Reglamento (UE) 2023/2854 de Datos (II): acceso, puesta a disposición y utilización de datos

 

El Reglamento de Datos regula el acceso por los usuarios de un producto conectado o servicio relacionado a los datos generados por su uso, así como la utilización de esos datos, incluso compartiéndolos con terceros -destinatarios de datos- a su elección, por ejemplo, con quienes desean que les presten servicios de mantenimiento o reparación o con quienes pueden estar interesados en usarlos para desarrollar productos innovadores. Las normas sobre esas cuestiones objeto del Capítulo II (arts. 3 a 7 RD) se complementan con las relativas al régimen de puesta a disposición de tales destinarios de los datos por parte de sus titulares, que son objeto del Capítulo III (arts. 8 a 12), así como con las que excluyen la aplicación entre empresas de cláusulas contractuales abusivas sobre el acceso a los datos, su utilización o la responsabilidad y vías de recurso por incumplimiento de obligaciones relativas a datos (Capítulo IV o art. 13). Se trata en gran medida de normas jurídico-privadas de Derecho contractual, destinadas a hacer posible una utilización equitativa de los datos y evitar la explotación de desequilibrios contractuales por parte de los titulares de datos para obstaculizar el acceso a los datos por los usuarios o terceros destinatarios (cdo. 5 RD). Son disposiciones puntuales destinadas en parte a complementar en las relaciones entre empresas el acervo comunitario sobre contratos de consumo establecido en la Directiva 93/13, sin que, salvo cuando se disponga otra cosa, el Reglamento de Datos afecte a las normas nacionales de Derecho contractual, incluidas las relativas a la celebración, validez o efectos de los contratos (cdo. 9 RD).

Reglamento (UE) 2023/2854 de Datos (I): fundamentos, contenido y ámbito de aplicación

 

         La publicación el pasado jueves en el Diario Oficial del Reglamento (UE) 2023/2854 de 13 de diciembre de2023 sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Reglamento de Datos o RD), constituye un hito (sobre la Propuesta véase aquí y aquí) en la conformación del marco jurídico de una disciplina que por su nivel de desarrollo y complejidad, así como por su trascendencia económica y social, debe recibir especial atención. El nuevo instrumento refleja cómo el Derecho de Datos, en tanto que una de las materias que integra el mucho más amplio Derecho de las Nuevas Tecnologías o Derecho Digital, combina el régimen de la protección de datos personales, contenido principalmente en el Reglamento 2016/679 o RGPD y todavía en la Directiva 2002/58 que permanecen inalterados y resultan de aplicación preferente, con un conjunto de instrumentos relativos tanto a datos personales como no personales, e incluso otros limitados a datos no personales, como el Reglamento (UE) 2018/1807 (reseñado aquí). Entre los que van referidos tanto a datos personales como no personales adquiere especial relevancia el nuevo Reglamento de Datos, que complementa instrumentos adoptados con anterioridad, como el Reglamento (UE) 2022/868 de Gobernanza de Datos, que incluye la regulación de los servicios de intermediación de datos (véase aquí). En toda su complejidad el nuevo instrumento también refleja cómo el Derecho de Datos desborda la tradicional caracterización del Derecho de protección de datos personales como Derecho público. Más allá del papel determinante del Derecho privado en relación con el derecho a indemnización previsto en el artículo 82 RGPD y los marcos contractuales de tratamiento de datos personales, componente esencial del Reglamento de Datos son normas de Derecho contractual, incluyendo algunas que representan una evolución significativa del Derecho de la UE, como las relativas a cláusulas contractuales abusivas entre empresas, que buscan complementar el acervo previo -singularmente la Directiva 93/13 sobre las cláusulas abusivas- limitado a la protección de los consumidores, y otras muy ilustrativas del verdadero significado de los llamados contratos inteligentes (o smart contracts). Resulta aconsejable dividir esta aproximación al Reglamento de Datos en cuatro entradas, limitando esta primera a una presentación de su fundamento, contenido y ámbito de aplicación. En las tres posteriores se abordarán las siguientes cuestiones: puesta a disposición de los datos de productos y servicios relacionados en favor de sus usuarios y de los destinatarios de datos (aquí); cambio entre servicios de tratamiento de datos, interoperabilidad y regulación de los contratos inteligentes (aquí); y aplicación, ejecución y valoración del nuevo Reglamento (aquí).

