La semana pasada la
Comisión presentó su paquete de propuestas de medidas de simplificación y
mejora de su regulación en materia digital. Pese a estar orientado a
simplificar el marco normativo y en parte poder contribuir a ese objetivo, el paquete
en sí mismo supone un nuevo elemento de complejidad. Sobre todo, el paquete deja
en evidencia las carencias del enfoque normativo de la Unión, que regularmente
incluye la adopción de complejos instrumentos cuyo cumplimiento no se exige de
manera efectiva, pero representan una
gran carga especialmente para los operadores diligentes locales que desarrollan
sus modelos de negocio en este contexto normativo (a diferencia de los que se expanden
aquí tras haberlos desarrollado en terceros países). El instrumento central del
nuevo paquete es una Propuesta de Reglamento Ómnibus Digital, que se
proyecta especialmente sobre un conjunto heterogéneo de reglamento (y alguna directiva) de la Unión. Esa Propuesta
contempla la supresión sin más del Reglamento 2019/1150 sobre usuarios
profesionales de servicios de intermediación en línea (o Reglamento P2B, entre
plataformas y empresas); prevé cambios muy significativas en materia de datos personales,
incluyendo modificaciones del RGPD y de la Directiva 2002/58 sobre la privacidad y las comunicaciones electrónicas; contempla la refundición de los diversos reglamentos en materia de datos en sentido amplio
(es decir los que se centran en los datos no personales); así como la
consolidación del heterogéneo conjunto de obligaciones
en materia de notificación de incidentes previstas básicamente en diversos reglamentos
en materia de ciberseguridad y otros instrumentos conexos, pero también en el propio RGPD. Al margen de la Propuesta de Reglamento Ómnibus Digital, resulta relevante que el Paquete incluye otra Propuesta
de Reglamento que contempla modificaciones del Reglamento de Inteligencia Artificial;
otra Propuesta de Reglamento para la creación de una Cartera europea de negocios,
destinada a complementar la Cartera europea de identidad digital introducida en
el Reglamento (UE) 2024/1183 que modificó el Reglamento (UE) 910/2014 (eIDAS 2),
así como una Comunicación de la Comisión sobre la estrategia de datos de la UE.
En relación precisamente con la aplicación del Reglamento de Datos resulta
también de interés la presentación por la Comisión de Comunicaciones sobre dos
conjuntos de Recomendaciones, una relativa a cláusulas contractuales tipo para
el acceso y el uso de datos, y otra a cláusulas contractuales tipo para los
contratos de computación en la nube.
Aunque no sean sus elementos de mayor enjundia, entre los aspectos de la Propuesta
de Reglamento Ómnibus Digital que ponen especialmente de relieve las deficiencias
de la manera de legislar en este ámbito en la UE cabe ahora hacer referencia a dos. Por una parte, la propuesta
de derogación sin más del Reglamento 2019/1150, que va unida a la previsión de
que algunas de sus disposiciones continúen siendo de aplicación hasta el 31 de
diciembre de 2032 (I, infra). Llama la atención la aislada derogación en
este momento de ese instrumento en su conjunto, con base en que su contenido ha
pasado a ser innecesario tras la adopción de algunos instrumentos posteriores, en
particular, el Reglamento de Servicios Digitales. Resulta difícil de entender
que no se procediera a su derogación ordenada -y matizada mediante la eventual integración
de algunas de sus reglas- en el marco de la adopción de los instrumentos que han
convertido a buen parte de sus normas en redundantes. Por otra
parte, muy ilustrativo de esas carencias es también el solapamiento de obligaciones
en materia de notificación de incidentes, que se traduce ahora en una propuesta
de consolidación de esas obligaciones, para evitar reiteraciones que deberían
haberse tenido ya en cuenta al adoptar los sucesivos instrumentos en la materia
(II, infra). Dejaré para más adelante las normas de la Propuesta de
Reglamento Ómnibus Digital relativas, de una parte, a la consolidación en un
único instrumento de los varios existentes en materia de datos en general (incluyendo la revisión de aspectos relevantes de su contenido) y, de
otra, a la reforma de los instrumentos sobre datos personales.
