la internet de las cosas, los productores son el punto de partida clave para el refuerzo de los regímenes de responsabilidad, que conllevará una mejora de la calidad de los productos y garantizará un entorno más seguro en términos de acceso externo y una instalación de actualización documentada;
39. Cree que, a la vista de las tendencias en materia de innovación y la creciente accesibilidad de los dispositivos de la internet de las cosas, se debe prestar especial atención a la seguridad de todos los aparatos sin excepción, por muy simples que sean; considera que redunda en interés de los fabricantes de equipos y de los desarrolladores de software innovador invertir en soluciones que impidan los delitos cibernéticos, así como intercambiar información sobre amenazas a la ciberseguridad; insta a la Comisión y a los Estados miembros a que promuevan un enfoque de seguridad desde el diseño, e insta a las empresas del sector a que incluyan soluciones de seguridad desde el diseño en este tipo de dispositivos, sin excepción; anima, en este contexto, al sector privado a que aplique medidas voluntarias elaboradas con arreglo a la legislación de la Unión pertinente, como la Directiva SRI, y en consonancia con las normas reconocidas a nivel internacional a fin de reforzar la confianza en la seguridad del software y los aparatos, como la etiqueta de confianza en la internet de las cosas;
40. Anima a los prestadores de servicios a que se adhieran al código de conducta para la lucha contra la incitación ilegal al odio en internet, y pide a la Comisión y las empresas participantes que sigan cooperando en este ámbito;
41. Recuerda que la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico)[20] solo exime a los intermediarios de responsabilidad en relación con los contenidos si desempeñan un papel neutro y pasivo en relación con los contenidos transmitidos y/o albergados, y, por otra parte, exige que los intermediarios actúen con prontitud para retirar o impedir el acceso a los contenidos tan pronto como tengan conocimiento de la infracción o del carácter ilícito de la actividad o la información;
42. Hace hincapié en que es absolutamente necesario proteger las bases de datos de las fuerzas del orden frente a incidentes de seguridad y acceso ilícito por la preocupación que despierta entre la ciudadanía; manifiesta su preocupación por el alcance extraterritorial de las fuerzas de seguridad a la hora de acceder a los datos en el contexto de las investigaciones penales, y hace hincapié en la necesidad de aplicar normas rigurosas al respecto;
43. Considera que los problemas relacionados con el contenido ilegal en línea deben abordarse de forma eficiente, incluso mediante procedimientos de retirada del contenido si dicho contenido ya no resulta necesario a efectos de detección, investigación o enjuiciamiento; recuerda que, si la retirada es imposible, los Estados miembros pueden tomar las medidas necesarias y proporcionadas para bloquear el acceso a territorio de la Unión de esos contenidos; destaca que tales medidas han de cumplir con los procedimientos legislativos y judiciales vigentes, así como con la Carta, y han de estar sujetas a salvaguardias adecuadas, como la posibilidad de interponer un recurso judicial;
44. Hace hincapié en el papel que desempeñan los prestadores de servicios digitales de la sociedad de la información a la hora de garantizar la eliminación rápida y eficiente de contenido ilegal en línea a petición de las fuerzas de seguridad competentes, y acoge con satisfacción los avances logrados a este respecto, en particular gracias a la contribución del Foro de la UE sobre Internet; destaca que es necesario un mayor compromiso y mejor cooperación por parte de las autoridades competentes y los prestadores de servicios de la sociedad de la información, con miras a lograr que las empresas del sector procedan a la retirada de contenidos con mayor eficacia y celeridad y evitar el bloqueo de contenidos a través de medidas gubernamentales; pide a los Estados miembros que exijan responsabilidades legales a las plataformas infractoras; reitera que las medidas de eliminación de contenido ilegal en línea que establezcan términos y condiciones deberían estar permitidas solo en aquellos casos en que las normas procesales nacionales brinden a los usuarios la posibilidad de hacer valer sus derechos ante un tribunal tras haber tenido noticia de tales medidas;
45. Destaca que, de conformidad con su Resolución, de 19 de enero de 2016, sobre la iniciativa «Hacia un Acta del Mercado Único Digital»[21], la responsabilidad limitada de los intermediarios es esencial para la protección del carácter abierto de internet, los derechos fundamentales, la seguridad jurídica y la innovación; celebra la intención de la Comisión de formular orientaciones sobre los procedimientos de detección y retirada, de ayudar a las plataformas en línea a cumplir con sus responsabilidades y las normas de responsabilidad establecidas en la Directiva sobre comercio electrónico (200/31/CE), de mejorar la seguridad jurídica, y de aumentar la confianza de los usuarios; insta a la Comisión a que presente una propuesta legislativa al respecto;
