Esta
tercera entrada sobre el Reglamento (UE) 2023/2854 de Datos se centra en sus
normas destinadas a facilitar que los clientes de servicios de tratamiento de
datos puedan cambiar entre servicios prestados por diferentes proveedores, para
mejorar la posición no solo de esos clientes sino también la eventual entrada de
nuevos proveedores de esos servicios, como los de computación en la nube y en
el borde (I, infra). Precisamente, en la medida en que acerca el tratamiento y
almacenamiento de datos a los dispositivos que los generan, la llamada
computación en el borde tiene gran relevancia en el contexto del llamado
Internet de las cosas, fundamental también en relación con las cuestiones
abordadas previamente en Reglamento. Además, la expansión de los modelos
híbridos, con servicios que permiten desarrollar ciertas tareas en los
dispositivos en el borde y otras en servidores diversos, dota de mayor
relevancia al marco normativo para facilitar el cambio entre prestadores de
esos servicios. Seguidamente, se abordarán las nuevas normas para favorecer la
interoperabilidad de los datos, de los mecanismos y servicios de intercambio de
datos (II, infra), con especial referencia a una de las herramientas para hacer
posible esa interoperabilidad, como son los contratos inteligentes y su
regulación en el Reglamento (III, infra).
I. Cambio entre servicios de
tratamiento de datos
El
Capítulo VI del Reglamento de Datos (arts. 23 a 31) resulta de aplicación a los
proveedores de servicios de tratamiento de datos, con independencia de su lugar
de establecimiento, que presten dichos servicios a clientes en la Unión [art.
1.3.f) RD, sin la errata incluida en la traducción española], y tiene por objeto
el “cambio entre servicios de tratamiento de datos”. Tanto el término “cambio”
como la expresión “servicio de tratamiento de datos” figuran entre las
definiciones del artículo 2 RD. “Servicio de tratamiento de datos” se define
como “servicio digital que se presta a un cliente y que permite un acceso de
red ubicuo y bajo demanda a un conjunto compartido de recursos informáticos
configurables, modulables y elásticos de carácter centralizado, distribuido o
muy distribuido, que puede movilizarse y liberarse rápidamente con un mínimo
esfuerzo de gestión o interacción con el proveedor de servicios” (art. 2.8 RD).
La referencia al carácter mínimo del esfuerzo de gestión o interacción con el
proveedor se relaciona con la capacidad del cliente de autoabastecerse de
capacidades de computación, como tiempo de servidor o almacenamiento en red,
sin interacción humana por el proveedor. La referencia al posible carácter muy
distribuido de los recursos se corresponde con la creciente relevancia de la
computación en el borde en los modelos de negocio de servicios de computación
en la nube (cdo. 80 RD). La categoría engloba principalmente tres modalidades
de prestación de servicios bien conocidos en la práctica, como son los de
infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y
software como servicio (SaaS) (cdo. 81 RD).
La adopción de
este marco normativo con un conjunto de obligaciones para los proveedores de
servicios de tratamiento de datos, que permita cambiar entre prestadores
manteniendo sin interrupción una funcionalidad mínima del servicio, se vincula
con la falta de resultados para lograr ese objetivo de los mecanismos de
autorregulación en esta materia por parte de los proveedores de servicios
previstos en el artículo 6 el Reglamento (UE) 2018/1807 relativo a la libre
circulación de datos no personales en la Unión Europea (cdo. 79 RD). Además,
estas normas complementan las previstas en otros instrumentos, como el RGPD,
cuyo art. 20 regula la portabilidad de datos personales (al que en España el art.
