La publicación el pasado jueves
en el Diario Oficial del Reglamento (UE) 2023/2854 de 13 de diciembre de2023 sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Reglamento de Datos o RD), constituye un hito (sobre
la Propuesta véase aquí y aquí) en la conformación del marco jurídico de una
disciplina que por su nivel de desarrollo y complejidad, así como por su
trascendencia económica y social, debe recibir especial atención. El nuevo
instrumento refleja cómo el Derecho de Datos, en tanto que una de las materias
que integra el mucho más amplio Derecho de las Nuevas Tecnologías o Derecho
Digital, combina el régimen de la protección de datos personales, contenido principalmente
en el Reglamento 2016/679 o RGPD y todavía en la Directiva 2002/58 que
permanecen inalterados y resultan de aplicación preferente, con un conjunto de
instrumentos relativos tanto a datos personales como no personales, e incluso
otros limitados a datos no personales, como el Reglamento (UE) 2018/1807 (reseñado aquí).
Entre los que van referidos tanto a datos personales como no personales adquiere
especial relevancia el nuevo Reglamento de Datos, que complementa instrumentos adoptados
con anterioridad, como el Reglamento (UE) 2022/868 de Gobernanza de Datos, que
incluye la regulación de los servicios de intermediación de datos (véase aquí).
En toda su complejidad el nuevo instrumento también refleja cómo el Derecho de Datos
desborda la tradicional caracterización del Derecho de protección de datos
personales como Derecho público. Más allá del papel determinante del Derecho
privado en relación con el derecho a indemnización previsto en el artículo 82
RGPD y los marcos contractuales de tratamiento de datos personales, componente
esencial del Reglamento de Datos son normas de Derecho contractual, incluyendo
algunas que representan una evolución significativa del Derecho de la UE, como las
relativas a cláusulas contractuales abusivas entre empresas, que buscan
complementar el acervo previo -singularmente la Directiva 93/13 sobre las cláusulas
abusivas- limitado a la protección de los consumidores, y otras muy
ilustrativas del verdadero significado de los llamados contratos inteligentes (o
smart contracts). Resulta aconsejable dividir esta aproximación al
Reglamento de Datos en cuatro entradas, limitando esta primera a una presentación
de su fundamento, contenido y ámbito de aplicación. En las tres posteriores se abordarán las siguientes cuestiones: puesta a disposición de los datos de productos y
servicios relacionados en favor de sus usuarios y de los destinatarios de datos (aquí);
cambio entre servicios de tratamiento de datos, interoperabilidad y regulación de los contratos inteligentes (aquí); y aplicación, ejecución y valoración del nuevo Reglamento (aquí).
I. Fundamentos
Componente
esencial de la economía digital, vinculado al desarrollo del llamado Internet
de las cosas, es la utilización masiva de productos conectados y servicios relacionados
que generan datos de todo tipo. Por ejemplo, información sobre las circunstancias
o el entorno en los que se emplean y de quienes los emplean, así como sus
resultados. Se trata de datos que pueden tener gran relevancia, por ejemplo,
para la mejora o reparación de esos productos, el desarrollo de otros nuevos o
el aprendizaje de algoritmos o por el valor inherente al conocimiento de todo
tipo de elementos asociados a su uso. Por lo tanto, no puede sorprender que la
expansión en todos los ámbitos de la economía del uso de productos conectados,
también por quienes no son personas físicas cuyos datos son objeto del RGPD, vaya
unida a la aparición de conflictos de intereses en lo relativo a los derechos
sobre los datos generados por el uso de esos productos, así como los regímenes
de intercambios de datos. Estos conflictos de intereses se intensifican a
medida que la relevancia económica de esos datos se incrementa. Un ejemplo
significativo, entre mucho otros, es la contraposición de intereses entre, de
una parte, los fabricantes de la moderna maquinaria agrícola, típicamente
conectada y capaz de generar valiosos datos sobre las circunstancias de su
utilización y las explotaciones en las que se emplea y, de otra parte, los titulares
de esas explotaciones usuarios de la maquinaria.
