Los requisitos obligatorios en la UE a partir del 1 de agosto de 2025 para los equipos radioeléctricos conectados a internet

Autor: Gian-Lluís Ribechini, Ingeniero Industrial, gianlluis@innogenierum.com  

El 1 de agosto de 2025 será obligatorio que todos los equipos radioeléctricos cumplan con el Reglamento Delegado (UE) 2022/30. Este reglamento completa la Directiva 2014/53/UE en lo que respecta a la aplicación de los requisitos esenciales contemplados en el artículo 3, apartado 3, letras d), e) y f. La directiva establece un marco regulador para la comercialización y la puesta en servicio en la Unión Europea de equipos radioeléctricos.

Se define «equipo radioeléctrico» como el producto eléctrico o electrónico que emite o recibe intencionadamente ondas radioeléctricas a fines de radiocomunicación o radiodeterminación, o el producto eléctrico o electrónico que debe ser completado con un accesorio, como una antena, para emitir o recibir intencionadamente ondas radioeléctricas a fines de radiocomunicación o radiodeterminación.

En la Directiva 2014/53/UE el artículo 3, apartado 3, letras d), e) y f) expone:

3. Los equipos radioeléctricos correspondientes a determinadas categorías o clases se fabricarán de manera que cumplan los requisitos esenciales siguientes:
4. d) El equipo radioeléctrico no dañe la red ni su funcionamiento ni utilice inadecuadamente los recursos de la red de manera que cause una degradación inaceptable del servicio.
5. e) El equipo radioeléctrico contenga salvaguardias que garanticen la protección de los datos personales y la privacidad del usuario y del abonado.
6. f) El equipo radioeléctrico sea compatible con determinadas funcionalidades que garanticen la protección contra el fraude.

En el Reglamento Delegado (UE) 2022/30 se establece lo siguiente:

1. Se le aplicará el requisito esencial establecido en el artículo 3, apartado 3, letra d), de la Directiva 2014/53/UE a todo equipo radioeléctrico que pueda comunicarse por internet, ya sea directamente o a través de cualquier otro equipo («equipo radioeléctrico conectado a internet»).
2. Se le aplicará el requisito esencial establecido en el artículo 3, apartado 3, letra e), a todo equipo radioeléctrico conectados a internet, o equipo radioeléctrico diseñado o destinado exclusivamente al cuidado de niños; o equipo radioeléctrico regulado por la Directiva 2009/48/CE (juguete); o equipo radioeléctrico diseñado o destinado, exclusivamente o no, a llevarse, ajustarse o colgar de cualquiera de los elementos siguientes: i) cualquier parte del cuerpo humano, como la cabeza, el cuello, el tronco, los brazos, las manos y los pies, ii) todas las prendas de vestir, como accesorios para el cabello, para las manos y el calzado que pueda llevar una persona. Si estos equipos son capaces de tratar datos personales, o datos de tráfico y de localización.
3. Se le aplicará el requisito esencial establecido en el artículo 3, apartado 3, letra f), a todo equipo radioeléctrico conectado a internet, si dicho equipo permite al titular o usuario transferir dinero, valor monetario o monedas virtuales.

Para entender cómo aplicar hay que considerar las definiciones que se exponen en la legislación, tales como:

• Se define «datos personales» a toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
• Se define «tratamiento» a cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
• Se define «datos de tráfico» a cualquier dato tratado a efectos de la conducción de una comunicación a través de una red de comunicaciones electrónicas o a efectos de la facturación de la misma.
• Se define «datos de localización» a cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público.
• Se define «monedas virtuales» a una representación digital de valor que no ha sido emitida ni está garantizada por un banco central ni por una autoridad pública, no está necesariamente asociada a una moneda de curso legal ni posee la condición jurídica de moneda o dinero, pero que es aceptada por personas físicas o jurídicas como medio de cambio y que puede transferirse, almacenarse y negociarse por medios electrónicos.

Por otro lado, tal como ya he expuesto en anteriores artículos, la legislación europea establece que las normas armonizadas cuyas referencias se han publicado en el Diario Oficial de la Unión Europea (DOUE)  confieren una presunción de conformidad con los requisitos esenciales que pretenden cubrir.

El pasado 30 de enero de 2025 se publicó en el DOUE la Decisión de Ejecución (UE) 2025/138 en la que se citan las normas armonizadas que cubren cada uno de los requisitos: 1) Para el requisito del artículo 3, apartado 3, párrafo primero, letra d) se cita, con restricciones, la EN 18031-1:2024, sobre requisitos de seguridad comunes para equipos radioeléctricos conectados a internet; 2) Para el requisito del artículo 3, apartado 3, párrafo primero, letra e) se cita, con restricciones, la EN 18031-2:2024, sobre requisitos de seguridad comunes para equipos radioeléctricos conectados a internet, equipos radioeléctricos para cuidado infantil, equipos radioeléctricos para juguetes y equipos radioeléctricos ponibles; y 3) Para el requisito del artículo 3, apartado 3, párrafo primero, letra f) se cita, con restricciones, la EN 18031-3:2024, sobre requisitos de seguridad comunes para los equipos radioeléctricos conectados a internet que procesan dinero virtual o valores monetarios.

Hay restricciones que son comunes a las tres normas como la que expone que las secciones denominadas “justificación” y “orientaciones” no confieren la presunción de conformidad a ninguna de la tres. Uno de los motivos es que en estas secciones no hay especificaciones.

Otra restricción común a las tres normas es la que expone que, si al aplicar determinadas cláusulas de cada norma el usuario está autorizado a no establecer ni utilizar una contraseña, entonces esto hace que no se pueda conferir la presunción de conformidad.

Hay restricciones específicas para la norma EN 18031-2:2024 por las que si al aplicar ciertas cláusulas no se garantiza el control de acceso parental o de los tutores entonces no se confiere presunción de conformidad.

Y para la norma EN 18031-3:2024 también hay una restricción en lo que respecta a los criterios de evaluación establecidos en su cláusula 6.3.2.4 que no confieren la presunción de conformidad.

Se debe tener en cuenta que la norma EN 18031-1:2024 tiene 180 páginas, la EN 18031-3:2024 tiene 220 páginas y la EN 18031-3:2024 tiene 185 páginas. Por lo que quién deba aplicar las tres en el desarrollo y verificación de sus productos se enfrenta a una lectura de… casi 600 páginas, con su interpretación y aplicación sistemática.

De la lectura de lo anterior es razonable pensar que a todos los que desarrollan productos para la Industria 4.0 se les viene encima una gran cantidad de trabajo porque tal como establece la legislación comunitaria el cumplimiento de lo que establece el Reglamento Delegado (UE) 2022/30 será obligatorio para todos los productos, que estén dentro del marco de la Directiva 2014/53/UE, que se introduzcan en el mercado a partir del 1 de agosto de 2025. Y eso también afectará a los productos que se comercializan en la actualidad y que seguramente no se diseñaron teniendo en cuenta los requisitos esenciales que ahora serán obligatorios. Y no solo afectará a la Industria 4.0, sino a todos los productos o equipos radioeléctricos conectados a internet.

Si tu empresa tiene productos de esta categoría ¿cómo lleváis el proyecto de compliance técnico correspondiente?

Nota:  El 12 de marzo de 2025 se han publicado las versiones traducidas al español de las normas EN 18031-1, EN 18031-2 y EN 18031-3.