95 de la Ley Orgánica 3/2018 o LOPDPGDD añade un derecho de portabilidad de
contenidos en servicios de redes sociales y servicios equivalentes). Destaca a
estos efectos la obligación del guardián de acceso de garantizar la
portabilidad efectiva de los datos establecida en el marco del Reglamento (UE)
2022/1925 de Mercados Digitales (RMD), en la medida en que entre las
obligaciones de los guardianes de acceso que pueden ser especificadas con mayor
detalle en virtud del artículo 8, se encuentra la de proporcionar “a los
usuarios finales y a terceros autorizados por un usuario final, a petición de
estos y de forma gratuita, la portabilidad efectiva de los datos proporcionados
por el usuario final o generados por la actividad del usuario final en el
contexto del uso del servicio básico de plataforma pertinente” (art. 6.9 RMD).
Los servicios de tratamiento de datos son típicamente servicios digitales
también a los efectos del Reglamento (UE) 2022/2065 de Servicios Digitales, si
bien este instrumento no impone obligaciones significativas en esta materia a
los prestadores de servicios de alojamiento de datos, categoría en la que
típicamente encajarán los prestadores de servicios de tratamiento de datos. Por
último, cabe reseñar que cuando se trate de contratos celebrados entre
empresarios y consumidores los contratos de servicios de tratamiento de datos
pueden ser contratos de suministro de servicios digitales a los efectos de la
Directiva (UE) 2019/770 relativa a determinados aspectos de los contratos de
suministro de contenidos y servicios digitales, que atribuye derechos a los
consumidores en relación con estos contratos que no deben verse afectados por
lo dispuesto en el Reglamento de Datos (cdo. 94 RD).
El término
“cambio” se define a los efectos del Reglamento de Datos como el proceso en el
que intervienen un proveedor de servicios de tratamiento de datos de origen, un
cliente de ese servicio y, en su caso, un proveedor de servicios de destino, en
el que el cliente pasa de utilizar un servicio de tratamiento de datos a otro
ofrecido por un proveedor de servicios de tratamiento de datos diferente, o a
una infraestructura de TIC local (art. 2.34 RD). “Infraestructura TIC local” se
define como la infraestructura de tecnologías de la comunicación e información
y de los recursos informáticos propiedad del cliente, alquilados o arrendados
por el cliente, situados en el centro de datos del propio cliente y gestionados
por el cliente o por un tercero (art. 2.33 RD).
Como recogen
los artículos 23 y 24 Reglamento de Datos, para facilitar el cambio de
servicios de tratamiento de datos, su Capítulo VI impone a los proveedores de
esos servicios de origen la adopción de un conjunto de medidas necesarias para
que el cliente, incluso después de haberse beneficiado de una oferta gratuita,
pueda resolver unilateralmente su contrato con el proveedor de origen, celebrar
contratos nuevos con otros proveedores de servicios, transferir sus datos
exportables y sus activos digitales a un proveedor diferente o a una
infraestructura de TIC local, beneficiándose de la equivalencia funcional en el
uso del nuevo servicio. A estos efectos, el término “activos digitales” debe
entenderse como elementos en forma digital para los que el cliente tiene
derecho de uso, incluidas las aplicaciones y metadatos relacionados con la
configuración, así como los contenedores virtuales, que podrán transferirse en
la medida en que el derecho de uso del cliente sea independiente de su relación
contractual relativa al servicio de que se pretende cambiar (cdo. 83 y art.
2.32 RD). Por su parte, la noción de “equivalencia funcional” hace en este caso
referencia al restablecimiento después del cambio de un nivel mínimo de
funcionalidad en el entorno del nuevo servicio de destino cuando este
proporcione resultados similares a los del servicio de origen (cdo. 86 y art.
2.37 RD, con la aclaración de que el RD no constituye una obligación de
facilitar la equivalencia funcional para los proveedores distintos de los que
ofrecen servicios del modelo de prestación IaaS).
