miércoles, 3 de enero de 2024

Reglamento (UE) 2023/2854 de Datos (III): cambio entre servicios de tratamiento de datos, interoperabilidad y régimen de los contratos inteligentes

 

          Esta tercera entrada sobre el Reglamento (UE) 2023/2854 de Datos se centra en sus normas destinadas a facilitar que los clientes de servicios de tratamiento de datos puedan cambiar entre servicios prestados por diferentes proveedores, para mejorar la posición no solo de esos clientes sino también la eventual entrada de nuevos proveedores de esos servicios, como los de computación en la nube y en el borde (I, infra). Precisamente, en la medida en que acerca el tratamiento y almacenamiento de datos a los dispositivos que los generan, la llamada computación en el borde tiene gran relevancia en el contexto del llamado Internet de las cosas, fundamental también en relación con las cuestiones abordadas previamente en Reglamento. Además, la expansión de los modelos híbridos, con servicios que permiten desarrollar ciertas tareas en los dispositivos en el borde y otras en servidores diversos, dota de mayor relevancia al marco normativo para facilitar el cambio entre prestadores de esos servicios. Seguidamente, se abordarán las nuevas normas para favorecer la interoperabilidad de los datos, de los mecanismos y servicios de intercambio de datos (II, infra), con especial referencia a una de las herramientas para hacer posible esa interoperabilidad, como son los contratos inteligentes y su regulación en el Reglamento (III, infra).


I. Cambio entre servicios de tratamiento de datos

              El Capítulo VI del Reglamento de Datos (arts. 23 a 31) resulta de aplicación a los proveedores de servicios de tratamiento de datos, con independencia de su lugar de establecimiento, que presten dichos servicios a clientes en la Unión [art. 1.3.f) RD, sin la errata incluida en la traducción española], y tiene por objeto el “cambio entre servicios de tratamiento de datos”. Tanto el término “cambio” como la expresión “servicio de tratamiento de datos” figuran entre las definiciones del artículo 2 RD. “Servicio de tratamiento de datos” se define como “servicio digital que se presta a un cliente y que permite un acceso de red ubicuo y bajo demanda a un conjunto compartido de recursos informáticos configurables, modulables y elásticos de carácter centralizado, distribuido o muy distribuido, que puede movilizarse y liberarse rápidamente con un mínimo esfuerzo de gestión o interacción con el proveedor de servicios” (art. 2.8 RD). La referencia al carácter mínimo del esfuerzo de gestión o interacción con el proveedor se relaciona con la capacidad del cliente de autoabastecerse de capacidades de computación, como tiempo de servidor o almacenamiento en red, sin interacción humana por el proveedor. La referencia al posible carácter muy distribuido de los recursos se corresponde con la creciente relevancia de la computación en el borde en los modelos de negocio de servicios de computación en la nube (cdo. 80 RD). La categoría engloba principalmente tres modalidades de prestación de servicios bien conocidos en la práctica, como son los de infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS) (cdo. 81 RD).

La adopción de este marco normativo con un conjunto de obligaciones para los proveedores de servicios de tratamiento de datos, que permita cambiar entre prestadores manteniendo sin interrupción una funcionalidad mínima del servicio, se vincula con la falta de resultados para lograr ese objetivo de los mecanismos de autorregulación en esta materia por parte de los proveedores de servicios previstos en el artículo 6 el Reglamento (UE) 2018/1807 relativo a la libre circulación de datos no personales en la Unión Europea (cdo. 79 RD). Además, estas normas complementan las previstas en otros instrumentos, como el RGPD, cuyo art. 20 regula la portabilidad de datos personales (al que en España el art. 95 de la Ley Orgánica 3/2018 o LOPDPGDD añade un derecho de portabilidad de contenidos en servicios de redes sociales y servicios equivalentes). Destaca a estos efectos la obligación del guardián de acceso de garantizar la portabilidad efectiva de los datos establecida en el marco del Reglamento (UE) 2022/1925 de Mercados Digitales (RMD), en la medida en que entre las obligaciones de los guardianes de acceso que pueden ser especificadas con mayor detalle en virtud del artículo 8, se encuentra la de proporcionar “a los usuarios finales y a terceros autorizados por un usuario final, a petición de estos y de forma gratuita, la portabilidad efectiva de los datos proporcionados por el usuario final o generados por la actividad del usuario final en el contexto del uso del servicio básico de plataforma pertinente” (art. 6.9 RMD). Los servicios de tratamiento de datos son típicamente servicios digitales también a los efectos del Reglamento (UE) 2022/2065 de Servicios Digitales, si bien este instrumento no impone obligaciones significativas en esta materia a los prestadores de servicios de alojamiento de datos, categoría en la que típicamente encajarán los prestadores de servicios de tratamiento de datos. Por último, cabe reseñar que cuando se trate de contratos celebrados entre empresarios y consumidores los contratos de servicios de tratamiento de datos pueden ser contratos de suministro de servicios digitales a los efectos de la Directiva (UE) 2019/770 relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales, que atribuye derechos a los consumidores en relación con estos contratos que no deben verse afectados por lo dispuesto en el Reglamento de Datos (cdo. 94 RD).

