Propuesta de Reglamento Ómnibus Digital (II): Datos (y contratos inteligentes)

 

Dejando de momento de lado los aspectos relativos a datos personales, en concreto las controvertidas modificaciones del RGPD (y de la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas) que se pretenden introducir, un aspecto central de la Propuesta de Reglamento Ómnibus Digital es la refundición del marco regulatorio referido a los datos en general (personales y no personales) en un único instrumento. En síntesis, la refundición se lleva a cabo mediante la integración en el Reglamento (UE) 2023/2854 de Datos de las normas relevantes del Reglamento (UE) 2022/868 de Gobernanza de Datos, el Reglamento (UE) 2018/1807 relativo a un marco para la libre circulación de datos no personales en la Unión Europea, y de la Directiva 2019/1024 relativa a los datos abiertos y la reutilización de la información del sector público. Los instrumentos cuyas normas se integran en el Reglamento de Datos quedarán derogados por el Reglamento Ómnibus Digital.

Propuesta de Reglamento Ómnibus Digital (I): Aspectos generales, supresión del Reglamento 2019/1150 y notificación de incidentes

 

    La semana pasada la Comisión presentó su paquete de propuestas de medidas de simplificación y mejora de su regulación en materia digital. Pese a estar orientado a simplificar el marco normativo y en parte poder contribuir a ese objetivo, el paquete en sí mismo supone un nuevo elemento de complejidad. Sobre todo, el paquete deja en evidencia las carencias del enfoque normativo de la Unión, que regularmente incluye la adopción de complejos instrumentos cuyo cumplimiento no se exige de manera efectiva, pero representan una gran carga especialmente para los operadores diligentes locales que desarrollan sus modelos de negocio en este contexto normativo (a diferencia de los que se expanden aquí tras haberlos desarrollado en terceros países). El instrumento central del nuevo paquete es una Propuesta de Reglamento Ómnibus Digital, que se proyecta especialmente sobre un conjunto heterogéneo de reglamento (y alguna directiva) de la Unión. Esa Propuesta contempla la supresión sin más del Reglamento 2019/1150 sobre usuarios profesionales de servicios de intermediación en línea (o Reglamento P2B, entre plataformas y empresas); prevé cambios muy significativas en materia de datos personales, incluyendo modificaciones del RGPD y de la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas; contempla la refundición de los diversos reglamentos en materia de datos en sentido amplio (es decir los que se centran en los datos no personales); así como la consolidación del heterogéneo conjunto de obligaciones en materia de notificación de incidentes previstas básicamente en diversos reglamentos en materia de ciberseguridad y otros instrumentos conexos, pero también en el propio RGPD. Al margen de la Propuesta de Reglamento Ómnibus Digital, resulta relevante que el Paquete incluye otra Propuesta de Reglamento que contempla modificaciones del Reglamento de Inteligencia Artificial; otra Propuesta de Reglamento para la creación de una Cartera europea de negocios, destinada a complementar la Cartera europea de identidad digital introducida en el Reglamento (UE) 2024/1183 que modificó el Reglamento (UE) 910/2014 (eIDAS 2), así como una Comunicación de la Comisión sobre la estrategia de datos de la UE. En relación precisamente con la aplicación del Reglamento de Datos resulta también de interés la presentación por la Comisión de Comunicaciones sobre dos conjuntos de Recomendaciones, una relativa a cláusulas contractuales tipo para el acceso y el uso de datos, y otra a cláusulas contractuales tipo para los contratos de computación en la nube.

Aunque no sean sus elementos de mayor enjundia, entre los aspectos de la Propuesta de Reglamento Ómnibus Digital que ponen especialmente de relieve las deficiencias de la manera de legislar en este ámbito en la UE cabe ahora hacer referencia a dos. Por una parte, la propuesta de derogación sin más del Reglamento 2019/1150, que va unida a la previsión de que algunas de sus disposiciones continúen siendo de aplicación hasta el 31 de diciembre de 2032 (I, infra). Llama la atención la aislada derogación en este momento de ese instrumento en su conjunto, con base en que su contenido ha pasado a ser innecesario tras la adopción de algunos instrumentos posteriores, en particular, el Reglamento de Servicios Digitales. Resulta difícil de entender que no se procediera a su derogación ordenada -y matizada mediante la eventual integración de algunas de sus reglas- en el marco de la adopción de los instrumentos que han convertido a buen parte de sus normas en redundantes. Por otra parte, muy ilustrativo de esas carencias es también el solapamiento de obligaciones en materia de notificación de incidentes, que se traduce ahora en una propuesta de consolidación de esas obligaciones, para evitar reiteraciones que deberían haberse tenido ya en cuenta al adoptar los sucesivos instrumentos en la materia (II, infra). Dejaré para más adelante las normas de la Propuesta de Reglamento Ómnibus Digital relativas, de una parte, a la consolidación en un único instrumento de los varios existentes en materia de datos en general (incluyendo la revisión de aspectos relevantes de su contenido) y, de otra, a la reforma de los instrumentos sobre datos personales.