El Reglamento
de Datos incorpora reglas específicas acerca de elementos que deben figurar en
el clausulado de los contratos de prestación de servicios de tratamiento de
datos en relación con el cambio de proveedor de esos servicios, así como
respecto de la forma de celebración del contrato. También incluye obligaciones
para el proveedor de proporcionar información al cliente acerca de los
procedimientos disponibles para el cambio (art. 26 RD), así como de
transparencia contractual en materia de acceso y transferencias internacionales,
que incluyen la exigencia de que informen en sus sitios web de la jurisdicción
a la que está sujeta la infraestructura de TIC desplegada para el tratamiento
de datos de sus servicios individuales (art. 28 RD). Con respecto a los costes
exigibles por los proveedores de servicios de tratamiento de datos a sus
clientes por el cambio, el Reglamento de Datos contempla su limitación hasta su
definitiva supresión tres años después de su fecha de entrada en vigor, de modo
que, a partir del 12 de enero de 2027, los proveedores no podrán imponer al
cliente ningún coste por cambio por el proceso de cambio (art. 29.1).
En lo relativo
a la forma de los contratos de prestación de servicios de tratamiento de datos,
el artículo 25.1 RD exige que los derechos del cliente y las obligaciones del
proveedor en relación con el cambio de proveedor se establezcan “con claridad
en un contrato escrito”, debiendo el proveedor poner dicho contrato a disposición
del cliente antes de su firma, de un modo que permita al cliente conservarlo y
reproducirlo. Efectivamente, la exigencia de un contrato escrito requiere que
en los contratos electrónicos se proporcione un registro duradero del acuerdo.
El resto del artículo
25 está dedicado a recoger los elementos que necesariamente deben figurar en el
contrato, con la previsión expresa de que tales requisitos operan sin perjuicio
de lo previsto en la Directiva (UE) 2019/770 relativa a determinados aspectos
de los contratos de suministro de contenidos y servicios digitales. En los
contratos de suministro de servicios digitales celebrados entre empresarios y
consumidores, esa Directiva impone obligaciones al empresario entre las que se
encuentran, en caso de resolución del contrato, obligaciones de puesta a
disposición del consumidor de contenidos, que no sean datos personales, que el
consumidor haya facilitado o creado al utilizar los contenidos o servicios
digitales suministrados por el empresario, sin cargo alguno para el consumidor,
en un plazo razonable y en un formato utilizado habitualmente y legible
electrónicamente (art. 16.4 Directiva (UE) 2019/770 y arts. 107 y 119 ter del texto
refundido de la Ley General para la Defensa de los Consumidores y Usuarios). Además,
debe tenerse en cuenta que en relación con los datos personales del cliente, el
empresario debe cumplir las obligaciones aplicables de conformidad con el RGPD.
Entre los
elementos que como mínimo deben incluirse en el contrato, figuran cláusulas que
permitan al cliente cambiar de servicio de tratamiento de datos sin demora
indebida, fijándose que el plazo de preaviso no exceda de dos meses, y con las
debidas garantías, que se reflejan en obligaciones del proveedor de prestar
asistencia y actuar con diligencia en el proceso de cambio, manteniendo un
elevado nivel de seguridad, así como de especificar las categorías de datos y
activos digitales susceptibles de ser exportadas, los costes, y las
circunstancias cuya concurrencia resulta
determinante de la resolución del contrato (art. 25.2 y 3 RD). Además, el artículo 27 RD impone a todas las
partes implicadas en el proceso de cambio la obligación de cooperar de buena fe
para que el proceso de cambio sea eficaz, cuyo alcance se especifica con
respecto a determinados aspectos técnicos del cambio en el artículo 30 RD. El
Capítulo VI del Reglamento de Datos no establece normas sobre las consecuencias
civiles del incumplimiento de estas obligaciones contractuales. Para
incrementar la seguridad jurídica en la configuración de estos contratos, se
hace referencia a la eventual importancia futura de la adopción de herramientas
de autorregulación, como cláusulas contractuales estándar, y un Código
normativo sobre computación en la nube por la Comisión (cdo. 96 RD).
