El 20 de febrero de 2024 se presentó ante la Comisión Europea una pregunta escrita en la que se ponía en conocimiento de aquella las conclusiones de un informe publicado por el Servicio de Inteligencia Exterior estonio (VLA), en el que se afirmaba que la tecnología china que se ofrece en el mercado europeo supone un grave riesgo para la ciberseguridad europea.
Esta no es una cuestión nueva. Al contrario, desde hace ya varios años se viene debatiendo en Europa -y en Estados Unidos- la amenaza china, a través de proveedores de tecnología. Y ahora, este debate se ha vuelto a plantear ante la intención europea de prohibir el acceso de tecnología china 5G en el continente.
Como ejemplo de tal amenaza se mencionan los coches eléctricos y los robots aspiradores, una vez demostrado que utilizan sistemas Lidar para escanear su entorno y enviarlo a los servicios chinos. En efecto, estos sistemas permiten a los proveedores chinos, que dirigen sus productos al mercado comunitario, almacenar la información obtenida y enviarla a China para ser usada en entrenar inteligencia artificial y recopilar inteligencia e información para usarse en futuras estafas o ciberataques.
Además, según los autores de dicho informe, otro objetivo de esta estrategia china sería el de conseguir que las soluciones tecnológicas integradas en objetos conectados (IoT) no puedan ser sustituidas por la tecnología occidental debido a su incompatibilidad e interconexión, impidiendo -por tanto- el acceso a soluciones alternativas que permitan optar por recursos europeos que sí garanticen la seguridad de las infraestructuras de los estados miembros, y la de sus ciudadanos.
Ante un riesgo para la seguridad nacional tan concreto, y documentado por un servicio de inteligencia, la pregunta que se formula a la Comisión Europea es la de si es consciente de tal riesgo y, en caso afirmativo, si tiene previsto contrarrestarlo aplicando algún tipo de solución.
El 26 de junio, el Comisario Breton dio respuesta escrita a dicha consulta.
En dicho documento se remite a la ley europea de ciberresiliencia (cyberresilience Act), que exige a los fabricantes de productos con elementos digitales que cumplan los requisitos esenciales de ciberseguridad para sus productos, como condición previa para comercializarlos en el mercado interior de la UE, independientemente del lugar de establecimiento u origen del fabricante o del lugar de fabricación del producto.
"Como parte de estos requisitos, los fabricantes deben realizar evaluaciones exhaustivas de los riesgos de ciberseguridad asociados a los productos con elementos digitales y también están obligados a garantizar el soporte de seguridad durante el tiempo que se espera que el producto esté en uso.
Una vez aplicada la Ley, los consumidores y usuarios dispondrán de más información a la hora de elegir un producto con elementos digitales y de instrucciones más claras sobre su uso, lo que redundará en un menor número de riesgos e incidentes de seguridad y en una mejor protección de los derechos fundamentales".
Según afirma el Comisario, los nuevos actos legislativos promulgados desde Bruselas deberían proteger a los usuarios de la Internet de las Cosas, así como a los datos generados por dichos objetos.
En particular, la Ley de Datos otorgará a los usuarios de la UE un mayor control sobre sus datos, cuando sean obtenidos por la IoT; mientras que el Reglamento General de Protección de Datos también resulta plenamente aplicable, incluidos sus requisitos para las transferencias de datos personales a terceros países, que solo se permiten si se garantiza la continuidad de la protección.
Por último, las iniciativas apoyadas por la Unión Europea, como los Espacios Comunes Europeos de Datos y las colaboraciones abiertas de la industria en materia de software y hardware electrónico para automóviles, promoverán -afirma la Comisión- normas interoperables y plataformas tecnológicas abiertas, reforzando la soberanía y la competitividad de la industria europea.
La respuesta del Comisario es políticamente correcta, aunque quizás decepcionante desde un punto de vista jurídico, ya que parece confiar en que un servicio de inteligencia extranjero, que persigue la desestabilización del continente, respetará la normativa europea en materia de ciberseguridad y de protección de datos.
En este sentido, hace escasos días saltaba la noticia en España en la que se alertaba del problema de seguridad nacional que suponía mantener instaladas en el complejo de La Moncloa cámaras de seguridad de la empresa china Hikvision, que se trata de tecnología que ha sido vetada en algunos países de nuestro entorno. Esta noticia es la última de muchas que, en España, ha tenido por protagonistas a la administración española y a empresas chinas.
Tampoco es muy concreta la respuesta dada desde Bruselas, ya que parece permitir la continuidad de las operaciones de este tipo de empresas en territorio europeo, haciendo descargar en el consumidor, y en los reguladores, el control y supervisión de sus actividades. Sin embargo, el informe al que se hace referencia en la pregunta escrita alerta de lo que es un grave peligro para la seguridad nacional global que, de algún modo, debe replantear la aproximación que Europa hace de la importación de tecnología extranjera que pueda poner en peligro los operadores críticos europeos, al resto de infraestructuras, y a los propios ciudadanos.