46. Pide que se aplique el principio «sigue la pista al dinero», tal como se indica en su Resolución, de 9 de junio de 2015, sobre «Hacia un consenso renovado sobre la observancia de los derechos de propiedad intelectual: un plan de acción de la UE»[22], tomando como base el marco regulador de la Directiva sobre comercio electrónico y la Directiva relativa al respeto de los derechos de propiedad intelectual;
47. Subraya que es crucial proporcionar formación y apoyo psicológico específicos y con carácter permanente a los moderadores de contenidos en las entidades privadas y públicas responsables de la evaluación del contenido inaceptable o ilegal en línea, ya que deben ser considerados los primeros intervinientes en este ámbito;
48. Pide a los prestadores de servicios que prevean tipos de notificación claros, y que establezcan una infraestructura administrativa bien definida, capaz de llevar a cabo un seguimiento rápido y adecuado de las notificaciones;
49. Pide a los prestadores de servicios que intensifiquen las actividades de sensibilización sobre los riesgos en línea, en especial para menores, mediante el desarrollo de herramientas interactivas y material de información;
Reforzar la cooperación policial y judicial
50. Expresa su preocupación ante el considerable número de ciberdelitos que quedan impunes; deplora que el uso por parte de los prestadores de servicios de internet de tecnologías como las NAT CGN socave gravemente las investigaciones, ya que hace técnicamente imposible identificar con exactitud al usuario de una dirección IP y, por tanto, la atribución de delitos en línea; hace hincapié en la necesidad de permitir a las fuerzas de seguridad un acceso legal a la información pertinente, limitado a las circunstancias en que dicho acceso resulte necesario y proporcionado por motivos de seguridad y de justicia; destaca que las autoridades judiciales y las fuerzas de seguridad deben estar dotadas de capacidades suficientes como para llevar a cabo investigaciones legítimas;
51. Insta a los Estados miembros a que no impongan ninguna obligación a los prestadores de servicios de cifrado que debilite o ponga en peligro la seguridad de su red y de sus servicios, como la creación o facilitación de puertas traseras; destaca que deben ofrecerse soluciones viables —tanto en la legislación como a través de la constante evolución tecnológica— en aquellos casos en que resulten imperiosas por motivos de seguridad y justicia; pide a los Estados miembros a que cooperen, en consulta con las autoridades judiciales y Eurojust, para nivelar las condiciones del empleo legal de instrumentos de investigación en línea;
52. Destaca que la interceptación legal puede ser una medida sumamente eficaz para combatir el «hackeo» ilegal, siempre que sea necesaria y proporcionada y respete plenamente las garantías procesales y los derechos fundamentales, así como la legislación y la jurisprudencia de la Unión en materia de protección de datos; pide a todos los Estados miembros que hagan pleno uso de las posibilidades de interceptación legal dirigida a individuos sospechosos, que establezcan unas normas claras respecto del procedimiento de autorización judicial previa para actividades legales de interceptación —que incluyan restricciones del uso y la duración de los instrumentos legales de «hackeo»—, que establezcan un mecanismo de supervisión y ofrezcan vías de recurso legal eficaces para quienes sean objeto de estas actividades de «hackeo»;
53. Alienta a los Estados miembros a que trabajen con los actores del sector de la seguridad de las TIC y les animen a asumir un papel más activo en materia de «hackeo ético» y a la hora de denunciar contenidos ilegales, como el material de abuso sexual infantil;
54. Insta a Europol a que establezca un sistema anónimo de notificación desde las redes ocultas que permita alertar a las autoridades de la existencia de contenidos ilegales —como las representaciones de abusos sexuales infantiles— y que incorpore salvaguardias técnicas similares a las implantadas por muchas organizaciones de prensa, que utilizan esta clase de sistemas para facilitar el intercambio de información confidencial con los periodistas con un mayor grado de anonimato y seguridad que el de los correos electrónicos convencionales;
55. Destaca la necesidad de minimizar los riesgos para la privacidad de los usuarios de internet que plantean las fugas de exploits o los instrumentos empleados por las fuerzas de seguridad en el marco de sus investigaciones legítimas;
56. Hace hincapié en que las autoridades judiciales y las fuerzas de seguridad deben estar dotadas de capacidades y financiación suficientes como para reaccionar eficazmente a la ciberdelincuencia;
57. Subraya que el mosaico de jurisdicciones nacionales independientes delimitadas territorialmente causa dificultades a la hora de determinar el derecho aplicable en el marco de las interacciones transfronterizas y crea inseguridad jurídica, impidiendo con ello la cooperación transfronteriza, que es necesaria para abordar con eficiencia la ciberdelincuencia;