El
Reglamento de Datos tiene como propósito básico regular quién tiene derecho a
utilizar tales datos y en qué términos, así como el régimen de los intercambios
de datos. Parte de una concepción muy amplia del término “datos”, que se define
como “cualquier representación digital de actos, hechos o información y
cualquier compilación de tales actos, hechos o información, incluso en forma de
grabación sonora, visual o audiovisual” (art. 2.1 RD, que reitera con pequeñas
variaciones la definición del art. 2.1 del Reglamento 2022/868 de Gobernanza de
Datos). La concepción de los datos como digitalización de acciones, entre otros
elementos, resulta coherente con el objetivo básico del Reglamento de reconocer
a los usuarios de un producto conectado o servicio relacionado el derecho a
acceder a los datos que su uso genera, así como de compartirlos con terceros. Los
datos generados por el uso de un producto conectado (que ha sido diseñado por
el fabricante para que sean extraíbles) o de un servicio relacionado
comprendidos en el Reglamento de Datos son todos los datos brutos o primarios
que se generan automáticamente, así como los que han sido objeto de un
tratamiento destinados a hacerlos comprensibles o utilizables, pero no la
información derivada de tales datos resultado de inversiones adicionales (cdo.
15 RD).
El término “datos”
incluye los personales, cuya definición se remite a lo dispuesto en el artículo
4.1 RGPD (art. 2.3 RD). Por ello, resulta clave la interacción entre el nuevo
instrumento y la legislación sobre datos personales. El artículo 1.5 deja claro
que las normas del Reglamento de Datos deben entenderse sin perjuicio de lo
dispuesto en la legislación en materia de protección de datos personales, de la
intimidad y de la confidencialidad de las comunicaciones, con referencia expresa,
a título indicativo, al RGPD y a la Directiva 2002/58/CE. Además, en caso de
conflicto, prevé expresamente la subordinación del Reglamento de Datos al
Derecho de la Unión sobre protección de datos personales o de la intimidad y la
normativa nacional adoptada de conformidad con el mismo. En consecuencia,
cuando los usuarios de productos conectados o servicios relacionados sean “interesados”
en el sentido del artículo 4.1 RGPD (es decir, personas físicas identificadas o
identificables a las que se refiera la información en cuestión), debe estarse
con carácter preferente a lo dispuesto, en particular, en el RGPD, de modo que
en relación con el acceso a los datos y su portabilidad, las normas del
Reglamento de Datos complementan lo dispuesto en los artículos 15 y 20 RGPD (art.
1.5 RD). En otras situaciones, será relevante que el usuario del producto o servicio relacionado sea responsable del tratamiento de datos personales y deba, por lo tanto, cumplir con lo dispuesto en el RGPD, por ejemplo, en relación con el intercambio de tales datos.
Otras
definiciones del artículo 2 del Reglamento de Datos de especial relevancia al
introducir su contenido son las relativas a “producto conectado” y “servicio
relacionado”. Producto conectado es “un bien que obtiene, genera, o recoge
datos relativos a su uso o entorno y que puede comunicar datos del producto a
través de un servicio de comunicaciones electrónicas, una conexión física o un acceso
en el dispositivo y cuya función primaria no es el
almacenamiento, el tratamiento ni la transmisión de datos en nombre de alguien
que no sea el usuario” (art. 1.5). Por su parte, servicio relacionado es “un
servicio digital, distinto de un servicio de comunicaciones electrónicas,
incluido el software, que está conectado con el producto en el momento de la
compraventa, el alquiler o el arrendamiento, de tal manera que su ausencia impediría
al producto conectado realizar una o varias de sus funciones, o que el
fabricante o un tercero conecta posteriormente al producto para añadir,
actualizar o adaptar las funciones del producto conectado” (art. 1.6). Ejemplo
de bienes cuya función primaria es el almacenamiento, el tratamiento o la
transmisión de datos en nombre de terceros y que por lo tanto quedan al margen
de esa definición son los servidores o la infraestructura en la nube que
gestionen sus titulares íntegramente en nombre de terceros. Además, quedan al
margen del Reglamento de Datos los datos generados por productos conectados
cuando el usuario graba, transmite, o reproduce contenidos, así como los
propios contenidos, que con frecuencia están protegidos por derechos de
propiedad intelectual (cdo. 16 RD). Las referencias en el Reglamento a
productos conectados o servicios relacionados incluyen los asistentes virtuales,
en la medida en que interactúen con un producto conectado o servicio relacionado,
si bien los datos producidos por el asistente virtual que no estén relacionados
con el uso del producto o servicio en cuestión no se incluyen en el ámbito del Reglamento
(art. 1.4 y cdo. 23 RD).