I. Derogación del
Reglamento 2019/1150 sobre usuarios profesionales de servicios de
intermediación en línea
El artículo 10 de la Propuesta de Reglamento Ómnibus Digital contempla la
derogación del Reglamento 2019/1150 con efectos desde la fecha en que resulte
de aplicación el Reglamento Ómnibus Digital, si bien prevé que los artículos
2(1), 2(2), 2(5), 4, 11 y 15 continúen siendo de aplicación hasta el 31 de diciembre
de 2032. Las disposiciones que se prevé que continúen siendo de aplicación son
las que contienen las definiciones de «usuario profesional», «servicios de intermediación en línea», «motor de
búsqueda en línea»; los que regulan la restricción, suspensión y terminación de
los servicios en línea a los usuarios profesionales (Artículo 4), sistema
interno de tramitación de reclamaciones (Artículo 11) y garantía de
cumplimiento por parte de los Estados miembro (Artículo 15).
Con
respecto a la fundamentación de esta medida, la Exposición de motivos de la
Propuesta indica que “aprovecha la oportunidad” para derogar el Reglamento (UE)
2019/1150, debido a que, con posterioridad a su adopción otros actos
legislativos de la UE han regulado los servicios de intermediación en línea y
las plataformas en línea, con especial referencia al Reglamento (UE) 2022/1925
de Mercados Digitales (RMD) y al Reglamento (UE) 2022/2065 de Servicios
Digitales (RSD). Se prevé, además, que la supresión permita reducirá los costes
de cumplimiento al reducir la superposición y la complejidad de las normas y
aportar una mayor claridad al marco regulatorio. Que algunas de sus
disposiciones sigan vigentes se justifica por considerarlo necesario la
seguridad jurídica en relación con los actos que contienen referencias cruzadas
a tales disposiciones, con especial referencia a la Directiva (UE) 2023/2831
sobre el trabajo en plataformas. También destaca la Comisión desde la perspectiva
de la proporcionalidad de la reforma propuesta, que la derogación del
Reglamento (UE) 2019/1150 es necesaria para eliminar la duplicación de normas y
de obligaciones en un contexto en el que ese Reglamento solo tiene un valor
residual. También se hace referencia a cómo el Informe de 2023 sobre la aplicación
del Reglamento (UE) 2019/1150 demostraba un significativo desconocimiento y una
escasa aplicación de sus normas.
Ciertamente,
algunas de las principales obligaciones previstas en el Reglamento (UE)
2019/1150 se solapan con otras introducidas posteriormente en el RSD y en el
RMD, incluidas algunas cuya aplicación de momento se mantiene por ser en las
que se integran las referencias cruzadas entre instrumentos. En todo caso, el alcance
de los obligados por algunas de esas normas presenta significativas diferencias,
pues el círculo de los obligados por el RMD -limitado a guardianes de acceso- es
mucho menor que el del Reglamento (UE) 2019/1150, referido a la categoría mucho
más amplia de prestadores de «servicios de intermediación en línea», como
también lo es de algunas de las obligaciones de diligencia debida del RSD. Precisamente,
la proporcionalidad parece ser un elemento relevante en la evolución que
contempla la Propuesta.
En buena medida la evolución resultante de la nueva Propuesta puede ser coherente con los principios que inspiraron la adopción del
Reglamento 2019/1150, que trató de dotar a los usuarios profesionales de servicios
de intermediación en línea de una cierta protección semejante a la de los
consumidores, al apreciar que existen situaciones de desequilibrio en las
relaciones con las plataformas en las que algunos de sus usuarios profesionales
pueden encontrarse en una situación de dependencia similar a la de un consumidor.
El desplazamiento del Reglamento 2019/1150 por el RMD y el RSD acota la
exigencia de algunas de esas obligaciones tan sólo a intermediarios respecto de
los que por su configuración o dimensiones cabe esperar que puedan surgir esas
relaciones de dependencia, liberando al resto de los prestadores de servicios
de intermediación de algunas de esas exigencias regulatorias.
En todo caso, desde la perspectiva
de la actividad regulatoria europea y del marco normativo resultante, la
valoración de este proceso ha de ser negativa. Lo fundamental es que el RMD y el
RSD no debieron ser adoptados como si no interfirieran en la aplicación del Reglamento
2019/1150, limitándose a prever que las normas de esos dos instrumentos
resultan de aplicación sin perjuicio de lo dispuesto en el Reglamento 2019/1150.
