viernes, 21 de diciembre de 2018

Reglamento (UE) 2018/1807 sobre libre circulación de datos no personales

         La prestación de servicios como los relacionados con la inteligencia artificial, el llamado Internet de las cosas o la computación en la nube, implica típicamente el tratamiento de grandes cantidades de datos, tanto personales como no personales. Es conocido que el Reglamento (UE) 2016/679 o Reglamento General sobre Protección de Datos (RGPD) va referido únicamente a «datos personales», entendidos como toda información sobre una persona física identificada o identificable, es decir, cuya identidad pueda determinarse, directa o indirectamente. Que quede completamente al margen de ese régimen el tratamiento de los datos no personales, como es el caso de los conjuntos de datos agregados y anonimizados (no susceptibles de ser transformados en información sobre personas físicas identificables) que son esenciales en el desarrollo del potencial de la inteligencia artificial y múltiples servicios de la sociedad de la información, resulta plenamente coherente con el fundamento del RGPD, destinado a tutelar un derecho fundamental, referido únicamente a las personas físicas y que se vincula estrechamente con su intimidad. Lo anterior no impide apreciar que múltiples actividades de tratamiento de información implican el tratamiento conjunto de datos personales y no personales, así como que la plena liberalización en el seno de la UE de los servicios que implican el tratamiento de datos plantea algunas exigencias semejantes en el caso de los datos personales y los no personales. Cabe recordar a este respecto que uno de los fundamentos de la adopción ya en 1995 de la Directiva 95/46/CE sobre datos personales, derogada ahora por el RGPD era, como recogía expresamente su propio denominación, asegurar la libre circulación de datos personales. Con ese objetivo, compartido por el actual RGPD, establecía un nivel de protección equivalente entre los Estados miembros, como presupuesto para eliminar las barreras al flujo transfronterizo de datos en el seno de la UE. Si bien ahora el RGPD garantiza la libre circulación de datos personales en el seno de la UE, hasta la adopción del Reglamento (UE) 2018/1807 no existía un marco normativo relativo a la libre circulación de datos no personales en la Unión Europea.


               Los obstáculos a la libre circulación de datos no personales en el seno de la UE, a los que pretende hacer frente el nuevo Reglamento, no derivan de la existencia en las legislaciones nacionales de estándares diferentes en relación con la tutela de un derecho fundamental, sino esencialmente de la imposición por las legislaciones de los Estados miembros de requisitos de localización de datos. En este sentido, determinadas normas nacionales exigen que los datos se encuentren en un determinado lugar o territorio, normalmente en relación con ciertas preocupaciones de seguridad y por el interés de las autoridades en poder llegar a tener acceso a los datos. Como reseña el propio Reglamento, las barreras a la libre circulación de datos no personales en el seno de la UE resultan también de medidas que tienen un efecto equivalente a las obligaciones de localización, como son las que imponen el empleo de instalaciones que han sido objeto de certificación en un Estado miembro. Otros obstáculos a la movilidad de los datos derivan de ciertas restricciones privadas que inhiben la portabilidad por parte de los usuarios, especialmente los usuarios profesionales, de sus datos de unos proveedores de servicios a otros o a sus propios sistemas informáticos.     

Básicamente, el Reglamento (UE) 2018/1807 establece una prohibición de los requisitos para la localización de datos electrónicos que no tengan carácter personal, que limita la posibilidad de que las legislaciones de los Estados miembros establezcan ese tipo de restricciones a la libertad de localizar y tratar los datos en cualquier lugar de la Unión. Así, para garantizar la libre circulación de estos datos en la UE –presupuesto de la plena liberalización de la prestación de servicios que implican su tratamiento-, el artículo 4 prohíbe los requisitos para la localización de datos, salvo que estén justificados por razones de seguridad pública de conformidad con el principio de proporcionalidad. Además, contempla la valoración y revisión de los requisitos existentes, las circunstancias que han de respetarse para que tales requisitos puedan seguir en vigor tras el 30 de mayo de 2021, así como la notificación de los nuevos o restantes requisitos a la Comisión y ciertas medidas de transparencia.

Como complemento de la prohibición de requisitos de localización, que va unida al libre flujo de datos personales en el seno de la UE, el nuevo Reglamento regula el acceso por las autoridades competentes a datos que sean objeto de tratamiento en otros Estados miembros, al tiempo que establece un procedimiento de cooperación entre autoridades, basado en la designación por cada Estado de un punto de contacto único. Lo dispuesto a este respecto en el artículo 5 resulta esencial para la confianza de los Estados miembros en el tratamiento transfronterizo de datos en el interior de la Unión.