El término “usuario”
comprende toda “persona física o jurídica que posee un producto conectado o a
la que se le han transferido por contrato derechos temporales de uso de dicho
producto” o que recibe servicios relacionados (art. 2.12 RD que debe ponerse en
relación con el art. 2.9 del Reglamento 2022/868 de Gobernanza de Datos), por
lo que no va referido solo a consumidores, es decir, personas físicas que actúan
con fines ajenos a su actividad comercial o profesional (art. 2.23 RD), de modo que en la práctica puede incluir grandes compañías, que también se beneficiarán del marco establecido en el Reglamento. Junto a
los usuarios, otras categorías especialmente relevantes en el marco del
Reglamento de Datos son las de “titular de datos” y “destinatario de datos”.
“Titular de
datos” es una persona física o jurídica que tiene el derecho o la obligación de
utilizar y poner a disposición datos, “incluidos, cuando se haya pactado
contractualmente, los datos del producto o los datos de servicios relacionados
que haya extraído o generado durante la prestación de un servicio relacionado”
(art. 2.13 RD construido sobre la base del art. 2.8 del Reglamento 2022/868 de
Gobernanza de Datos). En particular, el Reglamento de Datos impone a los
titulares de datos -que pueden ser, entre otros, los propios fabricantes de los
productos conectados, sus vendedores o arrendadores- ciertas obligaciones de
poner los datos generados a disposición de los usuarios y de terceros elegidos
por los usuarios. En la medida en que se traten datos personales, el titular de
los datos puede ser el “responsable del tratamiento” en el sentido del artículo
4.7 RGPD, resultando en todo caso determinante lo dispuesto en el RGPD, en
particular con respecto a la base jurídica del tratamiento (art. 6 RGPD) y con
respecto al derecho de acceso del interesado, sin que el Reglamento de Datos proporcione
una base jurídica adicional para el acceso a los datos personales por un
tercero. Los “encargados del tratamiento” (en el sentido de art. 4.8 RGPD) no actúan como titulares de datos, sin perjuicio de que el responsable del tratamiento pueda encomendarles que pongan ciertos datos a disposición (cdo. 22 RD).
Elemento
esencial del Reglamento de Datos es la regulación del derecho de los usuarios a
compartir datos no personales con destinatarios de datos también con fines
comerciales. A estos efectos el término “destinatario de datos” se concibe de
manera amplia, abarcando toda persona física o jurídica que actúa con un
propósito relacionado con su actividad comercial o profesional distinta del
usuario de un producto conectado o servicio relacionado, a disposición de la
cual el titular de datos pone los datos. Incluye los terceros a cuya
disposición el titular de datos debe poner datos a solicitud del usuario o de
conformidad con una obligación legal (art. 2.14 RD), como, por ejemplo, puede
ser el caso de una empresa a la que el usuario del producto conectado encarga
su mantenimiento o reparación.
II. Contenido
Tras las
disposiciones generales, relativas al objeto, ámbito de aplicación y
definiciones que integran su Capítulo I, el núcleo del Reglamento de Datos está
constituido por sus normas sobre la obligación de puesta a disposición de datos
de productos y de servicios relacionados en favor de sus usuarios, así
como la puesta a disposición de datos por parte de los titulares de datos en
favor de los destinatarios de datos, contenidas en sus capítulos II a IV.
