Entre las iniciativas legislativas
presentadas recientemente por la Comisión Europea en el ámbito digital destaca
la llamada “Ley de Datos”, de especial relevancia en relación con los datos
generados por el empleo de los bienes conectados en línea propios del llamado
Internet de las cosas, y en el marco de servicios que implican el tratamiento
de información, como es habitual, por ejemplo, en la computación en nube y en
el alojamiento de datos. En concreto, se trata de la Propuesta de Reglamento
sobre normas armonizadas para un acceso justo a los datos y su utilización (Ley de Datos), COM(2022)68 final (en adelante, PLD). Es un instrumento cuya compleja interacción
con normas de la Unión vigentes y otras en tramitación, que pretende
complementar, resulta evidente desde una primera lectura. No solo con el Reglamento
(UE) 2016/679 o RGPD –cuyas normas, en particular, sobre acceso y portabilidad
complementa- y otras normas específicas sobre datos (incluyendo los no
personales) sino también, por ejemplo, con la legislación sobre secretos
comerciales, la normativa en materia de propiedad intelectual –de hecho,
incluye una previsión específica en su art. 35 acerca de la inaplicación del
derecho sui generis sobre bases de
datos-, o la próxima regulación sobre plataformas mediante la Ley de Mercados
Digitales y la relativa a la Ley de Gobernanza de Datos (centrada en parte en la reutilización de datos de organismos públicos), a las que complementa. Asimismo, la Propuesta incorpora un conjunto de normas muy
significativo desde la perspectiva contractual. Y no porque incluya una
definición de “contrato inteligente” y ciertas normas vinculantes sobre ese
tipo de programas informáticos, ya que, efectivamente, viene a confirmar que
típicamente no se trata en absoluto de contratos en sentido propio sino
únicamente de programas para la ejecución de ciertas obligaciones
contractuales. Indicativo de la aludida relevancia en materia contractual es
que la Propuesta establece importantes obligaciones de información
precontractual respecto de ciertas categorías de contratos, impone un régimen
elaborado de derechos y obligaciones que deben integrarse en el contenido de
determinados contratos e introduce normas sobre cláusulas abusivas en la
contratación entre empresas. Ahora bien, aunque la PLD proclama que “(las)
normas de Derecho privado son fundamentales en el marco general de intercambio
de datos” (cdo. 5), se limita en su Capítulo IX (arts. 31 a 34) a establecer
mecanismos de sanción de Derecho público. Me referiré en esta entrada al
objeto, ámbito de aplicación y contenido esencial de la PLD, dejando para una
entrada posterior el análisis de una cuestión específica, cual es la repercusión
de la normativa proyectada en el ámbito de la contratación internacional.
I. Objeto
El objeto de la PLD aparece sintetizado en su
artículo 1.1, según el cual, establece normas “sobre la puesta a disposición de los datos generados por el uso de un
producto o servicio relacionado para el usuario de dicho producto o servicio,
sobre la puesta a disposición de datos por parte de los titulares de datos para
los destinatarios de datos, y sobre la puesta a disposición de datos por parte
de los titulares de datos para organismos del sector público…”. Como recoge
su cdo. 5, la PLD pretende garantizar que los “usuarios de productos o
servicios relacionados en la Unión” puedan acceder a los datos que su uso
genera y utilizarlos, así como compartirlos con terceros de su elección. También
regula, entre otras cuestiones, las condiciones bajo las que los “titulares”
deben poner tales datos a disposición de los “destinatarios”, siempre que estén
obligados por la ley a tal puesta a disposición.
Por lo tanto, de cara a conocer estos
aspectos de su objeto resulta necesario acudir, en primer lugar, al artículo 2
de la PLD, que contiene el listado de definiciones, entre las que se incluyen
los términos “datos”, “producto”, “servicio relacionado”, “titular de datos”,
“destinatario de datos” y “servicio de tratamiento de datos”. El término
“datos” se define con gran amplitud, como “cualquier representación digital de
actos, hechos o información y cualquier compilación de tales actos, hechos o
información, incluso en forma de grabación sonora, visual o audiovisual”. En consecuencia, se trata de una definición coincidente con la prevista en otros instrumentos, como las propuestas relativas a la Ley de Gobernanza de Datos (art. 2.1) y a la Ley de Mercados Digitales (art. 2.20). Abarca tanto datos personales, en el sentido del RGPD, como no
personales, si bien con respecto a los primeros resulta determinante que la PLD
no afectará a la aplicabilidad de las normas de la Unión sobre protección de
datos personales, en particular el RGPD y, todavía pendiente de revisión, la
Directiva 2002/58. La PLD destaca la importancia de los principios de
minimización y protección de datos desde el diseño y por defecto consagrados en
el RGPD y la exigencia de que, también en el ámbito de la PLD, se apliquen en
el intercambio de datos medidas técnicas y organizativas de protección, como la
seudonimización, el cifrado y la introducción de algoritmos en los datos que
evite su transmisión entre las partes y copias superfluas (cdo. 8).