58. Resalta la necesidad de establecer una base de índole práctica para un enfoque común de la Unión en materia de jurisdicción en el ciberespacio, tal y como se destacó en la reunión informal de Ministros de Justicia y Asuntos Exteriores celebrada el 26 de enero de 2016;
59. Subraya, a este respecto, la necesidad de elaborar normas procesales comunes que permitan establecer los factores territoriales que determinen el derecho aplicable en el ciberespacio, así como de definir las medidas de investigación que pueden utilizarse independientemente de las fronteras geográficas;
60. Reconoce que este tipo de enfoque europeo común —que debe respetar los derechos fundamentales y la privacidad— generará confianza entre las partes interesadas, reducirá los retrasos en la tramitación de las solicitudes transfronterizas, establecerá una interoperabilidad entre los diferentes actores y brindará la oportunidad de incorporar garantías procesales a los marcos operativos;
61. Considera que, a largo plazo, deberían desarrollarse asimismo normas procesales comunes relativas a la jursidicción de ejecución en el ciberespacio a nivel mundial; celebra, a este respecto, la labor del Grupo sobre pruebas en la nube del Consejo de Europa;
Pruebas electrónicas
62. Subraya que aplicar un enfoque europeo común a la justicia penal en el ciberespacio es un asunto prioritario, puesto que reforzará el respeto del imperio de la ley en el ciberespacio, facilitará la obtención de pruebas electrónicas en los procedimientos penales y contribuirá a solucionar las causas en plazos mucho más breves que en la actualidad;
63. Subraya le necesidad de encontrar medios para la protección y obtención de pruebas electrónicas con mayor celeridad, así como la importancia de una estrecha cooperación entre las fuerzas de seguridad —en particular mediante un mayor recurso a grupos de investigación conjuntos—, los terceros países, y los prestadores de servicios activos en territorio europeo, con arreglo al Reglamento general de protección de datos (Reglamento (UE) 2016/679), la Directiva 2016/680/UE (la Directiva de policía)[23] y los acuerdos de asistencia judicial mutua vigentes; destaca la necesidad de crear puntos de contacto únicos en todos los Estados miembros y de optimizar el uso de los puntos de contacto actuales, ya que de esta manera se facilitará tanto el acceso a las pruebas electrónicas como el intercambio de información, se mejorará la cooperación con los prestadores de servicios y se agilizarán los trámites de asistencia judicial mutua;
64. Reconoce que la fragmentación del actual marco jurídico puede plantear dificultades a los prestadores de servicios en su intento por cumplir los requerimientos de las fuerzas de seguridad; pide a la Comisión que presente una propuesta de marco europeo relativo a las pruebas electrónicas que incluya normas armonizadas para determinar si los prestadores de servicios pueden considerarse nacionales o extranjeros e imponer a los prestadores de servicios la obligación de responder a las solicitudes de otros Estados miembros formuladas con las debidas garantías procesales y de conformidad con la orden europea de investigación (OEI), teniendo en cuenta asimismo el principio de proporcionalidad para evitar socavar el ejercicio de la libertad de establecimiento y de prestación de servicios, y garantizar las salvaguardias adecuadas, con miras a velar por la seguridad jurídica, así como a mejorar la capacidad de respuesta a las peticiones de las fuerzas de seguridad de los prestadores de servicios y los intermediarios;
65. Subraya la necesidad de que el marco relativo a las pruebas electrónicas incluya salvaguardias suficientes en relación con los derechos y las libertades de todas las partes afectadas; destaca que este debe incluir el requisito de que las peticiones de pruebas electrónicas se remitan en primera instancia al propietario o al responsable del tratamiento de la información, a fin de garantizar el respeto de sus derechos y de los derechos de aquellos a los que se refiere la información (por ejemplo, su derecho a reivindicar protección por secreto profesional y obtener reparación judicial en caso de que se produzca un acceso desproporcionado o ilícito); subraya asimismo la necesidad de garantizar que todo marco jurídico proteja a los proveedores y demás partes afectadas frente a peticiones que pudieran generar conflictos de leyes o menoscabar la soberanía de otros Estados de cualquier otro modo;
66. Pide a los Estados miembros que apliquen plenamente la Directiva 2014/CE del Parlamento Europeo y del Consejo, de 3 de abril de 2014, relativa a la orden europea de investigación en materia penal (la Directiva OEI)[24] para garantizar la protección y la obtención efectivas de pruebas electrónicas en la Unión, y que incorporen disposiciones específicas relativas al ciberespacio en sus códigos penales nacionales respectivos, a fin de facilitar la admisibilidad de pruebas electrónicas ante los tribunales y de emitir orientaciones más claras para los jueces en materia de penalización de la ciberdelincuencia;