Bajo el título
“intercambio de datos de empresa a consumidor y de empresa a empresa”, el
Capítulo II regula, en primer lugar, ciertas obligaciones de hacer accesibles para
el usuario los datos generados por el uso de productos o servicios relacionados
(art. 3). Fundamentalmente impone obligaciones relativas al diseño y
fabricación de los productos y a la prestación de servicios relacionados, para
que los datos sean fácilmente accesibles a sus usuarios, junto con obligaciones
de información precontractual respecto de los contratos de compra, alquiler o
arrendamiento de un producto o de un servicio relacionado. Como complemento de
lo anterior, el artículo 4 regula el derecho de los usuarios a acceder y
utilizar datos generados por el uso de productos o servicios relacionados, en
las situaciones en las que no puedan acceder directamente a los datos desde el
producto, imponiendo al titular obligaciones de puesta de tales datos a
disposición de los usuarios, así como límites a los usuarios y a los titulares
en relación con su empleo, incluidas salvaguardas con respecto a la
preservación de los secretos comerciales. Por su parte, el artículo 5 regula el
derecho de los usuarios a compartir los datos generados por su uso de un
producto o servicio relacionado con terceros, estableciendo las
correspondientes obligaciones de puesta a disposición por parte del titular,
así como la exclusión de los “guardianes de acceso”, en el sentido del Reglamento
de Mercados Digitales, como terceros elegibles a esos efectos. El artículo 6
establece los límites con los que los terceros que reciben los datos con base
en el artículo 5 deben tratarlos. En los términos del artículo 1.2.a) RD, las
normas de este capítulo II se aplican a los datos, excepto el contenido,
relativos al rendimiento, uso y entorno de los productos conectados y los
servicios relacionados. Conforme al artículo 7, las obligaciones del Capítulo
II no resultan de aplicación en los supuestos de uso de productos conectados
fabricados o diseñados o servicios relacionados prestados por una microempresa
o pequeña empresa, para evitar el sometimiento de éstas a un régimen que les puede resultar excesivamente gravoso.
El Capítulo
III regula el régimen de puesta a disposición de los datos del sector privado
por parte de sus titulares cuando se hallan obligados a ello en virtud del
artículo 5 o de otra norma de la Unión (o de legislación nacional en ejecución
del Derecho de la Unión), con el propósito de asegurar que las condiciones
aplicadas al destinatario son “justas, razonables y no discriminatorias” (art.
8.1). El criterio de base es que tales condiciones pueden ser acordadas entre
el titular y el destinatario siempre que no se trate de cláusulas abusivas
conforme a lo dispuesto en el Capítulo IV (art. 13) y respeten los derechos del
usuario en virtud del capítulo II (arts. 3 a 7). Estrechamente vinculado con el
Capítulo III aparece el Capítulo IV (art. 13), relativo a las cláusulas
abusivas entre empresas en relación con el acceso a los datos y su utilización.
La circunstancia de que las obligaciones de facilitar el acceso y poner a
disposición ciertos datos pueden entrar en conflicto con la protección de los
secretos comerciales y ciertos derechos de propiedad intelectual recibe
especial atención en los Capítulos II a IV.
El Capítulo V
(arts. 14 a 22) está dedicado a regular la puesta a disposición de datos del
sector privado por parte de los titulares de datos en favor de los organismos
del sector público, la Comisión, el Banco Central Europeo y los organismos de
la Unión en situaciones de necesidad excepcional. Estas obligaciones de puesta disposición
se fundamentan en la necesidad de esos organismos de disponer de tales datos
para el desempeño de alguna tarea específica realizada en interés público.
Las situaciones de necesidad especial en caso de emergencia pública determinada
o declarada con arreglo al Derecho de la Unión o nacional reciben un
tratamiento específico, con base en que el interés público derivado de la
utilización de datos debe prevalecer en esas situaciones sobre la libre
disposición de los titulares de datos, de modo que éstos deben estar obligados
a poner los datos a disposición de los organismos en cuestión. Cuando una
necesidad excepcional surge en situaciones en las que no existe emergencia
alguna, esos organismos únicamente pueden solicitar datos no personales y deben
demostrar que los datos son necesarios para la realización de alguna tarea
específica desempeñada en interés público que haya sido expresamente prevista
por la ley (art. 15 RD).