Un enfoque coordinado hubiera permitido una respuesta más adecuada y equilibrada
de la que resulta de la simple derogación del Reglamento 2019/1150 en los
términos que contempla la Propuesta. Por lo demás, de convertirse en realidad
la Propuesta de Reglamento Ómnibus Digital, el que para aplicar ciertas normas
del RMD y RSD -y de otros instrumentos como la Directiva (UE) 2023/2831 sobre
el trabajo en plataformas - todavía haya que continuar yendo al texto del
Reglamento derogado, algunas de cuyas normas siguen siendo de aplicación hasta
el 31 de diciembre de 2032 (y el que dejen de serlo en esa fecha requerirá
medidas legislativas adicionales) tampoco parece un modelo de simplificación
legislativa.
II. Simplificación de las obligaciones de notificación de
incidentes
Básicamente,
los artículos 6 a 9 de la Propuesta contemplan como novedad la creación de un
punto único de entrada para la notificación de incidentes, fijando su alcance
en relación con los diversos instrumentos de la Unión que imponen obligaciones
de notificación de incidentes. Las modificaciones propuestas pretenden introducir
un punto de entrada único para permitir que las entidades obligadas puedan cumplir
simultáneamente las obligaciones de notificación de incidentes de seguridad que
les imponen diversos instrumentos de la Unión.
El
establecimiento del punto único de entrada es objeto del artículo 6, que añade
un nuevo artículo 23 bis a la Directiva (UE) 2022/2555 relativa a las medidas
destinadas a garantizar un elevado nivel común de ciberseguridad en toda la
Unión (Directiva NIS2). Establece el desarrollo y mantenimiento de ese punto
único de entrada para la notificación de incidentes por parte de ENISA (Agencia
de la Unión Europea para la Ciberseguridad), para lo que contempla la adopción de
medidas técnicas, operativas y organizativas adecuadas y proporcionadas para
gestionar los riesgos en relación con la seguridad del punto de entrada único y
la información presentada o difundida a través del mismo. Mediante la reforma
del artículo 23 de la Directiva NIS2, se establece que la notificación de
incidentes prevista en ese instrumento debe llevarse a cabo a través del nuevo
punto único de entrada.
El artículo 7
de la Propuesta establece que el punto único de entrada para la notificación de
incidentes de seguridad resulta también con respecto al cumplimiento de las obligaciones
de notificación previstas en los artículos 19bis, 24 y 45bis del Reglamento 910/2014
(Reglamento eIDAS). Por su parte, el artículo 8 de la Propuesta modifica el
artículo 19 del Reglamento 2022/2554 sobre
la resiliencia operativa digital del sector financiero (DORA), para establecer
que el empleo del punto único de entrada también es obligatorio en relación con
la notificación de los incidentes graves relacionados con las TIC y
notificación voluntaria de las ciberamenazas importantes por parte de las
entidades financieras en virtud de ese instrumento. Asimismo, el artículo 9 de
la Propuesta contempla la modificación del artículo 15 de la Directiva 2022/2557
relativa a la resiliencia de las entidades críticas, para imponer como
obligatorio el punto de entrada único en relación con la notificación de los
incidentes que perturben o puedan perturbar de forma significativa la
prestación de servicios esenciales en virtud de esa disposición.
Especial relevancia,
por su alcance, tiene en este ámbito la circunstancia de que el artículo 3.8 de
la Propuesta de Reglamento Ómnibus Digital contempla la modificación del RGPD
para requerir la canalización de las notificaciones de violación de la seguridad
de datos personales también a través del nuevo punto único de entrada para la
notificación de incidentes de seguridad del proyectado artículo 23 bis a la
Directiva NIS2. Se contempla la modificación del artículo 33 del RGPD en ese
sentido, ampliando el plazo de notificación a 96 horas desde que haya tenido
constancia de la violación de la seguridad de los datos personales. También resulta
relevante en este contexto que el artículo 5.1 de la Propuesta de Reglamento Ómnibus Digital prevé la derogación de las obligaciones de adoptar medidas
técnicas y de gestión adecuadas para preservar la seguridad, así como
información de los riesgos de violación de la seguridad de la red, que el
artículo 4 de la Directiva 2002/58 sobre la privacidad y las comunicaciones
electrónicas prevé para los proveedores de un servicio de comunicaciones
electrónicas.
