El Reglamento
(UE) 2022/868 de Gobernanza de Datos, que será aplicable a partir del 24 de
septiembre de 2023 (art. 38), pretende mejorar las condiciones para el
intercambio de datos en sentido amplio -personales y no personales- en el
mercado interior, mediante el establecimiento de un marco normativo
-subordinado al acervo ya existente, en particular, en materia de datos
personales- que incremente la confianza en relación con el acceso, control,
intercambio, utilización y reutilización de datos. Pretende facilitar el
intercambio y la puesta en común de datos contribuyendo a la creación de
espacios comunes europeos de datos en ámbitos específicos, mediante la fijación
de ciertas bases de gobernanza que aseguren “unas condiciones de competencia
equitativas en la economía de los datos”, de modo que las empresas compitan “en
la calidad de los servicios que ofrecen y no en la cantidad de datos que
controlan” (cdo. 2). En este contexto, el desarrollo de “ecosistemas” que
permitan el acceso de cualquier tipo de empresa en condiciones no
discriminatorias a grandes cantidades de datos, al margen del control de los
operadores dominantes, adquiere singular relevancia. Una de las novedades más
significativas del Reglamento es la introducción en el Derecho de la Unión de
una nueva categoría, denominada “proveedores de servicios de intermediación de
datos”, cuya actividad queda sometida a un régimen de notificación, así como a
un conjunto elaborado de condiciones en la prestación de sus servicios, vinculado
a un marco de supervisión específico. La delimitación de esta nueva categoría
de prestadores, así como el ámbito espacial de aplicación y el contenido de su
marco regulador, revisten especial interés.
I. Contexto de la regulación
de los servicios de intermediación de datos: contenido del Reglamento de
Gobernanza de Datos y definiciones básicas
Antes de
abordar esas cuestiones resulta adecuada una referencia al contexto en el que
se enmarca la regulación de los servicios de intermediación de datos, contenida
básicamente en el Capítulo III (arts. 10 a 15) del Reglamento (UE) 2022/868. En
síntesis, este instrumento, al margen también de los aspectos relativos a las
autoridades competentes en estas materias y la creación de un Comité Europeo de
Innovación en materia de Datos (arts. 26 a 30), regula otros tres grupos de
cuestiones. En primer lugar, la reutilización de ciertas categorías de datos
protegidos (por motivos de confidencialidad, propiedad intelectual o protección
de datos personales) en poder de organismos del sector público (arts. 3 a 9),
complementando a la Directiva (UE) 2019/1024 relativa a los datos abiertos y la
reutilización de la información del sector público, así como la normativa
sectorial existente. En segundo lugar, la posibilidad de que los Estados
miembros adopten disposiciones relativas a la “cesión altruista de datos” (es
decir, sin ánimo de obtener una gratificación que exceda de la compensación de
costes y realizada con objetivos de interés general), incluyendo el marco para
la inscripción voluntaria en un registro de las entidades que recojan y traten
tales datos y la previsión de un formulario europeo de consentimiento (arts. 16
a 25). Además, el Reglamento regula ciertos aspectos del acceso y transferencia
internacionales de datos no personales (art. 31).
Presupuesto
para aproximarse al régimen de los proveedores de servicios de intermediación
de datos es el manejo de ciertas definiciones recogidas en el artículo 2 del
Reglamento (UE) 2022/868. En la línea de otros actos de la llamada Estrategia
Europea de Datos, se define con gran amplitud el término “datos”, como “toda
representación digital de actos, hechos o información, así como su
recopilación, incluso como grabación sonora, visual o audiovisual”. Por
consiguiente, el término abarca tanto los “datos personales”, definidos por
remisión al artículo 4.1 del Reglamento (UE) 2016/679 (RGPD), como los no
personales, que son el resto. También se define por remisión al artículo 4.2 RGPD,
el término “tratamiento” cuando se utiliza respecto a datos personales,
mientras que cuando va referido a datos no personales, la remisión se hace al
artículo 3.2 del Reglamento (UE) 2018/1807 relativo a un marco para la libre
circulación de datos no personales en la Unión Europea, que, como es conocido,
reproduce básicamente el artículo 4.2 RGPD pero en relación con las operaciones
efectuadas sobre datos no personales.