Los términos “producto” y “servicio
relacionado” se definen teniendo en cuenta que el objeto básico de la PLD es
establecer normas en relación con los datos obtenidos, generados o recogidos
por los bienes conectados a la Red propios de la llamada Internet de las cosas –como
equipos domésticos, vehículos, maquinaria…-, lo que resulta determinante de la
definición de “producto”, y los servicios con los que tales bienes interactúan,
lo que condiciona la caracterización de ciertos servicios digitales, “incluido
el software”, incorporados o interconectados con tales productos, como “servicios
relacionados”. El concepto de “producto” a estos efectos solo engloba bienes cuya
función primaria no es el almacenamiento ni el tratamiento de datos, de modo
que no comprende ciertos productos “diseñados principalmente para mostrar… contenidos
o para grabarlos y transmitirlos”, como “ordenadores, tabletas y teléfonos
inteligentes” (cdo. 15). Los asistentes virtuales sí están cubiertos por el
derecho de acceso a los datos establecido en la PLD, si bien los datos
producidos por el asistente virtual que no estén relacionados con el uso de un
producto no son objeto del RPD.
La PLD facilita la posibilidad de que los
clientes de “servicios de tratamiento de datos” cambien de un servicio a otro,
manteniendo una funcionalidad mínima del servicio. El término “servicio de
tratamiento de datos” es también objeto de definición en el artículo 2, de modo
que incluye típicamente los servicios en la nube. En concreto, se define como
un servicio digital distinto de un servicio de contenidos en línea en el
sentido del Reglamento (UE) 2017/1128 relativo a la portabilidad de servicios
de contenidos, “prestado a un cliente, que hace posible la administración bajo
demanda y un acceso remoto amplio a un conjunto modulable y elástico de
recursos informáticos que se pueden compartir, de carácter centralizado,
distribuido o muy distribuido” (art. 2.12).
En relación con el objeto de la PLD, presentan
particular interés las definiciones de “usuario”, “titular de datos” y “destinatario
de datos”. El término “usuario” comprende cualquier “persona física o jurídica
que posee, alquila o arrienda un producto o recibe un servicio”, lo que es
coherente con que el concepto de datos a los efectos del PLD no se limite a los
personales, referidos únicamente a personas físicas. Al abordar el concepto de “titular
de los datos” es importante tener en cuenta la RPD no concede ningún derecho
nuevo determinante de la condición de titular sino que “toma como punto de
partida el control de que el titular de los datos efectivamente disfruta, de
hecho o de derecho, sobre los datos generados por productos o servicios
relacionados” (cdo. 5). El artículo 2.6 define “titular de datos” como “una
persona física o jurídica que tiene el derecho o la obligación, en virtud del
presente Reglamento, del Derecho de la Unión aplicable o de la legislación
nacional de ejecución del Derecho de la Unión, de poner a disposición
determinados datos, o que, en el caso de los datos no personales y a través del
control del diseño técnico del producto o servicios relacionados, tiene la
capacidad de poner a disposición determinados datos”. En consecuencia, se trata
de una categoría heterogénea, que incluye, entre otros fabricantes, vendedores
o arrendadores de productos y prestadores de servicios. Por su parte, el término “destinatario de
datos”, se define en el artículo 2.7 como “una persona física o jurídica que
actúa con un propósito relacionado con su actividad comercial, empresa, oficio
o profesión, distinta del usuario de un producto o servicio relacionado, a
disposición de la cual el titular de datos pone los datos, incluso un tercero
previa solicitud del usuario al titular de datos o de conformidad con una
obligación legal en virtud del Derecho de la Unión o de la legislación nacional
de ejecución del Derecho de la Unión”. Esta definición se corresponde con que
uno de los objetivos de la PLD es facilitar a las personas y las empresas un
mayor control sobre los datos por ellas generados, incluyendo la posibilidad de
exigir al titular su puesta a disposición a favor de terceros en cuyos
servicios estén interesados.