Asimismo, contempla el nuevo Reglamento en su artículo 6 el fomento de la elaboración de códigos de conducta autorreguladores para facilitar el cambio de proveedores de servicios, la portabilidad de los datos no personales, así como el desarrollo de regímenes de certificación que permitan la comparación entre servicios de tratamiento de datos.

El ámbito de aplicación del Reglamento se halla vinculado a su objetivo fundamental de facilitar la libre circulación de datos en la Unión. De este modo, el Reglamento no se aplica a los tratamientos de datos que tengan lugar fuera de la Unión ni a los requisitos de localización relativos a esos datos. El nuevo Reglamento contempla una liberalización limitada al territorio de la Unión Europea. Su ámbito espacial de aplicación aparece detallado en el artículo 2.1, según el cual se aplica cuando en el tratamiento de datos electrónicos que no tengan carácter personal concurra cualquiera de estas dos circunstancias: “a) se preste como un servicio a usuarios que residan o tengan un establecimiento en la Unión, independientemente de si el proveedor de servicios está establecido o no en la Unión, o b) efectuado por una persona física o jurídica que resida o tenga un establecimiento en la Unión para sus propias necesidades”. A los efectos del Reglamento, el tratamiento de datos debe entenderse en sentido amplio, de modo que, como aclara su considerando 17, abarca el uso de sistemas informáticos, tanto situados en las instalaciones del usuario como externalizados a un proveedor de servicios. Incluye tanto el mero almacenamiento de datos como el tratamiento de datos en plataforma o en aplicaciones.

Aunque su objeto se limita a los datos que no tengan carácter personal, el Reglamento (UE) 2018/1807 resulta de aplicación a los datos no personales de los conjuntos de datos compuesto por datos personales y no personales. Además, su artículo 2.2 aclara que si ambos tipos de datos se encuentran inextricablemente ligados, procederá la aplicación tanto del nuevo Reglamento como del RGPD.

El nuevo instrumento no restringe la libertad contractual para que las empresas celebren contratos que especifiquen la localización de los datos en las diversas modalidades de prestación de servicios. Como establece expresamente su preámbulo tampoco afecta a la determinación del régimen jurídico de los contratos internacionales en este ámbito, que ha de llevarse a cabo conforme al Reglamento 593/2008 o Reglamento Roma I, en virtud del cual la ley aplicable a los contratos mercantiles será la elegida por las partes o, en su defecto, normalmente en este tipo de contratos la de la residencia habitual del prestador del servicio. Ahora bien, en la medida en que los requisitos de localización admisibles han de estar justificados por razones de seguridad nacional, los mismos resultarán normalmente de aplicación a los contratos internacionales con independencia de la ley aplicable al contrato, en tanto en cuanto esas restricciones a la libre circulación de datos tengan lugar mediante disposiciones susceptibles de ser consideradas como leyes de policía a los efectos del artículo 9 del mencionado Reglamento Roma I.

               Con respecto a la portabilidad de datos de los usuarios, en particular los usuarios profesionales, el artículo 6 no establece obligaciones específicas sino que trata de favorecer el desarrollo de mecanismos de autorregulación. A este respecto, si bien el artículo 20 del RGPD regula el derecho del interesado a la portabilidad de datos, va referido únicamente a los datos personales del interesado en cuestión.  En España, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) en su artículo 17 regula el derecho a la portabilidad limitándose a prever que se ejercerá de acuerdo con lo establecido en el artículo 20 del RGPD. Ahora bien, en relación con los datos no personales resulta de interés el artículo 95 LOPDGDD, relativo al derecho de portabilidad en servicios de redes sociales y servicios equivalentes. Según esta norma, los usuarios de servicios de redes sociales y servicios de la sociedad de la información equivalentes tendrán derecho a recibir y transmitir los contenidos que hubieran facilitado a los prestadores de dichos servicios, así como a que los prestadores los transmitan directamente a otro prestador designado por el usuario, siempre que sea técnicamente posible. La referencia a “contenidos” y la ubicación del artículo 95 –en relación con el artículo 2.1 de la LOPDGDD- deja claro que esta norma va referida a datos no personales. No obstante, el alcance efectivo de este derecho, limitado a los servicios “equivalentes” a los de redes sociales, resulta incierto, especialmente en lo relativo a su eventual proyección sobre los “usuarios profesionales” a los que hace referencia el artículo 6 del Reglamento (UE) 2018/1807, y su interacción con los términos de los contratos de tales usuarios con los prestadores de servicios.