Para dar cumplimiento, aunque con retraso, a
lo dispuesto en el artículo 41 del Reglamento (UE) 2023/2854 de Datos (RD), recientemente
la Comisión Europea ha publicado su Recomendación relativa a las cláusulas contractuales tipo no vinculantes sobre el acceso a los datos y su utilización. Cabe
recordar que el Reglamento de Datos regula, entre otras cuestiones, el acceso
por los usuarios de un producto conectado o servicio relacionado a los datos
generados por su uso, así como la utilización de esos datos, incluso
compartiéndolos con terceros -destinatarios de datos- a su elección, por
ejemplo, con quienes desean que les presten servicios de mantenimiento o
reparación o con quienes pueden estar interesados en usarlos para desarrollar
productos innovadores. Las normas sobre esas cuestiones objeto del Capítulo II
(arts. 3 a 7 RD) se complementan con las relativas al régimen de puesta a
disposición de tales destinarios de los datos por parte de sus titulares, que
son objeto del Capítulo III (arts. 8 a 12), así como con las que excluyen la
aplicación entre empresas de cláusulas contractuales abusivas sobre el acceso a
los datos, su utilización o la responsabilidad y vías de recurso por
incumplimiento de obligaciones relativas a datos (Capítulo IV o art. 13). En síntesis,
el RD establece los derechos y obligaciones de las partes implicadas en el
acceso y la utilización de datos, fija normas para el intercambio obligatorio
de datos y permite a las partes determinar mediante contratos el ejercicio
práctico de sus derechos y obligaciones en relación con dicho acceso y
utilización de datos (cdo. 3 de la Recomendación). Se trata en gran medida de
normas jurídico-privadas de Derecho contractual, si bien presentan típicamente
carácter imperativo, estando destinadas a hacer posible una utilización
equitativa de los datos y evitar la explotación de desequilibrios contractuales
por parte de los titulares de datos para obstaculizar el acceso a los datos por
los usuarios o terceros destinatarios (cdo. 5 RD). Son disposiciones puntuales
destinadas en parte a complementar en las relaciones entre empresas el acervo
comunitario sobre contratos de consumo establecido en la Directiva 93/13, sin
que, salvo cuando se disponga otra cosa, el Reglamento de Datos afecte a las
normas nacionales de Derecho contractual, incluidas las relativas a la
celebración, validez o efectos de los contratos (cdo. 9 RD).
Como se destaca en los considerandos de la
Recomendación, en el marco del RD, que establece un sistema en el que la
utilización de los datos se basa en contratos, está previsto que las cláusulas
contractuales sobre el acceso a los datos y su utilización ahora publicadas desempeñen
un papel muy relevante. Se trata de un instrumento no vinculante o modelo para
los participantes en tales contratos, destinado a aportar seguridad jurídica respecto
de los derechos y obligaciones entre las partes, facilitando la conclusión de
estos contos contratos y promoviendo de esta manera el intercambio de datos.
Teniendo en cuenta el entorno digital en los estos contratos que están llamados
a operar, con frecuencia serán internacionales, e incluso no será raro que alguna
de las partes implicadas -por ejemplo, el titular de datos- sea una persona o
entidad de un tercer país. De hecho, el carácter típicamente internacional de
muchos de estos contratos tiene su reflejo en la inclusión en los diversos modelos
contractuales de cláusulas de elección de la ley estatal aplicable y de elección
de foro a favor de los tribunales de un país. No obstante, a la luz del contenido
de tales cláusulas, cabe lamentar que las cuestiones de Derecho internacional
privado no hayan recibido una mayor atención en las cláusulas contractuales tipo
no vinculantes sobre el acceso a los datos y su utilización. Me centraré en
esta primera entrada, tras una breve panorámica de los diversos tipos de
contratos objeto de las varias categorías de cláusulas tipo (I, infra) y
de la naturaleza y ámbito de aplicación de las normas del RD relevantes desde
la perspectiva de la contratación internacional (II, infra) en sus
cláusulas sobre ley aplicable (III, infra), para hacer referencia en la
siguiente entrada a las cláusulas relativas a la competencia judicial.
