A
la aplicación y ejecución del Reglamento de Datos está dedicado su Capítulo IX
(arts. 37 a 42), que se limita a establecer el marco general de su tutela
jurídico-pública, atribuida básicamente a autoridades de los Estados miembros. Junto
a esas cuestiones (I, infra), esta última entrada sobre el Reglamento
incluye una referencia a la eventual aplicación privada de este instrumento, en
el que las normas de Derecho contractual son un componente tan importante (II, infra),
junto con una reflexión final de conjunto sobre la eficacia del Reglamento
(III, infra).
I. Tutela pública
El Capítulo IX
del Reglamento prevé que cada Estado miembro designe una o varias autoridades
nacionales competentes para garantizar la aplicación y ejecución del
Reglamento, para lo que pueden recurrir a autoridades existentes (art. 37.1 RD).
Se prevé que la autoridad competente para la aplicación y ejecución de las
normas sobre cambio entre servicios de tratamiento de datos e interoperabilidad
tenga experiencia en el ámbito de los datos y los servicios de comunicaciones
electrónicas [art. 37.4.b) RD]. En caso de designar más de una, el Estado
miembro tendrá que designar entre ellas a un coordinador de datos (art. 37.2 RD),
quien actuará como punto de contacto único para todas las cuestiones
relacionadas con la aplicación del Reglamento [art. 37.6.a) RD]. No obstante,
en lo que respecta a la protección de datos personales, la supervisión de la
aplicación del Reglamento de Datos se atribuye a las autoridades de control
previstas en el RGPD, que actuaran conforme a lo dispuesto en este instrumento
(art. 37.3 RD con remisión a los capítulos VI y VII RGPD). La eventual
competencia de varias autoridades incluso de un mismo Estado respecto de una
misma conducta puede plantear dificultades, aunque se prevén obligaciones de
cooperación entre ellas.
El
artículo 37.5 RD proporciona una enumeración de las funciones y competencias
que han de tener las autoridades competentes, entre las que se incluyen:
tramitar e investigar las denuncias derivadas de supuestas infracciones del
Reglamento; llevar a cabo investigaciones sobre asuntos que afecten a la aplicación
Reglamento; imponer sanciones económicas o iniciar procedimientos judiciales
para la imposición de multas; cooperar con las autoridades competentes de otros
Estados miembros y con la Comisión o el Comité Europeo de Innovación en materia
de Datos (CEID) establecido por el Reglamento (UE) 2022/868. Con respecto a las
sanciones, sin perjuicio de la aplicación del RGPD en materia de infracciones
de datos personales, el artículo 40 RD se limita a establecer que corresponde a
los Estados miembros establecer las sanciones, que serán efectivas,
proporcionadas y disuasorias, así como a proporcionar ciertos criterios
generales no exhaustivos que los Estados miembros deben tener en cuenta en lo
que respecta a su imposición.
En
lo relativo a la determinación de la competencia para la aplicación y ejecución
del Reglamento de Datos, se prevé que corresponde al Estado miembro en el que
se encuentre establecida la entidad correspondiente, por ejemplo, fabricante de
productos conectados, proveedor de servicios relacionados, titular de datos,
proveedor de servicios de tratamiento de datos o participante en espacios de
datos. Cuando la entidad está establecida en un más de un Estado miembro, la
competencia se atribuye a la del establecimiento principal, entendido como el
lugar en el que la entidad tiene su domicilio social o administración central,
desde el que se ejerza las principales funciones financieras y el control
operativo (art. 37.10 RD). Tratándose de entidades no establecidas en la Unión,
la competencia se atribuye al Estado miembro en el que se encuentra el
representante legal que haya designado, y a falta de tal designación, todos los
Estados miembros tienen competencia para garantizar la aplicación y ejecución
del Reglamento (art. 37.11 a 13 RD).
Para
salvaguardar la posición de los interesados en presentar reclamaciones, pese a
que la competencia corresponda a las autoridades del Estado miembro de
establecimiento de la entidad, el artículo 38 RD atribuye a toda persona el
derecho a presentar una reclamación individual o, cuando proceda, colectiva
ante la autoridad competente del Estado miembro en el que tenga su residencia
habitual, su lugar de trabajo o su lugar de establecimiento cuando considere
que los derechos que le confiere el Reglamento de Datos han sido vulnerados,
sin perjuicio de cualquier otro recurso administrativo o acción judicial. Se
prevé, además, que la autoridad competente ante la que se ha presentado la
reclamación debe informar al reclamante, sobre el curso del procedimiento y la
decisión tomada. Por su parte, el artículo 39 RD, establece el derecho de toda
persona afectada a una tutela judicial efectiva en lo que respecta a las
decisiones jurídicamente vinculantes adoptadas por las autoridades competentes.
Cuando una autoridad competente no dé curso a una reclamación, cualquier
persona afectada tendrá derecho, de conformidad con el Derecho nacional, a la
tutela judicial efectiva o acceso a revisión por un órgano imparcial con
conocimientos especializados adecuados. Con respecto a la competencia, se prevé
que estos recursos se dirimirán ante los órganos jurisdiccionales del Estado
miembro de la autoridad competente contra la cual se interponga el recurso
correspondiente. En la práctica, pueden presentarse dificultades para los
afectados que han presentado una reclamación ante el Estado miembro de su
residencia habitual, pero frente a una entidad establecida en otro Estado
miembro, de modo que la competencia recae en esta última, por lo que los
eventuales recursos deben presentarse también ante los tribunales de ese otro
Estado miembro. No existe en el RD una disposición equivalente a la del
artículo 60.8 RGPD, que facilita que el recurso jurisdiccional se pueda
interponer ante los tribunales de la autoridad competente ante la que el afectado
presentó la reclamación.