Con respecto a
los sujetos implicados en las actividades de intermediación de datos, al margen
de los prestadores de tales servicios, que serán objeto de análisis
diferenciado, y de los “interesados”, categoría específica del ámbito de los
datos personales y que se define también por remisión al artículo 4.1 RGPD, cabe
destacar las categorías de “titular de datos” y “usuario de datos”, habida cuenta
de que son los sujetos entre los que se intercambian datos en el marco de los
servicios de intermediación objeto del nuevo Reglamento. Precisamente, el
término “intercambio de datos” se define como “la facilitación de datos por un
interesado o titular de datos a un usuario de datos, directamente o a través de
un intermediario y en virtud de un acuerdo voluntario o del Derecho de la Unión
o nacional, con el fin de hacer un uso en común o individual de tales datos,
por ejemplo, mediante licencias abiertas o mediante licencias comerciales de
pago o gratuitas” (art. 2.10 Reglamento (UE) 2022/868). El término “titular de
datos” hace referencia a toda persona jurídica o persona física (siempre que no
sea el propio interesado con respecto a los datos en cuestión), que tenga
derecho a conceder acceso a determinados datos o a compartirlos (art. 2.8 Reglamento
(UE) 2022/868). Por “acceso” se entiende toda utilización de datos de
conformidad con unos requisitos específicos de carácter técnico, jurídico u
organizativo, sin que ello implique necesariamente su transmisión o descarga de
los datos (art. 2.13). Por su parte, el término “usuario de datos” comprende toda
persona física o jurídica que tenga acceso legítimo a determinados datos y el
derecho a usarlos con fines comerciales o no comerciales (art. 2.9).
Para
valorar el significado del nuevo Reglamento resulta relevante destacar su
subordinación a la legislación en materia de protección de datos personales,
que se mantiene inalterada y que en caso de conflicto prevalece sobre el nuevo
instrumento. De su considerando 4 y de su artículo 1.3, resulta que el Reglamento
(UE) 2022/868 debe entenderse sin perjuicio del marco normativo preexistente en
materia de protección de datos personales, en particular, de lo dispuesto en el
RGPD y en la Directiva 2002/58/CE sobre la privacidad y las comunicaciones
electrónicas, así como de las normas correspondientes del Derecho nacional.
Este marco resulta de aplicación cuando se trata de conjuntos de datos personales
y no personales que se encuentren inextricablemente ligados.
En consecuencia, el nuevo Reglamento no afecta a la exigencia de cumplir respecto de los datos personales los principios y demás normas relativas a su tratamiento establecidos, en particular, en el RGPD, incluyendo la exigencia de que el tratamiento sea conforme con alguna de las bases para su licitud establecidas en el RGPD y respete el conjunto de derechos de los interesados y las demás previsiones del RGPD. En los términos de su artículo 1.3, el Reglamento (UE) 2022/868 “no crea una base jurídica para el tratamiento de datos personales ni afecta a ninguna obligación ni derecho establecidos” en el marco normativo previo en materia de protección de datos personales. Por consiguiente, cuando se trata de intercambios de datos personales, en las situaciones típicas, el cumplimiento de lo dispuesto en el RGPD resultará presupuesto para que el titular de datos personales tenga derecho a conceder acceso a los mismos y para que el usuario de datos personales tenga acceso legítimo a los mismos, a los efectos del Reglamento (UE) 2022/868. Asimismo, cuando los proveedores de servicios de intermediación de datos sean responsables o encargados del tratamiento de datos a los efectos del RGPD quedan plenamente sometidos a sus normas.
III. Delimitación de los proveedores
de servicios de intermediación de datos
El acervo comunitario regulador de las
actividades en línea ha ido unido a la adopción de normas respecto de
categorías de servicios de intermediación muy dispares, objeto de delimitación
específica en el instrumento normativo correspondiente. Baste pensar, entre
otras, en las normas sobre intermediarios de la Directiva sobre el comercio electrónico
(o de la próxima Ley de Servicios Digitales de la Unión), la categoría de
“servicios de intermediación en línea” del Reglamento 2019/1150 (y de la Propuesta
de Ley de Mercados Digitales de la Unión), la Directiva
(UE) 2018/1808 sobre servicios de comunicación audiovisual y la imposición de obligaciones
específicas a los prestadores de plataformas de intercambio de vídeos, o el artículo
17 de la Directiva 2019/790 sobre los derechos de autor en el mercado único
digital y su regulación de los prestadores de servicios para compartir
contenidos en línea. Un primer rasgo que llama la atención de la categoría “servicio
de intermediación de datos”, como elemento determinante de los prestadores que
quedan sometidos al régimen del Capítulo III del Reglamento (UE)
2022/868, es su compleja delimitación.