I. Cuatro categorías de contratos sobre el acceso a los datos y su utilización
La Recomendación establece en sus anexos cláusulas
contractuales tipo para cuatro grupos de contratos diferentes relativos al acceso
y el uso de datos en el marco del RD. El primer modelo de contrato recomendado -Anexo
II- regula la relación jurídica entre un titular de datos y un usuario de un
producto conectado o un servicio relacionado que tiene derecho a acceder y
utilizar datos conforme a lo dispuesto básicamente en el artículo 4 del RD. La
conclusión de un contrato de este tipo resulta necesaria también para que el
titular de datos pueda usar y compartir los datos relevantes. En la práctica no
será raro que la regulación de esas cuestiones pueda integrarse en el contrato
relativo a la adquisición del producto conectado o la prestación de los
servicios relacionados.
El segundo tipo de contrato cubierto por las
cláusulas contractuales tipo es el celebrado entre el usuario de un producto
conectado o un servicio relacionado y un destinatario de datos. Va referido a
las situaciones en las que el usuario puede solicitar al titular de los datos
que los ponga a disposición de un destinatario de datos indicado por el usuario
con base el derecho de éste a compartir datos con terceros establecido en el
artículo 5 del RD (anexo III de la Recomendación)
El tercer tipo de contrato contemplado es el
celebrado entre el titular de los datos y un destinatario de datos que sea una
empresa, en los casos en que el titular de los datos tiene la obligación legal
de poner los datos a disposición de un tercero indicado por el usuario en virtud del artículo 5 del RD (anexo IV de la
Recomendación).
Por último, el cuarto modelo de contrato
respecto del que se establecen cláusulas contractuales tipo es el celebrado
entre empresas que comparten datos de forma voluntaria y está sujeto al control
de prácticas desleales en virtud del Reglamento (UE) 2023/2854 (anexo V). Se
trata de situaciones heterogéneas en las que quien comparte datos desea poner
los datos a disposición de un destinatario de datos de forma voluntaria e
independiente de cualquier solicitud de un usuario o parte similar.
Salvo en el tercer tipo de contrato reseñado,
se trata de contratos (los de los anexos II, III y V) en los que una de las
partes implicadas puede tener la condición de consumidor, lo que con frecuencia
será el caso de usuarios de un producto conectado o un servicio relacionado. En
la Introducción General que precede al texto de las cláusulas contractuales
tipo -y en el cdo. 9 de la Recomendación-, la Comisión aclara que han sido redactadas
principalmente para contratos entre empresas (b2b), pero que también pueden ser
usadas en contratos entre empresas y consumidores. No obstante, se precisa que
en este último caso será preciso añadir las disposiciones relevantes para
incorporar las normas imperativas de protección de los consumidores, con
referencia expresa, a modo de ejemplo, al derecho de desistimiento en los
contratos de consumo celebrados a distancia.
II. Marco normativo y contexto de los contratos sobre el acceso a los datos y su utilización en el Reglamento de Datos: implicaciones en la contratación internacional
Las cláusulas contractuales
tipo para contratos relativos al acceso y el uso de datos han sido redactadas
tomando como referencia los derechos y obligaciones establecidos en el
Reglamento de Datos, así como la necesidad de garantizar el cumplimiento de otras
disposiciones imperativas del Derecho de la UE de singular relevancia en este
contexto, como el RGPD.
De manera respetuosa
con la libertad de empresa y la autonomía de la voluntad en el ámbito
contractual, el RD deja significativa libertad a las partes de los contratos
sobre el acceso a los datos y su utilización al configurar los términos del
contrato y las cláusulas contractuales tipo se configuran como voluntarias.
Ahora bien, los contratos sobre el acceso a los datos y su utilización en el
Reglamento de Datos operan en un contexto normativo en el que las normas
imperativas tienen una importante presencia. De hecho, el Reglamento de Datos está
típicamente formado por normas imperativas, en lo que tiene que ver, por
ejemplo, con ciertas obligaciones legales de compartir datos o en aspectos
relativos a la configuración de esos contratos, como en lo que concierne a las
cláusulas contractuales abusivas impuestas unilateralmente a otra empresa. Lo
anterior, como es conocido, condiciona significativamente, la eficacia práctica
de cualquier elección de la ley de un tercer Estado cuando todos los demás
elementos pertinentes del contrato internacional se localizan en Estados de la
UE (art. 3.4 Reglamento Roma I).