La facilitación del cambio entre
servicios de tratamiento de datos -como los servicios en la nube- por parte de sus clientes es el
objetivo básico perseguido por las normas del Capítulo VI del Reglamento de
Datos (arts. 23 a 31). Para ello, impone a los proveedores de servicios de
tratamiento de datos la adopción de medidas tendentes a eliminar los obstáculos
a un cambio efectivo entre tales servicios por parte de los clientes, complementando
el enfoque basado en el fomento de la autorregulación del Reglamento (UE)
2018/1807.
Por su parte,
el Capítulo VII del Reglamento de Datos introduce salvaguardias contra el
acceso ilícito de terceros a los datos no personales que se encuentran en la UE.
En concreto, el artículo 32 impone la adopción por los proveedores de servicios
de tratamiento de datos personales de medidas para impedir el acceso y la
transferencia internacionales y por parte de las administraciones públicas de
terceros países de datos no personales que se encuentren en la Unión, cuando
dicha transferencia o acceso entren en conflicto con el Derecho de la Unión o del
Estado miembro de que se trate, sin perjuicio de ciertas excepciones. Estas disposiciones
complementan el restrictivo marco en materia de transferencias internacionales
de datos personales a terceros países del capítulo V del RGPD, así como las
restricciones previstas en relación con los datos no personales en otros instrumentos
como el artículo 31 del Reglamento (UE) 2022/868 de Gobernanza de Datos.
El Capítulo
VIII pretende garantizar la interoperabilidad dentro de los espacios comunes
europeos de datos, incluyendo presunciones de conformidad con los requisitos de
interoperabilidad para soluciones que cumplan ciertas normas armonizadas.
Regula además la utilización de los contratos inteligentes como herramienta de
apoyo de la ejecución de acuerdos de intercambio de datos, poniendo de relieve
el carácter instrumental de esa figura y su subordinación en lo que respecta a
su régimen jurídico al acuerdo subyacente cuya ejecución automatizada hace
posible.
En particular,
en relación con los artículos 4 y 5, el artículo 43 del Reglamento de Datos (que
es el único que integra su Capítulo X) establece la no aplicación del derecho
sui generis del artículo 7 de la Directiva 96/9/CE si los datos son obtenidos o
generados por un producto conectado o servicio relacionado comprendido en el
ámbito de aplicación del Reglamento. En consecuencia, se aclara que los datos
generados mediante el uso de productos o servicios relacionados no quedan
comprendidos en ese derecho sui generis, cuyo objetivo es garantizar la
protección de una inversión en la obtención, verificación o presentación del
contenido de una base de datos. Esta aclaración pretende eliminar el riesgo de
que titulares de datos que están en bases de datos, obtenidos o generados por
medio de componentes como sensores, de un producto conectado y de un servicio
relacionado, reclamen el derecho sui generis obstaculizando el ejercicio del
derecho de los usuarios a acceder y utilizar los datos y el derecho a compartir
datos con terceros en virtud del Reglamento de Datos (cdo. 112).
A la ejecución
y aplicación del Reglamento está dedicado su Capítulo X. Entre las
disposiciones finales de su Capítulo XI, se encuentra su artículo 50 según el
cual el Reglamento de Datos será aplicable, sin perjuicio de ciertas
excepciones, a partir del 12 de septiembre de 2025.
III. Ámbito de aplicación
El ámbito de aplicación en su vertiente subjetiva
y territorial aparece recogido básicamente en el artículo 1.3 del Reglamento de
Datos. Con respecto a las obligación de hacer accesibles los datos de productos
conectados y de datos de servicios relacionados, así como de puesta a disposición de datos en favor de
sus usuarios y en favor de los destinatarios de datos, contenidas en sus
capítulos II a IV, resultan determinantes las previsiones sobre a qué fabricantes
de productos, proveedores de servicios relacionados, usuarios, titulares de
datos y destinatarios se aplica el Reglamento.