El término “servicio
de intermediación de datos” aparece definido en el artículo 2.11 del Reglamento
(UE) 2022/868, que consta de dos partes, la definición en sentido propio y la
relación de una serie de servicios que quedan excluidos de la misma. Con
posterioridad, el artículo 10 detalla los servicios de intermediación de datos
cuya prestación queda sometida al régimen del mencionado Capítulo III. Además,
los considerandos 20 a 31 incorporan precisiones relevantes a este respecto.
Conforme al
primer inciso del artículo 2.11, esta categoría incluye: “todo servicio cuyo
objeto sea establecer relaciones comerciales para el intercambio de datos entre
un número indeterminado de interesados y titulares de datos, por una parte, y
usuarios de datos, por otra, a través de medios técnicos, jurídicos o de otro
tipo”. Componentes básicos de la definición son que presupone el
establecimiento de relaciones comerciales y el carácter de mera intermediación
del servicio, en la medida en que va referido al intercambio de datos entre
otras partes, interesados y titulares, de un lado, y usuarios, de otro. Además,
el primer párrafo del artículo 2.11 aclara que esa categoría incluye los
servicios destinados al ejercicio de los derechos de los interesados en
relación con los datos personales, como es el caso de servicios para incrementar
el control de las personas sobre sus datos, ayudando al ejercicio de sus
derechos, por ejemplo, respecto de la concesión y retirada del consentimiento,
el acceso a sus datos, así como su rectificación, supresión o portabilidad. Ejemplos
representativos de otros tipos de servicios que pretenden quedar comprendidas
en esa categoría son los llamados mercados de datos, en los que el intermediario
pone datos a disposición de terceros, o los que prestan facilitadores de
ecosistemas que permiten el intercambio de datos abiertos a todos los
interesados, así como los que se basan en la creación colectiva de conjuntos de
datos mediante su puesta en común para conceder licencias de utilización a
terceros (cdo. 28). La condición de intermediarios de los proveedores de estos
servicios implica su neutralidad respecto de los datos intercambiados entre los
titulares de datos o los interesados y los usuarios de datos, de modo que dichos
proveedores no deben usar los datos intercambiados para ningún otro fin (cdo.
33).
El artículo
2.11 del Reglamento (UE) 2022/868 complementa esa definición con la precisión
de que una serie de servicios que quedan excluidos de la misma. La primera exclusión
va referida a “los servicios que obtengan datos de titulares de datos y que los
agreguen, enriquezcan o transformen con el fin de añadirles un valor sustancial
y concedan licencias a los usuarios de datos para la utilización de los datos
resultantes, sin establecer una relación comercial entre los titulares de datos
y los usuarios de datos” (art. 2.11.a). En la medida en que el
establecimiento de una relación comercial de ese tipo se configura como
presupuesto de la inclusión en el concepto, se trata de una exclusión que parece
tener básicamente un valor ilustrativo. El no estar destinados al
establecimiento de relaciones comerciales resulta también determinante de que
no se consideren servicios de intermediación de datos a estos efectos los
repositorios relativos la reutilización en abierto de datos de investigación
científica (cdo. 29). Además, se excluyen de manera expresa los servicios de
intermediación de contenido protegido por derechos de autor (art. 2.11.b), de
modo que queda claro que la nueva normativa no resulta en principio de
aplicación con respecto a actividades como las que son propias de los
prestadores de plataformas de intercambio de vídeos a los efectos de la
Directiva (UE) 2018/1808 o los prestadores de servicios para compartir
contenidos en línea del artículo 17 de la Directiva 2019/790. Además, el
artículo 2.11.c) establece que quedan excluidos los servicios utilizados por un
único titular de datos para permitir la utilización de los datos que obren en su
poder, o los utilizados por múltiples personas jurídicas en un grupo cerrado, mencionando
expresamente los utilizados en las relaciones con proveedores o con clientes,
así como los servicios cuyo objetivo principal es garantizar las
funcionalidades de los objetos conectados en el marco llamado Internet de las
cosas.