Precisiones adicionales sobre el derecho a indemnización en materia de protección de datos

 

Como continuación de la entrada anterior, cabe hacer referencia a las aportaciones de la siguiente resolución del Tribunal de Justicia relativa a la interpretación del artículo 82 RGPD. En concreto, se trata de la sentencia de ayer en el asunto Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022. Más allá de insistir en el carácter meramente compensatorio de ese derecho a indemnización, la nueva sentencia establece que no se trata de un régimen de responsabilidad objetiva, sino por culpa, si bien la carga de la prueba respecto de ese elemento recae sobre el responsable (o encargado) del tratamiento que pretenda quedar exento de responsabilidad. Además, la nueva sentencia incluye ciertas precisiones en relación con las circunstancias relevantes para la fijación del importe de la indemnización, que condicionan el criterio general de que, ante la ausencia de previsiones al respecto en el RGPD, en lo relativo a la cuantificación de la indemnización deben aplicarse las normas internas de cada Estado miembro.

Ciberataques y derecho a indemnización de los afectados con base en el RGPD

 

          El artículo 82 del Reglamento (UE) 2016/679 (RGPD), que regula el derecho de quien haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD a recibir una indemnización, es objeto de cuestiones prejudiciales en un elevado número de asuntos pendientes ante el Tribunal de Justicia. El alcance de las aportaciones de las dos sentencias pronunciadas ayer relativas a la interpretación de esa disposición es muy diferente. Por una parte, la recaída en el asunto Gemeinde Ummendorf, C-456/22, EU:C:2023:986, básicamente se limita a confirmar planteamientos ya establecidos por el Tribunal en su sentencia del pasado 4 de mayo en el asunto Österreichische Post AG, C-300/2021, EU:C:2023:370, a la que dediqué esta reseña. La sentencia Gemeinde Ummendorf  confirma que, habida cuenta de que el derecho a indemnización se subordina al cumplimiento solo de tres requisitos cumulativos (existencia de «daños y perjuicios», infracción del RGPD y relación de causalidad entre tales daños y perjuicios y la infracción), no cabe fijar un umbral mínimo de daños para que nazca. Además, el Tribunal recuerda que la mera infracción del RGPD no constituye por sí sola un perjuicio, debiendo el interesado demostrar la existencia de daños y perjuicios. Por otra parte, la sentencia en el asunto Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, sí incluye aportaciones relevantes con respecto a la interpretación del artículo 82 RGPD, en el contexto de demandas de indemnización interpuestas frente al responsable del tratamiento por interesados cuyos datos personales se vieron afectados por un ciberataque dirigido contra el responsable del tratamiento.

La interpretación amplia del concepto de “decisión automatizada” del artículo 22 RGPD y sus implicaciones en el uso de herramientas de inteligencia artificial

 

       En su sentencia de hoy en el asunto SCHUFA Holding (Scoring), C-634/21, EU:C:2023:957, el Tribunal de Justicia aborda la interpretación del artículo 22 del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD). Cabe recordar que conforme al artículo 22.1 RGPD, todo interesado tiene “derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”, sin perjuicio de ciertas excepciones previstas en su apartado 2. Pese a su formulación como un derecho del interesado, la sentencia pone de relieve que el artículo 22.1 RGPD establece una prohibición de principio de los tratamientos automatizados incluidos en su ámbito de aplicación cuya inobservancia no necesita ser invocada proactivamente por el interesado (apdo. 52 de la sentencia con remisión a las conclusiones del Abogado General). Esa prohibición, junto a las restricciones resultantes de las normas concordantes del RGPD, presenta singular relevancia en relación con el empleo de herramientas de inteligencia artificial (IA), en la medida en que éstas típicamente facilitan resultados basados en el tratamiento automatizado de datos sin que medie intervención humana. La nueva sentencia establece que el concepto de decisión automatizada que afecta al interesado del artículo 22 RGPD debe interpretarse en sentido amplio. Indicativo de la relevancia de esta interpretación amplia del alcance del artículo 22 RGPD en relación con los riesgos asociados a la expansión de herramientas de IA es que el Tribunal de Justicia destaca que la prohibición y restricciones específicas que establece esa norma pretenden hacer frente a los riesgos específicos que las decisiones automatizadas generan en relación con potenciales efectos discriminatorios en las personas físicas (apdo. 59). En concreto, esa interpretación amplia se considera imprescindible para evitar lagunas jurídicas en situaciones en las que están implicados varios actores, como es habitual, por ejemplo, cuando la herramienta de IA se utiliza por el prestador de un servicio para generar cierta información o valoración y comunicarla a quien posteriormente toma la decisión de contratar o no con el interesado. La nueva sentencia aclara que no solo esa última decisión puede quedar dentro del ámbito de aplicación del artículo 22 RGPD sino también la valoración previa en la que se basa.