II. Interoperabilidad
A
la interoperabilidad está específicamente dedicado el Capítulo VIII del
Reglamento de Datos (arts. 33 a 36), si bien se trata de una cuestión
estrechamente vinculada con el cambio entre servicios de tratamiento de datos,
en la medida en que la interoperabilidad resulta determinante para el uso
simultáneo de diversos servicios de tratamiento de datos con funcionalidades
complementarias. A los efectos de este
instrumento, por “interoperabilidad” se entiende “la capacidad de dos o más
espacios de datos o redes de comunicación, sistemas, productos conectados,
aplicaciones, servicios de tratamiento de datos o componentes para intercambiar
y utilizar datos con el fin de desempeñar sus funciones” (art. 2.40 RD).
El Capítulo
VIII se centra en establecer ciertos requisitos esenciales de interoperabilidad
-que pueden ser especificados por la Comisión en actos delegados- para
favorecer el desarrollo de los espacios comunes de datos europeos, de modo que
deben cumplirse por los participantes en espacios de datos que ofrezcan datos o
servicios de datos a otros participantes; así como los objetivos que deben
satisfacer y las cuestiones que debe abordar las especificaciones de
interoperabilidad abiertas y las normas armonizadas para la interoperabilidad
de los servicios de tratamiento de datos deberán (arts. 33 y 35 RD). Se trata
de un marco en el que el desarrollo de especificaciones comunes y de normas
técnicas armonizadas para el intercambio de datos resulta esencial. Por ello,
se destaca la importancia de que el marco sobre normalización europea
-contenido en el Reglamento (UE) 1025/2012- posibilite el desarrollo de
especificaciones y normas técnicas abiertas en el ámbito de la
interoperabilidad y la portabilidad en la nube, así como la posibilidad de que
la Comisión mediante actos de ejecución pueda hacer obligatorio el uso de
normas armonizadas de interoperabilidad o especificaciones comunes para tipos
de servicios específicos. Se establece una presunción de cumplimiento de esos
requisitos esenciales por los participantes en espacios de datos que cumplan
las normas armonizadas correspondientes cuyas referencias se hayan publicado en
el DOUE (cdo. 100 y art. 33.3 RD).
III. Contratos inteligentes
Los
contratos inteligentes son objeto de regulación en el Reglamento de Datos en
tanto que herramientas para la ejecución automatizada de los acuerdos de
intercambio de datos, por su utilidad para reducir los costes en transacciones
periódicas o repetitivas en el marco de tales acuerdos (cdos. 47 y 104 y arts.
11.1 y 36 RD). Esa circunstancia se corresponde con que su regulación de los
contratos inteligentes se limite a establecer requisitos esenciales para
promover su interoperabilidad en tanto que herramientas para el intercambio de
datos. Se trata de normas aplicables a los participantes en espacios de datos y
proveedores de aplicaciones que utilicen contratos inteligentes y personas cuya
actividad comercial implique el despliegue de contratos inteligentes para
terceros en el contexto de la ejecución de un acuerdo (art. 1.3.g) RM). Cabe
entender que su alcance territorial viene determinado por el uso de tales
herramientas para el intercambio de datos en el mercado de la Unión Europea, de
conformidad con lo dispuesto en el Reglamento de Datos.
Entre
los requisitos esenciales de los contratos inteligentes para la ejecución de
acuerdos de intercambio de datos cuyo cumplimiento debe garantizar el proveedor
de una aplicación que utilice contratos inteligentes o, en su defecto, la
persona cuya actividad comercial implique el despliegue de contratos
inteligentes para terceros, se incluyen: unos mecanismos de control de acceso y
un grado de solidez muy elevado con el fin de evitar errores funcionales y
contrarrestar los intentos de manipulación; resolución unilateral e
interrupción seguras, para garantizar que exista un mecanismo que permita poner
fin a la ejecución de transacciones y reinicializar el contrato o darle
instrucciones para para evitar futuras ejecuciones accidentales; archivo y
continuidad de los datos de las transacciones, así como la lógica y el código
del contrato inteligente, con el fin de llevar un registro de las operaciones
con datos efectuadas previamente (auditabilidad); y coherencia, para garantizar
la coherencia con las condiciones del acuerdo de intercambio de datos que
ejecuta el contrato inteligente (art. 36.1 RD). Entre esos requisitos se
destaca de manera específica el de garantizar que los contratos inteligentes se
puedan interrumpir y resolver unilateralmente, que se vincula con el consentimiento
mutuo de las partes en el acuerdo de intercambio de datos (cdo. 104) y
condiciona la configuración de ese tipo de herramientas para la ejecución
automatizada de prestaciones contractuales.