A la luz de la
redacción del artículo 10, para que la prestación de un servicio de
intermediación de datos que sujeto al régimen del Capítulo III del Reglamento (UE) 2022/868 es preciso que se trate de
uno de los “siguientes servicios”: a) servicios de intermediación entre los
titulares de datos y los potenciales usuarios de datos, incluida la
facilitación de los medios para habilitar dichos servicios; b) servicios de
intermediación entre los interesados que deseen facilitar sus datos personales
o las personas físicas que deseen facilitar datos no personales y los
potenciales usuarios de datos; y c) incluida la facilitación de los medios
técnicos o de otro tipo necesarios para habilitar dichos servicios, y, en
particular, posibilitar el ejercicio de los derechos de los interesados
previstos en el Reglamento (UE) 2016/679; y c) servicios de cooperativas de
datos. La segunda de estas categorías incluye de manera expresa la prestación
de servicios que posibilitan el ejercicio por los interesados de sus derechos
en virtud del RGPD. Por su parte, los servicios de cooperativas de datos
aparecen definidos en el artículo 2.15, y son aquellos “ofrecidos por una estructura
organizativa constituida por interesados, empresas unipersonales o pymes (…)”, cuyos
objetivos principales son prestar asistencia a sus miembros en el ejercicio de sus
derechos respecto a determinados datos, intercambiar opiniones sobre las
condiciones del tratamiento de sus datos y negociar los términos de permisos
para el tratamiento de datos no personales y de su consentimiento respecto de
datos personales. En todo caso, el nuevo instrumento recuerda que los derechos
de los interesados con respecto a los datos personales que les conciernen en
virtud del RGPD son derechos personales e irrenunciables (cdo. 31).
El mero suministro de herramientas técnicas para el intercambio de datos no se considera la prestación de un servicio de intermediación, lo que determina que, en principio, queden al margen de esta categoría los servicios de almacenamiento en la nube, de análisis, el software de intercambio de datos, los navegadores, o los servicios de correo electrónico. Esta conclusión se impone en la medida en que tales servicios de limiten al suministro de herramientas técnicas para el intercambio de datos, sin que se establezca una relación comercial entre titulares de datos y usuarios de datos, ni el proveedor de servicios obtenga información sobre el establecimiento de relaciones comerciales con el fin de intercambiar datos (cdo. 28 Reglamento (UE) 2022/868). Cuando una entidad ofrezca servicios diversos, el Reglamento (UE) 2022/868 solo resulta de aplicación a las actividades que se refieren directamente a la prestación de servicios de intermediación de datos, si bien el Reglamento, para evitar conflictos de intereses, exige la separación estructural entre el servicio de intermediación de datos, que deberá prestarse a través de una entidad jurídica independiente, y cualquier otro servicio prestado (cdo. 33).
IV. Ámbito de aplicación
espacial de la normativa de la Unión y determinación del régimen aplicable
Aunque
formulado sin la claridad deseable en su articulado, el criterio determinante
de la aplicación territorial de las normas del Reglamento (UE) 2022/868 relativas a la prestación de servicios
de intermediación de datos es el ofrecimiento de tales servicios en la Unión.
Al respecto, con carácter meramente indicativo, el considerando 42 se limita a
señalar que debe averiguarse si hay constancia de que el proveedor tiene la
intención de ofrecer servicios de intermediación a personas de uno o varios
Estados miembros, sin que resulte suficiente para ello la mera accesibilidad en
la Unión de su sitio web o el uso de una lengua comúnmente utilizada en el
tercer país en el que el proveedor de servicios de intermediación de datos esté
establecido. Por el contrario, como factores que sí pueden resultar relevantes
a efectos de apreciar el ofrecimiento de servicios en la Unión se mencionan el empleo
por el proveedor de una lengua o una moneda de uso común en uno o varios Estados
miembros, con la posibilidad de encargar servicios en esa lengua, o la mención
de usuarios situados en la Unión.