67. Celebra la labor que está realizando la Comisión a fin de crear una plataforma de cooperación con un canal de comunicación seguro para el intercambio digital de órdenes europeas de investigación relativas a pruebas electrónicas y de respuestas entre las autoridades judiciales de la Unión; invita a la Comisión a que, en colaboración con los Estados miembros y los prestadores de servicios, estudien y homogeneicen los formularios, las herramientas y los procedimientos para la protección y la obtención de pruebas electrónicas a fin de facilitar la autentificación, agilizar los trámites e incrementar la transparencia y la rendición de cuentas en relación con el proceso de protección y obtención de pruebas electrónicas; pide a la Agencia de la Unión Europea para la Formación Policial (CEPOL) que desarrolle módulos de formación para un uso eficaz de los marcos vigentes utilizados para la protección y la obtención de pruebas electrónicas; subraya, en este contexto, que la simplificación de las políticas de los prestadores de servicios ayudará a reducir la heterogeneidad de enfoques, sobre todo con respecto a los trámites y condiciones de autorización de acceso a la información solicitada;
Creación de capacidades a nivel europeo
68. Señala que los recientes sucesos han demostrado claramente la grave vulnerabilidad de la Unión — en particular de las instituciones europeas y los Gobiernos y Parlamentos nacionales, así como de las grandes empresas, las infraestructuras y las redes informáticas europeas— ante sofisticados ataques mediante el uso de complejos programas maliciosos y de software; pide a la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) que realice una evaluación continua del nivel de amenaza, y pide a la Comisión que invierta en las capacidades informáticas, así como en la defensa y la resiliencia de las infraestructuras críticas de las instituciones de la Unión a fin de reducir la vulnerabilidad de la Unión ante ataques cibernéticos graves orquestados por grandes organizaciones delictivas o grupos terroristas o patrocinados por estados;
69. Reconoce la importante contribución a la lucha contra la ciberdelincuencia del Centro Europeo de Ciberdelincuencia (EC3), de Europol y de Eurojust, así como de la ENISA;
70. Pide a Europol que apoye a las autoridades policiales nacionales en el establecimiento de canales de transmisión seguros y adecuados;
71. Lamenta que, en la actualidad, no existan normas europeas en materia de formación y certificación; reconoce que las futuras tendencias de ciberdelincuencia requieren un mayor nivel de pericia por parte de los profesionales; celebra que las iniciativas existentes, como el Grupo Europeo de Formación y Educación en Ciberdelincuencia (ECTEG por sus siglas en inglés), el proyecto de formación de los formadores y las actividades de formación en el marco del ciclo de actuación de la Unión ya estén allanando el camino para colmar la laguna de conocimientos a nivel europeo;
72. Pide a la CEPOL y a la Red Europea de Formación Judicial que extiendan su oferta de cursos de formación dedicados a temas relativos a la ciberdelincuencia a las fuerzas de seguridad y las autoridades judiciales competentes de toda la Unión;
73. Subraya que el número de ciberdelitos remitidos a Eurojust ha aumentado un 30 %; pide que se prevea financiación suficiente y, si procede, se amplíe la plantilla de Eurojust para que la agencia pueda hacer frente a su creciente carga de trabajo en relación con la ciberdelincuencia, así como desarrollar y consolidar su apoyo en asuntos transfronterizos a los fiscales nacionales especializados en ciberdelincuencia, en particular a través de la Red Judicial Europea sobre Ciberdelincuencia recientemente establecida;
74. Pide que se revise el mandato de la ENISA y se refuercen las agencias nacionales de ciberseguridad; pide que se refuercen los cometidos, el personal y los recursos de la ENISA; destaca que el nuevo mandato debería incluir asimismo vínculos más estrechos con Europol y las partes interesadas del sector, de manera que la agencia pueda brindar un mejor apoyo a las autoridades competentes en la lucha contra la ciberdelincuencia;
75. Pide a la Agencia de los Derechos Fundamentales de la Unión Europea (FRA) que elabore un manual práctico y detallado que proporcione directrices a los Estados miembros en relación con los controles de supervisión y escrutinio;
Cooperación mejorada con terceros países
76. Destaca la importancia de una estrecha cooperación con terceros países en la lucha global contra la ciberdelincuencia, en particular, mediante el intercambio de mejores prácticas, las investigaciones conjuntas, la creación de capacidades y la asistencia jurídica mutua;
77. Pide a los Estados miembros que todavía no lo hayan hecho que ratifiquen y apliquen plenamente el Convenio del Consejo de Europa sobre la Ciberdelincuencia de 23 de noviembre de 2001 (Convenio de Budapest), así como sus protocolos adicionales, y, en cooperación con la Comisión, lo promuevan en los foros internacionales pertinentes;