El ámbito de aplicación de la PLD viene
determinado en su artículo 1.2, que dispone:
“El presente Reglamento se aplica
a:
a) los fabricantes de productos
y proveedores de servicios relacionados introducidos en el mercado de la Unión
y los usuarios de dichos productos o servicios;
b) titulares de datos que
pongan datos a disposición de los destinatarios de datos de la Unión;
c) destinatarios de datos de la
Unión para los cuales se ponen a disposición datos;
d) organismos del sector
público e instituciones, organismos u órganos de la Unión que soliciten a los
titulares de datos que pongan a disposición datos cuando exista una necesidad
excepcional de esos datos para el cumplimiento de un cometido realizado en interés
público y de los titulares de datos que faciliten esos datos en respuesta a
dicha solicitud;
e) proveedores de servicios de
tratamiento de datos que ofrezcan dichos servicios a clientes de la Unión.”
De cara a la
concreción del ámbito de aplicación de la PLD resulta preciso poner en conexión
este artículo 1.2 con los diversos elementos heterogéneos que integran el
contenido del Reglamento, que en ocasiones incluyen precisiones adicionales
sobre su alcance.
El Capítulo II, bajo
el título “intercambio de datos de empresa a consumidor y de empresa a empresa”,
regula, en primer lugar, ciertas obligaciones de hacer accesibles los datos
generados por el uso de productos o servicios relacionados (art. 3). Se trata
de obligaciones relativas al diseño y fabricación de los productos y a la
prestación de servicios relacionados, para que los datos sean fácilmente
accesibles a sus usuarios, junto con obligaciones de información precontractual
respecto de los contratos de compra, alquiler o arrendamiento de un producto o
de un servicio relacionado.
Como complemento de
lo anterior el artículo 4 PLD regula el derecho de los usuarios a acceder y
utilizar datos generados por el uso de productos o servicios relacionados, en
las situaciones en las que no puedan acceder directamente a los datos desde el
producto, imponiendo al titular obligaciones de puesta de tales datos a
disposición de los usuarios, así como límites a los usuarios y a los titulares en
relación con su empleo, incluidas salvaguardas con respecto a la preservación de los secretos comerciales.
Por su parte, el
artículo 5 PLD regula el derecho de los usuarios a compartir los datos
generados por su uso de un producto o servicio relacionado con terceros,
estableciendo las correspondientes obligaciones de puesta a disposición por
parte del titular, así como la exclusión de los “guardianes de acceso” en el
sentido de la Ley de Mercados Digitales como terceros elegibles a esos efectos,
debido a su posición dominante en el mercado. El artículo 6 establece los
límites con los que los terceros que reciben los datos con base en el artículo
5 deben tratarlos
En las situaciones típicas
el alcance de estas obligaciones vendrá determinado básicamente por lo dispuesto
en el artículo 1.2.a) PLD; de modo que se imponen a los fabricantes de
productos y proveedores de servicios relacionados (siempre que, conforme al
artículo 7, no sean microempresas o pequeñas empresas) introducidos en el
mercado de la Unión y respecto de los usuarios de dichos productos o servicios,
así como a los titulares de datos que, conforme a lo dispuesto en este Capítulo
II pongan datos a disposición de destinatarios en la Unión y a esos
destinatarios. Con respecto al artículo 3 y la obligación de información precontractual
que establece, cabe entender que las obligaciones de información precontractual
no solo deberían proyectarse –pese al tenor del 1.2.a)- sobre fabricantes de
productos y prestadores de servicios relacionados sino también sobre otros
vendedores o arrendadores de tales productos que los comercialicen, por
cualquier medio, en el territorio de la UE. Entre otros elementos, la
información que debe facilitarse incluye si el vendedor, o el arrendador, son
el titular de los datos y, en caso contrario, la identidad del titular de los
datos. La PLD no contiene disposiciones
sobre las eventuales consecuencias jurídico-privadas del incumplimiento de
tales obligaciones de información.
IV. Obligaciones de los titulares de datos relativas a la puesta a disposición
El Capítulo III de la
PLD regula el régimen de puesta a disposición de los datos por parte de sus
titulares cuando se hallan obligados a ello en virtud del artículo 5 PLD o de
otra norma de la Unión (o de legislación nacional en ejecución del Derecho de
la Unión), con el propósito de asegurar que las condiciones aplicadas al
destinatario son “justas, razonables y no discriminatorias” (art. 8.1). En
consecuencia el ámbito de aplicación de esta norma viene determinado por el del
artículo 5 PLD, o la norma equivalente que imponga una obligación de este tipo,
como recoge expresamente el artículo 12.1 PLD. El criterio de base es que tales
condiciones pueden ser acordadas entre el titular y el destinatario siempre que
no se trate de cláusulas abusivas conforme a lo dispuesto en el Capítulo IV (art.