El término “cambio” se define a los efectos del Reglamento de Datos como el proceso en el que intervienen un proveedor de servicios de tratamiento de datos de origen, un cliente de ese servicio y, en su caso, un proveedor de servicios de destino, en el que el cliente pasa de utilizar un servicio de tratamiento de datos a otro ofrecido por un proveedor de servicios de tratamiento de datos diferente, o a una infraestructura de TIC local (art. 2.34 RD). “Infraestructura TIC local” se define como la infraestructura de tecnologías de la comunicación e información y de los recursos informáticos propiedad del cliente, alquilados o arrendados por el cliente, situados en el centro de datos del propio cliente y gestionados por el cliente o por un tercero (art. 2.33 RD).

Como recogen los artículos 23 y 24 Reglamento de Datos, para facilitar el cambio de servicios de tratamiento de datos, su Capítulo VI impone a los proveedores de esos servicios de origen la adopción de un conjunto de medidas necesarias para que el cliente, incluso después de haberse beneficiado de una oferta gratuita, pueda resolver unilateralmente su contrato con el proveedor de origen, celebrar contratos nuevos con otros proveedores de servicios, transferir sus datos exportables y sus activos digitales a un proveedor diferente o a una infraestructura de TIC local, beneficiándose de la equivalencia funcional en el uso del nuevo servicio. A estos efectos, el término “activos digitales” debe entenderse como elementos en forma digital para los que el cliente tiene derecho de uso, incluidas las aplicaciones y metadatos relacionados con la configuración, así como los contenedores virtuales, que podrán transferirse en la medida en que el derecho de uso del cliente sea independiente de su relación contractual relativa al servicio de que se pretende cambiar (cdo. 83 y art. 2.32 RD). Por su parte, la noción de “equivalencia funcional” hace en este caso referencia al restablecimiento después del cambio de un nivel mínimo de funcionalidad en el entorno del nuevo servicio de destino cuando este proporcione resultados similares a los del servicio de origen (cdo. 86 y art. 2.37 RD, con la aclaración de que el RD no constituye una obligación de facilitar la equivalencia funcional para los proveedores distintos de los que ofrecen servicios del modelo de prestación IaaS).

El Reglamento de Datos incorpora reglas específicas acerca de elementos que deben figurar en el clausulado de los contratos de prestación de servicios de tratamiento de datos en relación con el cambio de proveedor de esos servicios, así como respecto de la forma de celebración del contrato. También incluye obligaciones para el proveedor de proporcionar información al cliente acerca de los procedimientos disponibles para el cambio (art. 26 RD), así como de transparencia contractual en materia de acceso y transferencias internacionales, que incluyen la exigencia de que informen en sus sitios web de la jurisdicción a la que está sujeta la infraestructura de TIC desplegada para el tratamiento de datos de sus servicios individuales (art. 28 RD). Con respecto a los costes exigibles por los proveedores de servicios de tratamiento de datos a sus clientes por el cambio, el Reglamento de Datos contempla su limitación hasta su definitiva supresión tres años después de su fecha de entrada en vigor, de modo que, a partir del 12 de enero de 2027, los proveedores no podrán imponer al cliente ningún coste por cambio por el proceso de cambio (art. 29.1).

En lo relativo a la forma de los contratos de prestación de servicios de tratamiento de datos, el artículo 25.1 RD exige que los derechos del cliente y las obligaciones del proveedor en relación con el cambio de proveedor se establezcan “con claridad en un contrato escrito”, debiendo el proveedor poner dicho contrato a disposición del cliente antes de su firma, de un modo que permita al cliente conservarlo y reproducirlo. Efectivamente, la exigencia de un contrato escrito requiere que en los contratos electrónicos se proporcione un registro duradero del acuerdo.

El resto del artículo 25 está dedicado a recoger los elementos que necesariamente deben figurar en el contrato, con la previsión expresa de que tales requisitos operan sin perjuicio de lo previsto en la Directiva (UE) 2019/770 relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales. En los contratos de suministro de servicios digitales celebrados entre empresarios y consumidores, esa Directiva impone obligaciones al empresario entre las que se encuentran, en caso de resolución del contrato, obligaciones de puesta a disposición del consumidor de contenidos, que no sean datos personales, que el consumidor haya facilitado o creado al utilizar los contenidos o servicios digitales suministrados por el empresario, sin cargo alguno para el consumidor, en un plazo razonable y en un formato utilizado habitualmente y legible electrónicamente (art. 16.4 Directiva (UE) 2019/770 y arts. 107 y 119 ter del texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios). Además, debe tenerse en cuenta que en relación con los datos personales del cliente, el empresario debe cumplir las obligaciones aplicables de conformidad con el RGPD.