78. Manifiesta su profunda preocupación por el trabajo en curso en el Comité del Convenio del Consejo de Europa sobre Ciberdelincuencia con respecto a la interpretación del artículo 32 del Convenio de Budapest en relación con el acceso transfronterizo a los datos informáticos almacenados («pruebas en la nube»), y se opone a la elaboración de un nuevo protocolo o directriz con vistas a ampliar el ámbito de aplicación de esta disposición más allá del régimen actual establecido por dicho Convenio —que ya constituye una excepción de calado al principio de territorialidad—, puesto que podría permitir que las fuerzas de seguridad gozaran de un acceso remoto ilimitado a los servidores y ordenadores ubicados en otras jurisdicciones, sin necesidad de recurrir a los acuerdos de asistencia judicial mutua ni a otros instrumentos de cooperación judicial establecidos para garantizar los derechos fundamentales de las personas, incluidas la protección de datos y las garantías procesales, como el Convenio n.º 108 del Consejo de Europa;
79. Lamenta que no exista una normativa internacional vinculante sobre la ciberdelincuencia, e insta a los Estados miembros y a las instituciones europeas a que trabajen en aras del establecimiento de un convenio en la materia;
80. Pide a la Comisión que proponga opciones a fin de adoptar iniciativas encaminadas a mejorar la eficacia y promover el uso de tratados de asistencia judicial mutua, con objeto de contrarrestar la arrogación de jurisdicción extraterritorial por parte de terceros países;
81. Pide a los Estados miembros que se aseguren de disponer de la capacidad suficiente para tramitar las solicitudes de asistencia judicial mutua en relación con las investigaciones en el ciberespacio, y que desarrollen programas formativos pertinentes para el personal responsable de la gestión de dichas solicitudes;
82. Subraya que los acuerdos de cooperación policial y estratégica entre Europol y terceros países facilitan el intercambio de información y la cooperación práctica;
83. Toma nota de que la mayor parte de las solicitudes de las fuerzas de seguridad se envían a Estados Unidos y Canadá; manifiesta su preocupación por que la tasa de transmisión de información de los grandes prestadores de servicios de Estados Unidos en respuesta a los requerimientos de las autoridades judiciales penales europeas no llegue al 60 %, y recuerda que, en virtud del capítulo V del Reglamento general de protección de datos, los tratados de asistencia jurídica mutua y otros acuerdos internacionales son el mecanismo preferido para permitir el acceso a los datos personales alojados en el extranjero;
84. Pide a la Comisión que, a fin de mejorar la asistencia judicial mutua, proponga medidas concretas de protección de los derechos fundamentales de las personas sospechosas o acusadas en caso de producirse un intercambio de información entre las fuerzas de seguridad y terceros países, en particular salvaguardias relativas a la rápida entrega —sobre la base de una decisión judicial— de pruebas pertinentes, información relativa a los abonados, o metadatos detallados y datos de contenidos (si no están cifrados) por parte de las fuerzas de seguridad y/o de prestadores de servicios;
85. Pide a la Comisión que, en colaboración con los Estados miembros, los organismos europeos asociados y, en su caso, terceros países, considere nuevas formas de proteger y obtener con eficacia las pruebas electrónicas alojadas en terceros países, respetando plenamente los derechos fundamentales y la legislación europea en materia de protección de datos, mediante la agilización y simplificación de los procedimientos de asistencia judicial mutua y, si procede, de reconocimiento mutuo;
86. Destaca la importancia del Centro de respuesta a incidentes informáticos de la OTAN;
87. Pide a todos los Estados miembros que participen en el Foro mundial sobre conocimientos cibernéticos (Global Forum on Cyber Expertise (GFCE)) a fin de facilitar la creación de alianzas para el desarrollo de capacidades;
88. Apoya la asistencia para la formación de capacidades prestada por la Unión a países de la vecindad oriental, habida cuenta del gran número de ciberataques que tiene su origen en esos países;
°
° °
89. Encarga a su Presidente que transmita la presente Resolución al Consejo y a la Comisión.
- [1] DO C 419 de 16.12.2015, p. 33.
- [2] DO C 316 de 30.8.2016, p. 109.
- [3] DO L 149 de 2.6.2001, p. 1.
- [4] Consejo de Europa, serie de Tratados europeos n.º 185 de 23.11.2001.
- [5] DO L 77 de 13.3.2004, p. 1.
- [6] DO L 345 de 23.12.2008, p. 75.
- [7] DO L 201 de 31.7.2002, p. 37.
- [8] DO L 335 de 17.12.2011, p. 1.
- [9] DO L 218 de 14.8.2013, p. 8.
- [10] DO L 130 de 1.5.2014, p. 1.
- [11] DO C 93 de 9.3.2016, p. 112.
- [12] DO L 119 de 4.5.2016, p. 1.
- [13] DO L 119 de 4.5.2016, p. 89.
- [14] DO L 135 de 24.5.2016, p. 53.
- [15] DO L 194 de 19.7.2016, p. 1.
- [16] Sentencia del Tribunal de Justicia, de 21 de diciembre de 2016, en los asuntos C-203/15, Tele2 Sverige AB contra Post- och telestyrelsen, y C-698/15, Secretary of State for the Home Department contra Tom Watson y otros, C 203/15, ECLI:EU:C:2016:970.
- [17] DO L 88 de 31.3.2017, p. 6.
- [18] DO L 119 de 4.5.2016, p. 1.
- [19] DO L 194 de 19.7.2016, p. 1.
- [20] DO L 178 de 17.7.2000, p. 1.
- [21] Textos Aprobados, P8_TA(2016)0009.
- [22] Textos Aprobados, P8_TA(2015)0220.
- [23] DO L 119 de 4.5.2016, p. 89.
- [24] DO L 130 de 1.5.2014, p. 1.