 

Aplicación a Amazon de las normas del Reglamento de Servicios Digitales sobre plataformas de muy gran tamaño

 

En su sentencia de ayer en el asunto Amazon EU / Comisión, T-367/23, EU:T:2025:1038, el Tribunal General (TG) desestima el recurso de anulación frente a la Decisión de la Comisión por la que se designaba a Amazon Store como plataforma en línea de muy gran tamaño (PLMGT) en virtud del artículo 33 del Reglamento (UE) 2022/2065 de Servicios Digitales (RSD). Se trata de un asunto al que ya me referí al hilo de la solicitud de medidas provisionales presentada por Amazon (aquí), y en el que el recurso de Amazon frente a su designación como PLMGT ha tenido la misma suerte que el presentado por Zalando (véase aquí), si bien los motivos de impugnación diferían sustancialmente. Amazon invocaba una excepción de ilegalidad respecto de tres artículos del RSD: 33.1, 38 y 39. El artículo 33.1 es el que contempla el sometimiento a las obligaciones de la sección 5 del capítulo III RSD (arts. 33 a 43) de las plataformas (y buscadores) designadas como PLMGT -básicamente, las que alcanzan un promedio mensual de destinatarios del servicio activos en la Unión de cuarenta y cinco millones- y que se encuentra, por lo tanto, en el origen de la designación de Amazon Store como tal. El artículo 38 RSD es el que exige que las PLMGT, cuando utilizan sistemas de recomendación, ofrezcan al menos una opción para cada uno de tales sistemas que no se base en la elaboración de perfiles mediante la utilización de datos personales. Por su parte, el artículo 39 RSD impone a las PLMGT significativas obligaciones adicionales de transparencia con respecto de los anuncios publicitarios que presentan en sus interfaces en línea.

Licitud del envío por correo electrónico de boletines informativos sin consentimiento

 

    La disposición básica en el Derecho de la UE para hacer frente al spam, o envío masivo de comunicaciones comerciales no solicitadas por correo electrónico o medio equivalente, continúa siendo el artículo 13 de la Directiva 2022/58 (modificado por la Directiva 2009/136) relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. Su contenido, con ciertas modificaciones, se encuentra incorporado básicamente en el artículo 21 de la Ley 34/2002 o LSSICE (redactado conforme a la Ley 9/2014). El artículo 13 de la Directiva 2002/58 adoptó un régimen restrictivo, que en su apartado 1 subordina el envío de mensajes de correo electrónico “con fines de venta directa” a que los abonados o usuarios hayan dado su consentimiento previo. No obstante, su apartado 2 contiene una importante excepción, en virtud de la cual tal consentimiento no es necesario cuando la dirección de correo electrónico haya sido obtenida -conforme al RGPD- por el remitente “en el contexto de la venta de un producto o de un servicio” y “se utilice para la venta directa de sus propios productos o servicios de características similares”. La excepción sólo opera si se cumplen ciertas condiciones, en particular, que se ofrezca al destinatario la posibilidad de oponerse a esa utilización de las señas electrónicas en el momento en que se recojan y cada vez que reciban un mensaje (apdo. 2), al tiempo que el envío de mensajes electrónicos con fines de venta directa debe respetar en todo caso ciertos requisito (apdo. 4, por ejemplo, en relación con la identificación del remitente). La sentencia de hoy del Tribunal de Justicia en el asunto Inteligo Media, C-654/23, EU:C:2025:871, tiene el interés de precisar, en relación con el envío de boletines informativos a quienes se registran en servicios gratuitos, el alcance de la excepción del artículo 13.2 RGPD, y se presta también a ciertas consideraciones en relación con su transposición en España.

 

Conflictos de jurisdicción en materia de patentes esenciales: medidas antiproceso, competencia judicial y derecho aplicable

 

                La adopción por la División Local de Mannheim del Tribunal Unificado de Patentes (TUP) el pasado 30 de septiembre en el marco del asunto UPC_CFI_0000936/2025 (InterDigital VC Holdings, Inc et al v. Amazon.com, Inc. et al)  de una peculiar antisuit injunction (en concreto, una anti-interim-license injunction tendente a evitar el otorgamiento de una licencia provisional) reviste singular interés en el contexto de los conflictos de jurisdicción (en el sentido en el que el término se utiliza en el art. 81 TFUE) surgidos en los últimos años en el marco de la litigación relativa a patentes esenciales. También se presta a la reflexión al hilo de las clarificaciones llevadas a cabo por el TJUE en su sentencia BSH Hausgeräte respecto de las normas de la UE sobre competencia judicial internacional en litigios en materia de patentes (comentada aquí y aquí y aquí). Precisamente, desde la perspectiva de la litigación internacional, la práctica de los tribunales ingleses en relación con su competencia para establecer con alcance mundial las condiciones FRAND (fair, reasonable and non-discriminatory) o RAND de licencias sobre patentes esenciales y el canon correspondiente resulta particularmente controvertida. No es de extrañar, por lo tanto, que la anti-interim-license injunction ahora reseñada se haya adoptado frente a un procedimiento en curso ante los tribunales del Reino Unido. En concreto, la medida cautelar del TUP busca preservar la posibilidad de que el titular de las patentes europeas relativas al territorio unitario – InterDigital, demandante ante el TUP- pueda hacerlas valer ejercitando las correspondientes acciones de infracción frente al supuesto infractor (eventual licenciatario y demandante ante los tribunales del RU -Amazon-), sin verse privado de tal posibilidad como consecuencia del otorgamiento de una licencia que cubra el territorio de protección de la patente unitaria en el marco del procedimiento seguido ante los tribunales ingleses. La medida adoptada por el TUP suscita ciertas reflexiones acerca de la interacción con los procedimientos en este ámbito tramitados en el RU, que también resultan relevantes desde la perspectiva de España al encontrarse al margen del sistema del TUP (III, infra). Previamente, se hará referencia al contexto de estas controversias (I, infra) y a ciertos elementos de la práctica de los tribunales del RU que condicionan esta reacción del TUP (II, infra).