De hecho, muchas de las
normas del RD sobre tales cuestiones deben ser consideradas normas
internacionalmente imperativas, leyes de policía o normas de orden publico a
los efectos del artículo 9 del Reglamento Roma I, de modo que deben ser necesariamente
aplicadas por los tribunales de los Estados miembros a todos los contratos -también
los internacionales- incluidos dentro de su ámbito de aplicación territorial,
con independencia de cuál sea la ley aplicable al contrato, también en
situaciones en las que los elementos pertinentes del contrato -por ejemplo, el
lugar de establecimiento del titular de datos- se localizan en un tercer Estado.
Cabe recordar que el ámbito de aplicación territorial de las normas del Reglamento
de Datos aparece recogido básicamente en su artículo 1.3. Con respecto a la obligación
de hacer accesibles los datos de productos conectados y de datos de servicios
relacionados, así como de puesta a disposición de datos en favor de sus
usuarios y en favor de los destinatarios de datos, contenidas en sus capítulos
II a IV, resultan determinantes las previsiones sobre a qué fabricantes de
productos, proveedores de servicios relacionados, usuarios, titulares de datos
y destinatarios se aplica el Reglamento.
En lo que respecta a los
fabricantes de productos conectados y los proveedores de servicios
relacionados, lo determinante es la introducción por su parte en el mercado de
la Unión de los productos de que se trate, independientemente del lugar de
establecimiento de dichos fabricantes y proveedores (art. 1.3.a) RD). El artículo
2.22 RD aclara que por “introducción en el mercado” se entiende la primera
comercialización de un producto conectado en el mercado de la Unión. La
aplicación con base en ese criterio, con independencia del establecimiento del
fabricante del producto o proveedor del servicio, es coherente con que el
Reglamento incluye obligaciones sobre el diseño y fabricación de los productos
y el diseño y prestación de los servicios en cuestión, y pretende salvaguardar
derechos de los usuarios “de la Unión” (sic) de tales productos y servicios.
Esta circunstancia condiciona que también con respecto a los titulares de datos
el Reglamento se aplique, con independencia de su lugar de establecimiento,
cuando pongan datos “a disposición de los destinatarios de datos de la Unión”
(sic) (art. 1.3.c) RD).
Por su parte, con respecto a los “usuarios”
se establece que es aplicable a los “usuarios de la Unión” (sic) de los
productos conectados introducidos en la Unión o servicios relacionados (art.
1.3.b) RD). En lo relativo a los “destinatarios de datos” se establece su
aplicación a “los destinatarios de datos de la Unión a cuya disposición se
ponen datos (art. 1.3.c) RD). Cabe lamentar la deficiente traducción al español
de estas disposiciones, en la medida en que van referidas a “usuarios de la
Unión” o “destinatarios de la Unión”, categorías que serían fuente de
inseguridad jurídica en la medida en que el Reglamento no proporciona ninguna
precisión acerca de la vinculación con la Unión a la que se subordina la
consideración de un usuario o de un destinatario como “de la Unión”. En
realidad, la comparación con el texto del Reglamento en sus versiones inglesa,
francesa, alemana, italiana y portuguesa permite apreciar que se trata de un
mero error de traducción, pues los términos realmente utilizados en esos
subapartados del artículo 1.3 son “usuarios en la Unión” y “destinatarios en la
Unión” y no los recogidos en la deficiente traducción española. En todo caso,
lo que importa a estos efectos, es que esas disposiciones fijan el ámbito
territorial respecto del que la aplicación de las normas pertinentes del RD
resulta imperativa.
III. Cláusulas de elección de la ley aplicable
Cada uno de los cuatro tipos de contratos
relativos al acceso y el uso de datos
objeto de las cláusulas contractuales tipo (anexos II a V) incluye una cláusula
de elección de la ley aplicable (cláusulas 13.4, 8.4,
9.5 y 11.4) que van seguidas de una cláusula sobre interpretación de las
disposiciones del contrato (cláusulas 13.5, 8.5, 9.6 y 11.5). El tenor de estas
dos cláusulas es sustancialmente coincidente en los cuatro modelos, estando
formuladas, por ejemplo, en el Anexo II en los siguientes términos:
“13.4 Applicable law
This Contract is governed by the law of (specify state).