OPINIÓN de la Comisión de Mercado Interior y Protección del Consumidor (13.6.2017)
para la Comisión de Libertades Civiles, Justicia y Asuntos de Interior
sobre la lucha contra la ciberdelincuencia
(2017/2068(INI))
Ponente: Anneleen Van Bossuyt
ENMIENDAS
La Comisión de Mercado Interior y Protección del Consumidor pide a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, competente para el fondo, que tome en consideración las siguientes enmiendas:
Enmienda 1 Propuesta de Resolución Considerando A bis (nuevo) | |
Propuesta de Resolución |
Enmienda |
|
A bis. Considerando que es fundamental reforzar la confianza y la seguridad en el ciberespacio con el fin de consolidar y asegurar el éxito del mercado único digital; |
Enmienda 2 Propuesta de Resolución Considerando A ter (nuevo) | |
Propuesta de Resolución |
Enmienda |
|
A ter. Considerando que un marco jurídico eficaz para la protección de datos permitirá al mismo tiempo que los consumidores y las empresas aprovechen plenamente las ventajas del mercado único digital y puedan hacer frente a la cibercriminalidad; |
Enmienda 3 Propuesta de Resolución Considerando I | |
Propuesta de Resolución |
Enmienda |
I. Considerando que la interconexión de personas, lugares y objetos, que está en aumento constante, hace de los aparatos pertenecientes a la internet de las cosas un objetivo ideal para los ciberdelincuentes; |
I. Considerando que la interconexión de personas, lugares y objetos, que está en aumento constante, presenta un mayor riesgo de ciberdelincuencia, dado que los aparatos pertenecientes a la internet de las cosas no están a menudo tan bien protegidos como los dispositivos tradicionales conectados a internet y, en cuanto tales, son un objetivo ideal para los ciberdelincuentes; |
Enmienda 4 Propuesta de Resolución Apartado 7 bis (nuevo) | |
Propuesta de Resolución |
Enmienda |
|
7 bis. Destaca que la ciberdelincuencia compromete gravemente el funcionamiento del mercado único digital, en la medida en que socava la confianza en los proveedores de servicios digitales, compromete las transacciones transfronterizas y perjudica gravemente los intereses de los consumidores de servicios digitales; |
Enmienda 5 Propuesta de Resolución Apartado 11 | |
Propuesta de Resolución |
Enmienda |
11. Insta a los Estados miembros a que aumenten los intercambios de información sobre los problemas a que se enfrentan en la lucha contra la ciberdelincuencia, así como sobre las soluciones para atajarlos; |
11. Insta a los Estados miembros a que aumenten los intercambios de información sobre los problemas a que se enfrentan en la lucha contra la ciberdelincuencia, así como sobre las soluciones para atajarlos; insta a la Comisión, a este respecto, a que promueva una cooperación eficaz y facilite el intercambio de información entre las autoridades competentes con miras a anticipar y gestionar los riesgos potenciales, tal como establece la Directiva sobre la seguridad de las redes y los sistemas de información; |
Enmienda 6 Propuesta de Resolución Apartado 13 | |
Propuesta de Resolución |
Enmienda |
13. Pide a la Comisión y a los Estados miembros que emprendan campañas de sensibilización para procurar que los ciudadanos, en particular los niños y otros usuarios vulnerables, y el sector privado sean conscientes de los riesgos que supone la ciberdelincuencia y para promover el uso de medidas de seguridad como el cifrado; |
13. Pide a la Comisión y a los Estados miembros que emprendan campañas de sensibilización para procurar que los ciudadanos, en particular los menores y otros usuarios vulnerables, y el sector privado sean conscientes de los riesgos que supone la ciberdelincuencia y para promover el uso de medidas de seguridad como el cifrado; |
Enmienda 7 Propuesta de Resolución Apartado 16 | |
Propuesta de Resolución |
Enmienda |
16. Considera que la cooperación reforzada con los proveedores de servicios es un factor clave para agilizar y simplificar la asistencia jurídica mutua y los procedimientos de reconocimiento mutuo; |
16. Considera que la cooperación reforzada entre las autoridades competentes y los proveedores de servicios es un factor clave para agilizar y simplificar la asistencia jurídica mutua y los procedimientos de reconocimiento mutuo; |
Enmienda 8 Propuesta de Resolución Apartado 16 bis (nuevo) | |
Propuesta de Resolución |
Enmienda |
|
