La prestación de servicios como
los relacionados con la inteligencia artificial, el llamado Internet de las
cosas o la computación en la nube, implica típicamente el tratamiento de
grandes cantidades de datos, tanto personales como no personales. Es conocido
que el Reglamento (UE) 2016/679 o Reglamento General sobre Protección de Datos
(RGPD) va referido únicamente a «datos personales», entendidos como toda
información sobre una persona física identificada o identificable, es decir, cuya
identidad pueda determinarse, directa o indirectamente. Que quede completamente
al margen de ese régimen el tratamiento de los datos no personales, como es el
caso de los conjuntos de datos agregados y anonimizados (no susceptibles de ser
transformados en información sobre personas físicas identificables) que son
esenciales en el desarrollo del potencial de la inteligencia artificial y
múltiples servicios de la sociedad de la información, resulta plenamente
coherente con el fundamento del RGPD, destinado a tutelar un derecho
fundamental, referido únicamente a las personas físicas y que se vincula
estrechamente con su intimidad. Lo anterior no impide apreciar que múltiples
actividades de tratamiento de información implican el tratamiento conjunto de
datos personales y no personales, así como que la plena liberalización en el
seno de la UE de los servicios que implican el tratamiento de datos plantea
algunas exigencias semejantes en el caso de los datos personales y los no
personales. Cabe recordar a este respecto que uno de los fundamentos de la
adopción ya en 1995 de la Directiva 95/46/CE sobre datos personales, derogada
ahora por el RGPD era, como recogía expresamente su propio denominación,
asegurar la libre circulación de datos personales. Con ese objetivo, compartido
por el actual RGPD, establecía un nivel de protección equivalente entre los
Estados miembros, como presupuesto para eliminar las barreras al flujo
transfronterizo de datos en el seno de la UE. Si bien ahora el RGPD garantiza
la libre circulación de datos personales en el seno de la UE, hasta la adopción del Reglamento (UE) 2018/1807 no existía un marco normativo
relativo a la libre circulación de datos no personales en la Unión Europea.
Los
obstáculos a la libre circulación de datos no personales en el seno de la UE, a
los que pretende hacer frente el nuevo Reglamento, no derivan de la existencia
en las legislaciones nacionales de estándares diferentes en relación con la
tutela de un derecho fundamental, sino esencialmente de la imposición por las
legislaciones de los Estados miembros de requisitos de localización de datos.
En este sentido, determinadas normas nacionales exigen que los datos se
encuentren en un determinado lugar o territorio, normalmente en relación con
ciertas preocupaciones de seguridad y por el interés de las autoridades en
poder llegar a tener acceso a los datos. Como reseña el propio Reglamento, las
barreras a la libre circulación de datos no personales en el seno de la UE
resultan también de medidas que tienen un efecto equivalente a las obligaciones
de localización, como son las que imponen el empleo de instalaciones que han
sido objeto de certificación en un Estado miembro. Otros obstáculos a la movilidad
de los datos derivan de ciertas restricciones privadas que inhiben la
portabilidad por parte de los usuarios, especialmente los usuarios profesionales,
de sus datos de unos proveedores de servicios a otros o a sus propios sistemas
informáticos.
Básicamente,
el Reglamento (UE) 2018/1807 establece una prohibición de los requisitos para
la localización de datos electrónicos que no tengan carácter personal, que limita
la posibilidad de que las legislaciones de los Estados miembros establezcan ese
tipo de restricciones a la libertad de localizar y tratar los datos en
cualquier lugar de la Unión. Así, para garantizar la libre circulación de estos
datos en la UE –presupuesto de la plena liberalización de la prestación de
servicios que implican su tratamiento-, el artículo 4 prohíbe los requisitos
para la localización de datos, salvo que estén justificados por razones de
seguridad pública de conformidad con el principio de proporcionalidad. Además,
contempla la valoración y revisión de los requisitos existentes, las
circunstancias que han de respetarse para que tales requisitos puedan seguir en
vigor tras el 30 de mayo de 2021, así como la notificación de los nuevos o
restantes requisitos a la Comisión y ciertas medidas de transparencia.
Como
complemento de la prohibición de requisitos de localización, que va unida al
libre flujo de datos personales en el seno de la UE, el nuevo Reglamento regula
el acceso por las autoridades competentes a datos que sean objeto de
tratamiento en otros Estados miembros, al tiempo que establece un procedimiento
de cooperación entre autoridades, basado en la designación por cada Estado de
un punto de contacto único. Lo dispuesto a este respecto en el artículo 5
resulta esencial para la confianza de los Estados miembros en el tratamiento
transfronterizo de datos en el interior de la Unión.