Habida cuenta de este ámbito territorial, que determina la aplicabilidad de las normas sobre servicios de intermediación de datos también a prestadores de tales servicios que no estén establecidos en un Estado miembro, el Reglamento presta especial atención a las exigencias tendentes a tratar de asegurar su aplicación efectiva a tales proveedores. Por eso, obliga a los prestadores que sin estar establecidos en un Estado miembro ofrezcan estos servicios en la Unión a designar un representante legal -que debe ser una persona física o jurídica establecida en un Estado miembro- mediante un mandato expreso para actuar en su nombre en lo relativo a las obligaciones que el Reglamento impone. El representante legal está obligado a cooperar con las autoridades competentes de los Estados miembros y a demostrar “de forma exhaustiva, previa solicitud,” las medidas adoptadas por el prestador para garantizar el cumplimiento del Reglamento (art. 11.3). Ciertamente, la designación del representante legal se configura como un instrumento esencial para facilitar la supervisión, pudiendo las autoridades competentes dirigirse a ese representante en los procedimientos relativos al incumplimiento del Reglamento por parte del proveedor no establecido en la Unión.
Al margen de
los aspectos relativos a la aplicación de la nueva normativa a prestadores de
estos servicios no establecidos en un Estado miembro, el Reglamento introduce
también ciertas normas tendentes a evitar la aplicación cumulativa a un mismo
prestador de los regímenes de varios Estados miembros. El criterio de base a
tales efectos es que “las actividades de un proveedor de servicios de
intermediación de datos deben cumplir el Derecho nacional del Estado miembro en
el que tenga su establecimiento principal” (cdo. 41). Conforme al artículo 2.14, el establecimiento
principal de una persona jurídica es el lugar de su administración central en
la Unión, y debe determinarse de conformidad con criterios objetivos e implicar
el ejercicio efectivo y real de las actividades de gestión (cdo. 41). Los prestadores
de servicios de intermediación de datos no establecidos en un Estado miembros se
consideran sometidos al ordenamiento jurídico del Estado miembro en el que esté
ubicado su representante legal (art. 11.3). Ese sometimiento va referido a las
cuestiones específicas objeto del Reglamento, como la autoridad ante la que
debe procederse a la notificación que impone.
El mencionado criterio de base aparece recogido en el artículo 11.2 del Reglamento (UE) 2022/868, según el cual: “(A) efectos del presente Reglamento, se considerará que un prestador de servicios de intermediación de datos establecido en más de un Estado miembro está sometido al ordenamiento jurídico del Estado miembro de su establecimiento principal, sin perjuicio del Derecho de la Unión que regula las acciones transfronterizas de indemnización por daños y perjuicios y los procedimientos conexos”. Cabe entender que resulta desafortunado el último inciso de la norma con su referencia específica al régimen aplicable en materia de indemnizaciones por daños y perjuicios, tal vez pensando en el art. 82 RGPD que, por lo demás, como ha quedado ya dicho, no se ve afectado por el nuevo Reglamento. En realidad, el Reglamento (UE) 2022/868 -incluido su artículo 11- no debe en principio afectar a las normas reguladoras de las relaciones jurídico-privadas que no son objeto de ese Reglamento ni, por lo tanto, a la eventual aplicación de las reglas de Derecho internacional privado que determinan la ley aplicable a esas cuestiones, incluidos -pero no solo- los aspectos relativos a las “acciones transfronterizas de indemnización por daños y perjuicios”.
V. Notificación
El
artículo 11 del Reglamento (UE) 2022/868 exige a
los proveedores de servicios de intermediación de datos la presentación de una
notificación a la autoridad competente en la materia del Estado miembro de su
establecimiento principal (o, en su defecto, del Estado miembro en el que se
encuentre su representante legal). La notificación se concibe como una mera
declaración de la intención de prestar servicios de intermediación de datos,
completada únicamente con la información que exige el Reglamento (cdo. 39). Tras
haber remitido esa notificación el proveedor puede iniciar la prestación de los
servicios de intermediación de datos, eso sí, en todos los Estados miembros y no
solo aquel ante cuya autoridad presenta la notificación (arts. 11. 4 y 5). El sistema
de requisitos diseñado no exige ninguna decisión o acto administrativo expreso
por parte de la autoridad competente de cara a la prestación de los servicios (cdo.
38).