16 bis. Considera que las autoridades de la Unión y las autoridades nacionales deben estar facultadas para adoptar medidas provisionales que eviten el riesgo de perjuicios graves e irreparables para los consumidores —en particular, la suspensión de sitios web, dominios o cualesquiera otros sitios digitales, servicios o cuentas similares—, siempre y cuando se respeten los derechos fundamentales de los ciudadanos de la Unión, las normas sobre protección de datos y las legislaciones nacionales; |
Enmienda 9 Propuesta de Resolución Apartado 17 | |
Propuesta de Resolución |
Enmienda |
17. Considera que la innovación no debe verse obstaculizada por trámites burocráticos innecesarios que afecten a desarrolladores de programas informáticos y productores de equipos físicos; anima al sector privado a aplicar medidas voluntarias para reforzar la confianza en la seguridad de los programas y los aparatos, como la etiqueta de confianza en la internet de las cosas; |
17. Considera que redunda en interés de los desarrolladores de programas informáticos innovadores y productores de equipos físicos invertir en soluciones que impidan los delitos cibernéticos; alienta, en este mismo contexto, al sector privado a que aplique medidas voluntarias, por ejemplo normas dirigidas a reforzar la confianza en la seguridad de los programas y los aparatos, como la etiqueta de confianza en la internet de las cosas, desarrolladas tomando como base la legislación pertinente de la Unión, como la Directiva sobre la seguridad de las redes y los sistemas de información; |
Enmienda 10 Propuesta de Resolución Apartado 18 | |
Propuesta de Resolución |
Enmienda |
18. Pide a la Comisión que presente propuestas legislativas dirigidas a establecer definiciones claras y sanciones mínimas en relación con la difusión de noticias falsas y la incitación en línea al odio, las obligaciones afines por parte de los proveedores de servicios de internet y las sanciones en caso de incumplimiento; |
suprimido |
Enmienda 11 Propuesta de Resolución Apartado 19 | |
Propuesta de Resolución |
Enmienda |
19. Pide a la Comisión que investigue las posibilidades jurídicas para mejorar la rendición de cuentas por parte de los proveedores de servicio y para imponer la obligación de responder a peticiones de cumplimiento de la ley exteriores a la Unión Europea; |
19. Pide a la Comisión que investigue las opciones para mejorar la rendición de cuentas por parte de los proveedores de servicio e intermediarios, así como las posibilidades jurídicas para imponer la obligación de responder a peticiones de cumplimiento de la ley exteriores a la Unión Europea, tomando en consideración el principio de proporcionalidad con el fin de evitar la introducción de medidas que puedan obstaculizar o restar atractivo al ejercicio de la libertad de establecimiento y a la libre prestación de servicios; |
Enmienda 12 Propuesta de Resolución Apartado 19 bis (nuevo) | |
Propuesta de Resolución |
Enmienda |
|
19 bis. Considera que se requieren unas orientaciones de la Comisión sobre la aplicación del marco de responsabilidad de los intermediarios para que las plataformas en línea puedan cumplir sus obligaciones y las normas sobre responsabilidad, reforzar la seguridad jurídica y aumentar la confianza de los usuarios; insta a la Comisión a que adopte nuevas medidas a tal efecto, al tiempo que recuerda que la Directiva sobre el comercio electrónico únicamente exime a los intermediarios de responsabilidad sobre los contenidos si desempeñan un papel neutro y pasivo en relación con los contenidos transmitidos y/o almacenados, si bien exige, asimismo, que actúen con diligencia para retirar o imposibilitar el acceso a los contenidos tan pronto como tengan conocimiento de la infracción o del carácter ilícito de la actividad o la información; |
Enmienda 13 Propuesta de Resolución Apartado 20 | |
Propuesta de Resolución |
Enmienda |
20. Pide a los Estados miembros que impongan a los proveedores de servicios en línea las mismas obligaciones de cifrado que se aplican a los proveedores de servicios de telecomunicaciones tradicionales; |
suprimido |
Enmienda 14 Propuesta de Resolución Apartado 21 | |
Propuesta de Resolución |
Enmienda |
21. Subraya que el contenido ilegal en línea debe ser retirado de inmediato; acoge con satisfacción, en este contexto, los progresos alcanzados en el bloqueo y la eliminación de contenido ilegal en línea, pero destaca la necesidad de que los proveedores de servicios de plataforma se comprometan con más firmeza a responder rápida y eficazmente ante este problema; |