13) PLD y respeten los derechos del usuario en virtud del capítulo II (arts. 3 a 7). Los
artículos 8 y 9 PLD contienen precisiones adicionales acerca del alcance de la
prohibición de discriminación, los términos de la puesta disposición de los datos por sus titulares y la eventual compensación por parte de los destinatarios.
El artículo 10 va
referido a las formas alternativas de resolución de litigios nacionales y
transfronterizos derivados de la puesta a disposición de los datos,
estableciendo la posibilidad de que los titulares de datos y los destinatarios
accedan a tales organismos para resolver litigios acerca de la determinación de
condiciones justas, razonables y no discriminatorias para la puesta a
disposición de los datos. Se trata de órganos de resolución de litigios que han
de ser certificados por el Estado miembro en el que se encuentren establecidos.
De acuerdo con el carácter alternativo y voluntario de estos mecanismos, para
que las decisiones de este tipo de órganos sean vinculantes para las partes, es
preciso que éstas hayan dado su consentimiento explícito a ese carácter
vinculante antes del procedimiento. En todo caso, el artículo 10 PLD termina
con la precisión de que “no afectará al derecho de las partes a interponer un
recurso efectivo ante un órgano jurisdiccional de un Estado miembro” (cdo. 50 y
art. 10.9).
Estrechamente vinculado con el Capítulo III de
la PLD aparece su Capítulo IV (art. 13), relativo a las cláusulas abusivas
entre empresas en relación con el acceso a los datos y su utilización. En tanto
que instrumento de protección de los consumidores, la Directiva 93/13/CEE resulta de aplicación a los contratos entre
un titular de datos y un consumidor como usuario de un producto o servicio
relacionado que genera datos. La importancia del artículo 13 PLD radica en que
complementa el régimen de la Directiva 93/13/CEE otorgando protección a las
microempresas y a pequeñas o medianas
empresas (en el sentido del artículo 2 del anexo de la Recomendación
2003/361/CE) frente a las cláusulas contractuales abusivas relativas al acceso
a los datos y su utilización impuestas unilateralmente por una empresa. La categoría de microempresas, pequeñas y medianas empresas está constituida, conforme a la Recomendación 203/361/CE por las empresas que ocupan a menos de 250 personas y cuyo volumen de negocios anual no excede de 50 millones de euros o cuyo balance general anual no excede de 43 millones de euros.
El fundamento del artículo 13 PLD radica en la apreciación de que
empresas de reducidas dimensiones pueden encontrarse en una posición negociadora
de debilidad, de modo que el desequilibrio existente entre las partes justifica
ciertos mecanismos de protección semejantes a otros ya existentes en el ámbito
de los contratos de consumo. Las cláusulas abusivas no serán vinculantes (art.
13.1), si bien en la medida en que sean disociables no afectarán al carácter
vinculante de las demás cláusulas del contrato (art. 13.6). Al tratarse de cláusulas impuestas
unilateralmente, este régimen no afecta en principio a cláusulas negociadas
individualmente en cuyo contenido han podido influir ambas partes, lo que debe
ser demostrado por la parte que la ha aportado (art. 13.5). En todo caso, la
LPD recuerda que la gran mayoría de las cláusulas que son comercialmente más
favorables para una parte constituyen una expresión normal del principio de
libertad contractual sin que deban reputarse abusivas. Además, el control de
abusividad se restringe a las cláusulas relativas al acceso a los datos y a su
utilización, así como a la responsabilidad o los recursos por incumplimiento y
rescisión de las obligaciones relacionadas con los datos, sin afectar a las
partes del contrato que no guarden relación con la puesta a disposición de
datos y, en particular, a las cláusulas comerciales del objeto principal del
contrato ni a las que determinen el precio (cdo. 53 y art. 13.7).