La
información que debe incluir el proveedor de servicios de intermediación de
datos en la notificación aparece detallada en el apartado 6 del artículo 11, e
incluye, entre otros extremos: a) nombre; b) naturaleza y forma jurídica,
estructura de propiedad, filiales pertinentes y, eventualmente, número de
registro en caso inscripción en un registro mercantil u otro registro público
nacional similar; c) dirección de su establecimiento principal en la Unión y,
en su caso, de cualquier sucursal en otro Estado miembro, o dirección de su
representante legal; d)sitio web público en el que se recoja información sobre
el proveedor; e) personas de contacto y datos de contacto; f) descripción de su
servicio de intermediación de datos; g) fecha estimada de inicio de la
actividad, si no coincide con la de notificación.
Si lo solicita el proveedor, la autoridad competente “expedirá, en el plazo de una semana desde que se presente la notificación de forma debida e íntegra, una declaración normalizada en la que se confirme que el proveedor de servicios de intermediación de datos ha presentado la notificación (…) y que esa notificación contiene la información enumerada en el apartado 6” (art. 11.8).
VI. Condiciones de prestación
de los servicios de intermediación de datos
Fundamental
en la regulación del régimen de los servicios de intermediación de datos es el
artículo 12 del Reglamento (UE) 2022/868, que establece de manera detallada las
condiciones a las que está sujeta su prestación. Conforme a lo dispuesto en el
artículo 11.9, el proveedor puede solicitar a la autoridad competente que
confirme que cumple las condiciones para la prestación de servicios de
intermediación de datos establecidas en el artículo 12. Una vez que reciba dicha
confirmación, el proveedor podrá usar en sus comunicaciones, la denominación “proveedor
de servicios de intermediación de datos reconocido en la Unión”, así como un
logotipo común, que será diseñado por la Comisión para facilitar la fácil identificación
de estos proveedores. Además, corresponde a las autoridades competentes en
materia de servicios de intermediación de datos controlar y supervisar el
cumplimiento de estas condiciones.
En síntesis, las condiciones que impone el artículo 12 son las siguientes. En primer lugar, se exige a los proveedores que presten los servicios de intermediación de datos a través de una persona jurídica distinta y se les prohíbe utilizar los datos en relación con los que presten sus servicios para fines diferentes de su puesta a disposición de los usuarios de datos (art. 12. a). En relación con las condiciones contractuales de prestación de los servicios, se prohíbe que se hagan depender de la utilización por el titular o el usuario de datos de otros servicios prestados por el mismo proveedor o una entidad relacionada con él (12.b). Además, los proveedores deben velar por que el acceso a sus servicios -incluido las condiciones en las que se presta- sea “equitativo, transparente y no discriminatorio”, tanto para los interesados como para los titulares y los usuarios de datos (art. 12.f). Se limita el uso que los proveedores pueden hacer de los datos que recojan sobre cualquier actividad de una persona física o jurídica a efectos de la prestación de su servicio de intermediación, que debe limitarse al desarrollo de ese servicio, incluida la eventual detección de fraudes o para fines de ciberseguridad, y deben a disposición de los titulares de datos, previa petición (art. 12.c). Con respecto al formato de los datos, se prevé que los proveedores deben intercambiarlos en el mismo formato en el que los reciban del interesado o del titular, permitiendo solo su conversión en formatos específicos solo en determinadas circunstancias -como para mejorar la interoperabilidad- y ofreciendo a los interesados o a los titulares de datos una posibilidad de exclusión en relación con dichas conversiones, salvo excepciones (art. 12.d). La posibilidad de ofertar herramientas y servicios específicos adicionales -como almacenamiento temporal, conversión, anonimización o seudonimización- a los titulares de datos o los interesados para facilitar el intercambio, requiere que tales herramientas y servicios solo se utilicen previa solicitud o aprobación expresas del titular de datos o del interesado (art. 12.e). Los proveedores deben disponer de procedimientos para impedir prácticas fraudulentas o abusivas en relación con el acceso a datos a través de sus servicios (como, por ejemplo, la eventual exclusión de ciertos usuarios), así como aplicar las medidas adecuadas para impedir el acceso a datos no personales o su transferencia cuando dicho acceso o transferencia sean ilícitos (art. 12.g y j). Los proveedores deben asegurarse