II. Tutela privada
Pese
a la importancia de las normas de Derecho privado contractual en el contenido
del Reglamento de Datos, su Capítulo IX, relativo a su aplicación y ejecución,
no incorpora ninguna disposición acerca de los mecanismos de tutela de Derecho
privado. Además, a diferencia de otros instrumentos recientes, como el propio
RGPD (arts. 79, 80 y 82) o el Reglamento (UE) 2022/2065 de Servicios Digitales
(art. 54), el Reglamento de Datos no regula el derecho de los afectados que
consideren que los derechos que le confiere este Reglamento han sido vulnerados
ha solicitar una indemnización con cargo a las entidades sometidas al
Reglamento por cualquier daño o perjuicio sufrido como consecuencia de su
incumplimiento de sus obligaciones en virtud del Reglamento.
Esa
ausencia de previsiones en el Capítulo IX no se ve compensada por lo dispuesto
en otros capítulos del Reglamento de Datos. Especial atención se presta en el
resto del Reglamento a tratar de garantizar el acceso a formas alternativas de
litigios, con respecto a los que puedan surgir tanto en relación con los derechos
y obligaciones de los usuarios y titulares de datos respecto del acceso,
utilización y puesta a disposición de los datos de productos y de los datos de
servicios relacionados, como con el derecho del usuario a compartir datos con
terceros, y las obligaciones de los titulares de datos obligados a poner los
datos a disposición. Así resulta de lo dispuesto en particular en los artículos
4, 5 y 10, dedicado este último específicamente al régimen de esos órganos
extrajudiciales de resolución de litigios y su certificación por los Estados
miembros. Sin perjuicio de la relevancia de la promoción de las vías
extrajudiciales, no cabe perder de vista otros precedentes en los que
iniciativas de este tipo han tenido una escasa relevancia práctica. Ilustrativa
al respecto resulta la Propuesta de Reglamento por el que se deroga el
Reglamento (UE) n.º 524/2013 y se modifican los Reglamentos (UE) 2017/2394 y
(UE) 2018/1724 en lo que respecta a la desaparición de la plataforma europea de
resolución de litigios en línea, de 17 de octubre de 2023 [COM(2023) 647 final].
Por
lo demás, con respecto a la eventual tutela privada de las normas contractuales
de los capítulos II, III y IV, el Reglamento de Datos aparece construido sobre
la asunción de que en último extremo siempre serán en todo caso competentes los
tribunales de algún Estado miembro. Resultan ilustrativas a este respecto,
entre otras, las referencias del artículo 4.3 y 9 al “derecho del usuario a
recurrir, en cualquier fase, ante un órgano jurisdiccional de un Estado miembro”,
así como la referencia similar del artículo 5.12 en relación con el tercero a
cuya disposición deben ponerse datos, o en el artículo 10.7 con respecto a las
situaciones de “litispendencia” que deben tenerse en cuenta por los órganos de
resolución de litigios.
Esta
circunstancia puede ser relevante al interpretar ciertas normas del Reglamento.
Por ejemplo, su artículo 8.2, que establece que “ninguna cláusula contractual
sobre el acceso a los datos y su utilización o sobre la responsabilidad y las
vías de recurso por incumplimiento o resolución unilateral de obligaciones
relativas a datos será vinculante si constituye una cláusula contractual abusiva
en el sentido del artículo 13 o si, en detrimento del usuario, excluye la
aplicación, establece excepciones o modifica los derechos del usuario en virtud
del capítulo II”. De hecho, entre las cláusulas que en todo caso se consideran
abusivas conforme al artículo 13.4.b) del Reglamento de Datos se encuentran las
que tienen por objeto o efecto “excluir las vías de recurso de que dispone la
parte a la que se haya impuesto unilateralmente la cláusula en caso de
incumplimiento de obligaciones contractuales o la responsabilidad de la parte
que haya impuesto unilateralmente la cláusula en caso de infracción de dichas
obligaciones”.
No
obstante, en la medida en que estas normas no van referidas únicamente a
contratos entre empresas y consumidores sino también a contratos entre
empresas, su aplicación a este último de situaciones para rechazar la eventual
competencia de un tribunal extranjero en ciertos litigios entre partes
vinculadas por un contrato puede plantear dificultades, eventualmente incluso
por entrar en conflicto con instrumentos internacionales vinculantes para la
UE, como el Convenio de La Haya de 2005 sobre acuerdos de elección de foro.
III. Consideraciones finales
El
Reglamento de Datos establece un marco que pretende facilitar una asignación
óptima de los datos en beneficio de la sociedad, en particular, tratando de garantizar
a los usuarios de un producto conectado o servicio relacionado la posibilidad
de acceder a los datos generados por su uso y que puedan utilizarlos, incluso
compartiéndolos con terceros. Precisamente, el papel central atribuido a los
usuarios determina que en gran medida el éxito del Reglamento de Datos dependa
de que tales usuarios puedan de manera efectiva beneficiarse de los derechos
que le atribuye el nuevo instrumento, exigiendo a los fabricantes de productos
conectados introducidos en el mercado de la Unión y los proveedores de
servicios relacionados, y al conjunto de los titulares de datos sometidos al
Reglamento, el cumplimiento de las obligaciones que este les impone. Cabe dudar
de que las limitaciones del entramado institucional de ejecución y aplicación
previsto, unidas a la complejidad inherente a la configuración del instrumento,
permitan fácilmente a los usuarios cuando sean consumidores, microempresas,
pequeñas empresas y medianas empresas, obtener tales beneficios y satisfacer
plenamente los objetivos que persigue el Reglamento.