Como vía para
acreditar el cumplimiento de esos requisitos esenciales se establece la
exigencia de que el proveedor de un contrato inteligente o, en su defecto, la
persona cuya actividad comercial implique el despliegue de estos contratos
inteligentes para terceros, realice una evaluación de conformidad y expida una
declaración UE de conformidad, pasando a ser responsable del cumplimiento de
esos requisitos esenciales, todo ello con sujeción a los principios
establecidos en el Reglamento (CE) 765/2008 sobre requisitos de acreditación y
la Decisión 768/2008 sobre un marco común para la comercialización de productos
(cdo. 105 y art. 36 RM). Además, el artículo 36 RM establece la presunción de
que un contrato inteligente que se atenga a las normas armonizadas cuyas
referencias se hayan publicado en el DOUE es conforme con esos requisitos
esenciales, así como la previsión de que la Comisión solicite a organizaciones
europeas de normalización la elaboración de normas armonizadas que cumplan esos
requisitos esenciales, que pueden ser objeto de ulterior especificación
mediante actos de ejecución de la Comisión.
Más
allá del alcance específico de estas disposiciones, la definición de “contrato inteligente” en el Reglamento de Datos y el enfoque regulatorio de ese
instrumento sobre este particular resulta de gran utilidad para apreciar la
verdadera naturaleza de esta figura. Con
carácter previo, cabe apuntar que la definición de “contrato inteligente” ha
evolucionado entre la Propuesta inicial de la Comisión -donde se definía como “programa
informático almacenado en un sistema de registro electrónico en el que el
resultado de la ejecución del programa se registra en el libro mayor
electrónico” (art. 2.16 de la Propuesta de Reglamento de Datos de 23.2.2022,
COM(2022) 68 final )- y la versión final del Reglamento, entre otros elementos,
para proporcionar una definición tecnológicamente neutra. Así se refleja en la
indicación en la versión final del Reglamento, de que los contratos
inteligentes, “por ejemplo, pueden estar conectados a un libro mayor
electrónico” (cdo. 104, poniendo de relieve que no cabe excluir el empleo de
otro tipo de tecnologías). En concreto, “contrato inteligente” se define
finalmente a los efectos del Reglamento de Datos como “programa informático
utilizado para la ejecución automatizada de un acuerdo o de parte de este, que
utiliza una secuencia de registros electrónicos de datos y garantiza su
integridad y la exactitud de su orden cronológico” (art. 2.39 RM).
La
definición deja claro que pese a la denominación de “contrato inteligente”, se
trata en realidad de una mera herramienta informática para la ejecución
automática de (ciertas obligaciones) de un acuerdo subyacente. Muy ilustrativo
al respecto resulta también el artículo 36.1.e) RM, al fijar como uno de los requisitos
esenciales que deben cumplir los contratos inteligentes para el intercambio
electrónico de datos el de coherencia, consistente en garantizar la coherencia
del contrato inteligente con las condiciones del acuerdo de intercambio de
datos que ejecuta. En consecuencia, el verdadero contrato es en todos estos
casos el acuerdo subyacente de intercambio de datos (algunas de) cuyas
obligaciones se ejecutan de manera automática mediante ese programa informático
denominado contrato inteligente. No resulta, por tanto, ninguna sorpresa que
con respecto al régimen jurídico aplicable el Reglamento de Datos se limite a
constatar que el uso de contratos inteligentes para automatizar la ejecución de
(obligaciones de) los acuerdos de intercambio de datos no afecta a la
“aplicabilidad de las normas pertinentes de la normativa civil, contractual y
de protección de los consumidores” a tales acuerdos (cdo. 104 RM).