En
lo que respecta a los fabricantes de productos conectados y los proveedores de
servicios relacionados, lo determinante es la introducción por su parte en el
mercado de la Unión de los productos de que se trate, independientemente del
lugar de establecimiento de dichos fabricantes y proveedores (art. 1.3.a) RD).
El artículo 2.22 RD aclara que por “introducción en el mercado” se entiende la
primera comercialización de un producto conectado en el mercado de la Unión. La
aplicación con base en ese criterio, con independencia del establecimiento del
fabricante del producto o proveedor del servicio, es coherente con que el
Reglamento incluye obligaciones sobre el diseño y fabricación de los productos
y el diseño y prestación de los servicios en cuestión, y pretende salvaguardar
derechos de los usuarios “de la Unión” (sic) de tales productos y servicios. Esta circunstancia
condiciona que también con respecto a los titulares de datos el Reglamento se aplique,
con independencia de su lugar de establecimiento, cuando pongan datos “a
disposición de los destinatarios de datos de la Unión” (sic)
(art. 1.3.c) RD).
Por su parte,
con respecto a los “usuarios” se establece que es aplicable a los “usuarios de
la Unión” (sic) de los productos conectados introducidos en la Unión o
servicios relacionados (art. 1.3.b) RD). En lo relativo a los “destinatarios de
datos” se establece su aplicación a “los destinatarios de datos de la Unión a
cuya disposición se ponen datos (art. 1.3.c) RD). Cabe lamentar la deficiente
traducción al español de estas disposiciones, en la medida en que van referidas
a “usuarios de la Unión” o “destinatarios de la Unión”, categorías que serían
fuente de inseguridad jurídica en la medida en que el Reglamento no proporciona
ninguna precisión acerca de la vinculación con la Unión a la que se subordina la
consideración de un usuario o de un destinatario como “de la Unión”. En realidad,
la comparación con el texto del Reglamento en sus versiones inglesa, francesa,
alemana, italiana y portuguesa permite apreciar que se trata de un mero error
de traducción, pues los términos realmente utilizados en esos subapartados del
artículo 1.3 son “usuarios en la Unión” y “destinatarios en la Unión” y no los
recogidos en la deficiente traducción española. Llueve sobre mojado, habida
cuenta del notable error de traducción que en su momento se deslizó también en la
versión española del artículo 3.2 RGPD, relativo a su ámbito de aplicación
territorial, que en realidad va referido a al tratamiento de datos personales
de interesados que se encuentren en el territorio de la Unión, de modo que la
aplicación del RD respecto de los usuarios en la Unión resulta coherente con el
criterio del RGPD.
En relación con las normas del Capítulo VI del
Reglamento de Datos, sobre cambios entre servicios de tratamiento de datos,
resulta de especial relevancia la previsión de que este instrumento se aplica a
“los proveedores de servicios de tratamiento de datos, con independencia de su
lugar de establecimiento, que presten dichos servicios a clientes de la Unión”
(sic) (art. 1.3.f) RD). Teniendo en cuenta que cabe apreciar el mismo error de
traducción y que la norma en realidad, a la luz de las otras versiones
mencionadas, va referida a “clientes en la Unión”, el criterio adoptado resulta
coherente con el fundamento de las normas relativas a la prestación de esos
servicios que el Reglamento establece, destinadas a facilitar el cambio entre
tales servicios en el mercado de la Unión.
Lo
dispuesto en el artículo 1.3.g) del Reglamento de Datos va referido
especialmente al Capítulo VIII sobre interoperabilidad, en la medida en que
prevé la aplicación del Reglamento a “los participantes en espacios de datos y
proveedores de aplicaciones que utilicen contratos inteligentes y personas cuya
actividad comercial, empresarial o profesional implique el despliegue de contratos
inteligentes para terceros en el contexto de la ejecución de un acuerdo”. Cabe
lamentar que, a diferencia del resto de subapartados del artículo 1.3.g) este
inciso no incluya ningún elemento de conexión con la Unión como elemento
delimitador de su ámbito de aplicación internacional, lo que justificará volver
sobre esa cuestión al analizar el mencionado Capítulo VIII.