Novedades en la regulación de los contratos en línea en la Directiva (UE) 2023/2673

 

Como resulta de su denominación, la Directiva (UE) 2023/2673, de 22 de noviembre de 2023, por la que se modifica la Directiva 2011/83/UE en lo relativo a los contratos de servicios financieros celebrados a distancia y se deroga la Directiva 2002/65/CE, con el propósito de simplificar el marco legislativo previo, suprime el instrumento específico en materia de contratos a distancia de servicios financieros con consumidores, optando por integrar su régimen en el instrumento que contiene el marco general sobre contratación a distancia de consumo, es decir, la Directiva 2011/83. El término "servicio financiero" se define en estos dos instrumentos como “todo servicio bancario, de crédito, de seguros, de jubilación personal, de inversión o de pago” (art. 2.b) de la Directiva 2002/65/CE y art. 2.12 de la Directiva 2011/83). Cabe recordar que la Directiva 2002/65/CE fue traspuesta en nuestro ordenamiento mediante la Ley 22/2007 sobre comercialización a distancia de servicios financieros destinados a los consumidores, mientras que el régimen de la Directiva 2011/83 se encuentra recogido básicamente en el Título III del Libro Segundo del texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios (TRLGDCU). La transposición de la nueva Directiva debería llevar a la derogación de la Ley 22/2007 y la integración de su régimen junto con las novedades ahora introducidas en el TRLGDCU. Las disposiciones de transposición de la nueva Directiva deben ser adoptadas por los Estados miembros a más tardar el 19 de diciembre de 2025, resultando aplicables a partir del 19 de junio de 2026, fecha también a partir de la que quedará derogada la Directiva 2002/65/CE (arts. 2. y 3 de la nueva Directiva). Más allá del aludido objetivo de racionalización, la Directiva (UE) 2023/2673 lleva a cabo una importante modernización del régimen específico de los contratos a distancia de servicios financieros adaptándolo a la transformación tecnológica y de los modelos de negocio que ha tenido lugar en las dos últimas décadas, de modo que en la actualidad tales contratos se celebran principalmente por vía electrónica. Ese régimen específico se encuentra recogido en el nuevo Capítulo III bis de la Directiva 2011/83/UE modificada (arts. 16 bis a 16 sexies), referido específicamente a esos contratos. Además, como novedad significativa incluso con respecto al texto de la Propuesta inicial de la Comisión -COM(2022) 204 final-, la Directiva (UE) 2023/2673 introduce, mediante la incorporación de un artículo 11 bis a la Directiva 2011/83/UE, nuevas obligaciones para los comerciantes tendentes a facilitar el ejercicio del derecho de desistimiento por los consumidores en los contratos celebrados mediante una interfaz en línea. Estas obligaciones no resultan de aplicación solo a los contratos a distancia de servicios financieros, sino también a todos los contratos a distancia sujetos al derecho de desistimiento con arreglo a la Directiva 2011/83/UE celebrados mediante una interfaz en línea. En consecuencia, en una primera aproximación al nuevo instrumento cabe abordar las siguientes cuestiones: desistimiento en los contratos a distancia celebrados mediante una interfaz en línea (I, infra); aplicación de la Directiva 2011/83/UE a los contratos de servicios financieros (II, infra); y régimen específico de los contratos a distancia de servicios financieros (III, infra).