El artículo 13 establece una lista de
cláusulas que siempre se consideran abusivas o que se presumen abusivas, junto
con una disposición general que define cuándo una cláusula se considera abusiva,
que resulta relevante en la medida en que una cláusula no se halle comprendida
en la lista. En concreto, la disposición general, que debe interpretarse a la
luz de la lista, establece que una cláusula será abusiva “si, por su
naturaleza, su aplicación se aparta manifiestamente de las buenas prácticas
comerciales en materia de acceso a los datos y su utilización, en contravención
de los principios de buena fe y comercio justo” (art. 13.2). La lista de
cláusulas en todo caso abusivas incluye las que tienen por objeto o efecto: excluir
o limitar la responsabilidad en caso de acciones intencionadas o negligencia
grave de la parte que la haya impuesto; excluir las vías de recurso de que
dispone la parte a la que se haya impuesto en caso de incumplimiento de
obligaciones contractuales o la responsabilidad de la parte que haya impuesto
la cláusula en caso de infracción de dichas obligaciones; o otorgar a la parte
que la haya impuesto el derecho exclusivo de determinar si los datos
facilitados son acordes con el contrato o de interpretar cualquier cláusula del
contrato (art. 13.3). La lista de cláusulas contractuales que se presumen
abusivas incluye aquellas que tienen por objeto o efecto: limitar de forma
inadecuada las vías de recurso en caso de incumplimiento de obligaciones
contractuales o la responsabilidad en caso de infracción de dichas
obligaciones; permitir a la parte que la haya impuesto unilateralmente acceder a los datos de la otra parte y
utilizarlos de manera que cause un grave perjuicio a sus intereses; impedir o
limitar desproporcionadamente a la parte a la que se haya impuesto la cláusula
utilizar los datos que haya aportado o generado durante el período de vigencia
del contrato; impedir a la parte a la que se haya impuesto la cláusula obtener
una copia de los datos que haya aportado o generado durante el período de
vigencia del contrato o dentro de un plazo razonable tras su resolución; o permitir
a la parte que haya impuesto unilateralmente la cláusula resolver el contrato
con un plazo de preaviso excesivamente corto, habida cuenta de las
posibilidades razonables de la otra parte de cambiar a un servicio alternativo
y comparable y del perjuicio financiero ocasionado por esa resolución, salvo
cuando haya razones fundadas para hacerlo (art. 13.4).
La PLD presta también
especial atención al contenido de cláusulas contractuales en los contratos
relativos a la provisión de servicios de tratamiento de datos, en su Capítulo
VI. Con el propósito de fomentar la competencia, este Capítulo establece normas
para garantizar que los clientes de tales servicios –incluidos los servicios en
la nube- puedan cambiar a otro servicio de tratamiento de datos que cubra el
mismo tipo de servicio, prestado por otro proveedor de servicios. Para ello, la
PLD trata de facilitar que el cliente pueda poner fin al contrato con un
servicio de tratamiento de datos, celebrar contratos nuevos con proveedores diferentes,
a los que pueda transmitir todos sus activos digitales (como datos y
aplicaciones) para continuar utilizándolos, beneficiándose de la equivalencia
funcional, entendida como el mantenimiento de un nivel mínimo de funcionalidad
del servicio después del cambio. La exigencia de eliminación de obstáculos se
proyecta sobre los de naturaleza comercial, técnica, organizativa y
contractual.
Con respecto a esta
última dimensión, el artículo 24 incluye ciertas normas sobre las cláusulas
contractuales relativas al cambio de proveedor de servicios de tratamiento de
datos, que deben entenderse sin perjuicio de lo dispuesto en la Directiva (UE)
2019/770 sobre contratos de
suministro de contenidos y servicios digitales. Las normas de la PLD
básicamente van referidas a la exigencia de que los derechos y obligaciones de
las partes se establezcan con claridad en un contrato escrito –es decir,
típicamente de modo que pueda quedar un registro duradero de las mismas-, así
como a ciertos elementos que debe incluirse necesariamente en ese contrato en
relación con la facilitación del cambio de proveedor de servicios de
tratamiento de datos, que aparecen detallados en su apartado 1.
Al margen de los
aspectos reseñados, son también objeto de la PLD otras cuestiones. Así, su
Capítulo V establece el marco para la utilización por parte de los organismos
del sector público de los datos que obren en poder de las empresas en
situaciones en las que exista una necesidad excepcional de obtener ciertos
datos solicitados (arts. 14 a 22). El capítulo VII va referido a las
restricciones al acceso y las transferencias internacionales de datos no
personales conservados en la Unión, imponiendo obligaciones específicas a los
proveedores de servicios de tratamiento de datos, así como el régimen aplicable
a las resoluciones de órganos jurisdiccionales y autoridades administrativas de
terceros Estados que exijan la transferencia de datos no personales
comprendidos en la PLD (art. 27). Por su parte, el capítulo VIII armoniza los
requisitos esenciales para facilitar la interoperabilidad de los datos, de los
mecanismos y servicios de intercambio de datos y de los servicios de
tratamiento de datos (arts. 28 y 29), así como de los contratos inteligentes (art.
30). Por otra parte, como ha quedado apuntado, el Capítulo IX establece los
mecanismos de aplicación y ejecución, limitándose a la dimensión
jurídico-pública, que incluye la designación por cada Estado miembro de
autoridades competentes en este ámbito.