Entre los elementos que como mínimo deben incluirse en el contrato, figuran cláusulas que permitan al cliente cambiar de servicio de tratamiento de datos sin demora indebida, fijándose que el plazo de preaviso no exceda de dos meses, y con las debidas garantías, que se reflejan en obligaciones del proveedor de prestar asistencia y actuar con diligencia en el proceso de cambio, manteniendo un elevado nivel de seguridad, así como de especificar las categorías de datos y activos digitales susceptibles de ser exportadas, los costes, y las circunstancias  cuya concurrencia resulta determinante de la resolución del contrato (art. 25.2 y 3 RD).  Además, el artículo 27 RD impone a todas las partes implicadas en el proceso de cambio la obligación de cooperar de buena fe para que el proceso de cambio sea eficaz, cuyo alcance se especifica con respecto a determinados aspectos técnicos del cambio en el artículo 30 RD. El Capítulo VI del Reglamento de Datos no establece normas sobre las consecuencias civiles del incumplimiento de estas obligaciones contractuales. Para incrementar la seguridad jurídica en la configuración de estos contratos, se hace referencia a la eventual importancia futura de la adopción de herramientas de autorregulación, como cláusulas contractuales estándar, y un Código normativo sobre computación en la nube por la Comisión (cdo. 96 RD).

II. Interoperabilidad

            A la interoperabilidad está específicamente dedicado el Capítulo VIII del Reglamento de Datos (arts. 33 a 36), si bien se trata de una cuestión estrechamente vinculada con el cambio entre servicios de tratamiento de datos, en la medida en que la interoperabilidad resulta determinante para el uso simultáneo de diversos servicios de tratamiento de datos con funcionalidades complementarias.  A los efectos de este instrumento, por “interoperabilidad” se entiende “la capacidad de dos o más espacios de datos o redes de comunicación, sistemas, productos conectados, aplicaciones, servicios de tratamiento de datos o componentes para intercambiar y utilizar datos con el fin de desempeñar sus funciones” (art. 2.40 RD).

El Capítulo VIII se centra en establecer ciertos requisitos esenciales de interoperabilidad -que pueden ser especificados por la Comisión en actos delegados- para favorecer el desarrollo de los espacios comunes de datos europeos, de modo que deben cumplirse por los participantes en espacios de datos que ofrezcan datos o servicios de datos a otros participantes; así como los objetivos que deben satisfacer y las cuestiones que debe abordar las especificaciones de interoperabilidad abiertas y las normas armonizadas para la interoperabilidad de los servicios de tratamiento de datos deberán (arts. 33 y 35 RD). Se trata de un marco en el que el desarrollo de especificaciones comunes y de normas técnicas armonizadas para el intercambio de datos resulta esencial. Por ello, se destaca la importancia de que el marco sobre normalización europea -contenido en el Reglamento (UE) 1025/2012- posibilite el desarrollo de especificaciones y normas técnicas abiertas en el ámbito de la interoperabilidad y la portabilidad en la nube, así como la posibilidad de que la Comisión mediante actos de ejecución pueda hacer obligatorio el uso de normas armonizadas de interoperabilidad o especificaciones comunes para tipos de servicios específicos. Se establece una presunción de cumplimiento de esos requisitos esenciales por los participantes en espacios de datos que cumplan las normas armonizadas correspondientes cuyas referencias se hayan publicado en el DOUE (cdo. 100 y art. 33.3 RD).

III. Contratos inteligentes

         Los contratos inteligentes son objeto de regulación en el Reglamento de Datos en tanto que herramientas para la ejecución automatizada de los acuerdos de intercambio de datos, por su utilidad para reducir los costes en transacciones periódicas o repetitivas en el marco de tales acuerdos (cdos. 47 y 104 y arts. 11.1 y 36 RD). Esa circunstancia se corresponde con que su regulación de los contratos inteligentes se limite a establecer requisitos esenciales para promover su interoperabilidad en tanto que herramientas para el intercambio de datos. Se trata de normas aplicables a los participantes en espacios de datos y proveedores de aplicaciones que utilicen contratos inteligentes y personas cuya actividad comercial implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de un acuerdo (art. 1.3.g) RM). Cabe entender que su alcance territorial viene determinado por el uso de tales herramientas para el intercambio de datos en el mercado de la Unión Europea, de conformidad con lo dispuesto en el Reglamento de Datos.