Asimismo,
contempla el nuevo Reglamento en su artículo 6 el fomento de la elaboración de
códigos de conducta autorreguladores para facilitar el cambio de proveedores de
servicios, la portabilidad de los datos no personales, así como el desarrollo
de regímenes de certificación que permitan la comparación entre servicios de
tratamiento de datos.
El ámbito de
aplicación del Reglamento se halla vinculado a su objetivo fundamental de
facilitar la libre circulación de datos en la Unión. De este modo, el
Reglamento no se aplica a los tratamientos de datos que tengan lugar fuera de
la Unión ni a los requisitos de localización relativos a esos datos. El nuevo
Reglamento contempla una liberalización limitada al territorio de la Unión
Europea. Su ámbito espacial de aplicación aparece detallado en el artículo 2.1,
según el cual se aplica cuando en el tratamiento de datos electrónicos que no tengan carácter personal concurra
cualquiera de estas dos circunstancias: “a) se preste como un servicio a
usuarios que residan o tengan un establecimiento en la Unión,
independientemente de si el proveedor de servicios está establecido o no en la
Unión, o b) efectuado por una persona física o jurídica que resida o tenga un
establecimiento en la Unión para sus propias necesidades”. A los efectos del
Reglamento, el tratamiento de datos debe entenderse en sentido amplio, de modo
que, como aclara su considerando 17, abarca el uso de sistemas informáticos,
tanto situados en las instalaciones del usuario como externalizados a un
proveedor de servicios. Incluye tanto el mero almacenamiento de datos como el
tratamiento de datos en plataforma o en aplicaciones.
Aunque su
objeto se limita a los datos que no tengan carácter personal, el Reglamento
(UE) 2018/1807 resulta de aplicación a los datos no personales de los conjuntos
de datos compuesto por datos personales y no personales. Además, su artículo
2.2 aclara que si ambos tipos de datos se encuentran inextricablemente ligados,
procederá la aplicación tanto del nuevo Reglamento como del RGPD.
El nuevo
instrumento no restringe la libertad contractual para que las empresas celebren
contratos que especifiquen la localización de los datos en las diversas
modalidades de prestación de servicios. Como establece expresamente su
preámbulo tampoco afecta a la determinación del régimen jurídico de los
contratos internacionales en este ámbito, que ha de llevarse a cabo conforme al
Reglamento 593/2008 o Reglamento Roma I, en virtud del cual la ley aplicable a
los contratos mercantiles será la elegida por las partes o, en su defecto,
normalmente en este tipo de contratos la de la residencia habitual del
prestador del servicio. Ahora bien, en la medida en que los requisitos de
localización admisibles han de estar justificados por razones de seguridad
nacional, los mismos resultarán normalmente de aplicación a los contratos
internacionales con independencia de la ley aplicable al contrato, en tanto en
cuanto esas restricciones a la libre circulación de datos tengan lugar mediante
disposiciones susceptibles de ser consideradas como leyes de policía a los
efectos del artículo 9 del mencionado Reglamento Roma I.
Con respecto a la portabilidad de datos de los usuarios,
en particular los usuarios profesionales, el artículo 6 no establece
obligaciones específicas sino que trata de favorecer el desarrollo de
mecanismos de autorregulación. A este respecto, si bien el artículo 20 del RGPD
regula el derecho del interesado a la portabilidad de datos, va referido
únicamente a los datos personales del interesado en cuestión. En España, la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y Garantía de los Derechos
Digitales (LOPDGDD) en su artículo 17 regula el derecho a la portabilidad
limitándose a prever que se ejercerá de acuerdo con lo establecido en el
artículo 20 del RGPD. Ahora bien, en relación con los datos no personales
resulta de interés el artículo 95 LOPDGDD, relativo al derecho de portabilidad
en servicios de redes sociales y servicios equivalentes. Según esta norma, los
usuarios de servicios de redes sociales y servicios de la sociedad de la
información equivalentes tendrán derecho a recibir y transmitir los contenidos
que hubieran facilitado a los prestadores de dichos servicios, así como a que
los prestadores los transmitan directamente a otro prestador designado por el
usuario, siempre que sea técnicamente posible. La referencia a “contenidos” y
la ubicación del artículo 95 –en relación con el artículo 2.1 de la LOPDGDD- deja
claro que esta norma va referida a datos no personales. No obstante, el alcance
efectivo de este derecho, limitado a los servicios “equivalentes” a los de
redes sociales, resulta incierto, especialmente en lo relativo a su eventual
proyección sobre los “usuarios profesionales” a los que hace referencia el
artículo 6 del Reglamento (UE) 2018/1807, y su interacción con los términos de
los contratos de tales usuarios con los prestadores de servicios.