en caso de insolvencia la continuidad razonable de la prestación de sus servicios y, eventualmente, la recuperación de datos por los titulares y usuarios y el ejercicio de sus derechos por los interesados (art. 12.h). Los proveedores deben adoptar medidas adecuadas para para garantizar la interoperabilidad con otros servicios de intermediación de datos, entre otros, mediante normas abiertas de uso común en el sector en el que operen (art. 12.i). Deben también los proveedores informar sin demora a los titulares de datos en caso de transferencia, acceso o utilización no autorizados de sus datos no personales; así como adoptar medidas de seguridad en relación con su almacenamiento, tratamiento y transmisión, con especial referencia a la información sensible desde el punto de vista de la competencia (arts. 12.k y l). Cuando se trate de servicios ofrecidos a los interesados facilitando el ejercicio de sus derechos, los proveedores deben actuar “en el mejor interés” de los interesados, informándoles y asesorándoles antes de que presente su consentimiento (arts. 12.m). Cuando los proveedores proporcionen herramientas para obtener el consentimiento de los interesados o el permiso de los titulares de datos, deben especificar, cuando corresponda, el el tercer país en el que se pretenda usar los datos y proporcionar a los interesados herramientas para otorgar y para retirar su consentimiento, y a los titulares, herramientas tanto para conceder y para retirar sus permisos (art. 12.n). Por último, los proveedores deben conservar un registro de su actividad de intermediación (art. 12.o)
VII. Supervisión
Habida
cuenta de las funciones relacionadas con el procedimiento de notificación y del
alcance de los requisitos impuestos a los proveedores, lo que se vincula con la
supervisión del cumplimiento de estas normas, la designación por los Estados
miembros como autoridades competentes con arreglo al Reglamento (UE) 2022/868 y
sus competencias de supervisión en este ámbito adquieren especial relevancia (arts.
13 y 14; además, los requisitos de esas autoridades y ciertas cuestiones procedimentales
se regulan en los artículos 26 y 28). Se permite que las autoridades
responsables de la protección de datos sean consideradas por los Estados miembros
como autoridades competentes con arreglo al Reglamento
(UE) 2022/868. En caso de que lo sean otras autoridades, su actuación debe
tener lugar sin perjuicio de las facultades y competencias de supervisión de
las autoridades responsables de la protección de datos con arreglo al RGPD (cdo.
4 Reglamento (UE) 2022/868).
Entre
las facultades que se atribuyen a las autoridades competentes en materia de
servicios de intermediación de datos, figuran la imposición de sanciones
administrativas disuasorias, incluyendo multas coercitivas; la suspensión de la
prestación del servicio de intermediación de datos, así como el cesa de su
prestación en caso de infracciones graves o reiteradas (art. 14.4). Con respecto
al régimen de sanciones, debe estarse también a lo dispuesto en el artículo 34.
A la luz del riguroso régimen de requisitos establecido en el Reglamento, que contrasta con el marco de prestación de este tipo de servicios en otros ordenamientos, revestirá especial trascendencia la aplicación efectiva a quienes sin estar establecidos en la Unión pretendan prestar este tipo de servicios, entre otros, a quienes se encuentran en sus Estados miembros. En todo caso, las dificultades de control de los prestadores de servicios no establecidos en un Estado miembro que ofrezcan sus servicios, entre otros, en algún o algunos Estados miembros hace aconsejable que en el diseño de las sanciones por el incumplimiento de lo dispuesto en el Reglamento se recurran a medidas cuya eventual ejecución pueda tener lugar con independencia de la existencia de un representante legal (que puede no haber sido designado) y de la eventual cooperación de autoridades de terceros Estados (por ejemplo, para hacer efectivas eventuales multas coercitivas).
En este contexto adquieren singular importancias las medidas consistentes
en impedir o restringir el acceso desde la UE (o alguno de sus Estados
miembros) a los servicios ofrecidos por el proveedor en cuestión. El artículo
14.5 de Reglamento (UE) 2022/868 contempla que en situaciones de este tipo la
autoridad competente en materia de servicios de intermediación de datos estará
facultada para suspender la prestación del servicio de intermediación. En todo
caso, la prestación del servicio puede estar teniendo lugar y ser perfectamente
lícita en terceros Estados, de modo que en la práctica esa suspensión se debería
traducir básicamente en medidas que bloqueen el acceso a esos servicios desde el
territorio de la UE.
