Según indica la página web del gobierno francés, el pasado 1 de octubre de 2023 entró en vigor una modificación del Código de Consumo de dicho país (Ley Lafon), que introduce una interesante obligación relacionada con la ciberseguridad, al introducir un nuevo artículo L. 111-7-3.
De inicio, el artículo en cuestión introduce una obligación concreta, aplicable a los operadores de plataforma en línea y grandes plataformas digitales, lo que excluye a las pequeñas y medianas empresas, según viene definidos en la propia norma (redes sociales, buscadores, servicios de mensajería instantánea, etc.), a realizar una auditoría de ciberseguridad, cuyos resultados se presentarán al consumidor, en formato puntuación, en las condiciones previstas en el último párrafo de dicho artículo.
El alcance exacto de dicha auditoría es “la seguridad y la protección con respecto a los datos que alojan, directamente o a través de un tercero, y a su propia seguridad”.
Como puede observarse, de la propia redacción literal parece desprenderse que el alcance de esta obligación también alcanza a los terceros proveedores que participen en la conservación y protección de la información, cuya responsabilidad en su diligente custodia recaiga en la plataforma afectada.
En este supuesto, la citada auditoría se realizará por proveedores externos, a elegir de entre aquellos que hayan sido calificados previamente por la autoridad competente, en este caso de la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI).
Este sistema de auditoría recuerda al sistema nutriscore, a través de la cual se ofrece información gráfica al consumidor acerca del valor nutricional de un alimento en concreto. Sistema que, por cierto, también ha sido objeto de críticas dado que, con los criterios inicialmente fijados desde Europa, el aceite de oliva era considerado un alimento poco saludable.
En este caso, será la administración francesa la que fijará los criterios que se tendrán en cuenta en la auditoría antes citada, así como sus condiciones, plazos y período de validez.
Una vez concluida la auditoría, sus resultados deberán mostrarse a los consumidores, a los efectos de que puedan percibir, de manera clara y sencilla, cuál es el nivel de seguridad que ofrece la página web en cuestión. Dicho artículo se expresa de la siguiente manera:
“El resultado de la auditoría se presenta al consumidor de forma legible, clara y comprensible y se acompaña de una presentación o expresión adicional, mediante un sistema de información en color”.
Como conclusión de esta iniciativa, puede afirmarse que, de un lado, la propuesta puede resultar interesante, en tanto en cuanto va a resultar un claro incentivo para que las empresas se esfuercen por conseguir un mayor nivel de seguridad y protección de los datos de, en particular, sus clientes. Aunque, no es menos cierto, que con la evolución de los incidentes de seguridad y de las medidas de seguridad, es difícil poder mantener una clasificación estable en lo que la ciberseguridad se refiere. Otra lectura, sin embargo, nos puede llevar a afirmar que este sistema es un reconocimiento explícito de que la ciberseguridad debe considerarse un elemento más de competitividad y de actividad concurrencial en el mercado, con la consiguiente responsabilidad para los empresarios.
En la práctica, es previsible que suponga una dinamización de los servicios de adecuación legal y técnica, así como de los procesos de auditoría, de forma similar a lo que ha ocurrido en la industria de la ciberseguridad y de la consultoría con la obtención de certificaciones de ciberseguridad como, por ejemplo, el esquema nacional de seguridad en España, o certificaciones del tipo ISO.
Sin embargo, no lograr un nivel de ciberseguridad adecuado a los criterios marcados por la auditoría, puede suponer un importante castigo para aquellas empresas que, por los motivos que sean, no logran alcanzar los niveles de seguridad razonables en el mercado.
Evidentemente, la presentación visible de los resultados de esa revisión supone incrementar los derechos de información de los usuarios. Ahora bien, deberá tenerse muy en cuenta que ello no suponga una penalización para las grandes plataformas afectadas, especialmente en aquellos casos en los que no exista conformidad con los criterios auditables, debido a que aquellos puedan no ser adecuados o proporcionados, o no hayan previsto todos los supuestos, como en el caso del aceite de oliva.