13.5 Interpretation
13.5.1 This Contract is concluded by the Parties against the background
of the Parties’ rights and obligations under the Data Act. Any provision in
this Contract must be interpreted so as to comply with the Data Act and other
Union law or national legislation adopted in accordance with Union law as well
as any applicable national law that is compatible with Union law and cannot be
derogated from by agreement.
13.5.2 If any gap or ambiguity in this contract cannot be resolved in the
way referred to by clause 13.5.1, this contract must be interpreted in the
light of the rules of interpretation provided for by the applicable law (see
clause 13.4).”
A la luz del contenido de la cláusula sobre
interpretación, que pone de relieve la especial conexión de estos contratos con
el contenido del Reglamento de Datos y otras normas de la Unión y nacionales de
transposición, así como del conjunto de las cláusulas modelo, que incorporan
continuas referencias al Derecho de la UE, y tomando en consideración lo
indicado en la sección II, supra, acerca del carácter imperativo del
Reglamento de Datos y de su ámbito de aplicación territorial, cabe lamentar que
las cláusulas sobre ley aplicable -como la 13.4, reproducida- no hayan
recomendado expresamente que el Estado cuya legislación debería especificarse
en el contrato sea en concreto un Estado miembro de la UE.
Ciertamente, pese a que con base en el
artículo 3 del Reglamento Roma I las partes puedan elegir cualquier ley como
aplicable al contrato, incluso la de un tercer Estado, en este caso, teniendo
el contexto normativo para el que están diseñadas las cláusulas modelo, desde la
perspectiva de la seguridad jurídica y la previsibilidad la opción adecuada es
la elección como ley aplicable de un Estado miembro de la UE. Incluso en
aquellas situaciones en las que las cláusulas contractuales tipo no se utilicen
como un contrato independiente sino como una parte separable de un contrato más
amplio, por ejemplo, que cubra la compra del producto conectado, tendría
sentido que, en la medida en que se incluya una cláusula sobre elección de la
ley aplicable respecto de esa parte separable, que trata de dar cumplimiento específicamente
a lo previsto en el RD, fuera referida a la aplicación de la ley de un Estado
miembro, habida cuenta de que mediante la elección de la ley aplicable las partes
pueden designar la ley aplicable a la totalidad o solamente a una parte del
contrato (artículo 3.1 del Reglamento Roma I). Por lo demás, limitar en
cláusulas contractuales tipo la de elección de la ley aplicable a la de un Estado
miembro de la UE es algo bien conocido en el Derecho de la UE, aunque
ciertamente en un contexto algo distinto, como refleja la Decisión de ejecución
(UE) 2021/914 de la Comisión de 4 de junio de 2021 relativa a las cláusulas
contractuales tipo para la transferencia de datos personales a terceros países
de conformidad con el Reglamento (UE) 2016/679 General de Protección de Datos (sobre
ciertas carencias de su formulación, puede verse aquí).
Con respecto a la formulación de la cláusula sobre
elección de ley aplicable de los anexos II, III y V, cabe lamentar que no se
advierta a los potenciales usuarios de las cláusulas que la formulación propuesta
resulta abusiva e ineficaz para elegir la ley aplicable en contratos en los que
una parte sea un consumidor. Las cláusulas sobre elección de foro de esos anexos
-que son los aplicables a contratos B2B y B2C- advierten de que no deben ser
usadas en los contratos de consumo. Nada dicen al respecto las cláusulas sobre
ley aplicable, lo que puede tener sentido porque conforme al artículo 6 del Reglamento
Roma I sí cabe la elección de ley aplicable en los contratos con consumidores.
Ahora bien, para que la cláusula no se considere abusiva resultará necesario que
informe expresamente al consumidor en su texto de que la elección no acarrea para el
consumidor la pérdida de la protección que le proporcionen las disposiciones
imperativas de protección de los consumidores del país en el que el consumidor
tenga su residencia habitual (STJUE de 28 de julio de 2016, Verein für Konsumenteninformation, C‑191/15, EU:C:2016:612).