           Entre los requisitos esenciales de los contratos inteligentes para la ejecución de acuerdos de intercambio de datos cuyo cumplimiento debe garantizar el proveedor de una aplicación que utilice contratos inteligentes o, en su defecto, la persona cuya actividad comercial implique el despliegue de contratos inteligentes para terceros, se incluyen: unos mecanismos de control de acceso y un grado de solidez muy elevado con el fin de evitar errores funcionales y contrarrestar los intentos de manipulación; resolución unilateral e interrupción seguras, para garantizar que exista un mecanismo que permita poner fin a la ejecución de transacciones y reinicializar el contrato o darle instrucciones para para evitar futuras ejecuciones accidentales; archivo y continuidad de los datos de las transacciones, así como la lógica y el código del contrato inteligente, con el fin de llevar un registro de las operaciones con datos efectuadas previamente (auditabilidad); y coherencia, para garantizar la coherencia con las condiciones del acuerdo de intercambio de datos que ejecuta el contrato inteligente (art. 36.1 RD). Entre esos requisitos se destaca de manera específica el de garantizar que los contratos inteligentes se puedan interrumpir y resolver unilateralmente, que se vincula con el consentimiento mutuo de las partes en el acuerdo de intercambio de datos (cdo. 104) y condiciona la configuración de ese tipo de herramientas para la ejecución automatizada de prestaciones contractuales.

Como vía para acreditar el cumplimiento de esos requisitos esenciales se establece la exigencia de que el proveedor de un contrato inteligente o, en su defecto, la persona cuya actividad comercial implique el despliegue de estos contratos inteligentes para terceros, realice una evaluación de conformidad y expida una declaración UE de conformidad, pasando a ser responsable del cumplimiento de esos requisitos esenciales, todo ello con sujeción a los principios establecidos en el Reglamento (CE) 765/2008 sobre requisitos de acreditación y la Decisión 768/2008 sobre un marco común para la comercialización de productos (cdo. 105 y art. 36 RM). Además, el artículo 36 RM establece la presunción de que un contrato inteligente que se atenga a las normas armonizadas cuyas referencias se hayan publicado en el DOUE es conforme con esos requisitos esenciales, así como la previsión de que la Comisión solicite a organizaciones europeas de normalización la elaboración de normas armonizadas que cumplan esos requisitos esenciales, que pueden ser objeto de ulterior especificación mediante actos de ejecución de la Comisión. 

             Más allá del alcance específico de estas disposiciones, la definición de “contrato inteligente” en el Reglamento de Datos y el enfoque regulatorio de ese instrumento sobre este particular resulta de gran utilidad para apreciar la verdadera naturaleza de esta figura.  Con carácter previo, cabe apuntar que la definición de “contrato inteligente” ha evolucionado entre la Propuesta inicial de la Comisión -donde se definía como “programa informático almacenado en un sistema de registro electrónico en el que el resultado de la ejecución del programa se registra en el libro mayor electrónico” (art. 2.16 de la Propuesta de Reglamento de Datos de 23.2.2022, COM(2022) 68 final )- y la versión final del Reglamento, entre otros elementos, para proporcionar una definición tecnológicamente neutra. Así se refleja en la indicación en la versión final del Reglamento, de que los contratos inteligentes, “por ejemplo, pueden estar conectados a un libro mayor electrónico” (cdo. 104, poniendo de relieve que no cabe excluir el empleo de otro tipo de tecnologías). En concreto, “contrato inteligente” se define finalmente a los efectos del Reglamento de Datos como “programa informático utilizado para la ejecución automatizada de un acuerdo o de parte de este, que utiliza una secuencia de registros electrónicos de datos y garantiza su integridad y la exactitud de su orden cronológico” (art. 2.39 RM).

           La definición deja claro que pese a la denominación de “contrato inteligente”, se trata en realidad de una mera herramienta informática para la ejecución automática de (ciertas obligaciones) de un acuerdo subyacente. Muy ilustrativo al respecto resulta también el artículo 36.1.e) RM, al fijar como uno de los requisitos esenciales que deben cumplir los contratos inteligentes para el intercambio electrónico de datos el de coherencia, consistente en garantizar la coherencia del contrato inteligente con las condiciones del acuerdo de intercambio de datos que ejecuta. En consecuencia, el verdadero contrato es en todos estos casos el acuerdo subyacente de intercambio de datos (algunas de) cuyas obligaciones se ejecutan de manera automática mediante ese programa informático denominado contrato inteligente. No resulta, por tanto, ninguna sorpresa que con respecto al régimen jurídico aplicable el Reglamento de Datos se limite a constatar que el uso de contratos inteligentes para automatizar la ejecución de (obligaciones de) los acuerdos de intercambio de datos no afecta a la “aplicabilidad de las normas pertinentes de la normativa civil, contractual y de protección de los consumidores” a tales acuerdos (cdo. 104 RM).