21. Considera que las cuestiones relativas a los contenidos ilegales en línea deben tratarse con eficacia, en particular restringiendo el acceso a los contenidos en línea o aplicando procedimientos de retirada; acoge con satisfacción, en este contexto, los progresos alcanzados en el bloqueo y la eliminación de contenido ilegal en línea, pero destaca la necesidad de que las autoridades competentes y los proveedores de servicios digitales se comprometan con más firmeza a responder rápida y eficazmente ante este problema; |
Enmienda 15 Propuesta de Resolución Apartado 21 bis (nuevo) | |
Propuesta de Resolución |
Enmienda |
|
21 bis. Pide que se aplique el enfoque «seguir el dinero», tal como se indica en su Resolución de 9 de junio de 2015 titulada «Hacia un consenso renovado sobre la observancia de los derechos de propiedad intelectual: un plan de acción de la UE»1, tomando como base el marco regulador de la Directiva sobre comercio electrónico y la Directiva relativa al respeto de los derechos de propiedad intelectual;
1 DO C 407 de 4.11.2016, p. 25. |
Enmienda 16 Propuesta de Resolución Apartado 21 ter (nuevo) | |
Propuesta de Resolución |
Enmienda |
|
21 ter. Destaca que, en consonancia con su Resolución de 19 de enero de 2016 sobre la iniciativa «Hacia un Acta del Mercado Único Digital»1, la responsabilidad limitada de los intermediarios es fundamental para garantizar la protección del carácter abierto de internet, los derechos fundamentales, la seguridad jurídica y la innovación; acoge con satisfacción la intención de la Comisión de ofrecer orientaciones para ayudar a las plataformas en línea a cumplir la Directiva sobre comercio electrónico; pide a la Comisión que adopte nuevas medidas a tal fin, al tiempo que recuerda que las plataformas que no desempeñan un papel neutro, en los términos definidos en la Directiva sobre el comercio electrónico, no pueden acogerse a la exención de responsabilidad;
1 Textos Aprobados, P8_TA(2016)0009. |
INFORMACIÓN SOBRE LA APROBACIÓNEN LA COMISIÓN COMPETENTE PARA EMITIR OPINIÓN
Fecha de aprobación |
8.6.2017 |
|
|
|
|
Resultado de la votación final |
+: –: 0: |
0 0 0 |
|||
INFORMACIÓN SOBRE LA APROBACIÓNEN LA COMISIÓN COMPETENTE PARA EL FONDO
Fecha de aprobación |
11.7.2017 |
|
|
|
|
Resultado de la votación final |
+: –: 0: |
50 4 2 |
|||
Miembros presentes en la votación final |
Jan Philipp Albrecht, Gerard Batten, Malin Björk, Michał Boni, Caterina Chinnici, Agustín Díaz de Mera García Consuegra, Frank Engel, Tanja Fajon, Raymond Finch, Monika Flašíková Beňová, Kinga Gál, Ana Gomes, Nathalie Griesbeck, Sylvie Guillaume, Jussi Halla-aho, Sophia in ‘t Veld, Dietmar Köster, Barbara Kudrycka, Cécile Kashetu Kyenge, Marju Lauristin, Juan Fernando López Aguilar, Monica Macovei, Roberta Metsola, Claude Moraes, Soraya Post, Judith Sargentini, Birgit Sippel, Branislav Škripek, Csaba Sógor, Traian Ungureanu, Bodil Valero, Kristina Winberg, Tomáš Zdechovský, Auke Zijlstra |
||||
Suplentes presentes en la votación final |
Kostas Chrysogonos, Carlos Coelho, Pál Csáky, Anna Hedh, Marek Jurek, Miltiadis Kyrkos, Jean Lambert, Jeroen Lenaers, Morten Helveg Petersen, John Procter, Christine Revault D’Allonnes Bonnefoy, Petri Sarvamaa, Barbara Spinelli, Jaromír Štětina, Axel Voss, Elissavet Vozemberg-Vrionidi |
||||
Suplentes (art. 200, apdo. 2) presentes en la votación final |
Beatriz Becerra Basterrechea, Izaskun Bilbao Barandica, André Elissen, Arne Gericke, Josu Juaristi Abaunz, Georg Mayer |
||||
VOTACIÓN FINAL NOMINAL EN LA COMISIÓN COMPETENTE PARA EL FONDO
50 |
+ |
|
ALDE |
Beatriz Becerra Basterrechea, Izaskun Bilbao Barandica, Nathalie Griesbeck, Morten Helveg Petersen, Sophia in 't Veld |
|
ECR |
Arne Gericke, Jussi Halla-aho, Marek Jurek, Monica Macovei, John Procter, Branislav Škripek |
|
GUE/NGL |
Malin Björk, Kostas Chrysogonos, Josu Juaristi Abaunz, Barbara Spinelli |
|
PPE |
Michał Boni, Carlos Coelho, Pál Csáky, Agustín Díaz de Mera García Consuegra, Frank Engel, Kinga Gál, Barbara Kudrycka, Jeroen Lenaers, Roberta Metsola, Petri Sarvamaa, Jaromír Štětina, Csaba Sógor, Traian Ungureanu, Axel Voss, Elissavet Vozemberg-Vrionidi, Tomáš Zdechovský |
|
S&D |
Caterina Chinnici, Tanja Fajon, Monika Flašíková Beňová, Ana Gomes, Sylvie Guillaume, Anna Hedh, Cécile Kashetu Kyenge, Miltiadis Kyrkos, Dietmar Köster, Marju Lauristin, Juan Fernando López Aguilar, Claude Moraes, Soraya Post, Christine Revault D'Allonnes Bonnefoy, Birgit Sippel |
|
VERTS/ALE |
Jan Philipp Albrecht, Jean Lambert, Judith Sargentini, Bodil Valero |
|
4 |
- |
|
EFDD |
Gerard Batten, Raymond Finch |
|
ENF |
André Elissen, Auke Zijlstra |
|
2 |
0 |
|
EFDD |
Kristina Winberg |
|
ENF |
Georg Mayer |
|
Explicación de los signos utilizados:
+ : a favor
- : en contra
0 : abstenciones